Skip to main content
Didit angaria 7,5 milhões de dólares para construir a infraestrutura para identidade e fraude
Didit
Didit
Política de Privacidade
Atualizado a 16 de maio de 2026 · didit.me/terms/privacy-policy
Legal

Política de Privacidade

Atualizado: 16 de maio de 2026

Nesta página

Esta Política de Privacidade explica como a Didit processa dados pessoais quando visita os nossos websites, nos contacta, utiliza os nossos produtos e serviços, ou completa um fluxo de verificação de identidade ou fraude alimentado pela Didit.

Se estiver a verificar a sua identidade para um banco, fintech, plataforma de criptomoedas, marketplace, empregador ou outra organização que utilize a Didit, essa organização é a parte que decide por que razão a verificação é necessária. Nesses casos, é o controlador ou negócio, e a Didit atua como seu processador ou prestador de serviços. Para processamento específico de verificação, dados biométricos e fluxos de marca branca, leia o nosso Aviso de Privacidade de Verificação e os Termos de Utilizador Final para Verificação de Identidade.

1. Quem somos

Dependendo do serviço e da geografia, os seus dados podem ser processados por uma ou ambas as seguintes entidades Didit:

  • Didit Identity Spain, S.L., CIF B22929327, Calle Nápoles 227, P. 1, 08013 Barcelona, Espanha. Entidade contratante para clientes da União Europeia, Reino Unido, Espaço Económico Europeu, Suíça e América Latina e o estabelecimento que opera o plano de dados europeu.
  • Didit Identity, Inc., EIN 39-2860573, 1111B S Governors Ave STE 34855, Dover, Delaware 19904, Estados Unidos. Entidade contratante para clientes dos Estados Unidos, Canadá, Ásia-Pacífico, Médio Oriente e globais.

Quando dizemos "Didit", "nós", ou "nosso(a)", referimo-nos à entidade ou entidades Didit que fornecem o serviço aplicável.

2. Âmbito e o nosso papel

Esta Política de Privacidade aplica-se quando:

  • visita `didit.me` ou qualquer website operado pela Didit;
  • solicita informações, uma demonstração ou suporte;
  • cria ou gere uma relação comercial, conta ou integração Didit;
  • candidata-se a um cargo na Didit; ou
  • utiliza um fluxo de verificação, prevenção de fraude, autenticação ou conformidade operado por ou através da Didit.

O nosso papel muda dependendo do contexto:

ContextoPapel da DiditO que isso significa
Visitantes do website, marketing, recrutamento, vendas, suporte e relações comerciais diretasControladorA Didit decide por que e como os dados são processados para essas interações diretas.
Fluxos de verificação solicitados por um cliente DiditProcessador / Prestador de ServiçosO cliente decide por que a verificação acontece e quais as verificações que são ativadas. A Didit processa dados em nome do cliente.
Segurança, prevenção de abuso, integridade do serviço, registo de auditoria, conformidade legal, formação e validação de modelos de fraude em dados anonimizados ou pseudonimizados, e reclamações legaisControlador independente para esse fim específicoA Didit pode processar dados limitados para proteger a plataforma, treinar e melhorar os modelos de deteção de fraude e verificação, cumprir a lei e estabelecer, exercer ou defender reclamações legais.

Se estiver num fluxo de verificação de marca branca ou num domínio personalizado, a marca personalizada não significa necessariamente que apenas a empresa com a marca processa os seus dados. A Didit pode ainda fornecer a tecnologia de verificação subjacente e o processamento relacionado.

3. Categorias de dados pessoais que processamos

As categorias de dados que processamos dependem do serviço, da configuração do fluxo de trabalho e da sua relação com a Didit. Podem incluir:

  • Identificadores e dados de contacto, nome, endereço de email, número de telefone, endereço postal, data de nascimento e informações de identificação semelhantes.
  • Dados comerciais e de conta, nome da empresa, informações de faturação, credenciais de conta, detalhes de utilização da API e registos da sua relação com a Didit.
  • Dados de verificação, imagens de documentos de identidade, dados de documentos extraídos, ficheiros de comprovativo de morada, respostas a questionários, entradas de rastreio de sanções ou listas de vigilância e resultados de verificação.
  • Dados biométricos e de vivacidade, onde o fluxo de trabalho inclui verificação facial ou verificações semelhantes, selfies, imagens faciais, vídeos, capturas de vivacidade, sinais anti-spoofing e dados derivados de digitalizações de geometria facial.
  • Dados de dispositivo, rede e técnicos, endereço IP, tipo de navegador, sistema operativo, idioma, identificadores de dispositivo, carimbos de data/hora, geolocalização inferida de dados de rede e outra telemetria de segurança ou antifraude.
  • Dados de comunicações e suporte, mensagens, tickets de suporte, registos de chamadas, trocas de email e registos operacionais.
  • Dados de terceiros e de fontes públicas, informações fornecidas pelos nossos clientes, parceiros de identidade ou prevenção de fraude, autoridades públicas, fornecedores de telecomunicações e fontes publicamente disponíveis onde permitido por lei.
  • Dados de recrutamento, CVs, histórico de emprego e outros materiais submetidos durante a contratação.

Não precisamos de todas as categorias listadas acima para cada interação. Os dados exatos utilizados dependem dos serviços solicitados e da configuração selecionada pelo cliente relevante.

4. Como usamos os dados pessoais

Podemos usar dados pessoais para os seguintes fins:

  • Para operar os nossos websites e serviços, acesso à conta, entrega de produtos, suporte ao cliente, faturação e comunicações.
  • Para fornecer serviços de infraestrutura de identidade e fraude, Verificação de Utilizador (Know Your Customer / KYC), Verificação de Negócios (Know Your Business / KYB), Monitorização de Transações, Rastreio de Carteiras (Know Your Transaction / KYT) e outras verificações configuradas.
  • Para proteger a plataforma, prevenir abusos, detetar spoofing, prevenir fraudes, monitorizar atividades suspeitas e manter a integridade do serviço.
  • Para treinar, avaliar e melhorar modelos de deteção de fraude e verificação usando dados anonimizados ou pseudonimizados derivados da atividade de verificação, onde permitido por lei. Consulte a Secção 11 para a opção de exclusão.
  • Para responder a pedidos, pedidos de demonstração, questões de suporte, pedidos de due diligence e comunicações comerciais.
  • Para gerir o recrutamento e a contratação, rever candidaturas e comunicar com os candidatos.
  • Para cumprir obrigações legais e regulamentares, manter registos, responder a pedidos legais, fazer cumprir contratos e realizar auditorias internas ou externas.
  • Para estabelecer, exercer ou defender reclamações legais e proteger os direitos, segurança e proteção da Didit, dos nossos clientes e dos indivíduos afetados.

5. Bases legais para o processamento

Onde o Regulamento Geral sobre a Proteção de Dados (RGPD), o RGPD do Reino Unido, a lei de proteção de dados suíça ou leis semelhantes se aplicam, a Didit baseia-se numa ou mais das seguintes bases legais:

  • Execução de um contrato ou medidas tomadas a seu pedido antes de celebrar um contrato.
  • Interesses legítimos, proteger a nossa plataforma, apoiar os clientes, prevenir fraudes, manter registos, treinar e melhorar modelos de deteção de fraude e verificação em dados anonimizados ou pseudonimizados, e comunicar com contactos comerciais, desde que esses interesses não sejam anulados pelos seus direitos.
  • Consentimento, incluindo onde o consentimento é exigido para comunicações de marketing, certos cookies ou processamento biométrico numa jurisdição ou fluxo de trabalho específico.
  • Obrigação legal, onde o processamento é exigido para cumprir a lei aplicável, regulamento, ordem judicial ou pedido legal de autoridades.
  • Estabelecimento, exercício ou defesa de reclamações legais.

Onde dados de categoria especial ou sensíveis são processados, incluindo dados biométricos usados para o identificar de forma única, a Didit processa esses dados apenas onde permitido pela lei aplicável. Nos fluxos de verificação, o cliente relevante é responsável por determinar e documentar a base legal primária para a própria verificação, incluindo se o consentimento explícito é necessário.

6. Como divulgamos dados pessoais

Podemos divulgar dados pessoais a:

  • O cliente que nos pediu para realizar a verificação, para que o cliente possa concluir a integração, revisão de fraude, verificações de conformidade ou processos comerciais relacionados.
  • Entidades do grupo Didit, quando necessário para operar, apoiar, proteger ou fornecer os serviços relevantes.
  • Prestadores de serviços e subcontratados, fornecedores de alojamento na cloud, armazenamento, infraestrutura, comunicações, suporte, análise, prevenção de fraude, processamento de documentos, segurança, auditoria e serviços profissionais. Uma lista atual de subcontratados está disponível para clientes e potenciais clientes sob um Acordo de Não Divulgação (NDA) assinado, mediante pedido para security@didit.me.
  • Consultores profissionais, advogados, auditores, seguradoras e consultores, quando necessário para fins comerciais legítimos, de conformidade ou legais.
  • Autoridades públicas, reguladores, tribunais, autoridades policiais ou outros terceiros, quando exigido por lei, processo legal ou pedido governamental aplicável.
  • Sucessores e contrapartes de transações, se a Didit estiver envolvida numa fusão, aquisição, financiamento, processo de insolvência ou venda de ativos, sujeito a confidencialidade e salvaguardas legais.

A Didit não vende, aluga, comercializa ou lucra de outra forma com identificadores biométricos ou informações biométricas.

7. Transferências internacionais

A Didit pode processar dados em vários países. Quando os dados pessoais são transferidos para fora do Espaço Económico Europeu, Reino Unido, Suíça ou outra jurisdição com restrições de transferência, a Didit utiliza salvaguardas apropriadas quando exigido, incluindo:

  • decisões de adequação;
  • as Cláusulas Contratuais Padrão (SCCs) de 2021 da Comissão Europeia e quaisquer adendas equivalentes do Reino Unido ou da Suíça;
  • acordos de transferência intragrupo; ou
  • outro mecanismo de transferência legal reconhecido pela lei aplicável.

8. Retenção

A Didit retém dados pessoais pelo tempo razoavelmente necessário para os fins descritos nesta Política de Privacidade, incluindo para:

  • fornecer e apoiar os serviços relevantes;
  • seguir as instruções do cliente em relações de processamento;
  • cumprir obrigações contratuais, legais, fiscais, contabilísticas e regulamentares;
  • manter registos de segurança e prevenção de fraude;
  • resolver disputas; e
  • estabelecer, exercer ou defender reclamações legais.

Os períodos de retenção variam consoante o serviço, a configuração do fluxo de trabalho, a lei aplicável e o papel que a Didit desempenha no processamento:

  • Os dados da relação comercial são tipicamente retidos durante a duração da relação e por períodos legais de manutenção de registos pós-terminação.
  • Os registos de suporte e auditoria podem ser retidos para fins operacionais, de segurança e de conformidade.
  • Os dados de recrutamento são retidos para o processo de recrutamento e qualquer período de acompanhamento legal, ou por mais tempo se consentir separadamente.
  • Dados de verificação, a retenção padrão é indefinida ("ilimitada"), a menos que o cliente configure um período mais curto. Os clientes configuram a retenção por aplicação na Consola de Negócios entre 30 dias e 10 anos, ou acionam uma eliminação por sessão a qualquer momento através do endpoint da API `POST /v3/sessions/:session_id/delete/`. Os utilizadores finais também podem exercer os direitos de eliminação conforme descrito na Secção 9. A retenção de dados biométricos está em todos os casos sujeita e limitada pelas leis e regulamentos de privacidade biométrica aplicáveis, incluindo o Artigo 9 do Regulamento Geral de Proteção de Dados (RGPD) da UE, a Lei de Privacidade de Informações Biométricas de Illinois (BIPA), a Lei de Captura ou Uso de Identificador Biométrico do Texas (CUBI), a H.B. 1493 de Washington e qualquer outra lei de privacidade biométrica aplicável; onde tal lei prescreve um período de retenção mais curto ou uma obrigação de destruição anterior, essa regra mais curta ou mais rigorosa prevalece sobre qualquer período de retenção padrão ou configurado pelo cliente.

Quando os dados já não são necessários, a Didit elimina, redige, anonimiza, desidentifica ou destrói-os de forma segura. Para dados biométricos e meios de verificação, consulte o Aviso de Privacidade de Verificação.

9. Os seus direitos

Dependendo da sua localização e da lei aplicável, poderá ter o direito de:

  • aceder aos seus dados pessoais;
  • solicitar a correção de dados imprecisos ou incompletos;
  • solicitar a eliminação ou apagamento;
  • solicitar a restrição do processamento;
  • opor-se a determinado processamento, incluindo o processamento com base em interesses legítimos (consulte a Secção 11 para a opção de exclusão de formação de modelos e deteção de fraude);
  • retirar o consentimento onde o processamento se baseia no consentimento;
  • solicitar a portabilidade dos dados que forneceu;
  • não ser sujeito a uma decisão baseada unicamente no tratamento automatizado, incluindo a definição de perfis, que produza efeitos jurídicos ou efeitos significativamente semelhantes, sujeito às condições e exceções do Artigo 22 do RGPD; e
  • apresentar uma reclamação a uma autoridade de controlo. A autoridade de controlo principal da Didit é a Agência Espanhola de Proteção de Dados (Agencia Española de Protección de Datos / AEPD) em `aepd.es`.

Quando a Didit atua como controlador, envie os pedidos de privacidade para privacy@didit.me ou dpo@didit.me.

Quando a Didit atua como processador ou prestador de serviços para um fluxo de verificação de cliente, direcione o seu pedido para a organização que lhe pediu para verificar. Esse cliente controla o objetivo da verificação e está na melhor posição para responder. Se a Didit receber tal pedido diretamente, poderemos encaminhá-lo para o cliente relevante.

10. Cookies e tecnologias semelhantes

A Didit utiliza cookies e tecnologias semelhantes nos seus websites para funcionalidade, segurança, análise e atribuição. Leia a nossa Política de Cookies para o inventário completo, os controlos do banner de consentimento e a nossa postura de Controlo Global de Privacidade (GPC) e Do Not Track (DNT).

11. Formação de modelos anonimizados e deteção de fraude, a sua opção de exclusão

A Didit treina, avalia e melhora os seus modelos de verificação de identidade, biométricos e de deteção de fraude, e opera salvaguardas de prevenção de fraude entre clientes, utilizando dados anonimizados ou pseudonimizados derivados da atividade de verificação (por exemplo: características de documentos, sinais de fraude, padrões de ataque, amostras de erros de modelo). A Didit aplica anonimização, pseudonimização, agregação e controlos de acesso para que os dados utilizados para formação e deteção de fraude não possam ser razoavelmente ligados a um indivíduo identificável fora do registo de verificação subjacente.

Este processamento baseia-se no interesse legítimo da Didit em:

  • melhorar a precisão e segurança da infraestrutura de identidade e fraude utilizada por todos os clientes;
  • detetar e prevenir fraudes, ataques de roubo de identidade, deepfakes e tentativas repetidas de atacantes conhecidos; e
  • cumprir as expectativas regulamentares em torno do desempenho, equidade e segurança do modelo.

Opção de exclusão. Um cliente ou utilizador final pode optar por excluir os seus dados do processamento de formação de modelos e deteção de fraude através de:

  • eliminação do registo de verificação subjacente através da API ou da Consola de Negócios (a eliminação remove o registo dos pipelines de formação no próximo ciclo de atualização), ou
  • envio de um email para privacy@didit.me com o identificador de sessão ou conta relevante, solicitando uma exclusão.

As exclusões aplicam-se prospetivamente a partir da data do pedido; a Didit também fará esforços comercialmente razoáveis para eliminar registos elegíveis dos conjuntos de dados de formação ativos.

12. Estados Unidos, Adenda da Lei de Privacidade do Consumidor da Califórnia (CCPA) / Lei de Direitos de Privacidade da Califórnia (CPRA)

Esta secção complementa esta Política de Privacidade para residentes da Califórnia e aplica-se sempre que a Didit é um "negócio" sob a Lei de Privacidade do Consumidor da Califórnia (CCPA), conforme alterada pela Lei de Direitos de Privacidade da Califórnia (CPRA). Quando a Didit é um "prestador de serviços" ou "contratado" de um cliente Didit (um "negócio" sob a CCPA), o aviso de privacidade do cliente rege o fluxo de verificação relevante e a Didit processa informações pessoais sob o Acordo de Processamento de Dados relevante.

Categorias de informações pessoais recolhidas nos últimos 12 meses (categorias CCPA):

  • Identificadores (nome, email, telefone, endereço IP, identificadores de dispositivo).
  • Registos de clientes (faturação, contacto, conta).
  • Atividade na Internet ou na rede (navegação, interações, telemetria).
  • Dados de geolocalização (inferidos do IP).
  • Dados sensoriais (selfies, imagens faciais, vídeo de vivacidade, imagens de documentos).
  • Dados profissionais ou de emprego (para candidatos).
  • Informações pessoais sensíveis (SPI), incluindo informações biométricas usadas para identificar de forma única um consumidor, identificadores governamentais contidos em documentos de identidade e credenciais de login de conta.
  • Inferências tiradas de qualquer um dos anteriores (pontuações de risco, sinais de fraude, resultados de decisão).

Finalidades, as finalidades listadas na Secção 4.

Venda ou partilha de informações pessoais. A Didit não vende nem partilha (conforme esses termos são definidos sob a CCPA/CPRA) informações pessoais, incluindo informações biométricas.

Uso e divulgação de informações pessoais sensíveis. A Didit usa informações pessoais sensíveis apenas para os fins permitidos sob o Código Civil da Califórnia § 1798.121(a) e os regulamentos de implementação, para fornecer e proteger o serviço de verificação, prevenir fraudes e incidentes de segurança, cumprir obrigações legais e outros fins permitidos sem um direito separado do consumidor de limitar.

Os seus direitos na Califórnia:

  • direito de saber quais informações pessoais são recolhidas, usadas, divulgadas e vendidas/partilhadas;
  • direito de eliminar informações pessoais;
  • direito de corrigir informações pessoais imprecisas;
  • direito de optar por não vender ou partilhar (a Didit não faz nenhum dos dois);
  • direito de limitar o uso e a divulgação de informações pessoais sensíveis (o processamento da Didit já está limitado a fins que não acionam o direito);
  • direito à portabilidade dos dados; e
  • direito à não discriminação pelo exercício de qualquer um dos anteriores.

Envie os pedidos da Califórnia para privacy@didit.me. A verificação da sua identidade pode ser exigida antes de responder. Agentes autorizados podem enviar pedidos com prova de autorização.

Controlo Global de Privacidade (GPC) e Do Not Track (DNT). A Didit respeita os sinais de Controlo Global de Privacidade baseados no navegador no site de marketing como uma opção de exclusão de venda ou partilha, embora a Didit não venda nem partilhe informações pessoais, os sinais GPC são registados para que nenhum cookie de publicidade ou análise que possa ser interpretado como partilha seja definido para esse navegador. A Didit não responde atualmente aos cabeçalhos legados Do Not Track (DNT) porque não há consenso da indústria sobre como interpretá-los; o sinal GPC substitui o DNT para os fins da Didit.

13. Segurança

A Didit utiliza salvaguardas administrativas, técnicas e organizacionais concebidas para proteger os dados pessoais contra acesso não autorizado, perda, uso indevido, alteração e destruição ilegal, incluindo encriptação em repouso com AES-256, encriptação em trânsito com TLS 1.3, gestão de chaves no AWS KMS, controlo de acesso baseado em funções, separação de ambientes, monitorização contínua, supervisão de fornecedores e procedimentos de resposta a incidentes. Consulte a Política de Segurança da Informação para a postura e certificações completas.

Nenhuma medida de segurança é perfeita. Deve também proteger os seus próprios dispositivos, credenciais e comunicações.

14. Crianças

Os websites públicos e os serviços comerciais padrão da Didit não são direcionados a crianças. Alguns clientes podem usar legalmente a Didit para verificações relacionadas com a idade ou identidade envolvendo utilizadores mais jovens, mas esse uso deve ser suportado por uma base legal apropriada e pelos próprios avisos do cliente. Se acredita que dados pessoais foram submetidos à Didit sem a devida autorização, contacte privacy@didit.me.

15. Alterações a esta Política de Privacidade

Podemos atualizar esta Política de Privacidade periodicamente para refletir alterações legais, técnicas, operacionais ou de produto. A data de entrada em vigor no topo da política reflete a última atualização. Alterações materiais serão comunicadas onde exigido por lei.

16. Contacto

Didit Identity Spain, S.L., CIF B22929327 · Calle Nápoles 227, P. 1, 08013 Barcelona, Espanha
Didit Identity, Inc., EIN 39-2860573 · 1111B S Governors Ave STE 34855, Dover, Delaware 19904, Estados Unidos
© 2026 Didit · legal@didit.me · privacy@didit.me · security@didit.me · didit.me/terms/privacy-policy

Tem perguntas sobre um documento específico?

Envie um email para legal@didit.me, privacy@didit.me ou security@didit.me, ou envie-nos uma mensagem no WhatsApp. Nós encaminhamos para o contacto certo.

Fale connosco
Peça a uma IA para resumir esta página