Política de Privacidade

1. INTRODUÇÃO

A Companhia de Tecnologia da Informação e Comunicação do Paraná (Celepar), na condição de controladora e operadora do tratamento dos dados, agora
denominada Agente de Tratamento, apresenta esta política de privacidade em acordo com a Lei 13.790/18 – Lei Geral de Proteção de Dados (LGPD).

Ciente da importância e do valor da privacidade na vida das pessoas, o Agente de Tratamento, por meio desta política de dados pessoais, assume o
compromisso de respeitar a privacidade das informações pessoais tratadas. Também é compromisso do Agente de Tratamento adotar as providências
necessárias à proteção destes dados contra qualquer forma de ação ilícita, seja na função de controladora ou de operadora.

Esta política será ajustada conforme a necessidade de adequação da proteção de dados pessoais a novas tecnologias, novas funcionalidades ou a novos
mecanismos de violação, assim também como em relação à alteração das leis vigentes.

2. OBJETIVOS

Esta Política de Privacidade de Dados Pessoais tem por objetivo estabelecer princípios, conceitos e responsabilidades para promover o adequado
tratamento dos dados controlados e operados pela Celepar, para uma efetiva implementação dos direitos fundamentais da pessoa natural, sobretudo aqueles
ligados à sua liberdade, intimidade, privacidade e personalidade.

Com esta Política de Tratamento de Dados Pessoais, a Celepar apresenta quais dados pessoais são tratados, de que forma e para qual finalidade. Ficam
estabelecidas, ainda, as formas pelas quais os titulares e/ou seus responsáveis legais podem exercer os seus direitos com relação aos seus dados.

3. LEGISLAÇÃO RELACIONADA À APLICAÇÃO PIÁ

• Lei n⁰ 12.965, de 23 de abril de 2014 – Marco Civil da Internet – Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil;
• Lei n⁰ 12.527, de 18 de novembro de 2011 – Lei de Acesso à Informação – Regula o acesso à informação previsto na Constituição Federal;
• Lei n⁰ 13.460, de 16 de junho de 2017 – Dispõe sobre participação, proteção e defesa dos direitos do usuário dos serviços públicos da administração
pública;
• Lei n⁰ 13.709, de 14 de agosto de 2018 – Lei Geral de Proteção de Dados (LGPD) – Dispõe sobre o tratamento de dados pessoais com o objetivo de
proteger os direitos de liberdade, de privacidade e o livre desenvolvimento da personalidade da pessoa natural;
• Lei n⁰ 13.726, de 8 de outubro de 2018 – Racionaliza atos e procedimentos administrativos dos Poderes da União, dos Estados, do Distrito Federal e dos
Municípios e institui o Selo de Desburocratização e Simplificação.

4. GLOSSÁRIO

Anonimização: é o processo de transformar um dado em um dado impossível de ser revertido de forma identificável (a informação passou por uma
transformação que não permite voltar ao que era antes).

Cookie: são pequenos arquivos baixados no seu computador para melhorar sua experiência.

Criptografia: é o processo que transforma uma informação legível em um texto codificado por meio de procedimentos computacionais. A criptografia
protege a informação.

Dado pessoal: de acordo com a LGPD, é a informação relacionada a pessoa natural identificada ou identificável.

Dado pessoal sensível: de acordo com a LGPD, são os dados pessoais sobre a origem racial ou étnica, convicção religiosa, opinião política, filiação a
sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando
vinculado a uma pessoa natural.

DPO: sigla para Data Protection Officer, expressão em inglês correspondente ao encarregado pelo tratamento de dados pessoais ou apenas encarregado de
dados.

Firewall: ferramenta para evitar acesso não autorizado, tanto na origem quanto no destino, a uma ou mais redes de comunicação. Critérios de segurança
específicos são configurados para cada serviço ou aplicação.

Hardware: é a parte física (peças ou conjunto de equipamentos) que fazem o computador funcionar.

Mecanismos de redundância: mecanismos sobressalentes que garantem a continuidade dos serviços, mesmo quando um dos componentes deixa de
funcionar.

Medidas de segurança física: ações para prevenir o acesso físico não autorizado, como o estabelecimento de perímetros de segurança, controles de entrada
física, segurança em salas e instalações, e proteção dos equipamentos contra ameaças ambientais.

Medidas de segurança organizacional: ações para estabelecer uma estrutura de gerenciamento da implantação e operação da segurança da informação
dentro da organização. São medidas como definição de responsabilidades e papéis, segregação de funções, classificação de ativos e de informações, gestão
de mudanças, cópias de segurança, dentre outras.

Medidas de segurança técnica: ações para proteção dos dados por meio de controles lógicos de acesso a aplicativos, dados, sistemas operacionais, senhas
e arquivos por meio de firewalls (barreiras de contenção) de hardwares e so�wares, criptografia, antivírus, dentre outras.

PIÁ: o nome desta aplicação vem de Paraná Inteligência Artificial.

Pseudonimização: tratamento por meio do qual os dados são substituídos por identificadores (como um código), impossibilitando a identificação da pessoa.
A pseudonimização pode ser revertida com a associação de informações adicionais, que ficam armazenadas separadamente.

Sistema operacional: é um so�ware que garante que os programas funcionem corretamente. O sistema operacional administra os recursos de um
computador, como processador, memória, disco de armazenamento, monitor entre outros.

So�wares: são os programas e aplicativos que fazem com que um determinado serviço funcione no computador.

Tratamento de dados: de acordo com a LGPD, são as ações realizadas com dados pessoais, como as que se referem à coleta, recepção, classificação,
utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação,
modificação, comunicação, transferência, difusão ou extração.

5. PRINCÍPIOS DA LGPD

A aplicação PIÁ se compromete a cumprir as normas previstas na Lei Geral de Proteção de Dados (LGPD) e respeitar os princípios dispostos no artigo 6:

I - Finalidade: realização do tratamento para propósitos legítimos, específicos, explícitos e informados ao titular, sem possibilidade de tratamento posterior
de forma incompatível com essas finalidades;

II - Adequação: compatibilidade do tratamento com as finalidades informadas ao titular, de acordo com o contexto do tratamento;

III – Necessidade: só serão utilizados os dados necessários ao tratamento, sem uso excessivo, e limitado à finalidade informada;

IV - Livre acesso: garantia, aos titulares, de consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade de seus
dados pessoais;

V - Qualidade dos dados: garantia, aos titulares, de exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o
cumprimento da finalidade de seu tratamento;

VI - Transparência: garantia, aos titulares, de informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de
tratamento, observados os segredos comercial e industrial;

VII - Segurança: utilização de medidas técnicas e administrativas para proteger os dados pessoais de acessos não autorizados e de situações acidentais ou
ilícitas de destruição, perda, alteração, comunicação ou difusão;

VIII - Prevenção: adoção de medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais;

IX - Não discriminação: impossibilidade de realização do tratamento para fins discriminatórios ilícitos ou abusivos;

X - Responsabilização e prestação de contas: demonstração, pelo agente, da adoção de medidas eficazes e capazes de comprovar a observância e o
cumprimento das normas de proteção de dados pessoais e, inclusive, da eficácia dessas medidas.

6. DEVERES E DIREITOS DOS AGENTES DE TRATAMENTO E TITULARES

A Celepar, na qualidade de operadora e controladora, deverá agir e atuar em conformidade com a LGPD e com as orientações da Política de Tratamento de
Dados Pessoais.

6.1. Direitos do titular dos dados – conforme disposto no artigo 18 da LGPD:

I - confirmação da existência do tratamento;

II - acesso aos dados;

III - correção de dados incompletos, inexatos ou desatualizados;

IV - anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei;

V - portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, observados os segredos comercial e industrial;

VI - eliminação dos dados pessoais tratados com base no consentimento do titular, exceto nas hipóteses dispostas no artigo 16 da LGPD;

VII - informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

VIII - informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

IX - revogação do consentimento nos termos da LGPD.

6.2. Requisições dos titulares dos dados aos Agentes de Tratamento:

I - as informações requeridas pelos titulares dos dados são fornecidas em arquivo digital, por meio de solicitação feita à Ouvidoria da Celepar (canal de
comunicação instituído para este fim);

II – não será cobrada taxa para acesso aos dados pessoais ou para exercício de qualquer outro direito previsto no artigo 18 da LGPD. Em casos em que o titular
do dado solicite a entrega por outro meio (que não o digital), com grande volume e/ou faça a mesma solicitação em período menor de um ano, serão
cobrados os custos da operação;

III – o Agentes de Tratamento pode solicitar informações específicas do titular dos dados para confirmar sua identidade e garantir o exercício de seus direitos.
Esta é uma medida de segurança para garantir que os dados pessoais não sejam divulgados a quem não tenha o direito de recebê-los;

IV – o Agente de Tratamento também poderá entrar em contato para solicitar mais informações com o objetivo de acelerar a resposta.

6.3. Contato da Operadora e Controladora:

Para esclarecimentos e atendimento a solicitações, você pode entrar em contato com o encarregado de proteção de dados da Celepar pelo e-mail
dpo@celepar.pr.gov.br (mailto:dpo@celepar.pr.gov.br) . Outras informações você encontra nessa página (http://www.celepar.pr.gov.br/dadospessoais) . 

7. FINALIDADE DO TRATAMENTO DE DADOS PESSOAIS

De acordo com o que dispõe o artigo 7 da LGPD, os dados tratados pela Celepar são utilizados para as seguintes finalidades:

I - na condição de controladora: para a execução de política pública, com base na Lei 13.709 – que prevê a disponibilização das informações pessoais para o
titular de dados –, e na Lei 13.726, que trata da desburocratização e simplificação dos serviços oferecidos pelo governo estadual;

II - na condição de operadora, pela administração pública: para o tratamento e uso compartilhado de dados necessários à execução de políticas públicas
previstas em leis e regulamentos ou respaldadas em contratos, convênios ou outros instrumentos.

Os dados pessoais não serão utilizados para finalidades diferentes daquelas para as quais foram coletados, exceto se houver determinação judicial ou
consentimento do titular. Os dados pessoais poderão ser coletados em uma só oportunidade para o atendimento de diversas finalidades de tratamento.

Nenhum dado pessoal poderá ser transferido ou compartilhado sem a prévia análise da conformidade com as bases legais previstas na LGPD.

8. DADOS PESSOAIS TRATADOS PELO PIÁ

Os dados pessoais tratados pelo Agente de Tratamento serão especificados nesta política de privacidade, assim como suas finalidades e a formas de
tratamento:

8.1. Dados pessoais obrigatórios da Central de Segurança: nome, CPF, e-mail e celular

8.1.1. Finalidade de tratamento

O tratamento de dados pessoais obrigatórios da Central de Segurança é realizado com a finalidade única de verificação de identidade no processo de
autenticação da aplicação. O e-mail ou o celular podem ser utilizados como segundo fator de autenticação em aplicações com este nível de segurança e
também para comunicação com o usuário, em caso de necessidade.

8.1.2. Tipo de tratamento

Os dados são coletados por meio de um processo de autocadastro na base de usuários da Central de Segurança. O usuário é o responsável absoluto pela
criação e atualização do cadastro e pelas consequências na omissão ou erro nas informações cadastradas. Uma vez autenticado, através da Central de
Segurança, o usuário não precisará autenticar novamente sua sessão de trabalho ao acessar um novo sistema. Após a revogação de seus acessos, o cadastro
pode ser bloqueado, mas não será excluído fisicamente para possibilitar uma auditoria das ações realizadas.

8.2. Dados pessoais opcionais da Central de Segurança: RG, data de nascimento, nome da mãe, senha

8.2.1. Finalidade de tratamento

O tratamento de dados pessoais opcionais da Central de Segurança é realizado com a finalidade de comprovação da pessoa física e distinção de pessoas
homônimas. A senha é de preenchimento opcional, mas poderá ser obtida em qualquer momento que o usuário tenha necessidade. A aplicação pode adotar
o processo de autenticação através de SMS ao invés de senha.

8.2.2. Tipo de tratamento

Os dados são coletados por meio de um processo de autocadastro na base de usuários deste sistema autenticador (Central de Segurança). Os dados serão
confirmados ou confrontados em órgãos como o Detran ou Instituto de Identificação.

8.3. Dados pessoais dos serviços disponibilizados pelo PIÁ

O PIÁ integra cerca de 5.600 serviços nos níveis federal, estadual e municipal. A dinâmica de integração, desativação e modificação destes serviços é bastante
grande. Para ter dados atualizados a respeito destes tratamentos, acesse a política de privacidade do órgão responsável (controlador) de cada serviço.

8.3.1. Finalidade de tratamento

O tratamento de dados pessoais dos serviços integrados no PIÁ, geralmente, é para disponibilizar um acesso facilitado do titular a seus dados nos diversos
órgãos e para que o governo possa simplificar os serviços oferecidos.

8.3.2. Tipo de tratamento

O tratamento de dados pessoais dos serviços integrados no PIÁ, geralmente, é feito para que diferentes órgãos do governo possam fazer consulta aos dados
dos titulares. Os serviços que envolvem atualizações, agendamento ou emissão de documentos, seguem os processos definidos nos órgãos controladores de
cada serviço.

8.4. Dados de navegação do PIÁ

Durante o uso, a aplicação coleta informações de navegação (logs de navegação) do usuário, que incluem dados como o CPF (quando autenticado), o
endereço IP, o tipo de navegador utilizado, os serviços acessados, o caminho percorrido durante a navegação e a data e a hora em que as ações ocorreram. 

8.4.1. Finalidade de tratamento

As informações de navegação de forma anonimizada alimentam uma base de dados que ajuda a compreender a experiência do usuário com a plataforma PIÁ
e, assim, melhorar a usabilidade dos serviços.

Também são coletadas informações de navegação para manter a continuidade da conversa, garantir a segurança dos usuários e seus dados, rastreando
atividades maliciosas ou invasões ao site.

8.4.2. Tipo de tratamento

As informações de navegação são coletadas de forma automática e utilizadas somente pelos gestores para a evolução da plataforma. Elas ficam armazenadas
de acordo com o Marco Civil da Internet, conforme o item 7.

8.5. Dados do Fale Conosco

Os dados do Fale Conosco são fornecidos pelo próprio usuário pelo e-mail de contato, via chatbot ou em formulário próprio. As informações pessoais que
poderão ser solicitadas são: nome, e-mail, telefone e CPF.

8.5.1. Finalidade de tratamento

Os dados do Fale Conosco permitem que o usuário se comunique com os responsáveis pela plataforma PIÁ para relatar dificuldades de uso, inconsistência de
informações, sugerir alguma melhoria ou, ainda, um novo serviço a ser implementado.

Os dados pessoais exigidos são necessários para identificar o solicitante e poder dar um retorno sobre o assunto mencionado. Se a solicitação envolver um
serviço, as informações serão compartilhadas apenas com o órgão responsável pelo mesmo, para que seja encontrada uma solução para o problema.

8.5.2. Tipo de tratamento

Os dados coletados são os informados pelo próprio usuário durante processo de comunicação no Fale Conosco. As informações são utilizadas pelos gestores
para avaliar o funcionamento da plataforma PIÁ. As informações textuais são armazenadas por até 30 dias após a conclusão do atendimento, enquanto
arquivos e imagens são armazenados por até cinco anos após o atendimento.

8.6. Atendimento PIÁ

No primeiro acesso ao PIÁ, caso haja divergência entre o número de celular cadastrado na Central de Segurança e o registrado nas bases de dados oficiais do
Estado (Detran e Instituto de Identificação), será solicitada a atualização do telefone. Para isso, serão coletados uma foto do usuário segurando um documento
e o número do celular.

8.6.1. Finalidade de tratamento

Os dados do usuário (nome, CPF, e-mail, número de celular), juntamente com a foto enviada, permitem a confirmação da veracidade dos dados, ao se
comparar as informações enviadas com as registradas nas bases oficiais.

8.6.2. Tipo de tratamento

As informações são armazenadas por até cinco anos após a conclusão do atendimento.

8.7. Mensagens Personalizadas (notificações)

Quando o usuário informa o CPF e se autentica no PIÁ, o sistema faz uma busca nos serviços que tenham informações personalizadas para aquele CPF. Essa
ferramenta oferece uma melhor experiência de navegação.  
8.7.1. Finalidade de tratamento

As informações coletadas são usadas para personalizar a experiência do usuário e fornecer conteúdo e serviços relevantes.

8.7.2. Tipo de tratamento

Os dados são coletados automaticamente na sessão do usuário para oferecer informações atualizadas dos serviços oferecidos pelo governo estadual. Estes
dados são armazenados por 24 horas, para agilizar o atendimento em caso de reutilização do serviço.

9. PRAZOS DE CONSERVAÇÃO DE DADOS PESSOAIS

Sem prejuízo de disposições legais em contrário, os dados pessoais serão conservados pelo período mínimo necessário para alcançar a finalidade que
motivou o seu tratamento.

Como o PIÁ é um portal de acesso às informações do titular em todos os serviços oferecidos pelo Estado, o período de armazenamento dos dados pessoais
varia de acordo com as regulamentações de cada órgão controlador dos dados que são responsáveis.

Quanto ao armazenamento dos dados de registros de conexões à internet, a Celepar fará a guarda das informações pelo prazo de um ano, com exceção dos
casos em que a autoridade policial, administrativa ou o Ministério Público solicitem a guarda por prazo superior, conforme previsto no artigo 13 da Lei
12.965/2014 (Marco Civil da Internet). Os dados referentes aos registros de acessos a aplicações internas serão guardados pelo prazo de cinco anos.

10. UTILIZAÇÃO DE COOKIES

A Celepar utiliza cookies para personalizar o conteúdo que o usuário recebe dos seus sites com estes objetivos:

I - identificar o usuário e gerir aspectos de segurança de acesso;

II - lembrar de suas preferências, escolhas de privacidade/consentimento e configurações;

III - tornar a navegação mais fácil e permitir que as nossas páginas sejam exibidas corretamente;

IV - analisar o desempenho dos nossos sites com base em dados anônimos relacionados com a sua navegação (por exemplo, páginas visitadas, número de
visitas, etc).

Os dados pessoais que forem armazenados nos cookies serão utilizados apenas com embasamento legal e/ou para fins de prestação de serviços da
administração pública.

11. MEDIDAS DE SEGURANÇA

A aplicação PIÁ usa canais de comunicação criptografados, controle do volume de acessos pela operadora de comunicação, mecanismos de redundância,
monitoramento 24x7 de sua operação, hospedagem de servidores em Data Center com segurança padrão ISO nível 3.

A aplicação PIA utiliza o so�ware Central de Segurança para autenticação dos seus usuários, baseado no protocolo OAuth2. A Central possui canais de
comunicação criptografados, mecanismos de tolerância a falhas e distribuição de carga entre várias unidades de processamento.

O ambiente de rede utiliza firewall de perímetro e entre sub-redes. Há segmentação de redes, isolando os servidores hospedando bases de dados de outros
órgãos. Há segregação de ambientes de produção, homologação e desenvolvimento.

Aplicações como o PIÁ passam por Testes de Intrusão (Pentest). O acesso às bases de dados é rastreado e é feita a segregação de papéis, para garantir que
apenas pessoal autorizado tenha acesso à interface visual, ao catálogo de serviços e aos dados.

Qualquer problema de violação ou irregularidade em relação à segurança do PIÁ, você pode entrar em contato com security@pr.gov.br.

12.  DISPOSIÇÕES FINAIS

Esta Política de Privacidade de Dados Pessoais deverá ser revisada quando houver alterações legais, mudanças em processos internos ou outras
necessidades de adequação, considerando as premissas que a orientam e que estão descritas na introdução deste instrumento.