Registro de Atividades de Tratamento (ROPA)
Referência para o controle de atividades de tratamento de dados pessoais no âmbito do Z-Sign (Art. 37 da LGPD).
Visão geral
O ROPA deve ser mantido pelo controlador (organização que utiliza o Z-Sign). Abaixo, uma estrutura resumida das atividades relevantes.
Atividade: Prestação do serviço de assinatura eletrônica
- Finalidade: permitir envio, assinatura e armazenamento de documentos com prova de integridade e autenticidade.
- Categorias de dados: titulares (usuários do portal e signatários), dados de identificação e de uso do serviço.
- Base legal: execução de contrato, obrigação legal, legítimo interesse.
- Compartilhamento: operadores (infraestrutura, gateway de pagamento, provedor de identidade); ancoragem em blockchain (hashes e metadados públicos).
- Retenção: conforme Política de Privacidade e obrigações legais.
- Medidas de segurança: acesso autenticado, criptografia, logs de auditoria, rate limit e CAPTCHA na verificação pública.
Atividade: Verificação pública de assinatura
- Finalidade: permitir que terceiros verifiquem a autenticidade de um documento assinado.
- Dados expostos: limitados ao necessário (status, tipo de documento, signatários com anonimização quando aplicável, hash da transação).
- Base legal: execução do serviço e transparência.
Atividade: Cobrança e pagamento
- Finalidade: faturamento e processamento de pagamentos (PIX/cartão).
- Operador: gateway de pagamento (Z-Pay); dados de cartão não são armazenados no Z-Sign.
Para o ROPA completo e atualizado, consulte o controlador dos dados (sua organização) ou o Encarregado de Dados (DPO). O Z-Sign pode fornecer, sob contrato, informações adicionais para preenchimento do registro quando atuar como operador.