POLÍTICA DE GOVERNANÇA EM PRIVACIDADE 

A missão da Inloco é criar uma identidade privada ubíqua, que permita uma experiência personalizada, segura e sem fricção com aplicativos móveis e dispositivos conectados. Por isso, desenvolvemos nossa tecnologia de localização privacy by design e trabalhamos ativamente pela proteção da identidade das pessoas. O nosso objetivo é que a tecnologia sirva ao ser humano e não o contrário, colocando-o acima de tudo e com controle absoluto de um dos seus direitos mais genuínos e inegociáveis: o direito à privacidade.

Objetivo

Com o compromisso de manter a confiança dos nossos clientes, colaboradores, parceiros, acionistas e autoridades, atendemos aos regulamentos de proteção de dados nos países em que atuamos, e envidamos os melhores esforços para limitar a coleta de dados pessoais aos propósitos legítimos, específicos, explícitos e informados aos titulares de dados, tratando os dados pessoais de forma legal, justa e transparente.

A finalidade dessa Política de Governança em Privacidade é, portanto, garantir que as atividades da Inloco ocorram dentro de estrutura baseada em padrões globais de proteção de dados, além de promover uma cultura que valoriza a privacidade, envolvendo todas as áreas de nossa organização e aplica-se a todos os dados pessoais tratados pela Inloco, incluindo dados de usuários dos aplicativos móveis que utilizam nossa tecnologia, dados de clientes, fornecedores, colaboradores, entre outros.

Estrutura da Área de Proteção de Dados e Privacidade 

O modelo de Governança adotado pela Inloco leva em consideração a estrutura organizacional e a estratégia de negócios da companhia. A área de Proteção de Dados e Privacidade é liderada pela Data Protection Officer nomeada em 17 de setembro de 2020 (Raíssa Moura - raissa.moura@inloco.com.br). A função de DPO é responsável por conduzir o Programa de Privacidade e supervisionar nossa Estratégia Global de Privacidade, bem como por implementar e comunicar uma visão abrangente de gerenciamento de risco em privacidade. Esta posição se reporta ao Chief Security Officer e está sob a égide de TI.A Inloco conta ainda com um Comitê de Privacidade, grupo multifuncional composto pelos principais executivos da empresa, que se reúne periodicamente para (i) estabelecer diretrizes adequadas às necessidades do negócio em matéria de proteção de dados pessoais, prevenção de ameaças e conscientização sobre a responsabilidade dos colaboradores; (ii) assessorar a empresa em matéria de proteção de dados e privacidade, auxiliando os líderes na tomada de decisões.

Responsabilização e Prestação de contas

A Inloco implementa medidas técnicas e organizacionais apropriadas, códigos de conduta, políticas internas e tudo o que é necessário para garantir e demonstrar que o tratamento de dados pessoais é realizado em conformidade com as leis e regulamentos de proteção de dados vigentes.

O CEO e o CSO são responsáveis por definir e orientar a visão global de privacidade em nossa organização. Eles têm o dever de designar um líder de proteção de dados e equipe responsável, definir onde eles estarão melhor alocados na organização e garantir que recursos suficientes sejam dedicados à gestão do programa de privacidade.

Todos os colaboradores da Inloco têm a obrigação de participar do treinamento anual de proteção de dados e privacidade.

Princípios 

O tratamento de dados pela Inloco é norteado pelos seguintes princípios: 

  1. Respeitamos e colocamos a privacidade do usuário em primeiro lugar. 

    Respeitamos a privacidade em todas as nossas atividades. Acreditamos que as pessoas não devem abrir mão de sua privacidade para ter conveniência. Nós focamos nos interesses dos indivíduos para o desenvolvimento de soluções privadas.

  2. Não queremos saber quem é o usuário da nossa tecnologia 

    Desenvolvemos nossa tecnologia com o objetivo de impedir o acesso a informações que possam identificar diretamente os usuários. Portanto, seguindo uma estratégia “privacy by design", não coletamos, armazenamos, processamos ou acessamos - de qualquer outra forma - identificadores estáticos exclusivos de dispositivos móveis (IMEI e MAC), contas associadas (endereço de e-mail e número de telefone) nem dados de identificação civil (nome, CPF, etc.) e implementamos técnicas avançadas de pseudonimização e anonimização dos dados pessoais. Adotamos medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.

  3. Respeitamos direitos e liberdades fundamentais 

    Cientes da responsabilidade que é lidar com um grande volume de dados, respeitamos os direitos e liberdades fundamentais, independentemente de gênero, raça, cor da pele, idioma, fé, convicção religiosa, convicção política, nacionalidade, etnia ou outro status. Nossa tecnologia não vincula dados pessoais à visitas em locais sensíveis que revelem origem racial ou étnica, convicção religiosa ou filosófica, opiniões políticas, filiação a sindicato ou a organização de caráter religioso, dados genéticos ou biométricos tratados ​​com o objetivo de identificar exclusivamente uma pessoa física, dados relativos à saúde ou à vida sexual, evitando qualquer tipo de viés discriminatório em nossos algoritmos.

  4. Só realizamos o tratamento de dados pessoais para fins específicos, explícitos e legítimos

    Implementamos todas as medidas técnicas e organizacionais apropriadas para coletar dados pessoais apenas para fins específicos, explícitos e legítimos e não tratá-los de maneira incompatível com esses fins. Como uma boa prática de governança de dados, desenvolvemos o bitmap de finalidade e aplicamos nos dados pessoais, que tem por objetivo impedir que os dados sejam utilizados para finalidades incompatíveis com a coleta original.

  5. Coletamos o mínimo de dados possível

    Coletamos apenas a quantidade mínima de dados necessária para atender aos requisitos de nossos serviços e operar nossos negócios, principalmente porque manter a identidade do usuário privada faz parte da nossa missão. Não há coleta excessiva de dados pessoais nem rastreamento de titulares de dados. Coletamos, em média, a informação de menos de 3 (três) visitas por dispositivos com permissões atividade por dia, disseminando qualquer caráter intrusivo da tecnologia.

  6. Garantimos a qualidade dos dados pessoais

    Mantemos em nossos sistemas apenas dados pessoais exatos e relevantes. No que diz respeito a nossa tecnologia, os dados coletados pelo Software Development Kit (SDK) da Inloco em conjunto com os dados do ambiente em que se encontra o dispositivo móvel garantem a exatidão dos dados coletados. A coleta frequente e a eliminação de dados que ultrapassem o período de retenção garantem a atualização do dado. A clareza do dado é garantida pelos padrões do mercado, que já o disponibilizam de forma que não haja nenhum equívoco com relação ao dado, e a relevância é garantida pela aplicação do princípio da necessidade (artigo 6º, inciso III, da LGPD) e minimização (artigo 5, 1, c, do GDPR), para que somente os dados relevantes e essenciais ao cumprimento das finalidades sejam coletados e tratados. A Inloco aplica técnicas para corrigir ruídos e aprimorar a qualidade desses dados de forma a se obter os resultados esperados pelos usuários, clientes e parceiros.

  7. Retemos dados pessoais apenas durante o tempo que precisamos deles

    Não mantemos dados pessoais em nossa base por tempo indeterminado e temos por objetivo reduzir cada vez mais esse tempo. Seguimos o menor período de retenção de dados possível. O tempo de retenção é proporcional às finalidades para as quais os dados pessoais foram coletados.

  8. Aplicamos medidas robustas de segurança by default 

    Implementamos medidas técnicas e organizacionais para proteger os dados pessoais contra acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração ou difusão. Adotamos medidas robustas de segurança para viver o nosso maior valor, o respeito à Privacidade em nosso dia-a-dia. Nossas ações e políticas são baseadas nas melhores práticas de Segurança da Informação do mercado.

  9. Somos transparentes sobre nossas práticas de proteção de dados e privacidade 

    Informamos os titulares dos dado sobre quais informações pessoais são coletadas, para quais finalidades, se há compartilhamento de dados, como os dados são armazenados, quais as medidas de segurança empregadas, etc; e exigimos que nossos clientes e parceiros tenham o mesmo grau de transparência com seus usuários sobre o uso de nossa tecnologia.

  10. Estamos empenhados em estabelecer uma cultura de privacidade e proteção de dados

    Temos um compromisso público com a privacidade e proteção de dados. Acreditamos que a ética dos dados é atualmente o tema mais importante da geopolítica global contemporânea, pois a falta de tratamento ético dos dados ameaça não apenas os direitos individuais, mas, acima de tudo, os direitos sociais, como a democracia. Estamos empenhados em influenciar a sociedade para uma cultura de privacidade e proteção de dados evitando qualquer tipo de vigilância.

Segurança dos dados 

A Inloco possui como valor maior da empresa a Privacidade, e portanto, adota medidas de segurança para viver este valor maior em seu dia-a-dia. Nossas ações e políticas são baseadas nas melhores práticas de Segurança da Informação do mercado e aplicada a todo o conjunto de dados coletados pela empresa.

A segurança dos dados coletados através da nossa tecnologia é questão prioritária. Por isso, utilizamos diversos mecanismos de segurança, como criptografia, tanto no transporte como no armazenamento dos dados, hashs em processos de pseudonimização, mecanismos de detecção e prevenção de invasões e malwares, além de seguir as melhores práticas e padrões de mercado como NIST, CIS e ISOs, por exemplo.

A coleta de dados feita pela Inloco ocorre através de um protocolo de transporte seguro e que utiliza criptografia para proteger os dados em seu caminho  até os servidores. Os dados coletados são armazenados em um banco de dados seguro, de forma criptografada e com acesso restrito, sendo utilizados somente para os fins expressamente previstos na Política de Privacidade e autorizados por lei. 

A Inloco aplica as técnicas mais avançadas de proteção dos dados para dirimir os riscos decorrentes do tratamento para os direitos e liberdades das pessoas singulares, considerando os recursos disponíveis. Assim, aplica, tanto no momento da determinação dos meios de tratamento como no momento do próprio tratamento, as medidas técnicas e organizacionais adequadas, concebidas para implementar os princípios de proteção de dados, como a minimização de dados, ou seja, a utilização do mínimo de dados possíveis para a realização de suas atividades. Além disso, implementa medidas técnicas e organizacionais próprias para, por padrão, tratar apenas os dados que forem necessários para cada finalidade específica do tratamento e não tratar ou disponibilizar os dados internamente sem a intervenção de uma pessoa autorizada.

A eliminação dos identificadores em texto simples acaba com os riscos associados ao acesso aos dados por parte de qualquer pessoa que não tenha a chave capaz de descriptografar o crypto_id. Os dois identificadores gerados (hash_id e crypto_id) são ótimos substitutos para todos os serviços da Inloco e não permitem a identificação dos titulares dos dados. Então, em caso eventual de vazamento ou acesso indevido aos dados coletados e tratados pela Inloco, o titular do dado não será identificado e os controles de segurança empregados impedem que a pessoa seja física ou moralmente afetada.

Sobre a possibilidade de um usuário ser indiretamente identificado com base em seu histórico de localizações, tal técnica é improvável e não razoável quando aplicada para a base inteira de dados da Inloco (stream de dados e data lake) ou mesmo individualmente, uma vez que a Inloco tem um período de retenção muito baixo e seus ids são pseudonimizados. Os dados são processados e já guardados processados, reduzindo a possibilidade de identificação de uma pessoa com base no seu histórico de localização. Além disso temos mecanismos para processar os dados de forma segura, como, por exemplo, no caso da validação de endereço, onde conseguimos fazer a confirmação sem saber qual o endereço do titular, pois a busca é realizada nos sistemas de banco de dados de forma criptografada, evitando, assim, que usuários sejam indiretamente identificados por seu histórico de localizações.

Resposta a Incidentes

Fazemos tudo o que podemos para proteger os dados pessoais e os sistemas de ataques cibernéticos. Mas, na eventualidade de um incidente de segurança, temos um plano de resposta a incidentes que visa conter violação de dados pessoais de forma rápida e eficaz, enquanto continuamos nossas operações normalmente.

Nosso Plano de Resposta a Incidentes inclui procedimentos claros para investigar o que aconteceu e quais etapas tomar em resposta, incluindo se devemos notificar os indivíduos afetados ou outras partes relevantes, como clientes e autoridades. A Inloco cumpre todas as leis aplicáveis ​​que exigem notificação sobre incidentes de vazamento de dados.

Atualização e Contato

O Time de Proteção de Dados e Privacidade analisa esta política e sua implementação anualmente, como parte de suas responsabilidades de supervisão e governança em privacidade. Para obter mais informações sobre essa política, entre em contato com dpo@inloco.com.br.