Política de Privacidade do Aplicativo PRPREV

  1. INTRODUÇÃO

    A Companhia de Tecnologia da Informação e Comunicação do Paraná (CELEPAR) na condição de operadora do tratamento dos dados e fornecedora da loja de aplicativos móveis e a PARANAPREVIDÊNCIA que controlam os dados do aplicativo, agora denominados Agentes de Tratamento, apresentam esta Política de Privacidade em acordo com a Lei 13.709/2018 - Lei Geral de Proteção de Dados Pessoais.

    Ambos estão cientes da importância e do valor da privacidade na vida das pessoas, bem como do regramento trazido pela LGPD. Assim, por meio desta Política de Privacidade de dados pessoais, assumem o compromisso de respeitar a privacidade dos dados pessoais tratados e de adotar as providências necessárias e razoáveis à proteção destes dados contra qualquer forma de tratamento ilícito, seja na função de controladora ou de operadora.

    Esta política será ajustada conforme a necessidade de adequação da proteção de dados pessoais a novas tecnologias e a novos mecanismos de violação, adequação à alteração das leis vigentes e a novas funcionalidades.


  2. OBJETIVOS

    Esta Política de Privacidade de Dados Pessoais tem por objetivo estabelecer princípios, conceitos e responsabilidades para promover o adequado tratamento dos dados controlados pela PARANAPREVIDÊNCIA e operados pela CELEPAR, com foco em uma efetiva implementação dos direitos fundamentais da pessoa natural, sobretudo aqueles ligados à sua liberdade, intimidade, privacidade e personalidade.

    Com esta Política de Tratamento de Dados Pessoais as organizações acima mencionadas apresentam quais dados pessoais são tratados, de que forma e para qual finalidade ocorrem os tratamentos, bem como as formas pelas quais os titulares e/ ou seus responsáveis legais podem exercer os seus direitos com relação aos seus dados.


  3. GLOSSÁRIO

    Anonimização: é o processo de transformar o dado pessoal em um dado impossível de ser revertido de forma identificável. O fato é que houve uma transformação que não permite voltar ao que era antes.

    Cookie: é um dado que o website solicita ao seu navegador para armazenar no seu computador ou dispositivo móvel. O cookie permite que o website "lembre" as ações ou preferências do usuário ao longo do tempo.

    Dado pessoal: de acordo com o que preceitua a LGPD, é a informação relacionada a pessoa natural identificada ou identificável.

    Dado pessoal sensível: de acordo com o que preceitua a LGPD, são os dados pessoais sobre a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.

    DPO: sigla para Data Protection Officer, expressão em inglês correspondente ao encarregado pelo tratamento de dados pessoais ou apenas encarregado de dados.

    Medidas de segurança física: objetivam prevenir o acesso físico não autorizado, como o estabelecimento de perímetros de segurança, controles de entrada física, segurança em salas e instalações, e proteção dos equipamentos contra ameaças ambientais.

    Medidas de segurança organizacional: visam estabelecer uma estrutura de gerenciamento da implantação e operação da segurança da informação dentro da organização, com medidas como definição de responsabilidades e papéis, segregação de funções, classificação de ativos e de informações, gestão de mudanças, cópias de segurança, dentre outras.

    Medidas de segurança técnica: visam a proteção dos dados por meio de controles lógicos de acesso a aplicativos, dados, sistemas operacionais, senhas e arquivos por meio de firewalls de hardwares e softwares, criptografia, antivírus, dentre outras.

    Pseudonimização: é uma anonimização temporária, ou seja, através de mecanismos que são armazenados separadamente, possa voltar as informações ao seu estado original.

    Tratamento de dados: de acordo com a LGPD, consiste em toda a operação realizada com dados pessoais, como as que se referem a coleta, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.


  4. PRINCÍPIOS DA LEI 13.709/2018 - LGPD - LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS

    O administrador do Aplicativo se compromete a cumprir as normas previstas na Lei Geral de Proteção de Dados (LGPD), e respeitar os princípios dispostos no Art. 6º:

    I - Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior de forma incompatível com essas finalidades;

    II - Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

    III - Necessidade: limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados;

    IV - Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus dados pessoais;

    V - Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento;

    VI - Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento, observados os segredos comercial e industrial;

    VII - Segurança: utilização de medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão;

    VIII - Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

    IX - Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

    X - Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.


  5. RESPONSABILIDADES E DIREITOS DOS AGENTES DE TRATAMENTO E TITULARES

    Os Agentes de Tratamento se responsabilizam pelo tratamento regular de todo e qualquer dado pessoal em conformidade com o que dispõe a Lei Geral de Proteção de Dados - LGPD e a presente política.

    A CELEPAR, na qualidade de operadora, deverá agir e atuar em conformidade com a LGPD e com as orientações lícitas da Política de Tratamento de Dados Pessoais do controlador PARANAPREVIDÊNCIA.

    5.1. Direitos do Titular dos Dados - conforme disposto no art. 18 da LGPD:

    I - confirmação da existência do tratamento;

    II - acesso aos dados;

    III - correção de dados incompletos, inexatos ou desatualizados;

    IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei;

    V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial;

    VI - eliminação dos dados pessoais tratados com base no consentimento do titular, exceto nas hipóteses dispostas no art. 16 da LGPD;

    VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

    VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

    IX - revogação do consentimento nos termos da LGPD.

    5.2. Requisições dos Titulares dos Dados aos Agentes de Tratamento:

    I - as informações requeridas pelos titulares dos dados são fornecidas por padrão em arquivo digital, por meio de canal de comunicação instituído para este fim;

    II - não será cobrada taxa para acesso aos dados pessoais ou para exercício de qualquer um dos outros direitos previstos no artigo 18 da LGPD, com exceção dos casos em que o titular do dado requisitar a entrega por outro meio, hipótese em que serão cobrados os custos da operação;

    III - os Agentes de Tratamento podem solicitar informações específicas do titular dos dados para confirmar sua identidade e garantir o exercício de seus direitos. Esta é uma medida de segurança para garantir que os dados pessoais não sejam divulgados a quem não tenha o direito de recebê-los;

    IV - os Agentes de Tratamento também poderão entrar em contato para solicitar mais informações com o fim de acelerar a resposta;

    5.3. Contato da Operadora:

    O encarregado de proteção de dados da Celepar pode ser contatado por meio do link www.celepar.pr.gov.br/dadospessoais ou e-mail dpo@celepar.pr.gov.br para esclarecimentos e atendimento a solicitações dos titulares dos dados.

    5.4. Contato da Controladora:

    O encarregado de proteção de dados do PARANAPREVIDÊNCIA pode ser contatado por meio do link www.paranaprevidencia.pr.gov.br ou e-mail aplicativo@paranaprevidencia.pr.gov.br para esclarecimentos e atendimento a solicitações dos titulares dos dados.


  6. FINALIDADE DO TRATAMENTO DE DADOS PESSOAIS

    De acordo com o que dispõe o artigo 7o da LGPD, os dados tratados pelo PARANAPREVIDÊNCIA são utilizados para as seguintes finalidades:

    I - Na condição de controladora:

    • a) Para o cumprimento de obrigação legal ou regulatória conforme previsto nos artigos 5o, 6o e 7o da Lei Complementar no 233/21 - PR, publicada no DOE 10890 de 10/03/2021;
    • b) Para subsidiar a concessão e manutenção de benefícios de pensões aos dependentes de servidores aposentados, previstos no CAPÍTULO VI da Lei Complementar no 233/21;
    • c) Para contatar/convocar os servidores inativos e pensionistas para o recadastramento, bem como para comunicação de eventuais alterações na forma de seus pagamentos e demais assuntos de natureza previdenciária de interesse desses beneficiários.

    II - Na condição de operadora, pela Administração Pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres.

    Os dados pessoais não serão utilizados para finalidades diferentes daquelas para as quais foram coletados, exceto se houver determinação judicial ou consentimento do titular.

    Os dados pessoais poderão ser coletados em uma só oportunidade para o atendimento de diversas finalidades de tratamento.

    Nenhum dado pessoal poderá ser transferido ou compartilhado sem a prévia análise da conformidade com as bases legais previstas na LGPD.


  7. DADOS PESSOAIS TRATADOS PELO APLICATIVO PRPREV

    Os dados pessoais tratados pelos Agentes de Tratamento serão especificados nesta política de privacidade, assim como suas finalidades e a formas de tratamento:

    7.1. Dados Pessoais Obrigatórios da Central de Segurança:

    • Nome
    • CPF
    • E-mail
    • Celular

        7.1.1. Finalidade de Tratamento

        O tratamento de dados pessoais obrigatórios da Central de Segurança é realizado com a finalidade única de verificação de identidade no processo de autenticação da aplicação. O e-mail ou o celular podem ser utilizados como segundo fator de autenticação em aplicações com este nível de segurança. O e-mail e o celular também são utilizados para comunicação com o usuário em caso de alguma necessidade.

        7.1.2. Tipo de Tratamento

        Os dados são coletados por meio de um processo de auto-cadastro na base de usuários deste sistema autenticador. O usuário é o responsável absoluto pela criação e atualização do cadastro e consequências na omissão ou erro nas informações cadastradas. Uma vez autenticado, através da Central de Segurança, o usuário não precisará autenticar novamente em sua sessão de trabalho ao acessar um novo sistema. O cadastro pode ser bloqueado, mas não será excluído fisicamente para possibilitar uma auditoria das ações realizadas, mesmo após a revogação de seus acessos.

    7.2. Dados Pessoais Opcionais do Central de Segurança:

    • RG
    • Data de nascimento
    • Nome da mãe
    • Senha

        7.2.1. Finalidade de Tratamento

        O tratamento de dados pessoais opcionais da Central de Segurança é realizado com a finalidade de comprovação da pessoa física e distinção de pessoas homônimas. A senha é de preenchimento opcional, mas poderá ser obtida a qualquer momento que o Usuário tenha necessidade.

        A aplicação pode adotar o processo de autenticação através de SMS ao invés de senha.

        7.2.2. Tipo de Tratamento

        Os dados são coletados por meio de um processo de auto-cadastro nesta base de Usuários deste sistema autenticador. Os dados podem ser confirmados presencialmente ou confrontados em órgãos como o Detran ou Instituto de Identificação.

    7.3. Dados Pessoais Obrigatórios do Recadastramento:

    • Nome
    • CPF
    • Estado Civil
    • E-mail
    • Endereço
    • Telefone Fixo
    • Telefone celular
    • Nome contato
    • Telefone contato
    • CPF do cônjuge
    • UF do RG do cônjuge
    • Número do RG do cônjuge
    • Nome completo do cônjuge
    • Data de nascimento do cônjuge
    • Nome do pai do cônjuge
    • Nome da mãe do cônjuge
    • Data de início da união
    • Companheiro é considerado para fins de IR? (Sim/ Não)
    • Dados da certidão de casamento (Cartório, número de matrícula, número da certidão, número do livro, número da folha)
    • Foto/digitalização da Certidão de Casamento
    • Foto/digitalização do CPF do cônjuge

        7.3.1. Finalidade de Tratamento

        O tratamento de dados pessoais obrigatórios do Recadastramento PARANAPREVIDÊNCIA é realizado com a finalidade de legítimo interesse em relação ao funcionamento a que se destina o aplicativo. Os dados informados serão armazenados tal qual informados e apenas se destinarão ao apoio operacional da solução.

        7.3.2. Tipo de Tratamento

        Os dados são coletados por meio de um processo de auto-cadastro e são armazenados na base de dados da solução da mesma forma que são fornecidos.

    7.4. Dados Pessoais Obrigatórios do Cadastro de Dependente:

    • Vínculo de dependência
    • CPF do dependente
    • UF do RG do dependente
    • Número do RG do dependente
    • Nome completo do dependente
    • Data de nascimento do dependente
    • Nome do pai do dependente
    • Nome da mãe do dependente
    • Dependente recebe benefício do INSS ou qualquer outra renda? (Sim/Não)
    • Dependente é considerado para fins de IR? (Sim/Não)
    • Foto/digitalização do CPF do dependente
    • Foto/ digitalização da certidão de nascimento do dependente
    • Foto/digitalização do atestado médico do dependente com CID e identificação do médico (para os tipos de dependente com invalidez)

        7.4.1. Finalidade de Tratamento

        O tratamento de dados pessoais obrigatórios do Recadastramento PARANAPREVIDÊNCIA é realizado com a finalidade de legítimo interesse em relação ao funcionamento a que se destina o aplicativo. Os dados informados serão armazenados tal qual informados e apenas se destinarão ao apoio operacional da solução.

        7.4.2. Tipo de Tratamento

        Os dados são coletados por meio de um processo de auto-cadastro são armazenados na base de dados da solução da mesma forma que são fornecidos.

    7.5. Dados Pessoais Obrigatórios do Cadastro de Representante Legal:

    • Tipo de representante
    • Representante definitivo? (Sim/Não)
    • CPF do representante
    • UF do RG do representante
    • Número do RG do representante
    • Nome completo do representante
    • Data de nascimento do representante
    • Nome do pai do representante
    • Nome da mãe do representante
    • E-mail do representante
    • Endereço do representante (no caso de não ser o mesmo do beneficiário)
    • Foto/digitalização do documento que comprove o vínculo para a representação legal

        7.5.1. Finalidade de Tratamento

        O tratamento de dados pessoais obrigatórios do Recadastramento PARANAPREVIDÊNCIA é realizado com a finalidade de legítimo interesse em relação ao funcionamento a que se destina o aplicativo. Os dados informados serão armazenados tal qual informados e apenas se destinarão ao apoio operacional da solução.

        7.5.2. Tipo de Tratamento

        Os dados são coletados por meio de um processo de auto-cadastro são armazenados na base de dados da solução da mesma forma que são fornecidos.

    7.6. Possibilidade de transferência e/ou compartilhamento de dados pessoais:

    Os dados pessoais operados/controlados pela PARANAPREVIDÊNCIA poderão ser transferidos a entidades governamentais, para possibilitar a execução de políticas de segurança pública.


  8. FINALIDADE DO TRATAMENTO DE DADOS PESSOAIS SENSÍVEIS

    Observado o disposto no artigo 11 da LGPD, o PARANAPREVIDÊNCIA poderá realizar o tratamento de dados pessoais sensíveis nas seguintes hipóteses:

    I - Na condição de controladora:

    • a) Para o cumprimento de obrigação legal ou regulatória.
    • b) Para a garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos.

    II - Na condição de operadora, pela Administração Pública, para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas previstas em leis e regulamentos ou respaldadas em contratos, convênios ou instrumentos congêneres.

    Sem prejuízo das eventuais disposições legais em contrário, os dados pessoais serão conservados pelo período mínimo necessário para alcançar a finalidade que motivou o seu tratamento.

    No que tange ao armazenamento dos dados de registros de conexões à internet, a CELEPAR realizará a guarda dos dados pelo prazo de um ano, com exceção dos casos em que a autoridade policial, administrativa ou o Ministério Público requererem a guarda por prazo superior, conforme previsão no artigo 13 da lei 12.965/2014 (Marco Civil da Internet). Os dados referentes aos registros de acessos a aplicações internas serão guardados pelo prazo de cinco anos.


  9. DADOS PESSOAIS SENSÍVEIS TRATADOS PELO APLICATIVO PRPREV

    Os dados pessoais tratados pelos Agentes de Tratamento serão especificados nesta política de privacidade, assim como suas finalidades e a formas de tratamento:

    9.1. Dados Pessoais Sensíveis Obrigatórios do Recadastramento:

    • Informação da raça/etnia
    • Foto "selfie" para match biométrico

    9.2. Finalidade de Tratamento - Informação da Raça/Etnia

    O tratamento é realizado com a finalidade de cumprimento de obrigação legal ou regulatória pelo controlador, em atendimento ao disposto na Lei Federal 12.288/2010 - Estatuto da Igualdade Racial.

    9.3. Tipo de Tratamento - Informação da Raça/Etnia

    O dado é coletado por meio de um processo de autocadastro e é armazenado na base de dados da solução da mesma forma que é fornecido.

    9.4. Finalidade de Tratamento - Foto "Selfie" para Match Biométrico

    O tratamento é realizado com a finalidade de cumprimento de obrigação legal ou regulatória pelo controlador, em atendimento ao disposto na Lei Complementar 233/2021, que determina a realização de recadastramento pelo PARANAPREVIDÊNCIA e a perda da condição de segurado do RPPS nos casos de morte. Por meio do match biométrico é possível realizar "prova de vida".

    Outra finalidade de tratamento é a garantia da prevenção à fraude e à segurança do titular, nos processos de identificação e autenticação de cadastro em sistemas eletrônicos. O processo de match biométrico assegura que a pessoa que está realizando as alterações ou validações cadastrais é, de fato, a mesma pessoa cadastrada nas bases de dados oficiais.

    9.5. Tipo de Tratamento - Foto "Selfie" para Match Biométrico

    O dado é coletado através de fotografia do próprio rosto tirada pelo beneficiário no ambiente da solução. A fotografia é armazenada na solução tal qual foi tirada e é confrontada em órgãos conveniados com a PARANAPREVIDENCIA, ou no próprio banco de fotos da Instituição, para match biométrico, isto é, para confirmação da identidade através da correspondência da imagem capturada com os dados previamente registrados nos bancos de dados desses órgãos.


  10. PRAZOS DE CONSERVAÇÃO DE DADOS PESSOAIS

    Sem prejuízo das disposições legais em contrário, os dados pessoais serão conservados pelo período mínimo necessário para alcançar a finalidade que motivou o seu tratamento.

    A PARANAPREVIDENCIA, até que se estabeleçam normativas específicas para conservação de dados digitais, segue as diretrizes estabelecidas no Manual de Gestão de Documentos do Estado do Paraná de 2019, do Departamento Estadual de Arquivo Público, conforme prazos estabelecidos na tabela de temporalidade constante às fls. 50/99 desse.

    No que tange ao armazenamento dos dados de registros de conexões à Internet, realizaremos a guarda dos dados pelo prazo de um ano, com exceção dos casos em que a autoridade policial, administrativa ou o Ministério Público requererem a guarda por prazo superior, conforme previsão no artigo 13 da lei 12.965/2014 (Marco Civil da Internet). Os dados referentes aos registros de acessos a aplicações internas serão guardados pelo prazo de cinco anos.


  11. UTILIZAÇÃO DE COOKIES

    Utilizamos cookies para personalizar o conteúdo que o usuário recebe dos seus sites com estes objetivos:

    I - identificar o usuário e gerir aspectos de segurança de acesso;

    II - lembrar de suas preferências, escolhas de privacidade / consentimento, a sua edição e configuração;

    III - tornar a navegação mais fácil e permitir que as nossas páginas sejam exibidas corretamente;

    IV - analisar o desempenho dos nossos sites com base em dados anônimos relacionados com a sua navegação (por exemplo, páginas visitadas, número de visitas, etc).

    Os dados pessoais que forem armazenados nos cookies serão utilizados apenas com embasamento legal e/ou para fins de prestação de serviços da Administração Pública.


  12. MEDIDAS DE SEGURANÇA

    A aplicação PARANAPREVIDÊNCIA utiliza o software Central de Segurança para autenticação dos seus Usuários. Ele é baseado no protocolo OAuth2, pode ser usado independente da tecnologia utilizada pela aplicação, utiliza a tecnologia de Java Web Token - JWT e delega a gestão dos direitos de acesso às funcionalidades para a aplicação relacionando o Usuário a um determinado perfil. Possui canais de comunicação criptografados, mecanismos de tolerância a falhas e distribuição de carga entre várias unidades de processamento.

    Qualquer problema de violação ou irregularidade em relação a segurança do aplicativo pode entrar em contato com security@pr.gov.br.


  13. DISPOSIÇÕES FINAIS

    Esta Política de Privacidade de Dados Pessoais deverá ser revisada em razão de alterações legais, mudanças em processos internos ou necessidade de adequação, especialmente considerando as premissas fundamentais que a orientam e que estão descritas na Introdução deste instrumento.