Política de Privacidade

1. Introdução

A Idonia ("nós", "nosso") opera a plataforma de verificação de identidade e assinatura digital disponível em idonia.com.br. Esta Política de Privacidade descreve como coletamos, usamos, armazenamos e protegemos suas informações pessoais, incluindo dados biométricos, em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018).

2. Dados que coletamos

2.1 Dados de cadastro

Nome, endereço de e-mail e informações de contato fornecidas ao criar uma conta ou entrar na lista de espera.

2.2 Dados biométricos (dado pessoal sensível)

Quando você realiza uma verificação de identidade, coletamos:

• Imagens faciais capturadas pela câmera do dispositivo
• Embeddings faciais (representações matemáticas derivadas das imagens)
• Sinais de vivacidade (detecção de piscar, pulso rPPG, pose da cabeça)

Todos os dados biométricos são criptografados no dispositivo com AES-256-GCM antes da transmissão e processados exclusivamente nos servidores da Idonia. Nenhum dado biométrico é processado no dispositivo do usuário.

2.3 Dados de documento

CPF, CNPJ, RG ou outros documentos de identificação fornecidos para verificação de identidade.

2.4 Dados técnicos

Endereço IP, tipo de dispositivo, sistema operacional, navegador e dados de uso para segurança e melhoria do serviço.

3. Base legal para tratamento

Tratamos seus dados com base em:

• Consentimento explícito (Art. 11, I, LGPD) — para dados biométricos, obtido antes de cada verificação
• Execução de contrato (Art. 7, V, LGPD) — para dados necessários à prestação do serviço
• Interesse legítimo (Art. 7, IX, LGPD) — para segurança, prevenção de fraude e melhoria do serviço

4. Finalidade do tratamento

• Verificação de identidade biométrica
• Emissão de assinaturas digitais ICP-Brasil
• Carimbo do tempo certificado
• Prevenção de fraude e segurança
• Comunicações sobre o serviço

5. Compartilhamento de dados

Não vendemos dados pessoais. Compartilhamos dados apenas com:

• Autoridades Certificadoras ICP-Brasil (para emissão de assinaturas digitais)
• Autoridades de Carimbo do Tempo (para certificação temporal)
• Provedores de infraestrutura (hospedagem, armazenamento criptografado)
• Autoridades públicas, quando exigido por lei

6. Armazenamento e segurança

• Dados criptografados em repouso e em trânsito (AES-256-GCM, TLS 1.3)
• Identidade de dispositivo ECDSA
• Integridade HMAC em todos os frames
• Armazenamento em servidores com acesso restrito

7. Retenção de dados

Dados biométricos são retidos pelo período necessário à finalidade da verificação e obrigações legais. Embeddings faciais podem ser retidos para correlação de identidade conforme acordado com a organização contratante.

8. Seus direitos (LGPD Art. 18)

Você tem direito a:

• Confirmação da existência de tratamento
• Acesso aos dados
• Correção de dados incompletos ou desatualizados
• Anonimização, bloqueio ou eliminação de dados desnecessários
• Portabilidade dos dados
• Eliminação dos dados tratados com consentimento
• Revogação do consentimento

9. Contato

Para exercer seus direitos ou esclarecer dúvidas sobre esta política:

E-mail: [email protected]

10. Alterações

Esta política pode ser atualizada periodicamente. Alterações significativas serão comunicadas por e-mail ou aviso no site.