SorrisoCredi

RESUMO

1. INTRODUÇÃO E ÂMBITO DE APLICAÇÃO

2. RESPONSÁVEL PELO TRATAMENTO DE DADOS

Para qualquer questão relacionada com a protecção dos seus dados pessoais, poderá contactar-nos através dos canais indicados acima, através do nosso Encarregado de Protecção de Dados (DPO), ou através do centro de ajuda disponível na Aplicação (WhatsApp, e-mail ou telefone).

3. BASE LEGAL E FINALIDADES DO TRATAMENTO

O tratamento dos seus dados pessoais é efectuado com base nas seguintes fundamentos legais, conforme detalhado na tabela abaixo:

4. DADOS QUE RECOLHEMOS

Recolhemos exclusivamente os dados necessários para a prestação dos nossos Serviços. Os dados são obtidos a partir de três fontes distintas:

4.1. Dados Fornecidos Directamente pelo Utilizador

Estes são os dados que o utilizador nos fornece voluntariamente durante o registo e a utilização da Aplicação:

a) Dados de Registo e Autenticação

• Número de telemóvel (+244)
• Código de verificação OTP (One-Time Password)

b) Dados de Identificação Pessoal (KYC)

Recolhemos informações de identificação pessoal fornecidas através do formulário KYC: nome completo, número do Bilhete de Identidade (BI), data de nascimento e género.

c) Dados Financeiros

• Informações bancárias: nome do banco e IBAN (formato AO06, padrão angolano)
• Dados relativos ao empréstimo: montante, prazo, historial de reembolso

d) Contacto de Emergência

Nome e número de telemóvel de um contacto de emergência (seleccionado manualmente pelo utilizador)

Pode modificar ou eliminar o seu contacto de emergência seleccionado a qualquer momento.

e) Dados de Comunicação e Apoio

• Mensagens enviadas ao centro de apoio (WhatsApp, e-mail, telefone)
• Respostas a questionários de feedback

4.2. Dados Recolhidos Automaticamente

Estes dados são recolhidos automaticamente quando o utilizador instala ou utiliza a Aplicação:

a) Informações do Dispositivo

• Modelo do dispositivo
• Versão do sistema operativo
• Estado da rede (tipo de ligação)
• Estado da ligação WiFi
• Estado da bateria (nível de carga, estado de carregamento), utilizado exclusivamente para avaliação de risco e prevenção de fraude
• Informações de armazenamento do dispositivo (espaço total e disponível), utilizado exclusivamente para detecção de fraude e avaliação de risco
• SSAID / Android ID (identificador único do dispositivo, utilizado exclusivamente para prevenção de fraude e detecção de dispositivos duplicados)
• Google Advertising ID (identificador de publicidade do Google, utilizado para análise de atribuição de campanhas; o utilizador pode redefinir ou desactivar este identificador nas definições do dispositivo)
• Endereço IP (recolhido por SDKs de terceiros para fins de atribuição de marketing e prevenção de fraude, conforme descrito na Secção 5)

Não recolhemos identificadores proibidos, como: IMEI, número de série do dispositivo.

b) Dados de Utilização da Aplicação

• Registos de acesso e interacção com a Aplicação (anonimizados)
• Preferências e configurações do utilizador
• Dados de desempenho e estabilidade da Aplicação (crashes, erros)

c) Token de Notificação Push

Utilizado exclusivamente para envio de notificações transaccionais sobre o estado do empréstimo, lembretes de pagamento e alertas de segurança da conta.

d) Dados de Mensagens SMS

Recolhemos e transmitimos mensagens SMS do seu dispositivo para fins de avaliação de crédito e prevenção de fraude, mediante a sua autorização expressa. O processo de recolha funciona da seguinte forma:

• Filtro por palavras-chave: Apenas as mensagens que contenham palavras relacionadas com transacções financeiras são recolhidas (ex.: "empréstimo", "pagamento", "crédito", "saldo", "transferência", "kz"). Mensagens pessoais sem relevância financeira não são lidas nem transmitidas.
• Filtro por remetente: Priorizamos mensagens de instituições financeiras reconhecidas (ex.: BancoBai, Multicaixa, Atlantico, BFA).
• Janela temporal: Apenas mensagens dos últimos 180 dias são processadas.
• Dados recolhidos por mensagem: Remetente, conteúdo, data/hora e tipo (recebida/enviada).
• Estatísticas de actividade: Contagens de mensagens enviadas e recebidas por períodos de 1, 3, 7, 15, 21, 30, 60 e 90 dias.

e) CÂMARA

Durante a autenticação da sua identidade, solicitaremos que tire uma fotografia tipo selfie utilizando a câmara do seu dispositivo. A imagem será enviada para o nosso servidor para verificação de identidade.

Apenas solicitamos a selfie durante o processo de autenticação e apenas a imagem confirmada por si será encriptada e enviada para os servidores seguros encriptados do SorrisoCredi. Os seus dados serão protegidos e mantidos confidenciais, e serão eliminados após a avaliação.

f) ÁLBUM DE FOTOS

Recolhemos as fotos que seleccionar no álbum de fotos do seu dispositivo, o que lhe permitirá escolher as fotos de identificação correspondentes para enviar na sua candidatura ao empréstimo. Isto permite-nos avaliar melhor o seu perfil de risco de crédito. Apenas as imagens que seleccionar explicitamente serão carregadas para os servidores seguros encriptados do SorrisoCredi. Os seus dados serão protegidos e mantidos estritamente confidenciais, e serão eliminados após a avaliação.

4.3. Dados Obtidos de Fontes de Terceiros

Podemos receber dados de terceiros, nomeadamente:

• Centrais de informação de crédito: Historial de crédito e pontuação de risco, quando disponível e autorizado
• Prestadores de serviços KYC: Resultados da verificação de identidade
• Autoridades reguladoras: Informações de listas de sanções e PEPs (Pessoas Politicamente Expostas), conforme exigido por lei

4.4. Informações da Aplicação de Rede Conectada

Que dados recolhemos: Podemos avaliar o ambiente do dispositivo para fins de segurança, através da identificação local de aplicações de terceiros que utilizam permissões específicas relacionadas com a rede (INTERNET, ACCESS_NETWORK_STATE). Apenas informações técnicas mínimas e estritamente necessárias são utilizadas para esta avaliação.

Finalidade: Estas informações são utilizadas exclusivamente para prevenção de fraude, gestão de riscos e protecção da aplicação, garantindo um ambiente seguro para os utilizadores. Os dados não são utilizados para publicidade, criação de perfis de utilizadores ou análise comportamental.

Segurança e tratamento dos dados:

• Utilizamos exclusivamente interfaces oficiais do Android (PackageManager) para realizar a avaliação do ambiente do dispositivo, sem aceder a conteúdos pessoais do utilizador.
• Quaisquer dados técnicos eventualmente transmitidos são protegidos por medidas de segurança adequadas, incluindo encriptação durante a transmissão.
• Não partilhamos estes dados com terceiros, e qualquer recolha ocorre apenas com o consentimento explícito do utilizador.

4.5. Dados que NÃO Recolhemos

O SorrisoCredi NÃO recolhe:

• Registos de chamadas (call logs)
• Dados de localização ou GPS
• Lista completa de contactos do telemóvel (apenas o contacto de emergência seleccionado manualmente pelo utilizador através do selector nativo do sistema)
• Lista de aplicações instaladas no dispositivo
• Fotografias, vídeos ou ficheiros multimédia do dispositivo
• Dados biométricos faciais
• Dados de calendário
• Histórico de navegação

4.6. Decisões Automatizadas e Avaliação de Crédito

Avaliação automatizada de crédito: O SorrisoCredi utiliza sistemas automatizados para avaliar a elegibilidade de crédito dos utilizadores, com base nos dados fornecidos, no historial de reembolso e no perfil de risco. Esta avaliação automatizada pode resultar na aprovação, recusa ou ajuste das condições da linha de crédito.

O seu direito à revisão humana: Caso o seu pedido de crédito seja recusado ou as condições propostas não sejam satisfatórias, tem o direito de solicitar uma revisão humana da decisão. Para tal, contacte o nosso serviço de apoio ao cliente através dos canais indicados na Secção 15.

5. SDKs E SERVIÇOS DE TERCEIROS

A Aplicação integra SDKs (Software Development Kits) de terceiros para funcionalidades específicas. Abaixo indicamos as categorias de SDKs utilizados, as suas finalidades e os dados a que acedem:

5.1. Tecnologias de Rastreamento

A Aplicação SorrisoCredi é uma aplicação móvel nativa e não utiliza cookies. No entanto, podem ser utilizadas as seguintes tecnologias equivalentes:

• Identificadores de dispositivo: Utilizados para prevenção de fraude e segurança da conta (ex: identificar dispositivos já associados a contas fraudulentas)
• Tokens de sessão: Para manter a sua sessão activa na Aplicação
• Identificadores de instalação: Para medir a eficácia de campanhas publicitárias e melhorar os nossos serviços

6. PARTILHA DE DADOS

Os seus dados pessoais podem ser partilhados com as seguintes categorias de destinatários:

• Prestadores de serviços: Empresas que nos auxiliam na prestação dos Serviços (KYC, pagamentos, armazenamento em nuvem), contratualmente obrigadas a proteger os seus dados e a utilizá-los apenas para as finalidades por nós definidas.
• Autoridades reguladoras: Banco Nacional de Angola (BNA) e outras autoridades competentes, quando exigido por lei.
• Autoridades judiciais: Quando exigido por mandado judicial ou outra obrigação legal.
• Agências de crédito: Para efeitos de avaliação e reporte de crédito, em conformidade com a legislação aplicável.
• Consultores profissionais: Advogados, auditores e consultores sujeitos a obrigações de confidencialidade profissional, quando necessário.

7. COMUNICAÇÕES TRANSACCIONAIS

O SorrisoCredi envia exclusivamente comunicações transaccionais relacionadas com a sua conta e empréstimo, tais como: confirmações de registo, notificações de aprovação ou rejeição de empréstimo, lembretes de pagamento e alertas de segurança da conta. Não enviamos comunicações promocionais ou de marketing. Para questões relacionadas com comunicações, contacte-nos em customerservices_sorriso@vivakzangola.com.

8. TRANSFERÊNCIA INTERNACIONAL DE DADOS

Os seus dados podem ser processados em servidores localizados fora de Angola. Nestes casos, asseguramos que:

• Todos os destinatários oferecem nível de protecção adequado dos dados pessoais
• São celebradas cláusulas contratuais padrão de protecção de dados
• São implementadas medidas técnicas e organizativas de segurança adequadas (encriptação, controlo de acesso)
• Os dados são transferidos apenas para as finalidades descritas nesta política

9. RETENÇÃO DE DADOS

Após o decurso dos períodos indicados, os dados são eliminados de forma segura e irreversível, utilizando métodos que impedem a sua recuperação.

10. OS SEUS DIREITOS

Enquanto titular dos dados pessoais, dispõe dos seguintes direitos ao abrigo da legislação angolana de protecção de dados:

Para a sua segurança, poderemos solicitar a verificação da sua identidade antes de processar o seu pedido. Caso não fiquemos em condições de cumprir o seu pedido na totalidade (por exemplo, por obrigação legal de retenção), informá-lo-emos dos motivos e das suas opções.

11. ELIMINAÇÃO DE CONTA

• Pode solicitar a eliminação da sua conta directamente na Aplicação (Definições → Eliminar conta).
• A conta é desactivada imediatamente após o pedido.
• Dispõe de 30 dias para cancelar o pedido e reactivar a conta.
• Decorridos os 30 dias, a conta e os dados associados são eliminados permanentemente (excepto dados retidos por obrigação legal — ver Secção 9).
• Empréstimos activos ou em atraso devem ser liquidados antes da eliminação definitiva.

12. SEGURANÇA DOS DADOS

Implementamos medidas técnicas e organizativas rigorosas para proteger os seus dados pessoais contra acesso não autorizado, perda, destruição ou alteração, incluindo:

• Encriptação de dados em trânsito (TLS 1.2+/SSL) e em repouso (AES-256)
• Controlo de acesso baseado no princípio do menor privilégio (RBAC)
• Autenticação multifactor para acesso a sistemas internos
• Monitorização contínua de segurança e detecção de intrusões
• Avaliações periódicas de vulnerabilidades e testes de penetração
• Formação regular dos colaboradores em matéria de protecção de dados
• Planos de resposta a incidentes de segurança

12.1. Notificação de Violação de Dados

Compromisso de transparência em caso de violação: Em caso de violação de segurança que resulte na destruição, perda, alteração, divulgação ou acesso não autorizado aos seus dados pessoais, o SorrisoCredi compromete-se a:

• Notificar as autoridades competentes (incluindo o BNA, quando aplicável) no prazo máximo de 72 horas após a detecção do incidente
• Notificar os utilizadores afectados no prazo máximo de 48 horas após a detecção, quando a violação apresente risco elevado para os seus direitos e liberdades
• Comunicar a natureza da violação, os dados potencialmente afectados, as medidas adoptadas para mitigar os danos e as recomendações para protecção individual
• Documentar todos os incidentes de segurança, incluindo as circunstâncias, os efeitos e as medidas correctivas adoptadas

13. LIGAÇÕES PARA SITES E SERVIÇOS DE TERCEIROS

A Aplicação pode conter ligações para sites ou serviços de terceiros (incluindo WhatsApp e redes sociais). O SorrisoCredi não é responsável pelas práticas de privacidade desses serviços e recomenda a leitura das respectivas políticas de privacidade antes de fornecer quaisquer dados pessoais.

14. PRIVACIDADE DE MENORES

O SorrisoCredi destina-se exclusivamente a utilizadores maiores de 18 anos. Não recolhemos, conscientemente, dados de menores de 18 anos. Se tomarmos conhecimento de que dados de um menor foram recolhidos, procederemos à eliminação imediata desses dados e ao encerramento da conta associada. Se o utilizador tiver conhecimento de que um menor se registou na Aplicação, solicitamos que nos contacte imediatamente.

15. ALTERAÇÕES A ESTA POLÍTICA

Reservamo-nos o direito de actualizar esta Política de Privacidade periodicamente para reflectir alterações nas nossas práticas, na legislação aplicável ou nos nossos serviços.

• Em caso de alterações substanciais, o utilizador será notificado com pelo menos 15 dias de antecedência através de notificação na Aplicação e/ou e-mail.
• A versão actualizada será publicada na Aplicação com a nova data de última actualização.
• A continuação da utilização da Aplicação após publicação das alterações constitui aceitação da política actualizada.
• Caso o utilizador não concorde com as alterações, deverá cessar a utilização da Aplicação e, se desejar, solicitar a eliminação da conta.

16. CONTACTO E RECLAMAÇÕES