Aviso de Privacidade - SerproID
I - Nome e Endereço do Controlador
O controlador, pessoa jurídica de direito privado, a quem competem as decisões referentes ao
tratamento de dados pessoais, de acordo com a Lei Geral de Proteção de Dados, é:
Serpro - Serviço Federal de Processamento de Dados
SGAN Quadra 601 Módulo "V"
Brasília-DF
CEP: 70836-900
Websites:
https://www.serpro.gov.br/
https://www.serpro.gov.br/privacidade-protecao-dados
II - Nome e Endereço do Encarregado de Dados
O nome e contato do Encarregado de Dados está disponível em https://www.serpro.gov.br/privacidade-protecao-dados.
III - Dados de Oferta do Serviço e Geração de Dados de Log
1. Como tratamos seus dados pessoais?
O SerproID tem a finalidade de fornecer serviços de autenticação e assinatura digital em
nuvem, e para tanto precisa identificar o Titular do certificado digital, bem como garantir mecanismos
de segurança tanto para identificação quanto para prova de execução de assinaturas por este titular,
além dos mecanismos exigidos pela Infraestrutura de Chaves Públicas - ICP Brasil, previsto no
documento de requisito mínimo de segurança e de procedimento operacionais, DOC-ICP 17.01.
Os dados começam a ser tratados pelo SerproID após a emissão de um certificado. As
informações tratadas são essenciais à prestação do serviço e são regidas pela ICP Brasil.
As informações transferidas aos titulares são relativas aos próprios certificados digitais
emitidos, não havendo, portanto, a transferência de dados pessoais ou tratamento de dados pessoais
sensíveis das bases do governo aos contratantes da solução SerproID.
Abaixo, um quadro com as categorias de dados pessoais que podem ser tratados:
Categorias de dados pessoais | Descrição da categoria | Fontes de dados |
Dados de Identificação Pessoal |
Push ID do dispositivo |
Bases de Dados |
Dados de Conexão |
ID da Estação de Trabalho |
Bases de Dados SerproID e Serviço de Certificação Digital |
Tabela 1 - Categorias de dados pessoais
Dessa forma, no âmbito do SerproID, o tratamento dos dados pessoais será realizado da
seguinte forma:
• Após a contratação da solução, o usuário instala no seu dispositivo móvel a aplicação
SerproID, presente nas lojas de aplicação ecossistemas IOS e Android;
• Uma vez instalado, o usuário apresenta na aplicação móvel o número de referência do pedido
do certificado com as credenciais geradas. Nesse momento a aplicação móvel gera credenciais
para a identificação única do dispositivo, retornando o certificado para a aplicação;
• Dentro da aplicação móvel, o usuário pode assinar arquivos digitalmente ou autenticar
aplicações de terceiros através da autorização de uso pelo usuário (via protocolo de
autorização), tudo fazendo uso de seu certificado em nuvem;
• A Assinatura digital poderá ser utilizada a partir de um desktop vinculado à instalação da
aplicação móvel SerproID, bastando para isso realizar o download, instalar e executar a
aplicação na página do SerproID: https://www.loja.serpro.gov.br/serproid.
O SerproID processa apenas os dados que foram enviados pelo Titular do certificado digital, cujos
campos estão relacionados na tabela 1.
2. Para quais fins tratamos seus dados?
Abaixo apresentamos uma tabela que demonstra os motivos e as bases legais que nos baseamos para tratar as categorias de dados pessoais de forma legal:
Finalidades para as quais tratamos seus dados | Base legal para a finalidade indicada* | Categoria de dados pessoais |
Fornecer serviços de autenticação da assinatura digital em nuvem, e para tanto precisa identificar o Titular do certificado digital, bem como garantir mecanismos de segurança tanto para identificação quanto para prova de execução de assinaturas por este titular, além dos mecanismos exigidos pela ICP Brasil nos DOC-ICP 17.01. | A base legal adequada para o tratamento dos dados pessoais dos titulares é a do art. 7.º, inciso V da LGPD ( execução do contrato). | • Dados de Identificação pessoais • Dados de Conexão. |
Armazenamento de dados para a finalidade de segurança, controle e auditoria. | Execução do contrato | • Dados de Identificação pessoais • Dados de Conexão. |
Tabela 2 - Finalidades de Tratamento
*As bases legais indicadas são combinadas com o art. 23, caput da LGPD.
3. Compartilhamento de dados
Todos os dados tratados no SerproID são utilizados apenas no escopo da prestação de serviços relacionados a certificação digital sendo compartilhados somente com a ICP-Brasil, conforme legislação vigente.
4. Retenção e eliminação de dados
Há situações em que somos legalmente autorizados ou obrigados a manter determinados dados pessoais.
Os dados serão mantidos para fins de controle e auditoria, conforme indicado na tabela abaixo, para:
• Cumprimento de obrigação legal ou regulatória pelo controlador, conforme Art. 16, inciso I, combinado com o Art. 18 da LGPD em respeito aos direitos dos titulares;
• Para o exercício regular de direito, de acordo com os artigos 7º e 11 da LGPD.
• Cumprimento aos itens 5.4.3 e 5.5.2 da Resolução CG ICP-BRASIL Nº 192, de 16 de novembro de 2021.
Categorias de dados pessoais | Tempo de Retenção* |
Dados de Identificação Pessoal | Indeterminado, exceto foto e data de nascimento que não objeto de retenção. |
Dados de Conexão | Indeterminado |
Tabela 3 – Tempo de Retenção
* Todos os dados permanecem a disposição do usuário na APP por tempo indeterminado
IV - Direitos dos titulares de dados
O Serpro, respeita a capacidade do titular de conhecer, acessar, corrigir, transferir, restringir o tratamento e apagar os dados pessoais. O titular tem direitos sobre seus dados tratados, desde o momento da coleta até a eliminação.
O SERPRO dispõe de Plataforma de Privacidade Digital do Cidadão (https://cidadao.pdc.serpro.gov.br/cidadao/) para que o titular possa peticionar e exercer todos os direitos dos Arts. 9º, 18 e 20 da LGPD. Os prazos para atendimento às requisições serão de até 15 dias.
Pode haver situações em que não poderemos atender a sua solicitação. Por exemplo, se um titular de dados solicitar a exclusão dos seus dados de transação e o Serpro for obrigado por lei a manter um registro dessa transação. Também poderemos rejeitar uma solicitação quando isso comprometer nosso uso de dados para fins de controle e auditoria.
Abaixo relacionamos os direitos dos Titulares de dados pessoais aplicáveis no contexto do SerproID:
Direito | Pode ser exercido? | Justificativa |
Confirmação da existência de tratamento |
|
Solicitar em https://cidadao.pdc.serpro.gov.br/cidadao/ |
Acesso aos dados | Solicitar em https://cidadao.pdc.serpro.gov.br/cidadao/ | |
Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados |
|
Solicitar em https://cidadao.pdc.serpro.gov.br/cidadao/ |
Eliminação dos dados pessoais tratados com o consentimento do titular |
Estes direitos não se aplicam ao tratamento realizado pela presente solução, já que as bases legais que autorizam o tratamento não é o consentimento. |
|
Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa | ||
Revogação do consentimento | ||
Direito à portabilidade de dados | Este direito não é aplicável. | |
Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com o disposto na LGPD |
|
Solicitar em https://cidadao.pdc.serpro.gov.br/cidadao/ |
Correção de dados incompletos, inexatos ou desatualizados |
|
Tabela 4 – Direitos dos Titulares
Aviso de Privacidade atualizado em 20/03/2024.