# LGPD — Proteção de Dados A Lei Geral de Proteção de Dados (Lei 13.709/2018) é aplicada a todas as personas da API Movvia. Este guia cobre os conceitos transversais. Guias específicos por persona detalham as obrigações em cada contexto. ## Papéis: controladora e operadora | Papel | Quem | Responsabilidade | | --- | --- | --- | | Controladora | Cliente da API (parceiro, concessionária ou estabelecimento comercial) | Define a finalidade do tratamento; responde ao titular. | | Operadora | Movvia | Processa os dados conforme as instruções contratuais do controlador. | A Movvia não define a finalidade do tratamento — essa responsabilidade é do cliente que usa a API. ## Bases legais aplicáveis O tratamento de dados pessoais nas operações da API Movvia pode se enquadrar em diferentes bases legais da LGPD, dependendo do contexto: - **Art. 7º, II** — cumprimento de obrigação legal (ex.: regulação de pedágio eletrônico). - **Art. 7º, V** — execução de contrato entre a Movvia e o cliente. - **Art. 7º, IX** — legítimo interesse do controlador no âmbito do contrato de concessão ou parceria. O cliente (controlador) é responsável por identificar e documentar a base legal correta para o seu uso da API. ## Dados pessoais processados | Dado | Natureza | Personas afetadas | | --- | --- | --- | | Placa veicular | Dado pessoal indireto (associável ao proprietário via Detran) | Parceiros, Vision Dados | | Imagem de passagem | Dado pessoal direto (pode conter rosto do condutor) | Vision Dados | | Coordenadas geográficas | Dado de localização | Vision Dados | | Timestamps de passagem | Temporal — combinado com placa e localização, permite inferências sensíveis | Vision Dados, Parceiros | Minimização de dados A Movvia adota o princípio de minimização (Art. 6º, III): a API não expõe campos de PII além do necessário para cada operação. ## Direitos do titular (Art. 18) O titular pode exercer os seguintes direitos junto ao controlador: | Direito | Como o controlador atende | | --- | --- | | Acesso (Art. 18, I) | Fornecer lista dos dados tratados associados ao titular. | | Correção (Art. 18, III) | Atualizar dados incorretos via endpoints de atualização disponíveis na API. | | Eliminação (Art. 18, VI) | Acionar o endpoint de exclusão (`DELETE`) para cada registro associado ao titular. | | Portabilidade (Art. 18, V) | Exportar os dados do titular em formato estruturado — disponibilidade depende da persona. | O controlador é responsável por manter o canal de atendimento ao titular e por acionar a Movvia quando necessário para executar as operações. ## Retenção de dados | Tipo de dado | Prazo de retenção | | --- | --- | | Dados operacionais com PII | Definido em contrato com a Movvia. | | Metadados anonimizados | Retidos para auditoria conforme Art. 16, I da LGPD. | | Imagens binárias (Vision Dados) | Apagadas em até 72h após solicitação de exclusão (`DELETE`). | Após a exclusão de PII, os metadados anonimizados (identificadores de ciclo de vida, timestamps de operação) são retidos para fins de auditoria — sem exposição de dados do titular. ## Transferência internacional A Movvia processa dados em infraestrutura AWS na região `sa-east-1` (São Paulo). Transferências internacionais, quando necessárias, seguem as salvaguardas previstas no Art. 33 da LGPD. Consulte o contrato ou [privacidade@movvia.com.br](mailto:privacidade@movvia.com.br) para detalhes. ## Registro de operações de tratamento (RoPA) O RoPA compartilhado com clientes está disponível mediante solicitação no processo de onboarding. Contate [privacidade@movvia.com.br](mailto:privacidade@movvia.com.br). ## Contato — DPO e privacidade Para dúvidas sobre proteção de dados, solicitações de titulares ou exercício de direitos: **[privacidade@movvia.com.br](mailto:privacidade@movvia.com.br)** details summary Guias LGPD por persona - [Vision Dados — Monetizar acervo](/estabelecimentos-comerciais/casos-de-uso/vision-dados-monetizar-acervo) — caso de uso com seção LGPD: fluxo de exclusão, comportamento do GET pós-exclusão e responsabilidades da concessionária.