Skip to main content
Didit levanta US$ 7,5 milhões para construir a infraestrutura para identidade e fraude
Didit
Didit
Política de Privacidade
Atualizado em 16 de maio de 2026 · didit.me/terms/privacy-policy
Legal

Política de Privacidade

Atualizado: 16 de maio de 2026

Nesta página

Esta Política de Privacidade explica como a Didit processa dados pessoais quando você visita nossos sites, nos contata, usa nossos produtos e serviços, ou completa um fluxo de verificação de identidade ou fraude alimentado pela Didit.

Se você está verificando sua identidade para um banco, fintech, plataforma de cripto, marketplace, empregador ou outra organização que usa a Didit, essa organização é a parte que decide por que a verificação é necessária. Nesses casos, ela é a controladora ou empresa, e a Didit atua como sua operadora ou provedora de serviços. Para processamento específico de verificação, dados biométricos e fluxos de marca branca, leia nosso Aviso de Privacidade de Verificação e Termos de Usuário Final para Verificação de Identidade.

1. Quem somos

Dependendo do serviço e da geografia, seus dados podem ser processados por uma ou ambas as seguintes entidades da Didit:

  • Didit Identity Spain, S.L., CIF B22929327, Calle Nápoles 227, P. 1, 08013 Barcelona, Espanha. Entidade contratante para clientes da União Europeia, Reino Unido, Espaço Econômico Europeu, Suíça e América Latina, e o estabelecimento que opera o plano de dados europeu.
  • Didit Identity, Inc., EIN 39-2860573, 1111B S Governors Ave STE 34855, Dover, Delaware 19904, Estados Unidos. Entidade contratante para clientes dos Estados Unidos, Canadá, Ásia-Pacífico, Oriente Médio e clientes globais.

Quando dizemos "Didit", "nós", "nosso" ou "nossa", nos referimos à entidade ou entidades da Didit que fornecem o serviço aplicável.

2. Escopo e nosso papel

Esta Política de Privacidade se aplica quando você:

  • visita `didit.me` ou qualquer site operado pela Didit;
  • solicita informações, uma demonstração ou suporte;
  • cria ou gerencia um relacionamento comercial, conta ou integração com a Didit;
  • se candidata a uma vaga na Didit; ou
  • usa um fluxo de verificação, prevenção de fraude, autenticação ou conformidade operado por ou através da Didit.

Nosso papel muda dependendo do contexto:

ContextoPapel da DiditO que isso significa
Visitantes do site, marketing, recrutamento, vendas, suporte e relacionamentos comerciais diretosControladoraA Didit decide por que e como os dados são processados para essas interações diretas.
Fluxos de verificação solicitados por um cliente DiditOperadora / Provedora de ServiçosO cliente decide por que a verificação acontece e quais verificações são habilitadas. A Didit processa dados em nome do cliente.
Segurança, prevenção de abuso, integridade do serviço, registro de auditoria, conformidade legal, treinamento e validação de modelo de fraude em dados anonimizados ou pseudonimizados, e reivindicações legaisControladora independente para essa finalidade específicaA Didit pode processar dados limitados para proteger a plataforma, treinar e melhorar modelos de detecção de fraude e verificação, cumprir a lei e estabelecer, exercer ou defender reivindicações legais.

Se você estiver em um fluxo de verificação de marca branca ou em um domínio personalizado, a marca personalizada não significa necessariamente que apenas a empresa com a marca processa seus dados. A Didit ainda pode fornecer a tecnologia de verificação subjacente e o processamento relacionado.

3. Categorias de dados pessoais que processamos

As categorias de dados que processamos dependem do serviço, da configuração do fluxo de trabalho e do seu relacionamento com a Didit. Elas podem incluir:

  • Identificadores e dados de contato, nome, endereço de e-mail, número de telefone, endereço postal, data de nascimento e informações de identificação semelhantes.
  • Dados de negócios e conta, nome da empresa, informações de faturamento, credenciais da conta, detalhes de uso da API e registros do seu relacionamento com a Didit.
  • Dados de verificação, imagens de documentos de identidade, dados de documentos extraídos, arquivos de comprovante de endereço, respostas a questionários, entradas de triagem de sanções ou listas de observação e resultados de verificação.
  • Dados biométricos e de vivacidade, onde o fluxo de trabalho inclui verificação facial ou verificações semelhantes, selfies, imagens faciais, vídeos, capturas de vivacidade, sinais anti-spoofing e dados derivados de varreduras de geometria facial.
  • Dados de dispositivo, rede e técnicos, endereço IP, tipo de navegador, sistema operacional, idioma, identificadores de dispositivo, carimbos de data/hora, geolocalização inferida de dados de rede e outras telemetrias de segurança ou antifraude.
  • Comunicações e dados de suporte, mensagens, tickets de suporte, registros de chamadas, trocas de e-mail e logs operacionais.
  • Dados de terceiros e de fontes públicas, informações fornecidas por nossos clientes, parceiros de identidade ou prevenção de fraude, autoridades públicas, provedores de telecomunicações e fontes publicamente disponíveis onde permitido por lei.
  • Dados de recrutamento, currículos, histórico de emprego e outros materiais enviados durante a contratação.

Não precisamos de todas as categorias listadas acima para cada interação. Os dados exatos usados dependem dos serviços solicitados e da configuração selecionada pelo cliente relevante.

4. Como usamos dados pessoais

Podemos usar dados pessoais para os seguintes propósitos:

  • Para operar nossos sites e serviços, acesso à conta, entrega de produtos, suporte ao cliente, faturamento e comunicações.
  • Para fornecer serviços de infraestrutura de identidade e fraude, Verificação de Usuário (Know Your Customer / KYC), Verificação de Negócios (Know Your Business / KYB), Monitoramento de Transações, Análise de Carteira (Know Your Transaction / KYT) e outras verificações configuradas.
  • Para proteger a plataforma, prevenir abusos, detectar spoofing, prevenir fraudes, monitorar atividades suspeitas e manter a integridade do serviço.
  • Para treinar, avaliar e melhorar modelos de detecção de fraude e verificação usando dados anonimizados ou pseudonimizados derivados da atividade de verificação, onde permitido por lei. Consulte a Seção 11 para o opt-out.
  • Para responder a solicitações, solicitações de demonstração, perguntas de suporte, solicitações de due diligence e comunicações comerciais.
  • Para gerenciar recrutamento e contratação, revisar candidaturas e comunicar-se com candidatos.
  • Para cumprir obrigações legais e regulatórias, manter registros, responder a solicitações legais, fazer cumprir contratos e realizar auditorias internas ou externas.
  • Para estabelecer, exercer ou defender reivindicações legais e proteger os direitos, a segurança e a proteção da Didit, de nossos clientes e dos indivíduos afetados.

5. Bases legais para o processamento

Onde o Regulamento Geral de Proteção de Dados (GDPR), o GDPR do Reino Unido, a lei de proteção de dados suíça ou leis semelhantes se aplicam, a Didit se baseia em uma ou mais das seguintes bases legais:

  • Execução de um contrato ou medidas tomadas a seu pedido antes de celebrar um contrato.
  • Interesses legítimos, proteger nossa plataforma, apoiar clientes, prevenir fraudes, manter registros, treinar e melhorar modelos de detecção de fraude e verificação em dados anonimizados ou pseudonimizados, e comunicar-se com contatos comerciais, desde que esses interesses não sejam anulados por seus direitos.
  • Consentimento, inclusive onde o consentimento é exigido para comunicações de marketing, certos cookies ou processamento biométrico em uma jurisdição ou fluxo de trabalho específico.
  • Obrigação legal, onde o processamento é exigido para cumprir a lei aplicável, regulamento, ordem judicial ou solicitação legal de autoridades.
  • Estabelecimento, exercício ou defesa de reivindicações legais.

Quando dados de categoria especial ou sensíveis são processados, incluindo dados biométricos usados para identificá-lo de forma única, a Didit processa esses dados apenas onde permitido pela lei aplicável. Em fluxos de verificação, o cliente relevante é responsável por determinar e documentar a base legal primária para a própria verificação, incluindo se o consentimento explícito é exigido.

6. Como divulgamos dados pessoais

Podemos divulgar dados pessoais para:

  • O cliente que nos pediu para realizar a verificação, para que o cliente possa completar a integração, revisão de fraude, verificações de conformidade ou processos comerciais relacionados.
  • Entidades do grupo Didit, quando necessário para operar, apoiar, proteger ou fornecer os serviços relevantes.
  • Provedores de serviços e suboperadores, provedores de hospedagem em nuvem, armazenamento, infraestrutura, comunicações, suporte, análise, prevenção de fraude, processamento de documentos, segurança, auditoria e serviços profissionais. Uma lista atual de suboperadores está disponível para clientes e potenciais clientes sob um Acordo de Não Divulgação (NDA) assinado, mediante solicitação para security@didit.me.
  • Consultores profissionais, advogados, auditores, seguradoras e consultores, quando necessário para fins comerciais legítimos, de conformidade ou legais.
  • Autoridades públicas, reguladores, tribunais, aplicação da lei ou outros terceiros, quando exigido por lei, processo legal ou solicitação governamental aplicável.
  • Sucessores e contrapartes de transações, se a Didit estiver envolvida em uma fusão, aquisição, financiamento, processo de insolvência ou venda de ativos, sujeito a confidencialidade e salvaguardas legais.

A Didit não vende, aluga, comercializa ou de outra forma lucra com identificadores biométricos ou informações biométricas.

7. Transferências internacionais

A Didit pode processar dados em vários países. Quando dados pessoais são transferidos para fora do Espaço Econômico Europeu, Reino Unido, Suíça ou outra jurisdição com restrições de transferência, a Didit usa salvaguardas apropriadas quando exigido, incluindo:

  • decisões de adequação;
  • as Cláusulas Contratuais Padrão (SCCs) de 2021 da Comissão Europeia e quaisquer adendos equivalentes do Reino Unido ou da Suíça;
  • acordos de transferência intragrupo; ou
  • outro mecanismo de transferência legal reconhecido pela lei aplicável.

8. Retenção

A Didit retém dados pessoais pelo tempo razoavelmente necessário para os fins descritos nesta Política de Privacidade, incluindo para:

  • fornecer e apoiar os serviços relevantes;
  • seguir as instruções do cliente em relacionamentos de processamento;
  • cumprir obrigações contratuais, legais, fiscais, contábeis e regulatórias;
  • manter registros de segurança e prevenção de fraude;
  • resolver disputas; e
  • estabelecer, exercer ou defender reivindicações legais.

Os períodos de retenção variam por serviço, configuração do fluxo de trabalho, lei aplicável e o papel que a Didit desempenha no processamento:

  • Dados de relacionamento comercial são tipicamente retidos pela duração do relacionamento e por períodos de manutenção de registros pós-término legais.
  • Registros de suporte e auditoria podem ser retidos para fins operacionais, de segurança e conformidade.
  • Dados de recrutamento são retidos para o processo de recrutamento e qualquer período de acompanhamento legal, ou por mais tempo se você consentir separadamente.
  • Dados de verificação, a retenção padrão é indefinida ("ilimitada"), a menos que o cliente configure um período mais curto. Os clientes configuram a retenção por aplicativo no Business Console entre 30 dias e 10 anos, ou acionam uma exclusão por sessão a qualquer momento através do endpoint da API `POST /v3/sessions/:session_id/delete/`. Os usuários finais também podem exercer direitos de exclusão conforme descrito na Seção 9. A retenção de dados biométricos está em todos os casos sujeita e limitada pelas leis e regulamentos de privacidade biométrica aplicáveis, incluindo o Artigo 9 do Regulamento Geral de Proteção de Dados (GDPR) da UE, a Lei de Privacidade de Informações Biométricas de Illinois (BIPA), a Lei de Captura ou Uso de Identificador Biométrico do Texas (CUBI), a H.B. 1493 de Washington e qualquer outra lei de privacidade biométrica aplicável; onde tal lei prescreve um período de retenção mais curto ou uma obrigação de destruição anterior, essa regra mais curta ou mais rigorosa prevalece sobre qualquer período de retenção padrão ou configurado pelo cliente.

Quando os dados não são mais necessários, a Didit os exclui, redige, anonimiza, desidentifica ou destrói com segurança. Para dados biométricos e mídias de verificação, consulte o Aviso de Privacidade de Verificação.

9. Seus direitos

Dependendo da sua localização e da lei aplicável, você pode ter o direito de:

  • acessar seus dados pessoais;
  • solicitar a correção de dados imprecisos ou incompletos;
  • solicitar a exclusão ou apagamento;
  • solicitar a restrição do processamento;
  • opor-se a certos processamentos, incluindo o processamento com base em interesses legítimos (consulte a Seção 11 para o opt-out de treinamento de modelo e detecção de fraude);
  • retirar o consentimento onde o processamento é baseado no consentimento;
  • solicitar a portabilidade dos dados que você forneceu;
  • não ser sujeito a uma decisão baseada unicamente em processamento automatizado, incluindo perfilagem, que produza efeitos legais ou significativamente semelhantes, sujeito às condições e exceções do Artigo 22 do GDPR; e
  • apresentar uma reclamação a uma autoridade supervisora. A autoridade supervisora principal da Didit é a Agência Espanhola de Proteção de Dados (Agencia Española de Protección de Datos / AEPD) em `aepd.es`.

Quando a Didit atua como controladora, envie solicitações de privacidade para privacy@didit.me ou dpo@didit.me.

Quando a Didit atua como operadora ou provedora de serviços para um fluxo de verificação de cliente, direcione sua solicitação à organização que pediu para você verificar. Esse cliente controla a finalidade da verificação e está mais bem posicionado para responder. Se a Didit receber tal solicitação diretamente, podemos encaminhá-la ao cliente relevante.

10. Cookies e tecnologias semelhantes

A Didit usa cookies e tecnologias semelhantes em seus sites para funcionalidade, segurança, análise e atribuição. Leia nossa Política de Cookies para o inventário completo, os controles do banner de consentimento e nossa postura de Controle Global de Privacidade (GPC) e Não Rastrear (DNT).

11. Treinamento de modelo anonimizado e detecção de fraude, seu opt-out

A Didit treina, avalia e aprimora seus modelos de verificação de identidade, biométricos e de detecção de fraude, e opera salvaguardas de prevenção de fraude entre clientes, usando dados anonimizados ou pseudonimizados derivados da atividade de verificação (por exemplo: características de documentos, sinais de fraude, padrões de ataque, amostras de erro de modelo). A Didit aplica anonimização, pseudonimização, agregação e controles de acesso para que os dados usados para treinamento e detecção de fraude não possam ser razoavelmente vinculados a um indivíduo identificável fora do registro de verificação subjacente.

Este processamento é baseado no interesse legítimo da Didit em:

  • melhorar a precisão e a segurança da infraestrutura de identidade e fraude usada por todos os clientes;
  • detectar e prevenir fraudes, ataques de roubo de identidade, deepfakes e tentativas repetidas de invasores conhecidos; e
  • atender às expectativas regulatórias em relação ao desempenho, imparcialidade e segurança do modelo.

Opt-out. Um cliente ou usuário final pode optar por não ter seus dados incluídos no treinamento de modelo e no processamento de detecção de fraude por:

  • excluir o registro de verificação subjacente via API ou Business Console (a exclusão remove o registro dos pipelines de treinamento no próximo ciclo de atualização), ou
  • enviar um e-mail para privacy@didit.me com o identificador de sessão ou conta relevante, solicitando um opt-out.

Os opt-outs se aplicam prospectivamente a partir da data da solicitação; a Didit também fará esforços comercialmente razoáveis para remover registros elegíveis de conjuntos de dados de treinamento ativos.

12. Estados Unidos, Adendo da Lei de Privacidade do Consumidor da Califórnia (CCPA) / Lei de Direitos de Privacidade da Califórnia (CPRA)

Esta seção complementa esta Política de Privacidade para residentes da Califórnia e se aplica sempre que a Didit for uma "empresa" sob a Lei de Privacidade do Consumidor da Califórnia (CCPA), conforme alterada pela Lei de Direitos de Privacidade da Califórnia (CPRA). Quando a Didit é uma "provedora de serviços" ou "contratada" para um cliente da Didit (uma "empresa" sob a CCPA), o aviso de privacidade do cliente rege o fluxo de verificação relevante e a Didit processa informações pessoais sob o Acordo de Processamento de Dados relevante.

Categorias de informações pessoais coletadas nos últimos 12 meses (categorias CCPA):

  • Identificadores (nome, e-mail, telefone, endereço IP, identificadores de dispositivo).
  • Registros de clientes (faturamento, contato, conta).
  • Atividade de internet ou rede (navegação, interações, telemetria).
  • Dados de geolocalização (inferidos do IP).
  • Dados sensoriais (selfies, imagens faciais, vídeo de vivacidade, imagens de documentos).
  • Dados profissionais ou de emprego (para candidatos).
  • Informações pessoais sensíveis (SPI), incluindo informações biométricas usadas para identificar exclusivamente um consumidor, identificadores governamentais contidos em documentos de identidade e credenciais de login de conta.
  • Inferências tiradas de qualquer um dos itens acima (pontuações de risco, sinais de fraude, resultados de decisão).

Finalidades, as finalidades listadas na Seção 4.

Venda ou compartilhamento de informações pessoais. A Didit não vende ou compartilha (conforme esses termos são definidos sob a CCPA/CPRA) informações pessoais, incluindo informações biométricas.

Uso e divulgação de informações pessoais sensíveis. A Didit usa informações pessoais sensíveis apenas para os fins permitidos pelo Código Civil da Califórnia § 1798.121(a) e os regulamentos de implementação, para fornecer e proteger o serviço de verificação, prevenir fraudes e incidentes de segurança, cumprir obrigações legais e outros fins permitidos sem um direito separado do consumidor de limitar.

Seus direitos na Califórnia:

  • direito de saber quais informações pessoais são coletadas, usadas, divulgadas e vendidas/compartilhadas;
  • direito de excluir informações pessoais;
  • direito de corrigir informações pessoais imprecisas;
  • direito de optar por não vender ou compartilhar (a Didit não faz nenhum dos dois);
  • direito de limitar o uso e a divulgação de informações pessoais sensíveis (o processamento da Didit já é limitado a fins que não acionam o direito);
  • direito à portabilidade de dados; e
  • direito à não discriminação por exercer qualquer um dos itens acima.

Envie solicitações da Califórnia para privacy@didit.me. A verificação de sua identidade pode ser exigida antes de responder. Agentes autorizados podem enviar solicitações com prova de autorização.

Controle Global de Privacidade (GPC) e Não Rastrear (DNT). A Didit respeita os sinais de Controle Global de Privacidade baseados em navegador no site de marketing como um opt-out de venda ou compartilhamento, embora a Didit não venda ou compartilhe informações pessoais, os sinais GPC são registrados para que nenhum cookie de publicidade ou análise que possa ser interpretado como compartilhamento seja definido para esse navegador. A Didit atualmente não responde a cabeçalhos legados de Não Rastrear (DNT) porque não há consenso da indústria sobre como interpretá-los; o sinal GPC substitui o DNT para os propósitos da Didit.

13. Segurança

A Didit usa salvaguardas administrativas, técnicas e organizacionais projetadas para proteger dados pessoais contra acesso não autorizado, perda, uso indevido, alteração e destruição ilegal, incluindo criptografia em repouso com AES-256, criptografia em trânsito com TLS 1.3, gerenciamento de chaves no AWS KMS, controle de acesso baseado em função, separação de ambiente, monitoramento contínuo, supervisão de fornecedores e procedimentos de resposta a incidentes. Consulte a Política de Segurança da Informação para a postura e certificações completas.

Nenhuma medida de segurança é perfeita. Você também deve proteger seus próprios dispositivos, credenciais e comunicações.

14. Crianças

Os sites públicos e os serviços comerciais padrão da Didit não são direcionados a crianças. Alguns clientes podem usar legalmente a Didit para verificações relacionadas à idade ou identidade envolvendo usuários mais jovens, mas esse uso deve ser apoiado por uma base legal apropriada e pelos próprios avisos do cliente. Se você acredita que dados pessoais foram enviados à Didit sem a devida autorização, entre em contato com privacy@didit.me.

15. Alterações a esta Política de Privacidade

Podemos atualizar esta Política de Privacidade periodicamente para refletir mudanças legais, técnicas, operacionais ou de produto. A data efetiva no topo da política reflete a última atualização. Alterações materiais serão comunicadas quando exigido por lei.

16. Contato

Didit Identity Spain, S.L., CIF B22929327 · Calle Nápoles 227, P. 1, 08013 Barcelona, Espanha
Didit Identity, Inc., EIN 39-2860573 · 1111B S Governors Ave STE 34855, Dover, Delaware 19904, Estados Unidos
© 2026 Didit · legal@didit.me · privacy@didit.me · security@didit.me · didit.me/terms/privacy-policy

Tem dúvidas sobre um documento específico?

Envie um e-mail para legal@didit.me, privacy@didit.me ou security@didit.me, ou fale conosco pelo WhatsApp. Nós te direcionamos para o contato certo.

Fale conosco
Peça para uma IA resumir esta página