Política de Privacidade: Solução Incognia


Última atualização: 23 de dezembro de 2020

A presente Política de Privacidade tem por finalidade demonstrar o compromisso da INCOGNIA TECNOLOGIA DA INFORMAÇÃO LTDA, pessoa jurídica de direito privado,  inscrita no CNPJ/MF sob o nº 17.399.938/0001-29, com sede na Rua do Brum, n° 455, Galpão 000, Caixa Postal 006, bairro do Recife, Recife/PE, CEP 50.030-260 com a privacidade e a proteção dos dados pessoais coletados através de sua tecnologia em concordância com as leis e regulamentos de privacidade aplicáveis, garantindo transparência e as melhores práticas de proteção de dados pessoais.

Sobre a Incognia

A Incognia é uma solução de prevenção a fraude mobile, oferecida pela Inloco para aplicativos mobile e dispositivos conectados (os “clientes”), que tem como objetivo ampliar a segurança dos aplicativos sem adicionar fricções à experiência do usuário e respeitando a sua privacidade. Esta solução cria um padrão de comportamento de localização único e anônimo para cada usuário, que atua como uma identidade de usuário privada que pode ser usada para verificar a Integridade do Dispositivo, checando se há alguma anomalia ou tentativa de forjar a localização do aparelho; Verificação de Endereços, comparando o endereço preenchido no momento de cadastro confere com o de moradia real do usuário; alertar mudanças suspeitas no padrão de comportamento de localização (“Location Fingerprint”) do usuário que podem indicar um possível roubo de conta; verificar se o usuário está em um Local Confiável em momentos chave no app, como o login, de acordo com seu comportamento histórico; e validar transações dentro do aplicativo com mais segurança, analisando automaticamente o perfil comportamental de cada usuário. A tecnologia de localização da Incognia não requer armazenamento ou acesso às informações que possam lhe identificar, garantindo-lhe um direito não negociável: o direito à privacidade.

Tratamento de dados pessoais

Fonte dos dados

Para oferecer serviços, a Incognia coleta dados de dispositivos móveis através de um Módulo de Desenvolvimento de Software (“SDK”) que empresas digitais e de serviços financeiros podem integrar a seus aplicativos mobile, permitindo uma percepção precisa do contexto de localização, a fim de prevenir o roubo de contas e garantir pagamentos mais seguros. Os aplicativos informam o usuário sobre a utilização da funcionalidade de localização do dispositivo móvel, e, apenas quando esta estiver ativa, a Incognia realiza a coleta de dados, detectando, de forma segura,  a presença do dispositivo em estabelecimentos desassociada da identidade do usuário, para criar um padrão de comportamento de localização único e anônimo.

Por ser uma solução de prevenção a fraudes mobile, o tratamento de dados pessoais feito pela Incognia é baseado no interesse legítimo do controlador (nesse caso, os “clientes”), que, de acordo com a Lei Geral de Proteção de Dados, poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem a proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais (Art. 10, II, Lei Nº 13.709/2018).

Categoria de dados e finalidades do tratamento

A Incognia segue o princípio da minimização estabelecido pelo Regulamento Geral de Proteção de Dados da UE, que estabelece que "os dados pessoais devem ser adequados, relevantes e limitados ao necessário em relação às finalidades para as quais são tratados" (Art. 5, 1, (c), GDPR), bem como o princípio da necessidade da Lei Geral de Proteção de Dados, definido como a “limitação do tratamento ao mínimo necessário para a realização de suas finalidades, com abrangência dos dados pertinentes, proporcionais e não excessivos em relação às finalidades do tratamento de dados” (Art. 6º, III, Lei Nº 13.709/2018). A Incognia atua como operadora dos dados pessoais, portanto somente poderá tratar os dados para as finalidades dispostas nesta Política de Privacidade. Essas finalidades são previamente autorizadas (contratadas) pelo controlador e os meios de tratamento empregados também são previamente autorizados (contratados) pelo controlador. Os dados pessoais tratados para a solução Incognia, descritos nesta política de privacidade, não compõem a base de dados nem audiência da solução Inloco. Por esse motivo, e porque a Incognia tem o compromisso de ser transparente, detalhamos todos os dados que são coletados através de nossa tecnologia e para quais finalidades.

Categoria

Descrição

Finalidades

Localização

GPS

Sinais de Wi-Fi

Sinais de Bluetooth-LE

Sinais de telefone

Atividade (correndo, andando, dirigindo) [2]

Verificação de endereços [1]

Classificação de visitas

Perfil comportamental de localização para detecção de fraudes

Efeito de Rede

Identificador

Identificador de mídia (somente armazenado após aplicação de funções de  hash com segredo ou criptografia)

Composição do Identificador do Dispositivo


Efeito de Rede

Dados do dispositivo

Modelo do dispositivo

Sistema operacional

Versão do SO

Métricas de performance

IP (sendo os últimos quatro dígitos ignorados para remover precisão)

Tipo e informações de rede (3G, 4G, Wi-fi)

Provedor de rede

Resolução de tela

Apps instalados

Fabricante

Operadora

Informações dinâmicas e preferências do dispositivo

Fingerprinting” e análise de integridade do dispositivo para detecção de fraudes

Depuração e monitoramento do SDK com intuito de melhorá-lo e consumir menos recurso (CPU, memória, rede, bateria etc.)


Efeito de Rede

Dados de aplicativos

Sessão do app (quando o app é aberto e quanto tempo permanece aberto)

Eventos definidos pelos desenvolvedores de aplicativo (registro de novos usuários, transações in-app, visualização de determinadas áreas do aplicativo e utilização de determinadas funcionalidades)

Inteligência sobre a uso de apps para compreender padrões de uso e detectar fraudes

[1] Verificação de endereço baseado no comportamento do dispositivo comparado ao endereço declarado nos aplicativos de clientes.
[2] O Google Play Services fornece para os dispositivos Android uma forma de consultar este dado diretamente pelo sistema operacional chamada de activity recognition.
[3] O perfil comportamental (fingerprint) de localização é usado para fornecer funcionalidades de segurança e antifraude como estratégia de autenticação por comportamento.

Dados sensíveis

Não coletamos dados sensíveis - informações que revelem etnia, religião, opinião política, religiosa, filosófica, política ou de entidades sindicais ou dados relativos à saúde, vida sexual, genética e biometria (Art. 5º, II, Lei Nº 13.709/2018) - e não associamos usuários, nem mesmo anonimizados, a visitas a locais sensíveis, como templos religiosos, hospitais, partidos políticos, locais de entretenimento adulto e outros que possam ser utilizados para fazer inferências sensíveis.

Dados de crianças

A Lei Geral de Proteção de Dados (Lei Nº 13.709/2018) estabelece que o tratamento de dados de crianças deve ser realizado apenas com o consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal (Art. 14, §1º) da criança; e que as instituições envolvidas no tratamento dos dados devem realizar todos os esforços razoáveis para verificar que o consentimento foi dado pelo responsável pela criança (Art. 14, §5º).

Não realizamos a integração da tecnologia da Incognia com aplicativos direcionados a crianças, nem oferecemos serviços para empresas que tenham crianças como público-alvo. Portanto, não coletamos intencionalmente informações pessoais de crianças.

Forma e duração do tratamento

A Incognia associa a localização (coordenadas) a um estabelecimento conhecido (“place”) e um identificador do dispositivo pseudonimizado, resultando em um dado que chamamos de visita. A pseudonimização do identificador do dispositivo possibilita que o dado original seja eliminado, dificultando sua reidentificação, conforme será melhor exposto na seção “Medidas de segurança”. A partir da análise do histórico de visitas dos dispositivos móveis, a Incognia cria padrões de comportamento anônimos para seus usuários. Estes padrões são utilizados para auxiliar processos de verificação e autenticação de identidade para aplicativos em muitos segmentos da indústria. Além disso, a associação do padrão de comportamento de localização a dados sobre a integridade do dispositivo (root, localização falsa, aplicativos de fora da loja oficial etc.) contribui ainda mais para a detecção de fraudes.

A Incognia armazena dados por um período máximo de dois anos para os fins descritos na presente Política de Privacidade. Excepcionalmente, podemos reter e utilizar dados pessoais por mais tempo para: (i) cumprir contratos, acordos e políticas; (ii) cumprir obrigações legais (por exemplo, se necessário para cumprir as leis aplicáveis); (iii) resolver litígios por ordem judicial. A Incognia também pode armazenar dados anonimizados para fins de análises estatísticas.

Decisão automatizada

A Incognia verifica processos de criação de contas ou de autenticação de ações, como logins e transações, nos aplicativos, e fornece uma resposta positiva ou negativa de forma automatizada. Através da consulta das APIs (interfaces de programação de aplicações) da Incognia, decisões podem ser tomadas pelo cliente em tempo real. É importante destacar que a decisão, seja de caráter aprovação ou negação, feita pelo cliente ao receber uma resposta de nossas APIs é de responsabilidade do cliente e não da Incognia.

Medidas de segurança

A tecnologia da Incognia não coleta ou utiliza dados pessoais identificados (dados de identificação direta de indivíduos), e foi desenvolvida de forma a impedir o acesso a dados pessoais identificáveis (dados capazes de identificar indivíduos indiretamente, isto é, após algum esforço ou associação a outro dado). Por isso, a Incognia não coleta identificadores estáticos únicos de dispositivos móveis (IMEI e MAC), contas associadas (email e número de telefone), dados de identificação civil (nome, CPF, RG etc.), ou dados sensíveis - informações que revelem etnia, religião, opinião política, religiosa, filosófica, política ou de entidades sindicais ou dados relativos à saúde, vida sexual, genética e biometria.

Utilizamos mecanismos de segurança tanto no transporte como no armazenamento de dados, além de atualizarmos constantemente nossos sistemas de proteção. Todas as nossas requisições são feitas com HTTPS, que é um protocolo seguro e padrão na indústria. Os dados são transferidos e armazenados de forma encriptada na AWS Cloud - o armazenamento de dados em servidores na nuvem (“cloud computing”) é também um padrão da indústria, pois simplifica a operação da tecnologia, escalabilidade e segurança para quaisquer serviços tecnológicos. 

Para aumentar a segurança e privacidade dos dados, a Incognia aplica funções de criptografia e hash ao identificador de mídia (“Mobile Advertising ID”), criando identificadores distintos para diferentes utilizações, que são: (i) hashed ID, para contagem única e criação de perfis comportamentais de usuários; (ii) ID criptografado, para recuperar o identificador de mídia em casos estritamente necessários, tais como obrigações legais ou garantia dos direitos de titulares de dados (os “usuários”). A Incognia realiza gestão de chaves e utiliza técnicas de assinatura criptográfica que permitem a detecção de quaisquer alterações realizadas nos dados, protegendo os IDs criptografados. A eliminação do identificador de mídia original põe fim a riscos associados ao acesso indevido aos dados. Ambos os identificadores mantidos (hashed ID e ID criptografado) são suficientes para todos os serviços da Incognia e não permitem a identificação direta dos titulares de dados, além de reduzirem os riscos do identificador de mídia identificá-los em caso de confronto com uma base de dados terceira que contenha esse ID ligado a outros dados pessoais, tais como email, CPF etc. Portanto, em caso de vazamento ou acesso indevido às informações coletadas e tratadas pela Incognia, os titulares não serão diretamente associados a esses dados, reduzindo o risco de serem física ou moralmente afetados.

Compartilhamento

Em geral, nossos clientes não têm acesso ao histórico individualizado de visitas de um dispositivo ou a quaisquer dados que possam reidentificar um indivíduo de forma direta ou indireta – a grande maioria dos dados compartilhados pela Incognia é anônima. As exceções estão descritas abaixo:

Para a verificação eletrônica de endereços, receberemos do app um endereço associado ao seu dispositivo (a "requisição") e enviaremos uma prova digital de endereço (a "resposta"), utilizando inferências feitas a partir dos dados de localização coletados no seu dispositivo. A prova consiste numa resposta positiva ou inconclusiva da nossa tecnologia. Em caso de resposta inconclusiva, não enviamos mais nada sobre o usuário e presume-se que não dispomos de informação suficiente para a verificação automática. Em caso de resposta positiva, enviamos uma agregação de contagem de localização numa pequena região em torno do endereço recebido para confirmar a resposta.

Para análise de fraudes, também compartilhamos com nossos clientes informações coletadas sobre a integridade do dispositivo (root, localização falsa, aplicativos de fora da loja oficial etc.) e análise do comportamento do usuário (se o comportamento do usuário é consistente ao longo do tempo e através de dispositivos nos quais ele se registra).

Armazenamos dados na AWS Cloud, utilizando um protocolo seguro para proteger a transferência de dados para os nossos servidores de forma criptografada. Os servidores AWS estão localizados nos Estados Unidos, o que caracteriza transferência internacional de dados.

Responsabilidade dos agentes de tratamento

A Incognia realiza o tratamento de dados pessoais como operador, isto é, agente que realiza tratamento de dados em nome do controlador, ao qual, por sua vez, competem as decisões referentes ao tratamento, de acordo com o Art. 5º, VI e VII da Lei Geral de Proteção de Dados. Os controladores dos dados pessoais processados pela Incognia são nossos clientes, empresas digitais e de serviços financeiros aos quais a Incognia presta serviços de prevenção a fraude mobile. A Incognia não utiliza os dados coletados através da integração do SDK com aplicativos dos controladores para nenhuma finalidade que não aquelas pretendidas por eles.

Quanto à nossa operação, utilizamos apenas um operador ou prestador de serviço, sendo este a AWS Cloud, utilizada para armazenamento de dados.

De acordo com o Capítulo VI, Seção III da LGPD, o controlador ou o operador que causar a outrem dano patrimonial, moral, individual ou coletivo, em razão do tratamento de dados pessoais, é obrigado a repará-lo. Além disso, quando descumprir as obrigações da legislação de proteção de dados ou quando não tiver seguido as instruções lícitas do controlador, o operador responde solidariamente pelos danos causados pelo tratamento, assim como os controladores diretamente envolvidos neste tratamento. Os agentes de tratamento só não serão responsabilizados quando provarem que não realizaram o tratamento de dados pessoais que lhes é atribuído; que não houve violação à legislação de proteção de dados; ou que o dano é decorrente de culpa exclusiva do titular dos dados ou de terceiro.

Direitos do titular

A Incognia realiza o tratamento de dados pessoais em nome de um controlador, caracterizando-se, portanto, como operador, de acordo com o Art. 5º, VII da Lei Geral de Proteção de Dados. Por esse motivo, garantimos o exercício dos direitos do titular de dados previstos na LGPD e no Regulamento Geral de Proteção de Dados da União Europeia (‘GDPR’), no entanto, esses direitos devem ser solicitados ao controlador de dados pessoais, que, por sua vez, deve nos encaminhar as requisições. Toda requisição advinda do controlador e atendida por nós será notificada de volta ao controlador, que, por sua vez, deverá informar o titular.

Ressaltamos que a Incognia tem como missão respeitar a privacidade e assegurar a proteção de dados de nossos usuários. Abaixo, segue a lista simplificada de direitos previstos na Lei 13.709/2018.

Direito de acesso à informação: As informações exigidas pelas leis de proteção de dados constam na Política de Privacidade: Solução Incognia. Outras informações podem ser solicitadas ao controlador ou diretamente a nós, quando aplicável, através do email ‘dpo@incognia.com’. 

Direito à confirmação do tratamento de dados pessoais: A confirmação do tratamento deverá ser solicitada diretamente ao controlador, que nos encaminhará a sua requisição.

Direito de acesso aos dados:  O acesso aos dados deverá ser solicitado diretamente ao controlador, que nos encaminhará a requisição. Ao exercer o direito de acesso aos dados, informaremos ao controlador os tipos e categorias de dados que temos sobre você, bem como as finalidades. A cópia eletrônica integral dos dados, no entanto, se aplica apenas quando o tratamento tiver origem no consentimento do titular ou em contrato, e não no legítimo interesse, nos termos do art. 19, § 3º da Lei Nº 13.709/2018.

Direito à correção de dados incompletos, inexatos ou desatualizados: A Incognia garante a exatidão, clareza, relevância e atualização dos dados pessoais coletados através da nossa tecnologia. Entretanto, caso considere que os dados pessoais tratados pela Incognia estão incompletos, inexatos ou desatualizados, poderá solicitar a retificação diretamente ao controlador, que nos encaminhará a requisição.

Direito a anonimização, bloqueio, eliminação ou restrição de dados desnecessários, excessivos ou tratados em desconformidade com a lei: A Incognia trata apenas dados estritamente necessários para a prestação de seus serviços, observando todas as determinações da Lei Geral de Proteção de Dados e outras normas aplicáveis. No entanto, caso queira solicitar a anonimização, bloqueio, eliminação ou restrição de dados, entre em contato com o controlador que avaliará a sua requisição e nos encaminhará a  sua solicitação. 

Direito à portabilidade de dados: A Incognia desenvolveu sua tecnologia de localização proprietária de forma inovadora e não compatível com outras tecnologias de localização, por isso, não é possível exercer a portabilidade de dados da Incognia para outro fornecedor de serviço semelhante sem prejuízo dos segredos comercial e industrial da empresa, além de implicar num esforço técnico desproporcional ao benefício que o titular poderia vir a ter com a portabilidade desses dados. Além disso, a portabilidade de dados não se adequa ao serviço de antifraude, uma vez que quem contrata o serviço de prevenção à fraude é o controlador (empresas digitais e de serviços financeiros), não o titular de dados. A portabilidade de dados para outro prestador de serviço de prevenção à fraude semelhante não surtiria efeito, posto que, caso este prestador semelhante não seja utilizado pelo controlador, o usuário restaria impossibilitado de utilizar seu aplicativo. Ressaltamos que também não há qualquer regulamentação da Autoridade Nacional de Proteção de Dados para exercício desse direito, conforme determinação da Lei Geral de Proteção de Dados. 

Direito à informação das entidades públicas e privadas com as quais a Incognia realizou uso compartilhado de dados: Informamos, na seção “Compartilhamento” desta Política de Privacidade, a plataforma utilizada para armazenamento dos dados. Caso queira solicitar alguma informação adicional, deverá entrar em contato através do e-mail ‘dpo@incognia.com’. 

Direito à revisão de decisões automatizadas: A revisão de decisões automatizadas, já detalhadas na seção “Decisão automatizada”, deverá ser solicitada diretamente ao controlador, que nos encaminhará a requisição.

Direito de não se sujeitar a tratamento exclusivamente automatizado: O tratamento automatizado para prevenção à fraude é realizado para fins de cumprimento de obrigação legal e regulatória. Ainda assim, caso considere exercer esse direito, deverá solicitar diretamente ao controlador dos dados, que nos encaminhará a requisição. 

Direito a cópia integral dos dados; informação sobre negativa ao consentimento e consequências; revogação do consentimento (“opt-out”); direito à eliminação de dados tratados com o consentimento do usuário: Estes direitos se aplicam apenas ao tratamento de dados pessoais baseado no consentimento, não no legítimo interesse, que fundamenta o tratamento de dados realizado pela Incognia.

Contato

Se tiver alguma dúvida, comentário ou sugestão, por favor, entre em contato com o nosso Encarregado pelo Tratamento de Dados Pessoais (“Data Protection Officer”) enviando um email para ‘dpo@incognia.com’.

 

Versões anteriores