Jaé

Política de Privacidad

1. ESCOPO

1.1. Esta POLÍTICA constitui o marco normativo interno de proteção de dados da CBD BILHETE DIGITAL S.A., doravante denominada CBD.

1.2. Esta POLÍTICA deve ser observada por todas as pessoas naturais e jurídicas que, em nome ou por conta da CBD, tratem dados pessoais por esta coletados, guardados ou armazenados.

1.3. Esta POLÍTICA aplica-se a todo e qualquer dado pessoal tratado pela CBD.

2. DEFINIÇÃO DE DADOS PESSOAIS

2.1. Nos termos da Lei Geral de Proteção de Dados, considera-se dado pessoal toda informação relacionada com pessoa natural identificada ou identificável.

2.2. Para os fins da presente POLÍTICA, considera-se dado pessoal:

(A) toda informação relacionada com usuário de transporte coletivo que utilize o sistema de bilhetagem digital operado pela CBD;
(B) toda informação relacionada com adquirente de cartão ou outro meio físico ou virtual de suporte de créditos de transporte, bem como com adquirente de crédito de transporte;
(C) toda informação relacionada com usuário efetivo ou potencial do serviço de bilhetagem digital, cadastrado ou não, que acesse sítio eletrônico, aplicativo ou qualquer outra facilidade eletrônica mantida pela CBD.

2.3. Para os fins da presente POLÍTICA, as pessoas com as quais se relacionam os dados descritos no parágrafo anterior consideram-se sujeitos de proteção.

3. PRINCÍPIOS DE TRATAMENTO DE DADOS PESSOAIS

3.1. A CBD adota os seguintes princípios no tratamento dos dados pessoais:

(A) Confidencialidade

(1) Os dados pessoais dos sujeitos de proteção são considerados confidenciais.
(2) Qualquer acesso aos dados pessoais dos sujeitos de proteção deve dar-se apenas por pessoas autorizadas.
(3) O compartilhamento dos dados pessoais dos sujeitos de proteção, nas hipóteses em que autorizado, não importa autorização de divulgação, mas apenas transferência do dever de confidencialidade.
(4) Os terceiros com que sejam compartilhados dados pessoais dos sujeitos de proteção devem obrigar-se por meio juridicamente válido e eficaz a protegê-los no mesmo grau de proteção da presente POLÍTICA.

(B) Segurança

(1) Os dados pessoais do sujeitos de proteção são guardados em ambiente dotado de padrões razoáveis de segurança, considerada a realidade institucional da CBD.
(2) O ambiente em que são guardados os dados pessoais dos sujeitos de proteção conta com controle de acesso, capaz de identificar quem teve acesso aos dados.

(C) Transparência e livre acesso

(1) Os sujeitos de proteção têm direito, mediante solicitação escrita ao DPO ou à Administração da CBD, de conhecer seus dados pessoais coletados e guardados pela CBD, bem como conhecer as tipologias de tratamento conferido a eles.

(D) Suficiência

(1) A coleta de dados pessoais dos sujeitos de proteção não excederá a abrangência necessária e suficiente para adequada condução da relação jurídica que a CBD mantiver com cada qual, considerados o princípio da razoabilidade e a modelagem própria da relação.
(2) É considerada razoável a coleta de dados pessoais voltada para a segurança física, operacional, patrimonial e contratual da CBD, bem como para a metrificação de serviços que possam ser oferecidos pela CBD ou por seus parceiros formais na operação do Sistema de Bilhetagem Digital dos Transportes Coletivos do Município do Rio de Janeiro.

4. FONTES DE DADOS PESSOAIS

4.1. A CBD pode coletar dados pessoais dos sujeitos de proteção das seguintes fontes:

(A) rotinas de cadastramento e recadastramento, por meio físico ou virtual;
(B) captura ativa ou passiva de dados, metadados e informações de navegação durante acesso a sítio eletrônico, aplicativo ou qualquer outra facilidade eletrônica;
(C) captura de dados fisionômicos ou biométricos por meio de dispositivos de toque ou de captura de imagens.

4.2. A CBD reserva-se o direito de coletar e guardar dados pessoais dos sujeitos de proteção de quaisquer outras fontes a que venha, inclusive proativamente, a ter acesso lícito.

4.3 Em caso de divergência entre dado pessoal fornecido pelo sujeito de proteção e dado coletado de outra fonte, a CBD deverá consultar, sempre que possível, o sujeito de proteção e poderá optar por guardar em duplicidade o dado caso não encontre meio que repute seguro de esclarecer a divergência.

4.4. Para coletar dados pessoais de qualquer pessoa que por qualquer motivo navegue em sítio eletrônico, aplicativo ou outra facilidade eletrônica da CBD, a CBD veiculará, no sítio eletrônico, no aplicativo ou na facilidade eletrônica, aviso claro sobre esta POLÍTICA, com os seguintes componentes: (i) coleta de declaração de leitura; (ii) ciência de que a coleta de seus dados pessoais, incluídos os dados pessoais sensíveis, se faz para a execução do serviço organização e operação do sistema de bilhetagem digital dos transportes coletivos do Município do Rio de Janeiro, nos termos da Lei Municipal 3.167/2000, com a redação dada pela Lei Municipal 6.848/2021; (iii) ciência de que seus dados pessoais serão compartilhados com terceiros independentemente de consentimento específico apenas quando necessário para a execução do Serviço de Bilhetagem Digital dos Transportes Coletivos do Município do Rio de Janeiro; (iv) coleta de consentimento específico para compartilhamento de dados pessoais, com advertência das consequências em caso de negativa.

4.5. A CBD reserva-se o direito de utilizar, em seu sítio eletrônico, aplicativo ou em qualquer facilidade eletrônica que funcione como veículo de coleta de dados pessoais, tecnologias como cookies próprios ou de terceiros, pixels pixel tags, armazenamento local ou outros identificadores de dispositivos fixos ou móveis para fins de identificação virtual, autenticação, aperfeiçoamento de serviços, personalização, comunicados gerais e publicidade, podendo ser utilizados, dentre outras, as seguintes espécies de cookie: (i) cookie de autenticação; (ii) cookie de segurança; (iii) cookie de pesquisa, análise e desempenho; (iv) cookie de propaganda.

4.6. Caso o primeiro contato do sujeito de proteção com a CBD não se dê por meio eletrônico e envolva ou propicie coleta de seus dados pessoais, a CBD deverá incluir, em meio físico a ser por ele assinado, informação clara sobre a existência desta POLÍTICA, com indicação do endereço eletrônico onde ela se encontra, e autorizações individualizadas para a coleta e o compartilhamento de dados pessoais, na forma do item 4.4.

5. DADOS PESSOAIS PASSÍVEIS DE COLETA

5.1. Ao iniciar interação presencial ou virtual com a CBD que exija ou deflagre coleta de dados pessoais, o sujeito de proteção deve ser informado da existência desta POLÍTICA e de como ter pleno acesso a ela, devendo a CBD proceder na forma do item 4.4.

5.1.1. Quando a interação não exigir – mas apenas propiciar – a coleta de dados pessoais do sujeito de proteção, a CBD somente poderá deflagrar a coleta se proceder na forma do item 4.4.

5.2. Ao manifestar consentimento à coleta, ao tratamento e à guarda de seus dados pessoais em conformidade com esta POLÍTICA e receber informação sobre como ter acesso a ela, o sujeito de proteção autoriza que sejam coletados:

(A) Dados de identificação: nome completo, nome social, filiação, data e local de nascimento, número de CPF e de carteira de identidade, NIS/NIT, fotografia recente, fotografia de documentos de identificação pessoal tais como carteira de identidade (RG, RNI e especiais/funcionais), CNH ou passaporte.

(B) Dados de contato: números de telefone, endereços de correio eletrônico e endereços residencial e comercial com respectivos comprovantes.

(C) Dados de acesso e navegação em sítio eletrônico, aplicativo ou outra facilidade eletrônica:
(1) credenciais: hashes criptográficos de senhas, palavras seguras, PIN de segurança e informações de segurança escolhidas para o processo de autenticação, acesso a contas e operações;
(2) dados de uso: perfil geral de utilização, que inclui pageviewing, duração de acessos, percursos de navegação, características do dispositivo de acesso, navegador utilizado em cada acesso e fidelidade a navegador;
(3) dados de acesso e registros de navegação: endereço de IP com data, hora e origem geográfica, banda e provedor de serviços de internet (ISP), sistema operacional, fabricante do dispositivo, operadora, modelo, resolução de tela, Java, reprodutor de flash, redes de Wifi, número de telefone, dados do dispositivo, identificador de mídia, identificador do dispositivo (IMEI/MEID), operadora de telefonia móvel e país de registro e configuração; dados de localização extraídos de registros de quaisquer sistemas de navegação por satélite, torres de comunicações móveis, pontos de acesso WIFI ou localização de IP; informação de data e hora de acesso e uso por endereço de IP; informação de quantidade de cliques e tentativas de acesso e uso.

(D) Dados financeiros e creditícios: faixa de renda mensal ou anual, com ou sem comprovante; número de conta bancária, com agência e conta; comprovação de gratuidade; dados de PIX e TED; dados fornecidos por serviços de proteção ao crédito, dados fornecidos por cartórios de registro de protesto, dados sobre inadimplementos fornecidos por quaisquer entes habilitados a guardar esses registros e dados sobre processos judiciais e procedimentos pré-processuais disponíveis em fontes públicas, ainda que acessíveis somente a advogados.

(E) Dados comerciais: tipo de compra ou recarga; valor da compra ou recarga; saldo após a compra ou recarga; quantidade geral e por periodicidades diversas de operações de compra ou recarga; local da compra ou recarga, se efetuada em loja física.

(F) Dados de uso de meio de transporte: identificador do veículo/validador; identificador da viagem/sentido/trajeto; valor da tarifa; regra tarifária.

(G) Dados biométricos: identificação biométrica por toque; identificação biométrica por fisionomia.

(H) Dados socioeconômicos: ocupação profissional atual; formação acadêmica; grau de escolaridade; estado civil; número de filhos.

(I) Dados de segurança: informações de entidades de verificação de identidade e serviços de detecção de fraude e antecedentes criminais.

(J) Dados curriculares:
Escolaridade e formação acadêmica.
(K) Dados biofísicos:
(1) gênero.

5.4. A CBD não se obriga a coletar todos os dados pessoais que precedem, podendo fazê-lo de conformidade com suas diretrizes operacionais e de segurança jurídica e informacional, sem direito individual ou coletivo à manutenção de regimes de coleta que venham sendo praticados, ainda que por tempo relevante, em caso de revisão ulterior dos dados a serem coletados, e atenta, tanto quanto possível, ao princípio da suficiência, sem prejuízo da oferta de incentivo ao sujeito de proteção para o fornecimento de base mais ampla de dados pessoais.

6. USO DE DADOS PESSOAIS COLETADOS

6.1. A CBD utiliza os dados pessoais dos sujeitos de proteção para as seguintes finalidades:

(A) organização do Serviço de Bilhetagem Digital dos Transportes Coletivos do Município do Rio de Janeiro;
(B) manutenção de estatísticas de acesso e fluxo ao Serviço de Bilhetagem Digital dos Transportes Coletivos do Município do Rio de Janeiro;
(C) organização de rotinas de segurança da informação e e patrimonial, inclusive no espaço virtual;
(D) organização de procedimentos de recebimento de valores de usuários do serviço, sua custódia e sua transferência para o Poder Concedente;
(E) metrificação e oferta do Serviço de Bilhetagem Digital dos Transportes Coletivos do Município do Rio de Janeiro e de serviços de parceiros;
(F) comunicação e publicidade em geral, inclusive transmissão de avisos gerais ou específicos;
(G) avaliação e monitoramento de riscos de toda espécie; e
(H) cumprimento de obrigações e requisições legais e regulatórias.

6.2. A CBD sempre se comunica com os sujeitos de proteção, para questões relativas ao tratamento de dados pessoais, por meio do DPO, podendo fazê-lo por e-mail institucional.

6.3. A CBD poderá conservar os dados pessoais dos sujeitos de proteção pelo tempo que for necessário para o cumprimento da finalidade da coleta, inclusive para fins de cumprimento de obrigações legais, contratuais, de prestação de contas, defesa em processos administrativos ou judiciais ou requisição de autoridades competentes.

6.3.1. Considerados o padrão legal quinquenal para a prescrição e a decadência de direitos e pretensões do Poder Público ou em face dele, bem como a natureza jurídica da atividade desenvolvida pela CBD, entende-se que o tempo necessário a que se refere o item 6.3 é de 5 (cinco) anos após o tratamento, que, quando o sujeito de proteção for contraparte contratual de trato sucessivo da CBD, somente se reputará concluído com a extinção do vínculo contratual, salvo instrução em contrário do DPO relativa a determinada categoria ou espécie de dados pessoais.

6.3.2. O sujeito de proteção que houver autorizado coleta e/ou compartilhamento de seus dados pessoais pela CBD, quando aplicável, deverá ser convidado a renovar seu consentimento depois de quatro anos decorridos de quando o houver manifestado.

6.4. Extinto o Contrato de Concessão do Serviço de Bilhetagem Digital dos Transportes Urbanos do Município do Rio de Janeiro, os dados pessoais que se encontrem em poder da CBD em razão da execução do serviço serão integralmente revertidos ao Município do Rio de Janeiro, sem duplicação nem retenção de qualquer espécie.

7. DIREITOS DOS SUJEITOS DE PROTEÇÃO

7.1. São direitos dos sujeitos de proteção;

(A) exigir confirmação da existência do tratamento de seus dados pessoais pela CBD e ter acesso a seus dados pessoais que a CBD trata;
(B) promover, a qualquer tempo, a retificação de quaisquer de seus dados pessoais;
(C) exigir a anonimização, o bloqueio, a exclusão ou a eliminação de dados pessoais desnecessários, excessivos ou tratados em desconformidade com a Lei Geral de Proteção de Dados ou com o Contrato de Concessão do Serviço de Bilhetagem Digital dos Transportes Coletivos do Município do Rio de Janeiro, cabendo à CBD atender à exigência, salvo, no caso de alegação de tratamento desconforme, se demonstrada a conformidade;
(D) exigir a portabilidade de seus dados pessoais, devendo a CBD fornecê-los em formato interoperável em até 20 (vinte) dias;
(E) receber informação, mediante simples pedido, sobre o compartilhamento de seus dados pessoais, devendo a CBD providenciar relatório de compartilhamentos em até 20 (vinte) dias; e
(F) receber informação sobre seu direito de negar consentimento para o tratamento de seus dados pessoais, com advertência sobre as consequências dessa negativa, especialmente no que diz respeito à facilidade de acesso ao Serviço de Bilhetagem Digital dos Transportes Coletivos do Município do Rio de Janeiro

7.2. É, ainda, direito de qualquer sujeito de proteção:

(A) negar consentimento ao compartilhamento de seus dados pessoais, salvo quando necessário para execução do Serviço de Bilhetagem Digital dos Transportes Coletivos do Município do Rio de Janeiro; e
(B) no caso anterior, revogar, a qualquer tempo, sem efeito retroativo, por meio gratuito e facilitado, o consentimento já fornecido, bem como exigir a eliminação de seus dados pessoais que já tenham sido tratados ou cuja autorização de tratamento tenha sido por ele revogada.

7.3. Todos os sujeitos de proteção que utilizem o serviço de bilhetagem digital ou qualquer aplicação, ferramenta ou facilidade correlata têm o dever de fornecer dados pessoais verdadeiros e fidedignos, incumbindo à CBD proceder a rotinas de atualização.

7.4. Os sujeitos de proteção que fizerem uso de sítio eletrônico, aplicativo ou outra facilidade eletrônica da CBD mediante credenciais eletrônicas individuais de acesso (login e senha) têm o dever de preservar os respectivos sigilo e intransferibilidade, de zelar pela segurança dos dispositivos e das redes de acesso que utilizem e de comunicar de imediato a CBD de qualquer atividade suspeita ou não autorizada em seu nome.

8. POLÍTICA DE COOKIES E ASSEMELHADOS

8.1. A CBD reserva-se o direito de utilizar, em sítio eletrônico, aplicativo ou outra facilidade eletrônica, cookies próprios e de terceiros, desde que se trate de parceiros contratuais devidamente formalizados, para as finalidades apontadas neste POLÍTICA.

8.2 A ciência desta POLÍTICA inclui ciência do uso de cookies. Caso não esteja de acordo com o uso de cookies, o sujeito de proteção não poderá fazer uso do sítio eletrônico, do aplicativo nem de outras facilidades eletrônicas da CBD que os utilizem, cabendo à CBD orientar o sujeito de proteção que for usuário do Serviço de Bilhetagem Digital dos Transportes Coletivos do Município do Rio de Janeiro sobre as limitações de uso decorrentes do exercício desse direito.

9. COMPARTILHAMENTO DE DADOS PESSOAIS

9.1. Observado o disposto no item 4.4, em especial quanto à exigência ou à dispensa de consentimento específico, a CBD poderá compartilhar com terceiros os dados pessoais dos sujeitos de proteção nos seguintes casos:

(A) com empresas parceiras, desde que a parceria seja contratualmente formalizada e compatível com o Edital e o Contrato de Concessão do Serviço de Bilhetagem Digital dos Transportes Coletivos do Município do Rio de Janeiro, para o suporte técnico e tecnológico necessário ao processamento e repasse de pagamentos, usos de créditos de transporte e outras transações financeiras ou com créditos de transporte;
(B) com empresas parceiras, desde que a parceria seja contratualmente formalizada, compatível com o Edital e o Contrato de Concessão do Serviço de Bilhetagem Digital dos Transportes Coletivos do Município do Rio de Janeiro, para oferta de serviços e previamente autorizada pelo Poder Concedente, explicitadas, no instrumento de formalização da parceria, as finalidades do compartilhamento de dados pessoais dos sujeitos de proteção;
(C) com empresas, consultorias especializadas e escritórios de advocacia e contabilidade formalmente contratados pela CBD, para execução ou auxílio na execução de rotinas administrativas e financeiras de back-office e front-office;
(D) com empresas prestadoras de serviços formalmente contratadas pela CBD, para atender a quaisquer de seus interesses permanentes ou eventuais;
(E) com auditores devidamente constituídos, para quaisquer auditorias devidamente aprovadas;
(F) com escritórios de advocacia e contabilidade formalmente contratados pela CBD para qualquer atividade consultiva instrumental à execução das rotinas administrativas e ao planejamento de quaisquer demandas ou defesas judiciais ou extrajudiciais;
(G) com entidades de verificação de identidade e escritórios de dados especializados em detecção de possíveis fraudes, bem como de serviços de proteção e análise de risco de crédito;
(H) com empresas formalmente contratadas para prestar serviços de segurança cibernética de qualquer espécie;
(I) com o Poder Concedente, para quaisquer finalidades previstas no Edital e no Contrato de Concessão do Serviço de Bilhetagem Digital dos Transportes Coletivos do Município do Rio de Janeiro, e
(J) com outras autoridades públicas, em caso de ordem ou requisição legal.

9.2. Para poder proceder ao compartilhamento, a CBD deverá exigir do terceiro, por contrato ou outro instrumento idôneo, observância integral do Edital e do Contrato de Concessão do Serviço de Bilhetagem Digital dos Transportes Coletivos do Município do Rio de Janeiro e todos os termos desta POLÍTICA no tratamento dos dados pessoais que receber, salvo no caso de ordem ou requisição legal, caso em que a CBD deverá (i) diligenciar junto à autoridade para que se comprometa formalmente com a proteção dos dados pessoais que com ela foram compartilhados e (ii) informar o sujeito de proteção do compartilhamento, salvo se houver vedação expressa na ordem ou na requisição ou se a informação puder frustrar a finalidade da ordem ou da requisição, conforme indicação de parecer de advogado formalmente contratado.

9.3. Ao colher o consentimento do sujeito de proteção para compartilhamento de seus dados fora dos casos em que esse consentimento seja dispensado, a CBD deverá informá-lo com clareza de que o compartilhamento será necessário para seu pleno acesso a todas as facilidades do serviço.

9.4. A CBD comunicará o Poder Concedente, para a devida autorização, de todas as relações jurídicas que entabular, nos termos do item 9.1, que envolvam o compartilhamento dos dados pessoais que coletar de usuários do Serviço de Bilhetagem Digital dos Transportes Coletivos do Município do Rio de Janeiro.

9.5. A CBD não comunicará nem compartilhará, com a finalidade de obter vantagem econômica, dados pessoais sensíveis referentes à saúde que tenha coletado de quaisquer sujeitos de proteção, exceto nas hipóteses relativas à prestação de serviços de saúde, de assistência farmacêutica e de assistência à saúde.

10. DISPOSIÇÕES GERAIS

10.1. Esta POLÍTICA é regida pela legislação brasileira.

10.2. Em caso de alteração desta POLÍTICA para assegurar sua conformidade com a lei e à regulação da Agência Nacional de Proteção de Dados (ANPD), ou em razão de alteração de paradigma tecnológico, os sujeitos de proteção serão devidamente comunicados.

11. OFICIAL DE PROTEÇÃO DE DADOS

11.1. O Oficial de Proteção de Dados – DPO da CBD será Marcelo Schuch, cujos dados de contato ficarão sempre à disposição de todos os sujeitos de proteção.