Aviso de Privacidade - Certificação Digital
I - Nome e Endereço do Controlador O controlador, pessoa jurídica de direito privado, a quem competem as decisões referentes ao tratamento de dados pessoais, de acordo com a Lei Geral de Proteção de Dados, é:
Serpro - Serviço Federal de Processamento de Dados
SGAN Quadra 601 Módulo "V"
Brasília-DF
CEP: 70836-900
II - Nome e Endereço do Encarregado de Dados O nome e contato do Encarregado de Dados está disponível em https://www.serpro.gov.br/privacidade-protecao-dados.
III - Termos Transparência, encarregado, dado pessoal? Se não entendeu, não tem problema, vamos alinhar alguns pontos importantes.
LGPD: Lei 13.709/2018, conhecida como Lei Geral de Proteção de Dados (‘LGPD’), que cuida do uso dos dados de pessoas naturais.
Dado pessoal: é uma informação que está relacionada a uma pessoa natural onde é possível identificá-la ou tornar esta identificável. Isso é, a partir do dado se conhecer de forma direta ou indireta quem é a pessoa.
Dado pessoal sensível: é uma informação que está relacionada a uma pessoa natural onde é possível identificá-la ou tornar esta identificável, porém utilizando os dados pessoais sensíveis, ou seja, aqueles relativos à origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a um indivíduo.
Titular: a pessoa natural a quem os dados se referem.
Controlador: uma pessoa física ou jurídica que toma as decisões sobre o tratamento dos dados pessoais, a essa pessoa compete estabelecer quais dados, quais atividades serão realizadas, o tempo em que esses dados serão guardados, o porquê do uso desses dados, dentre outras decisões. Neste caso o Controlador é o SERPRO, pois ele define quais dados, qual o fluxo de tratamento, quanto tempo guardar, enfim, determina a forma como se dará o tratamento dos dados.
Tratamento: qualquer operação realizada com os dados pessoais, desde a geração do dado, a coleta, até a eliminação do dado. Qualquer ação realizada sobre o dado é um tratamento.
IV- Descrição da solução e dos tratamentos por ela realizados.
1. Como tratamos seus dados pessoais? O SERVIÇO DE CERTIFICAÇÃO DIGITAL DO SERPRO (SCDS) é um conjunto de soluções que tem por finalidade a emissão e gestão do ciclo de vida do certificado digital para pessoa física, jurídica ou outro.
Para fins terminológicos:
O SERVIÇO DE CERTIFICAÇÃO DIGITAL DO SERPRO (SCDS) trata os dados pessoais de crianças e adolescentes e realiza o tratamento de dados pessoais sensíveis. Abaixo, um quadro com as categorias de dados pessoais que a solução trata:
| Categorias de dados pessoais | Descrição da categoria | Fontes de dados |
| Dados de Identificação Pessoal | • e-mail; • Data de Nascimento; • RG; • Telefones; • CNH_Número; • Nome completo; • Endereço - Complemento; • CPF; • Telefone (Celular); • Passaporte; • Cartão de Inscrição no PIS/PASEP ou anotação na Carteira de Trabalho (exceto quando se tratar de primeiro emprego); • Título de Eleitor; • Carteira de Trabalho e Previdência Social – CTPS (identificação do número, série e qualificação civil); • Sistema Eletrônico de Informação - SEI; • Nome do responsável legal da pessoa Jurídica; • Informações de cartão de crédito vinculado a pessoa natural; • Nome dos pais e dados pessoais públicos. | SCDS, Credenciais do pedido |
| Dados de imagem | Imagem da Face | SCDS, Credenciais do pedido e PSBIO (Provedor de Serviços Biométricos da ICP-Brasil) |
| Dados pessoais biométricos | Biometria facial e digital. | PSBIO (Provedor de Serviços Biométricos da ICP-Brasil) |
Dessa forma, no âmbito da SOLUÇÃO CERTIFICAÇÃO DIGITAL DO SERPRO, o tratamento dos dados pessoais será realizado da seguinte forma:
Descrição do tratamento dado pela solução.
Realiza-se a solicitação para obtenção do certificado digital, o envio da documentação necessária em formato digital. Agendamento da reunião para validação, a qual é gravada e ao final, caso as validações de documentos sejam bem-sucedidas, é gerado o certificado digital para o titular.
Os dados também se fazem necessários no caso da necessidade de suporte ao titular, a fim de encontrarmos as informações deste para analisar sua requisição, dirimindo possíveis dúvidas e corrigindo possíveis falhas.
2. Para quais fins tratamos seus dados?
Abaixo apresentamos uma tabela que demonstra os motivos e as bases legais na(s) qual(ais) nos baseamos para tratar as categorias de dados pessoais de forma legal:
| Finalidades para as quais tratamos seus dados | Base legal e Fundamentação legal para a finalidade indicada* | Categoria de dados pessoais |
| Emissão e gestão do ciclo de vida do certificado digital para pessoa física, jurídica ou outro, desempenhando as seguintes atividades: (a)validar e autenticar a identidade de cliente ou de representante legal; (b) emitir, expedir, distribuir, revogar e gerenciar certificados digitais, controlando e gerenciando o ciclo de vida do certificado, emitindo documentos acessórios, a exemplo de notas fiscais, e efetuando o compartilhamento periódico de certificados e dados pessoais com outros entes da ICP-Brasil, na forma de regulamento; (c) colocar à disposição do cliente e outros usuários da ICP- Brasil listas de certificados revogados, com o objetivo de evitar fraudes e garantir a disponibilidade da informação; (d) manter o cliente e outros usuários da ICP-Brasil informados, custodiando registros e provendo informações sobre emissão, revogação e vencimento de certificado, na forma de regulamento. | Execução de contrato Medida Provisória nº 2.200-2/01 | Dados de Identificação Pessoal Dados de Imagem |
| Realizar serviço de suporte e atendimento ao cliente e/ou titular de certificado digital. | Execução de contrato Medida Provisória nº 2.200-2/01 | Dado de Identificação Pessoal |
| Autenticar documentos eletrônicos pela aposição de assinatura digital. | Execução de contrato Medida Provisória nº 2.200-2/01 | Dados de Identificação Pessoal |
| Prover serviço de captura e manutenção de registros biométricos de pessoas naturais para a identificação dos titulares de certificados digitais em conformidade com as normas da ICP-Brasil, desempenhando as seguintes atividades: (i) registrar e processar coleta biométrica; (ii) manter base de dados biométricos em comunicação, ou não, com as demais entidades integrantes do HUB Biométrico da ICP-Brasil; (iii) registrar, consultar e validar coletas biométricas de uso obrigatório pelos demais entes da ICP-Brasil, dentre outros. | Garantia da prevenção à fraude e à segurança do titular Medida Provisória nº 2.200-2/01 | Dados de Identificação Pessoal Dados Pessoais Biométricos |
3. Compartilhamento de dados
Os dados pessoais listados abaixo serão compartilhados apenas com as categorias de destinatários indicadas na tabela abaixo:
| Categorias de destinatários | Finalidade do compartilhamento | Categoria de dados pessoais |
| ITI – Instituto Nacional de Tecnologia da Informação | Manter a Conformidade com as normas da ICP-Brasil que exige o compartilhamento das informações. Semanalmente todos os certificados emitidos são enviados ao ITI. | Dados de Identificação Pessoal para a finalidade de tratamento “Emissão e gestão do ciclo de vida do certificado digital para pessoa física, jurídica ou outro”, conforme item 2 deste documento. |
4. Transferência Internacional de Dados Pessoais
A solução não faz transferência internacional de dados.
5. Retenção e eliminação de dados
| Categorias de dados pessoais | Tempo de Retenção |
| Dados de Identificação Pessoal. | O certificado digital é retido permanentemente. O tempo de retenção do dossiê do certificado é de 07 (sete) anos a contar da data da expiração ou revogação do certificado. O dossiê contém o conjunto de documentos apresentados na identificação do solicitante. |
V - Direitos dos titulares de dados
Para que você possa exercer seus direitos (previstos na LGPD em seus Artigos 9º, 18 e 20), o Serpro disponibiliza um canal de solicitações chamado de Plataforma de Privacidade Digital do Cidadão. Acessando este canal https://cidadao.pdc.serpro.gov.br/cidadao/
Pode haver situações em que não poderemos atender a sua solicitação. Por exemplo, uma solicitação de exclusão de dados pode não ser atendida em casos em que o que o Serpro é obrigado por lei a manter os dados. Também poderemos rejeitar uma solicitação quando isso comprometer o uso dos dados para fins de segurança, antifraude, controle e auditoria.
Mas fique tranquilo, caso a sua solicitação não possa ser atendida, iremos retornar explicando o motivo, mantendo assim a transparência com você titular.
Segue abaixo a relação de direitos dos Titulares para o tratamento em questão.
| Direito | Pode ser exercido | Justificativa |
| Confirmação da existência de tratamento |  |
O titular poderá solicitar ao controlador a confirmação de que seus dados estão sendo tratados. |
| Acesso aos dados | |
O titular poderá solicitar ao controlador quais são os dados que estão armazenados para os tratamentos de Certificação Digital, recebendo assim quais são os dados em posse do controlador. |
| Correção de dados incompletos, inexatos ou desatualizados | |
Possíveis ajustes podem ser necessários, o titular deverá demandar ao controlador com as devidas documentações, sendo seguido o fluxo de atendimento da Certificação Digital. |
| Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD |  |
O titular poderá solicitar ao controlador que analisará a possibilidade do atendimento do pedido frente a legislação que regula o tema, sempre retornando ao titular a confirmação do atendimento do pedido ou a justificativa da impossibilidade do atendimento. |
| Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados | |
O titular poderá solicitar ao controlador as informações sobre compartilhamento com outras entidades. |
| Portabilidade de dados |  |
O direito a portabilidade não está regulamentado. Em caso de obtenção de um novo certificado digital, deve-se seguir o fluxo de obtenção da Autoridade. |
| Eliminação dos dados pessoais tratados com o consentimento do titular | |
A base legal utilizada não é a do consentimento. |
| Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa | |
A base legal utilizada não é a do consentimento. |
| Revogação do consentimento | |
A base legal utilizada não é a do consentimento. |