Saltar para o conteúdo principal
Didit angaria 2 milhões de dólares e junta-se à Y Combinator (W26)
Didit
Didit
Aviso de Privacidade de Verificação
Atualizado 16 de maio de 2026 · didit.me/terms/verification-privacy-notice
Legal

Aviso de Privacidade de Verificação

Atualizado: 16 de maio de 2026

Nesta página

Este Aviso de Privacidade de Verificação explica como a Didit processa dados pessoais, incluindo dados biométricos, quando a Didit fornece um fluxo de trabalho de verificação de identidade, prevenção de fraude, autenticação ou conformidade em nome de um dos seus clientes.

Este aviso complementa a nossa Política de Privacidade e os nossos Termos de Utilizador Final para Verificação de Identidade.

1. Âmbito

Este aviso aplica-se quando interage com um fluxo de verificação, página alojada, SDK, jornada baseada em API, fluxo móvel ou experiência de marca branca alimentada pela Didit para um Cliente.

Abrange o processamento de:

  • dados de identidade e contacto;
  • documentos e ficheiros que submete;
  • selfies, imagens faciais, vídeos e capturas de vivacidade;
  • dados biométricos derivados dessas submissões;
  • telemetria de dispositivo, IP, localização e antifraude;
  • resultados de verificação, sinais de risco e registos de auditoria; e
  • registos de suporte, conformidade e segurança relacionados com a sessão de verificação.

2. Quem são as partes e quais são os seus papéis?

PartePapel típicoO que isso significa
ClienteControlador / NegócioO Cliente decide por que razão a sua verificação é necessária, quais as verificações ativadas e como o resultado é utilizado.
DiditProcessador / Prestador de ServiçosA Didit fornece a tecnologia de verificação e processa dados em nome do Cliente para realizar as verificações configuradas.
DiditControlador independente para fins limitadosA Didit pode processar dados limitados para segurança, prevenção de abusos, conformidade legal, registo de auditoria e reclamações legais.

Se a jornada de verificação for de marca branca ou utilizar um domínio personalizado, a Didit pode ainda ser o fornecedor de tecnologia que processa os seus dados por trás da interface de marca.

3. Categorias de dados utilizados na verificação

Dependendo do fluxo de trabalho configurado, a Didit pode processar:

  • Dados de identidade, como nome, data de nascimento, morada, número de telefone, e-mail, nacionalidade e outros detalhes de identificação.
  • Dados de documentos, como passaportes, cartões de identificação, autorizações de residência, cartas de condução, documentos de comprovativo de morada e dados extraídos desses materiais.
  • Dados biométricos e de vivacidade, como imagens faciais, imagens de selfie, vídeos, capturas de vivacidade, sinais anti-spoofing e dados derivados de digitalizações de geometria facial utilizados para comparar o seu rosto com o documento de identidade ou para confirmar que uma pessoa real está presente.
  • Dados técnicos e de prevenção de fraude, como endereço IP, navegador, dados do dispositivo, carimbos de data/hora, dados de sessão, geolocalização inferida de dados de rede e sinais de integridade ou risco semelhantes.
  • Dados de questionário e fluxo de trabalho, como declarações, respostas, ficheiros carregados, registos de consentimento e transições de estado.
  • Resultados de verificação, como pontuações de correspondência, avisos, indicadores de fraude, resultados de revisão e provas de auditoria.

4. Finalidades do processamento

A Didit pode processar os dados acima para:

  • verificar a identidade e autenticar uma pessoa;
  • verificar a autenticidade e integridade do documento;
  • detetar falsificação, manipulação, fraude ou abuso;
  • cumprir os requisitos legais, regulamentares, de sanções, Anti-Branqueamento de Capitais (AML), Conheça o Seu Cliente (KYC) e de gestão de risco configurados pelo Cliente;
  • proteger o fluxo de verificação e a infraestrutura subjacente;
  • apoiar a revisão manual, reenvio, escalonamento e processos de auditoria;
  • responder a pedidos legais e defender reclamações legais; e
  • manter a integridade do serviço, resolver incidentes e realizar monitorização de qualidade e segurança.

Onde a lei o permite e os controlos apropriados estão em vigor, a Didit também pode utilizar dados relacionados com a verificação anonimizados ou pseudonimizados para testes de serviço, garantia de qualidade, formação e validação de modelos de fraude e melhoria da segurança. Onde um aviso separado, consentimento ou base legal adicional é exigido para um uso secundário, a Didit irá obtê-lo ou abster-se desse uso.

Você (ou o Cliente em seu nome) pode optar por não participar deste processamento anonimizado / pseudonimizado (a) eliminando o registo de verificação subjacente através da aplicação do Cliente ou através da API ou Consola de Negócios da Didit, ou (b) enviando um e-mail para privacy@didit.me com o identificador de sessão ou conta relevante. As exclusões aplicam-se prospectivamente a partir da data do pedido; a Didit também fará esforços comercialmente razoáveis para eliminar registos elegíveis de conjuntos de dados de formação ativos.

5. Como a Didit trata os dados biométricos

Para efeitos deste aviso, dados biométricos incluem dados derivados de digitalizações de geometria facial ou características biométricas semelhantes extraídas de imagens ou vídeo, onde esses dados são utilizados para verificar a identidade, confirmar a vivacidade ou prevenir fraudes.

Quando um fluxo de trabalho inclui verificação facial ou de vivacidade, a Didit pode:

  • capturar ou receber imagens de selfie, imagens faciais e/ou vídeo;
  • extrair características faciais dessas submissões e do retrato no seu documento de identidade;
  • comparar esses sinais para verificar se a pessoa que apresenta o documento é a mesma pessoa mostrada no documento;
  • analisar indicadores de vivacidade e anti-spoofing para confirmar que uma pessoa real está presente; e
  • gerar resultados de verificação, indicadores de confiança e sinais de fraude ou revisão.

A Didit:

  • utiliza dados biométricos apenas para os fins legais descritos neste aviso, as instruções do Cliente e a lei aplicável;
  • aplica salvaguardas concebidas para dados sensíveis, incluindo controlos de acesso, monitorização e práticas de manuseamento seguro;
  • não vende, aluga, comercializa ou de outra forma lucra com identificadores biométricos ou informações biométricas; e
  • espera que os Clientes que utilizam jornadas de API ou de marca branca divulguem claramente a Didit como o fornecedor de verificação e obtenham qualquer aviso ou consentimento exigido por lei antes do início da captura biométrica.

6. Divulgações adicionais de privacidade biométrica dos EUA

Se estiver localizado em Illinois, Texas, Washington ou outra jurisdição com requisitos de privacidade biométrica, os seguintes pontos adicionais são importantes:

  • Os dados biométricos podem incluir dados derivados de digitalizações de geometria facial, imagens de selfie, vídeo de vivacidade ou meios de verificação de identidade semelhantes.
  • Pode ser-lhe pedido que forneça consentimento explícito eletrónico ou escrito antes de os dados biométricos serem capturados ou carregados.
  • O Cliente deve identificar a Didit como um fornecedor ou processador de verificação ao apresentar os avisos exigidos em jornadas de marca branca ou baseadas em API.
  • A Didit utiliza dados biométricos para realizar verificação de identidade, vivacidade, anti-spoofing, prevenção de fraude, segurança e operações de conformidade relacionadas solicitadas pelo Cliente.
  • A Didit retém dados biométricos apenas pelo tempo necessário para fornecer o serviço, seguir as instruções legais do Cliente, cumprir obrigações legais, resolver disputas ou defender reclamações, e em nenhum caso por mais tempo do que o permitido pela lei aplicável.
  • A Didit utiliza um padrão razoável de cuidado concebido para dados sensíveis e não vende, aluga, comercializa ou de outra forma lucra com identificadores biométricos ou informações biométricas.

Se uma jurisdição exigir um período de retenção mais curto, um cronograma público separado ou divulgações adicionais, a Didit e o Cliente aplicarão o requisito mais curto ou mais rigoroso que rege o fluxo de verificação relevante.

Outras jurisdições com requisitos de privacidade biométrica. Os pontos acima aplicam-se, com os ajustes apropriados, a qualquer outro estado, província, país ou jurisdição com requisitos de privacidade biométrica — incluindo (sem limitação) o tratamento de informações pessoais sensíveis pela California Consumer Privacy Act (CCPA) / California Privacy Rights Act (CPRA), a Colorado Privacy Act (CPA), a Virginia Consumer Data Protection Act (VCDPA), a Connecticut Data Privacy Act (CTDPA), a Utah Consumer Privacy Act (UCPA), as propostas de privacidade biométrica de Nova Iorque, o quadro do Artigo 9 do Regulamento Geral de Proteção de Dados (RGPD) da União Europeia para dados biométricos, o RGPD do Reino Unido e a Data Protection Act 2018, a Lei Federal Suíça de Proteção de Dados (FADP), a Personal Information Protection and Electronic Documents Act (PIPEDA) do Canadá e a Lei 25 do Quebec, a Lei Geral de Proteção de Dados (LGPD) do Brasil e qualquer futura lei de privacidade biométrica que se aplique ao fluxo de verificação relevante.

7. Divulgações e prestadores de serviços

A Didit pode divulgar dados relacionados com a verificação a:

  • o Cliente que lhe pediu para verificar;
  • entidades do grupo Didit envolvidas na entrega, suporte ou segurança do serviço;
  • fornecedores de alojamento, armazenamento na nuvem, comunicações, identidade, fraude, análise, auditoria, segurança e serviços profissionais;
  • reguladores, tribunais, autoridades policiais ou autoridades públicas onde legalmente exigido; e
  • contrapartes de transações numa fusão, aquisição, reestruturação ou transferência de ativos, sujeitas a salvaguardas legais.

Os destinatários exatos dependem do serviço, região, configuração do fluxo de trabalho e requisitos legais.

8. Transferências internacionais

Os dados de verificação podem ser processados em países diferentes do país em que iniciou o fluxo de verificação. Quando exigido por lei, a Didit aplica salvaguardas de transferência apropriadas, como decisões de adequação, cláusulas contratuais padrão ou outros mecanismos legais reconhecidos.

9. Retenção e destruição

Retenção padrão. O período de retenção padrão para dados de verificação é indefinido ("ilimitado") a menos que o Cliente configure um período mais curto ou exerça um direito de eliminação. Os Clientes podem configurar a retenção por aplicação na Consola de Negócios entre 30 dias e 10 anos e podem eliminar qualquer sessão de verificação individual a qualquer momento. Também pode exercer os direitos de eliminação conforme descrito na Secção 11. A retenção de dados biométricos está em todos os casos sujeita e limitada pelas leis e regulamentos de privacidade biométrica aplicáveis — incluindo o Artigo 9 do Regulamento Geral de Proteção de Dados (RGPD) da UE, a Lei de Privacidade de Informações Biométricas de Illinois (BIPA), a Lei de Captura ou Uso de Identificador Biométrico do Texas (CUBI), a H.B. 1493 de Washington e qualquer outra lei de privacidade biométrica aplicável; onde tal lei prescreve um período de retenção mais curto ou uma obrigação de destruição anterior, essa regra mais curta ou mais rigorosa prevalece sobre qualquer período de retenção padrão ou configurado pelo Cliente.

Em todos os casos, a Didit retém dados de verificação, incluindo dados biométricos, de acordo com:

  • as instruções documentadas do Cliente e as configurações de retenção (mínimo de 30 dias, máximo de 10 anos, ou ilimitado se o Cliente não tiver diminuído o limite);
  • obrigações contratuais, regulamentares, de auditoria e legais aplicáveis;
  • necessidades de prevenção de fraude, segurança e resolução de disputas; e
  • a regra de retenção mais curta ou mais rigorosa exigida pela lei aplicável, que sempre prevalece.

Quando os dados relevantes já não são necessários, a Didit elimina, redige, anonimiza, desidentifica ou destrói-os de forma segura.

Para dados biométricos, a Didit visa garantir que os identificadores biométricos e as informações biométricas são eliminados, desidentificados ou destruídos de forma segura quando:

  • o propósito original da verificação foi satisfeito;
  • o período de retenção aplicável expira;
  • o Cliente instrui legalmente a eliminação; ou
  • a lei aplicável exige a destruição antecipada.

10. Processamento automatizado e revisão humana

A Didit pode utilizar sistemas automatizados para rever a integridade de documentos, vivacidade, correspondência facial, indicadores de fraude e outros sinais de verificação. Algumas sessões também podem ser encaminhadas para revisão humana, garantia de qualidade ou escalonamento, dependendo do fluxo de trabalho e da configuração de risco do Cliente.

Exceto onde um serviço específico indique o contrário, o Cliente permanece responsável pela forma como utiliza o resultado da verificação na sua própria tomada de decisões de negócio.

11. Direitos e pedidos

Se pretender aceder, corrigir, eliminar, restringir, opor-se ou de outra forma exercer direitos sobre dados processados numa sessão de verificação específica, deve geralmente contactar o Cliente primeiro. O Cliente geralmente determina o objetivo principal da verificação e é o melhor ponto de contacto para direitos ligados a essa relação.

Se a Didit receber um pedido diretamente num contexto de processador, a Didit pode encaminhar ou redirecionar o pedido para o Cliente relevante, quando apropriado. Se a Didit atuar como um controlador independente para um propósito de processamento limitado, também pode contactar privacy@didit.me ou o Encarregado da Proteção de Dados da Didit em dpo@didit.me.

Também pode apresentar uma reclamação a uma autoridade de supervisão. A autoridade de supervisão principal da Didit é a Agência Espanhola de Proteção de Dados (Agencia Española de Protección de Datos / AEPD) em `aepd.es`. Também pode apresentar uma reclamação à sua autoridade local de proteção de dados.

12. Segurança

A Didit utiliza salvaguardas técnicas, organizacionais e administrativas concebidas para proteger os dados de verificação, incluindo dados sensíveis e biométricos. Estas salvaguardas podem incluir encriptação, controlos de acesso, separação de ambientes, registo, monitorização e procedimentos de resposta a incidentes.

13. Crianças

A Didit não pretende que este aviso de verificação autorize a recolha ilegal de dados de crianças. Se um fluxo de verificação for utilizado para verificações relacionadas com a idade ou com jovens, o Cliente deve garantir uma base legal, avisos apropriados e quaisquer permissões parentais ou de tutores exigidas.

14. Alterações a este aviso

A Didit pode atualizar este Aviso de Privacidade de Verificação periodicamente para refletir alterações legais, operacionais ou de produtos. Quando o fizermos, atualizaremos a data de entrada em vigor no topo deste aviso.

15. Contacto

Se tiver dúvidas sobre este aviso, contacte:

Didit Identity Spain, S.L. — CIF B22929327 · Calle Nápoles 227, P. 1, 08013 Barcelona, Espanha
Didit Identity, Inc. — EIN 39-2860573 · 1111B S Governors Ave STE 34855, Dover, Delaware 19904, United States
© 2026 Didit · legal@didit.me · privacy@didit.me · security@didit.me · didit.me/terms/verification-privacy-notice

Tem dúvidas sobre um documento específico?

Envie um e-mail para legal@didit.me, privacy@didit.me ou security@didit.me — ou envie-nos uma mensagem no WhatsApp. Encaminhamos para o contacto certo.

Fale connosco
Peça a uma IA para resumir esta página