Esta política explica como a Zentia Labs LLC trata dados pessoais no âmbito do Vico, sua solução de check-in digital e virtual counter para empresas de aluguel de veículos.
O Vico é um produto B2B2C: a empresa de aluguel (cliente) o implanta para que seus clientes finais (viajantes) realizem o check-in digital de forma autônoma. O cliente atua como controlador dos dados de seus clientes finais; a Zentia Labs atua como operador do tratamento.
1. Responsável e escopo
O Vico é um serviço de check-in digital e virtual counter operado pela Zentia Labs LLC, que permite às empresas de aluguel de veículos digitalizar o processo de retirada, verificação de identidade e assinatura de contratos.
A empresa de aluguel que integra o Vico em sua operativa é a controladora principal dos dados pessoais de seus clientes finais (viajantes). A Zentia Labs atua como operador do tratamento desses dados, seguindo instruções documentadas do cliente e o acordo de tratamento aplicável.
A Zentia Labs atua como controlador próprio para marketing B2B, onboarding de contas de cliente, suporte, faturamento, segurança e uso de seus próprios sites e portais administrativos.
2. Localizações de tratamento
A Zentia Labs LLC trata os dados pessoais objeto desta política a partir das seguintes localizações:
- Estados Unidos da América: sede social da Zentia Labs e localização principal dos subprocessadores de infraestrutura em nuvem, armazenamento e modelos de IA.
- Espanha: pessoal autorizado da Zentia Labs (produto, engenharia, suporte).
- Colômbia: pessoal autorizado da Zentia Labs (produto, engenharia, suporte).
Ao aceitar nossos termos, o cliente autoriza expressamente estas localizações de tratamento e compromete-se a refleti-las na informação fornecida aos seus clientes finais sempre que a legislação aplicável o exigir. As salvaguardas para transferências internacionais estão detalhadas na seção correspondente.
3. Categorias de dados que tratamos
- Dados de identificação: fotos do documento de identidade, passaporte ou documento equivalente; fotografia da carteira de motorista.
- Dados biométricos: selfies com detecção de vivacidade, pontuações biométricas de vivacidade e correspondência facial. Esses dados constituem categorias especiais de dados pessoais (Art. 9 RGPD).
- Dados de inspeção do veículo: fotografias de danos do veículo realizadas durante o check-in e check-out.
- Dados de assinatura eletrônica: traços, marcas temporais, hash do documento e dados associados ao processo de assinatura do contrato de aluguel.
- Dados de pagamento: pré-autorizações e cobranças processadas através do Stripe; a Zentia Labs não armazena os números completos do cartão.
- Dados do contrato de aluguel: nome, datas, veículo atribuído, condições, extras e demais dados incluídos no contrato gerado.
- Dados de conta do cliente (B2B): usuários, papéis, credenciais, configuração, dados de faturamento e identificadores fiscais.
- Dados técnicos e de uso: IP, navegador, dispositivo, logs, eventos de segurança e analítica do produto.
4. Finalidades do tratamento
- Verificação de identidade (KYC): validar a identidade do viajante comparando o documento de identidade, a selfie e a detecção biométrica de vivacidade.
- Geração e assinatura eletrônica de contratos de aluguel.
- Inspeção fotográfica de danos do veículo na retirada e devolução.
- Cobranças e pré-autorizações de pagamento por conta do cliente.
- Integração com o sistema de gestão de reservas (RMS) do cliente.
- Fornecer a tecnologia contratada, hospedar a infraestrutura e manter a segurança do serviço.
- Administrar contas de cliente, suporte, faturamento e cumprimento de obrigações legais e fiscais.
5. Base legal e papéis de privacidade
- Execução do contrato: o tratamento dos dados do viajante é necessário para executar o processo de check-in digital e formalizar o contrato de aluguel solicitado.
- Obrigação legal: conservação de dados contratuais, contábeis e fiscais conforme a legislação aplicável.
- Interesse legítimo: segurança, prevenção de fraude, melhoria do produto, gestão da relação B2B com clientes e comunicações profissionais razoáveis.
- Consentimento explícito do titular (Art. 9.2.a RGPD): para o tratamento de dados biométricos derivados da detecção de vivacidade. O viajante presta consentimento explícito antes de iniciar o processo de verificação biométrica. Esse consentimento é livre, específico, informado e revogável.
- O cliente (empresa de aluguel) atua como controlador dos dados de seus clientes finais. A Zentia Labs atua como operador do tratamento mediante instruções documentadas e o acordo de tratamento por conta.
6. Com quem compartilhamos dados
Para a prestação do serviço, a Zentia Labs apoia-se em provedores e subprocessadores pertencentes às seguintes categorias tecnológicas padrão, cujo uso o cliente autoriza ao aceitar nossos termos: infraestrutura cloud e hosting, armazenamento, KYC e biometria, gateways e provedores de pagamento, email transacional, CRM e email marketing, analítica e observabilidade.
- A empresa de aluguel que utiliza o Vico (controlador dos dados): recebe os dados de check-in, os resultados de verificação KYC, os contratos assinados, fotos de danos e dados de pagamento de seus próprios clientes.
- Stripe: processamento de pagamentos e pré-autorizações.
- Google Cloud Platform: infraestrutura, computação e armazenamento.
- Upstash: cache e armazenamento em tempo real (Redis).
- Resend: email transacional (confirmações, notificações).
- Brevo: CRM e email de marketing B2B dirigido a clientes.
- Assessores profissionais e autoridades públicas quando houver obrigação legal, necessidade de defesa ou pedido válido.
A Zentia Labs notificará com antecedência razoável qualquer mudança material de subprocessadores com impacto no tratamento de dados pessoais; o cliente poderá opor-se por motivos razoáveis e justificados. A Zentia Labs não vende dados pessoais e não utiliza WhatsApp Business nem integrações de mensageria conversacional no Vico.
7. Uso de dados para melhoria do serviço e modelos de IA
Além dos tratamentos descritos nas finalidades anteriores, a Zentia Labs poderá tratar dados agregados, anonimizados ou pseudonimizados derivados do uso do serviço para as seguintes finalidades adicionais:
- Prestação e melhoria técnica do serviço: depuração, desempenho, confiabilidade e qualidade de resposta.
- Treinamento e avaliação interna dos modelos de inteligência artificial utilizados pelo serviço, bem como ajuste de prompts, instruções e heurísticas.
- Análises estatísticas agregadas do setor de aluguel de veículos (por exemplo, métricas de demanda, sentimento, tipologias de consulta) que não permitam identificar pessoas físicas concretas.
- Desenvolvimento de novas funcionalidades e serviços adjacentes que possam beneficiar clientes atuais e futuros.
Em nenhum caso utilizamos conteúdo conversacional identificável de clientes finais para treinar modelos de inteligência artificial de fornecedores terceiros com finalidades distintas da prestação do serviço contratado. Quando se utilizem modelos de fornecedores externos (subencarregados), aplicam-se os acordos contratuais e políticas de uso desses fornecedores, que proíbem o uso de dados do cliente para treinamento de modelos próprios do fornecedor, salvo opt-in expresso.
8. Transferências internacionais
A prestação do serviço envolve o tratamento de dados pessoais no triângulo Estados Unidos – Espanha – Colômbia, nos termos descritos na seção "Localizações de tratamento". Além disso, determinados subprocessadores podem operar a partir de outros países fora do Espaço Econômico Europeu.
Para legitimar essas transferências internacionais aplicamos as salvaguardas reconhecidas pela legislação aplicável, em particular:
- Cláusulas Contratuais Padrão (SCC) aprovadas pela Comissão Europeia mediante Decisão (UE) 2021/914, Módulo 2 (Controlador a Operador), para as transferências da Espanha ou de qualquer outro país do EEE para Estados Unidos e Colômbia.
- Cláusulas contratuais modelo publicadas pela Superintendência da Indústria e Comércio (SIC) da Colômbia para transferências internacionais originadas na Colômbia.
- Regime estadunidense aplicável à Zentia Labs LLC como sociedade constituída no Estado de Wyoming, incluindo as obrigações contratuais assumidas no acordo de tratamento.
- Decisões de adequação, certificações reconhecidas ou medidas técnicas complementares razoáveis, quando aplicáveis.
O acordo de tratamento (DPA) incorporado aos termos do serviço constitui, por si só, o mecanismo contratual de salvaguarda das transferências entre o cliente e a Zentia Labs, ao incorporar obrigações, garantias e direitos equivalentes aos previstos nas salvaguardas anteriores. Para as transferências adicionais a subprocessadores, a Zentia Labs apoia-se nos DPAs e cláusulas de transferência publicados por tais fornecedores.
9. Prazos de retenção
- Dados biométricos e de KYC (selfies, vivacidade, pontuações): conforme a legislação aplicável e a configuração definida pelo cliente; excluídos uma vez completada a verificação, salvo que a legislação exija um período de conservação maior.
- Fotos de documento de identidade e carteira de motorista: durante a vigência do contrato de aluguel e o período de reclamação definido pelo cliente.
- Fotos de danos do veículo: durante a vigência do contrato de aluguel mais o período de reclamação configurado pelo cliente.
- Dados de assinatura eletrônica e contrato: enquanto houver relação comercial com o cliente e depois pelos prazos legais de conservação.
- Dados de faturamento e contabilidade: 6 anos conforme a legislação fiscal aplicável.
- Dados de conta do cliente: enquanto houver relação comercial e depois pelos prazos legais.
- Logs de segurança e acesso: normalmente até 12 meses, salvo necessidade de investigação.
- Dados derivados do uso do serviço em formato agregado, anonimizado ou pseudonimizado: poderão ser retidos por até 24 meses adicionais para fins de melhoria do serviço e defesa de reclamações.
10. Segurança e acordo de tratamento
- Aplicamos medidas técnicas e organizacionais reforçadas dada a natureza sensível dos dados biométricos, incluindo criptografia em trânsito e em repouso, controles de acesso baseados em papéis e princípio de menor privilégio.
- O acesso interno a dados é limitado a pessoal autorizado com necessidade funcional e obrigações de confidencialidade.
- Os dados biométricos de vivacidade são processados de forma isolada e excluídos conforme a política de retenção configurada.
- A relação de tratamento por conta em relação aos dados operacionais do cliente é regulada por contrato e pelo acordo de tratamento aplicável, incluindo suboperadores e compromissos de segurança.
11. Direitos e gestão de solicitações
Quando aplicável, você pode exercer os direitos de acesso, retificação, exclusão, oposição, limitação e portabilidade. Você pode retirar o consentimento prestado para o tratamento biométrico a qualquer momento, sem que isso afete a licitude do tratamento anterior.
Se a solicitação disser respeito a dados de um viajante captados por meio do Vico, o caminho principal deve ser a empresa de aluguel como controlador dos dados. Ainda assim, os titulares poderão dirigir suas solicitações também de forma subsidiária à Zentia Labs; nesse caso, encaminharemos o pedido ao cliente sem demora injustificada e colaboraremos em sua resolução em nosso papel de operador do tratamento.
- Solicitações sobre contas de cliente, faturamento, suporte ou uso de nossos sites: fale conosco em privacy@virtual-counter.com.
- Solicitações sobre dados de check-in, KYC, contrato ou danos como viajante: fale primeiro com a empresa de aluguel onde realizou o check-in.
12. Alterações nesta política
Podemos atualizar esta política para refletir mudanças legais, técnicas ou de produto. A versão vigente será publicada nesta página com a data da última atualização.
Contato
- Responsável
- Zentia Labs LLC, 30 N Gould St Ste N, Sheridan, WY 82801, USA
Se você reside na Espanha ou em outro país do EEE e entende que o tratamento dos seus dados não cumpre a lei aplicável, pode apresentar reclamação perante a autoridade de controle competente.