Skip to main content
Didit levanta US$ 7,5 milhões para construir a infraestrutura para identidade e fraude
Didit
Didit
Aviso de Privacidade de Verificação
Atualizado em 16 de maio de 2026 · didit.me/terms/verification-privacy-notice
Legal

Aviso de Privacidade de Verificação

Atualizado: 16 de maio de 2026

Nesta página

Este Aviso de Privacidade de Verificação explica como a Didit processa dados pessoais, incluindo dados biométricos, quando a Didit fornece um fluxo de trabalho de verificação de identidade, prevenção de fraude, autenticação ou conformidade em nome de um de seus clientes.

Este aviso complementa nossa Política de Privacidade e nossos Termos de Uso para Verificação de Identidade.

1. Escopo

Este aviso se aplica quando você interage com um fluxo de verificação, página hospedada, SDK, jornada baseada em API, fluxo mobile ou experiência white-label alimentada pela Didit para um Cliente.

Ele abrange o processamento de:

  • dados de identidade e contato;
  • documentos e arquivos que você envia;
  • selfies, imagens faciais, vídeos e capturas de vivacidade;
  • dados biométricos derivados dessas submissões;
  • telemetria de dispositivo, IP, localização e antifraude;
  • resultados de verificação, sinais de risco e registros de auditoria; e
  • registros de suporte, conformidade e segurança relacionados à sessão de verificação.

2. Quem são as partes e quais são seus papéis?

PartePapel típicoO que isso significa
ClienteControlador / EmpresaO Cliente decide por que sua verificação é necessária, quais verificações são habilitadas e como o resultado é usado.
DiditProcessador / Provedor de ServiçoA Didit fornece a tecnologia de verificação e processa dados em nome do Cliente para realizar as verificações configuradas.
DiditControlador independente para fins limitadosA Didit pode processar dados limitados para segurança, prevenção de abuso, conformidade legal, registro de auditoria e reivindicações legais.

Se a jornada de verificação for white-label ou usar um domínio personalizado, a Didit ainda pode ser o provedor de tecnologia processando seus dados por trás da interface de marca.

3. Categorias de dados usados na verificação

Dependendo do fluxo de trabalho configurado, a Didit pode processar:

  • Dados de identidade, como nome, data de nascimento, endereço, número de telefone, e-mail, nacionalidade e outros detalhes de identificação.
  • Dados de documentos, como passaportes, carteiras de identidade, permissões de residência, carteiras de motorista, comprovantes de endereço e dados extraídos desses materiais.
  • Dados biométricos e de vivacidade, como imagens faciais, imagens de selfie, vídeos, capturas de vivacidade, sinais anti-spoofing e dados derivados de varreduras de geometria facial usados para comparar seu rosto com o documento de identidade ou para confirmar que uma pessoa real está presente.
  • Dados técnicos e de prevenção de fraude, como endereço IP, navegador, dados do dispositivo, carimbos de data/hora, dados de sessão, geolocalização inferida de dados de rede e sinais de integridade ou risco semelhantes.
  • Dados de questionário e fluxo de trabalho, como declarações, respostas, arquivos carregados, registros de consentimento e transições de status.
  • Resultados de verificação, como pontuações de correspondência, avisos, indicadores de fraude, resultados de revisão e evidências de auditoria.

4. Finalidades do processamento

A Didit pode processar os dados acima para:

  • verificar identidade e autenticar uma pessoa;
  • verificar a autenticidade e integridade do documento;
  • detectar spoofing, manipulação, fraude ou abuso;
  • cumprir requisitos legais, regulatórios, de sanções, Anti-Lavagem de Dinheiro (AML), Conheça Seu Cliente (KYC) e gerenciamento de riscos configurados pelo Cliente;
  • proteger o fluxo de verificação e a infraestrutura subjacente;
  • apoiar processos de revisão manual, reenvio, escalonamento e auditoria;
  • responder a solicitações legais e defender reivindicações legais; e
  • manter a integridade do serviço, solucionar incidentes e realizar monitoramento de qualidade e segurança.

Onde a lei permitir e controles apropriados estiverem em vigor, a Didit também pode usar dados de verificação anonimizados ou pseudonimizados para testes de serviço, garantia de qualidade, treinamento e validação de modelos de fraude e melhoria de segurança. Onde um aviso separado, consentimento ou base legal adicional for exigido para um uso secundário, a Didit o obterá ou se absterá desse uso.

Você (ou o Cliente em seu nome) pode optar por não participar deste processamento anonimizado/pseudonimizado (a) excluindo o registro de verificação subjacente por meio do aplicativo do Cliente ou por meio da API ou Business Console da Didit, ou (b) enviando um e-mail para privacy@didit.me com o identificador de sessão ou conta relevante. As exclusões se aplicam prospectivamente a partir da data da solicitação; a Didit também fará esforços comercialmente razoáveis para remover registros elegíveis de conjuntos de dados de treinamento ativos.

5. Como a Didit lida com dados biométricos

Para os fins deste aviso, dados biométricos incluem dados derivados de varreduras de geometria facial ou características biométricas semelhantes extraídas de imagens ou vídeo, onde esses dados são usados para verificar identidade, confirmar vivacidade ou prevenir fraudes.

Quando um fluxo de trabalho inclui verificação facial ou de vivacidade, a Didit pode:

  • capturar ou receber imagens de selfie, imagens faciais e/ou vídeo;
  • extrair características faciais dessas submissões e do retrato em seu documento de identidade;
  • comparar esses sinais para verificar se a pessoa que apresenta o documento é a mesma pessoa mostrada no documento;
  • analisar indicadores de vivacidade e anti-spoofing para confirmar que uma pessoa real está presente; e
  • gerar resultados de verificação, indicadores de confiança e sinais de fraude ou revisão.

A Didit:

  • usa dados biométricos apenas para os fins legais descritos neste aviso, nas instruções do Cliente e na lei aplicável;
  • aplica salvaguardas projetadas para dados sensíveis, incluindo controles de acesso, monitoramento e práticas de manuseio seguro;
  • não vende, aluga, comercializa ou de outra forma lucra com identificadores biométricos ou informações biométricas; e
  • espera que os Clientes que usam jornadas de API ou white-label divulguem claramente a Didit como provedor de verificação e obtenham qualquer aviso ou consentimento exigido por lei antes do início da captura biométrica.

6. Divulgações adicionais de privacidade biométrica nos EUA

Se você estiver localizado em Illinois, Texas, Washington ou outra jurisdição com requisitos de privacidade biométrica, os seguintes pontos adicionais são importantes:

  • Dados biométricos podem incluir dados derivados de varreduras de geometria facial, imagens de selfie, vídeo de vivacidade ou mídia de verificação de identidade semelhante.
  • Você pode ser solicitado a fornecer consentimento eletrônico ou escrito explícito antes que os dados biométricos sejam capturados ou carregados.
  • O Cliente deve identificar a Didit como provedor ou processador de verificação ao apresentar os avisos exigidos em jornadas white-label ou baseadas em API.
  • A Didit usa dados biométricos para realizar verificação de identidade, vivacidade, anti-spoofing, prevenção de fraude, segurança e operações de conformidade relacionadas solicitadas pelo Cliente.
  • A Didit retém dados biométricos apenas pelo tempo necessário para fornecer o serviço, seguir as instruções legais do Cliente, cumprir obrigações legais, resolver disputas ou defender reivindicações, e em nenhum caso por mais tempo do que a lei aplicável permite.
  • A Didit usa um padrão razoável de cuidado projetado para dados sensíveis e não vende, aluga, comercializa ou de outra forma lucra com identificadores biométricos ou informações biométricas.

Se uma jurisdição exigir um período de retenção mais curto, um cronograma público separado ou divulgações adicionais, a Didit e o Cliente aplicarão o requisito mais curto ou mais rigoroso que rege o fluxo de verificação relevante.

Outras jurisdições com requisitos de privacidade biométrica. Os pontos acima se aplicam, com os ajustes apropriados, a qualquer outro estado, província, país ou jurisdição com requisitos de privacidade biométrica, incluindo (sem limitação) o tratamento de informações pessoais sensíveis pelo California Consumer Privacy Act (CCPA) / California Privacy Rights Act (CPRA), o Colorado Privacy Act (CPA), o Virginia Consumer Data Protection Act (VCDPA), o Connecticut Data Privacy Act (CTDPA), o Utah Consumer Privacy Act (UCPA), as propostas de privacidade biométrica de Nova York, a estrutura do Artigo 9 do Regulamento Geral de Proteção de Dados (GDPR) da União Europeia para dados biométricos, o GDPR do Reino Unido e a Lei de Proteção de Dados de 2018, a Lei Federal Suíça de Proteção de Dados (FADP), o Personal Information Protection and Electronic Documents Act (PIPEDA) do Canadá e a Lei 25 de Quebec, a Lei Geral de Proteção de Dados (LGPD) do Brasil e qualquer futura lei de privacidade biométrica que se aplique ao fluxo de verificação relevante.

7. Divulgações e provedores de serviços

A Didit pode divulgar dados relacionados à verificação para:

  • o Cliente que solicitou sua verificação;
  • entidades do grupo Didit envolvidas na entrega, suporte ou segurança do serviço;
  • provedores de hospedagem, armazenamento em nuvem, comunicações, identidade, fraude, análise, auditoria, segurança e serviços profissionais;
  • reguladores, tribunais, autoridades policiais ou autoridades públicas, quando legalmente exigido; e
  • contrapartes de transação em uma fusão, aquisição, reestruturação ou transferência de ativos, sujeitas a salvaguardas legais.

Os destinatários exatos dependem do serviço, região, configuração do fluxo de trabalho e requisitos legais.

8. Transferências internacionais

Os dados de verificação podem ser processados em países diferentes do país em que você iniciou o fluxo de verificação. Quando exigido por lei, a Didit aplica salvaguardas de transferência apropriadas, como decisões de adequação, cláusulas contratuais padrão ou outros mecanismos legais reconhecidos.

9. Retenção e destruição

Retenção padrão. O período de retenção padrão para dados de verificação é indefinido ("ilimitado"), a menos que o Cliente configure um período mais curto ou você exerça um direito de exclusão. Os Clientes podem configurar a retenção por aplicativo no Business Console entre 30 dias e 10 anos e podem excluir qualquer sessão de verificação individual a qualquer momento. Você também pode exercer os direitos de exclusão conforme descrito na Seção 11. A retenção de dados biométricos está em todos os casos sujeita e limitada pelas leis e regulamentos de privacidade biométrica aplicáveis, incluindo o Artigo 9 do Regulamento Geral de Proteção de Dados (GDPR) da UE, o Illinois Biometric Information Privacy Act (BIPA), o Texas Capture or Use of Biometric Identifier Act (CUBI), Washington H.B. 1493 e qualquer outra lei de privacidade biométrica aplicável; onde tal lei prescrever um período de retenção mais curto ou uma obrigação de destruição anterior, essa regra mais curta ou mais rigorosa prevalece sobre qualquer período de retenção padrão ou configurado pelo Cliente.

Em todos os casos, a Didit retém os dados de verificação, incluindo dados biométricos, de acordo com:

  • as instruções documentadas do Cliente e as configurações de retenção configuradas (mínimo de 30 dias, máximo de 10 anos, ou ilimitado se o Cliente não tiver diminuído o limite);
  • obrigações contratuais, regulatórias, de auditoria e legais aplicáveis;
  • necessidades de prevenção de fraude, segurança e resolução de disputas; e
  • a regra de retenção mais curta ou mais rigorosa exigida pela lei aplicável, que sempre prevalece.

Quando os dados relevantes não forem mais necessários, a Didit os exclui, redige, anonimiza, desidentifica ou destrói com segurança.

Para dados biométricos, a Didit visa garantir que os identificadores biométricos e as informações biométricas sejam excluídos, desidentificados ou destruídos com segurança quando:

  • a finalidade original da verificação tiver sido satisfeita;
  • o período de retenção aplicável expirar;
  • o Cliente instruir legalmente a exclusão; ou
  • a lei aplicável exigir a destruição anterior.

10. Processamento automatizado e revisão humana

A Didit pode usar sistemas automatizados para revisar a integridade do documento, vivacidade, correspondência facial, indicadores de fraude e outros sinais de verificação. Algumas sessões também podem ser encaminhadas para revisão humana, garantia de qualidade ou escalonamento, dependendo do fluxo de trabalho e da configuração de risco do Cliente.

Exceto onde um serviço específico declare o contrário, o Cliente permanece responsável por como usa o resultado da verificação em sua própria tomada de decisão de negócios.

11. Direitos e solicitações

Se você deseja acessar, corrigir, excluir, restringir, se opor ou exercer outros direitos sobre dados processados em uma sessão de verificação específica, geralmente deve entrar em contato com o Cliente primeiro. O Cliente geralmente determina o objetivo principal da verificação e é o melhor ponto de contato para direitos vinculados a essa relação.

Se a Didit receber uma solicitação diretamente em um contexto de processador, a Didit poderá encaminhar ou redirecionar a solicitação ao Cliente relevante, quando apropriado. Se a Didit atuar como um controlador independente para uma finalidade de processamento limitada, você também pode entrar em contato com privacy@didit.me ou com o Encarregado de Proteção de Dados da Didit em dpo@didit.me.

Você também pode apresentar uma reclamação a uma autoridade supervisora. A autoridade supervisora principal da Didit é a Agência Espanhola de Proteção de Dados (Agencia Española de Protección de Datos / AEPD) em `aepd.es`. Você também pode apresentar uma reclamação à sua autoridade local de proteção de dados.

12. Segurança

A Didit utiliza salvaguardas técnicas, organizacionais e administrativas projetadas para proteger os dados de verificação, incluindo dados sensíveis e biométricos. Essas salvaguardas podem incluir criptografia, controles de acesso, separação de ambientes, registro, monitoramento e procedimentos de resposta a incidentes.

13. Crianças

A Didit não pretende que este aviso de verificação autorize a coleta ilegal de dados de crianças. Se um fluxo de verificação for usado para verificações relacionadas à idade ou à juventude, o Cliente deve garantir uma base legal, avisos apropriados e quaisquer permissões parentais ou de tutores exigidas.

14. Alterações a este aviso

A Didit pode atualizar este Aviso de Privacidade de Verificação periodicamente para refletir mudanças legais, operacionais ou de produtos. Quando o fizermos, atualizaremos a data efetiva no topo deste aviso.

15. Contato

Se você tiver dúvidas sobre este aviso, entre em contato:

Didit Identity Spain, S.L., CIF B22929327 · Calle Nápoles 227, P. 1, 08013 Barcelona, Espanha
Didit Identity, Inc., EIN 39-2860573 · 1111B S Governors Ave STE 34855, Dover, Delaware 19904, Estados Unidos
© 2026 Didit · legal@didit.me · privacy@didit.me · security@didit.me · didit.me/terms/verification-privacy-notice

Tem dúvidas sobre um documento específico?

Envie um e-mail para legal@didit.me, privacy@didit.me ou security@didit.me, ou fale conosco pelo WhatsApp. Nós te direcionamos para o contato certo.

Fale conosco
Peça para uma IA resumir esta página