Baixe o nosso material sobre o ECA
Agendar demo

Política de Privacidade

LEGITIMUZ TECNOLOGIA LTDA. — CNPJ 52.178.446/0001-04

1. Identificação do Controlador

A presente Política de Privacidade (“Política”) é de responsabilidade da LEGITIMUZ TECNOLOGIA LTDA. (“LEGITIMUZ”), inscrita no CNPJ sob o nº 52.178.446/0001-04, com sede na Rua Florida, 1595, conj 21, Cidade Monções, São Paulo SP.

A LEGITIMUZ oferece soluções de verificação de identidade, validação documental, verificação etária e antifraude por meio dos produtos LegitFace, LegitID, LegitDoc, LegitCheck e ECA Digital, destinados a empresas (“Clientes”) que precisam validar a identidade ou a idade de seus usuários (“Titulares”).

Encarregado de Proteção de Dados (DPO): Thomas Hannickel, [email protected]

2. Nossos Produtos

LegitFace — LegitID

Solução de reconhecimento facial biométrico com detecção de vivacidade (liveness detection). Realiza a captura de selfie ou vídeo do titular, compara a imagem com a foto do documento de identidade (face match) e verifica a presença real do usuário para prevenção de fraudes por spoofing, deepfakes e ataques de apresentação.

Dados tratados: fotografia facial, vídeo de prova de vida (liveness), template biométrico facial.

LegitDoc

Solução de captura e extração automática de dados de documentos de identidade (OCR). Processa imagens de documentos como RG, CNH, passaporte e outros documentos oficiais, extraindo dados textuais e elementos de segurança para validação.

Dados tratados: imagem do documento, nome, CPF, RG, data de nascimento, filiação, número do documento, data de emissão e validade.

LegitCheck

Solução de validação documental inteligente. Realiza a verificação cruzada dos dados extraídos dos documentos com bases de dados públicas e privadas, confirmando autenticidade, consistência e idoneidade das informações. Inclui verificações de CPF junto à Receita Federal, consultas a listas restritivas, PEP e sanções.

Dados tratados: CPF, nome, data de nascimento, resultados de consultas a bases públicas e privadas, indicadores de risco.

ECA Digital (Verificação Etária)

Solução de verificação etária destinada ao cumprimento da Lei nº 15.211/2025 (ECA Digital). Combina captura de documento de identidade (LegitDoc) e reconhecimento facial com prova de vida (LegitFace) para confirmar se o usuário possui 18 anos ou mais, sem expor dados desnecessários ao cliente plataformista. O resultado da verificação é um sinal binário (maior ou menor de 18 anos), não havendo transmissão de dados brutos ao cliente salvo quando expressamente contratado e justificado por obrigação legal. O tratamento é estritamente instrumental: os dados coletados para aferição de idade não são utilizados para publicidade, perfilamento, personalização de conteúdo ou compartilhamento com terceiros para fins alheios à verificação, nos termos do art. 14-A do ECA, com redação dada pela Lei nº 15.211/2025.

Dados tratados: imagem do documento de identidade, fotografia facial, vídeo de prova de vida (liveness), data de nascimento extraída do documento. Após a aferição, retém-se exclusivamente o resultado (faixa etária confirmada); os dados brutos são eliminados imediatamente, salvo obrigação legal específica.

Base legal: art. 7º, II (obrigação legal) e art. 11, II, “a” da LGPD (dado biométrico sensível), com fundamento na Lei nº 15.211/2025 e no art. 14-A do ECA.

3. Papéis da LEGITIMUZ no Tratamento de Dados

A LEGITIMUZ pode atuar em diferentes papéis no tratamento dos dados pessoais, conforme a finalidade específica de cada operação, nos termos do art. 5º, VI e VII, da Lei nº 13.709/2018 (LGPD).

Como operadora: na execução dos serviços de verificação de identidade, verificação documental e verificação etária por instrução do Cliente, a LEGITIMUZ atua como operadora de dados. O Cliente é o controlador, pois determina a finalidade e a necessidade da verificação. A base legal aplicável é definida pelo Cliente na relação com o Titular.

Como controladora independente: para determinadas finalidades próprias, a LEGITIMUZ atua como controladora dos dados pessoais, tomando decisões autônomas sobre o tratamento. Isso ocorre nas seguintes situações:

  • Prevenção a fraudes no ecossistema de verificação de identidade, incluindo a manutenção de indicadores antifraude que protegem todos os usuários da plataforma, com fundamento no art. 11, II, “g”, da LGPD (prevenção à fraude e segurança do titular), observados os princípios da necessidade, proporcionalidade e minimização.
  • Cumprimento de obrigações legais e regulatórias próprias da LEGITIMUZ, incluindo prevenção à lavagem de dinheiro e ao financiamento do terrorismo (PLD/FT), comunicações ao COAF e obrigações decorrentes da Lei nº 14.790/2023 e da Portaria SPA/MF nº 722/2024.
  • Melhoria e desenvolvimento dos modelos de verificação, liveness e antifraude, com aplicação de técnicas de minimização e, quando possível, anonimização.
  • Reutilização de documentos, imagens, dados biométricos, metadados e resultados de verificação já submetidos em interações anteriores, inclusive em novas tentativas de autenticação, revalidação, prevenção a fraudes, auditoria, investigação de incidentes, atualização de modelos e proteção do ecossistema, desde que tal reutilização seja necessária, proporcional e compatível com o contexto da relação, respeitados os prazos de retenção aplicáveis e os requisitos legais e regulatórios pertinentes.
  • Fornecimento do mecanismo técnico de verificação etária por instrução do Cliente plataformista, sujeito obrigado pela Lei nº 15.211/2025 (ECA Digital). Nessa hipótese, a LEGITIMUZ atua como operadora de dados, sendo o Cliente o controlador responsável pela adequação à lei. Quando a LEGITIMUZ contratar diretamente com o titular para fins de verificação etária, sem intermediação de cliente, atua como controladora independente, com base legal no art. 7º, II, da LGPD (cumprimento de obrigação legal) e no art. 11, II, “a”, quando houver tratamento de dado biométrico. Em ambos os casos, o tratamento é estritamente instrumental: os dados coletados para aferição de idade não são utilizados para finalidades secundárias, inclusive publicidade, perfilamento, personalização de conteúdo ou compartilhamento com terceiros para fins alheios à verificação, nos termos do art. 14-A da Lei nº 8.069/1990, com redação dada pela Lei nº 15.211/2025.

4. Dados Pessoais Coletados por Produto

A LEGITIMUZ coleta o mínimo necessário de dados pessoais para a execução de cada serviço. A tabela abaixo detalha os dados tratados por produto, finalidade e base legal aplicável.

ProdutoDados ColetadosFinalidadeBase Legal (LGPD)
LegitFace — LegitIDFotografia facial, vídeo de liveness, template biométricoVerificação de identidade biométrica e detecção de vivacidadeArt. 11, II, “a” e “g” (obrigação legal e prevenção à fraude)
LegitFace — LegitIDTemplate biométrico (derivado)Prevenção a fraudes no ecossistema (controladora)Art. 11, II, “g” (prevenção à fraude)
LegitDocImagem do documento, nome, CPF, RG, data de nascimento, filiaçãoCaptura e extração de dados documentais (OCR)Art. 7º, V (execução de contrato) e art. 7º, II (obrigação legal)
LegitCheckCPF, nome, data de nascimento, resultados de consultasValidação documental e consulta a bases restritivasArt. 7º, II (obrigação legal) e art. 7º, IX (legítimo interesse)
ECA DigitalImagem do documento, fotografia facial, vídeo de liveness, data de nascimento. Resultado retido: faixa etária (18+/menor). Dados brutos eliminados após aferição.Verificação etária (ECA Digital)Art. 7º, II (obrigação legal) e, quando houver dado biométrico, art. 11, II, “a” (LGPD)
TodosDados anonimizados ou minimizadosMelhoria de modelos e análises estatísticasArt. 7º, IX (legítimo interesse) com LIA

Dados biométricos: a fotografia facial e o vídeo de prova de vida (liveness) processados pelo LegitFace constituem dados biométricos, classificados como dados pessoais sensíveis nos termos do art. 5º, II, da LGPD. O tratamento desses dados observa as hipóteses do art. 11, II, da LGPD.

Verificação etária (ECA Digital): quando a verificação tem por finalidade específica aferir a idade do usuário para cumprimento da Lei nº 15.211/2025, os dados coletados para essa finalidade não serão utilizados para publicidade, perfilamento, personalização de conteúdo ou compartilhamento com terceiros para fins alheios à verificação, nos termos do art. 14-A do ECA, com redação dada pela Lei nº 15.211/2025. A LEGITIMUZ aplica o princípio da minimização: após concluída a aferição, retém apenas o resultado (confirmação de faixa etária: menor ou maior de 18 anos), eliminando os dados brutos utilizados no processo, salvo quando a retenção for exigida por obrigação legal específica e pelo prazo estritamente necessário ao cumprimento dessa obrigação.

5. Compartilhamento de Dados

O compartilhamento de dados pessoais ocorre no estrito limite necessário, observando as seguintes hipóteses:

  • Parceiros e fornecedores: para viabilizar a prestação dos serviços, incluindo hospedagem de dados, infraestrutura em nuvem e comunicações eletrônicas.
  • Clientes da LEGITIMUZ: o resultado da verificação (aprovado/reprovado) é compartilhado com o Cliente que solicitou o serviço. Dados biométricos brutos não são compartilhados com o Cliente, salvo quando expressamente previsto em contrato.
  • Instituições financeiras e parceiras: para análises de risco, conformidade regulatória ou prevenção à fraude.
  • Autoridades e órgãos legais: para cumprimento de obrigações jurídicas, ordens judiciais ou requisições de autoridades competentes, incluindo ANPD, COAF e SPA/MF.

Sempre que possível, os dados compartilhados são anonimizados ou limitados ao mínimo indispensável.

6. Segurança dos Dados

A LEGITIMUZ adota medidas técnicas, administrativas e organizacionais de segurança, incluindo:

  • Controle de acesso com autenticação e gestão de credenciais.
  • Registro e monitoramento de logs de acesso.
  • Backups periódicos e plano de continuidade de negócios.
  • Criptografia de dados em trânsito (TLS) e em repouso (AES-256).
  • Acesso restrito a pessoas autorizadas, sob dever de sigilo absoluto.
  • Certificação ISO 27001, que atesta a conformidade do sistema de gestão de segurança da informação.
  • Programa de gestão de incidentes de segurança com notificação à ANPD em até 72 horas, quando aplicável, nos termos da Resolução CD/ANPD nº 15/2024.

7. Transferência Internacional de Dados

Os dados pessoais podem ser transferidos para servidores localizados no exterior ou para Clientes internacionais da LEGITIMUZ. Essas transferências são realizadas em conformidade com o art. 33 da LGPD, mediante a adoção de pelo menos uma das seguintes salvaguardas:

  • Transferência para países ou organismos internacionais que proporcionem grau de proteção adequado, conforme avaliação da ANPD.
  • Cláusulas contratuais padrão aprovadas pela ANPD.
  • Transferência necessária para a execução do contrato ou para o cumprimento de obrigação legal.

8. Direitos do Titular

Nos termos dos arts. 17 a 22 da LGPD, o Titular pode exercer os seguintes direitos:

  • Confirmação e acesso: confirmar se há tratamento e obter cópia dos dados.
  • Retificação: corrigir dados incorretos ou desatualizados.
  • Explicação: obter informações sobre finalidade, forma e duração do tratamento, bem como sobre compartilhamento.
  • Cancelamento: solicitar exclusão, anonimização ou bloqueio dos dados, observadas as hipóteses de retenção legítima.
  • Oposição: contestar determinado tratamento ou revogar consentimento, quando aplicável.
  • Portabilidade: solicitar o envio dos dados a outro controlador, nos termos da regulamentação da ANPD.
  • Revisão de decisões automatizadas: a LEGITIMUZ utiliza meios automatizados no processamento de verificação de identidade, liveness e detecção de fraudes (LegitFace, LegitID, LegitDoc, LegitCheck). A decisão final sobre aceitar ou rejeitar o resultado da verificação é do Cliente. O Titular pode solicitar informações sobre os critérios utilizados no processamento automatizado.

📧 Para exercer qualquer direito: [email protected]. Prazo de resposta: 15 (quinze) dias, nos termos do art. 19 da LGPD.

9. Prazo de Armazenamento

Os dados pessoais são mantidos pelo tempo necessário para as finalidades descritas nesta Política. Os prazos de retenção variam conforme a categoria de dado e a finalidade:

  • Dados de verificação por instrução do Cliente: mantidos conforme as instruções e o prazo contratual definidos pelo Cliente controlador.
  • Dados biométricos (LegitFace, LegitID): eliminados após a conclusão da verificação, salvo quando a retenção for necessária para cumprimento de obrigação legal ou para prevenção a fraudes, hipótese em que são mantidos pelo prazo máximo ou até o cumprimento da obrigação legal aplicável.
  • Dados de verificação etária (ECA Digital): tratados com base nos princípios da minimização e da finalidade específica. Após a conclusão da aferição, a LEGITIMUZ retém exclusivamente o resultado da verificação (confirmação de faixa etária: menor ou maior de 18 anos), eliminando imediatamente os dados brutos utilizados no processo, incluindo imagens, documentos e dados biométricos temporários. A retenção dos dados brutos somente ocorre quando houver obrigação legal específica que a exija e pelo prazo estritamente necessário ao cumprimento dessa obrigação, vedada a utilização para qualquer finalidade secundária.
  • Dados para cumprimento de PLD/FT: mantidos pelos prazos exigidos pela legislação aplicável, que podem se estender por até 10 (dez) anos após o encerramento da relação.
  • Dados documentais (LegitDoc e LegitCheck): mantidos pelo prazo contratual ou pelo prazo necessário ao cumprimento de obrigações legais, o que for maior.

10. Alterações nesta Política

A LEGITIMUZ poderá modificar esta Política sempre que houver mudanças nos tratamentos de dados ou na legislação aplicável. A data da última atualização estará sempre indicada no início do documento. Recomendamos a consulta periódica.

11. Contato

Encarregado de Proteção de Dados (DPO):
Thomas Hannickel
📧 [email protected]