Política de Privacidade

O controlador do tratamento dos seus dados pessoais é a Cittadinanza Desk, sociedade em constituição sob a forma jurídica francesa SASU (Société par Actions Simplifiée Unipersonnelle), com sede social em 15 avenue des Champs-Élysées, 75008 Paris, França. O registro oficial junto ao Registro de Comércio e Sociedades de Paris está previsto para junho de 2026.

Para qualquer questão relativa à proteção dos seus dados pessoais ou ao exercício dos seus direitos, você pode nos contatar pelo endereço dedicado dpo@cittadinanzadesk.com. Para consultas gerais sobre o serviço, o endereço de contato principal é hello@cittadinanzadesk.com.

Coletamos apenas os dados estritamente necessários para a prestação do serviço Eligibility & Strategy Assessment e para cumprir nossas obrigações legais. A coleta ocorre em três momentos distintos do percurso do cliente: durante o preenchimento do questionário inicial, no momento do pagamento, e após a confirmação do pagamento, quando solicitamos o envio de documentos comprobatórios.

Durante o questionário inicial, coletamos os seguintes dados de identificação: seu primeiro nome, seu endereço de e-mail e seu número de WhatsApp (com prefixo internacional). Esses dados são indispensáveis para enviar o resultado preliminar do diagnóstico e para manter um canal de comunicação durante a fase de Assessment.

Também durante o questionário, coletamos dados relativos à sua situação familiar e ao eventual vínculo italiano: seu país de residência atual, o tipo de vínculo genealógico com um antepassado italiano (pai, avô, bisavô), o local e a região de nascimento desse antepassado, o período histórico aproximado de seu nascimento e eventual emigração, as naturalizações ocorridas na linha de descendência, os pedidos administrativos anteriores que você possa ter realizado, e as motivações pessoais que o(a) levam a buscar a cidadania italiana.

Após a confirmação do pagamento, solicitaremos o envio de documentos comprobatórios em uma área segura. Esses documentos incluem tipicamente registros do estado civil (nascimento, casamento, óbito), certificados de batismo, documentos relativos a processos de naturalização, passaportes históricos e outros documentos de identidade. Esses documentos contêm dados pessoais que dizem respeito tanto a você quanto a seus antepassados.

No momento do pagamento, os dados relativos ao seu meio de pagamento (número do cartão, data de validade, código de segurança) são tratados exclusivamente pelo nosso provedor de pagamentos Stripe, certificado PCI-DSS de nível 1. Em nenhuma hipótese recebemos ou armazenamos os detalhes do seu cartão bancário. Recebemos apenas os seguintes dados após a transação: o valor pago, a moeda, o identificador único da transação Stripe, o status do pagamento e os quatro últimos dígitos do seu cartão para fins contábeis.

Por fim, durante sua navegação no nosso site coletamos automaticamente dados técnicos: seu endereço IP (utilizado para limitação de tráfego antifraude e segurança, conservado por 30 dias), o user-agent do seu navegador, bem como dados analíticos sobre seu percurso pelo site. A utilização de cookies rege-se pela nossa Política de Cookies dedicada e depende do seu consentimento expresso para as categorias não essenciais.

Cada tratamento dos seus dados pessoais responde a uma finalidade precisa e apoia-se em uma das bases legais previstas no artigo 6 do RGPD (e nos artigos 7 e 11 da LGPD para visitantes residentes no Brasil). A transparência sobre essas finalidades é uma das nossas obrigações fundamentais para com você, e um direito que você exerce plenamente ao interagir com o nosso serviço.

Prestação do serviço

Os dados coletados durante o questionário, os documentos enviados e os dados de pagamento são tratados para a execução do contrato de prestação do Assessment. Base legal: execução contratual (artigo 6.1.b do RGPD / artigo 7, V da LGPD).

Comunicação de acompanhamento

Seu e-mail e seu número de WhatsApp são utilizados para enviar o resultado do questionário, o Assessment final, e para responder às suas perguntas durante os 30 dias de acompanhamento incluídos. Base legal: execução contratual (artigo 6.1.b do RGPD).

Análise estratégica assistida por IA

Suas respostas ao questionário são transmitidas de forma pseudonimizada (sem nome completo — apenas o primeiro nome e os dados relativos ao caso) ao nosso fornecedor de inteligência artificial Anthropic, para a geração do diagnóstico preliminar. Base legal: execução contratual (artigo 6.1.b do RGPD).

Segurança e prevenção de fraudes

Seu endereço IP, seu user-agent e certos comportamentos de navegação são tratados para detectar tentativas de abuso, prevenir fraude no pagamento e proteger a integridade do nosso serviço. Base legal: interesse legítimo do controlador (artigo 6.1.f do RGPD).

Obrigações contábeis e fiscais

As faturas e os dados contábeis correlatos são conservados por 10 anos em conformidade com a legislação francesa. Base legal: obrigação legal (artigo 6.1.c do RGPD).

Analytics e publicidade direcionada

Caso você tenha dado seu consentimento expresso por meio do nosso banner de cookies, alguns dados de navegação são compartilhados com nossos parceiros analíticos e publicitários (Meta Platforms). Base legal: consentimento (artigo 6.1.a do RGPD / artigo 7, I da LGPD), revogável a qualquer momento.

Seus dados pessoais são tratados exclusivamente pela equipe da Cittadinanza Desk e por um número limitado de subcontratados técnicos cuidadosamente selecionados. Esses subcontratados atuam sob nossas instruções, no âmbito de contratos que respeitam as exigências do artigo 28 do RGPD, e implementam medidas técnicas e organizacionais adequadas para garantir a segurança dos seus dados.

Não vendemos, alugamos ou cedemos seus dados pessoais a terceiros com finalidade comercial. As únicas comunicações a terceiros ocorrem no âmbito das finalidades enumeradas na seção anterior, e sempre com seu conhecimento.

• Vercel Inc. (São Francisco, EUA — datacenters europeus em Frankfurt, Alemanha): hospedagem técnica do site e das nossas APIs.
• Supabase Inc. (São Francisco, EUA — datacenter Frankfurt, Alemanha): banco de dados relacional e armazenamento de arquivos enviados.
• Stripe Payments Europe Ltd. (Dublin, Irlanda): processamento dos pagamentos e certificação PCI-DSS de nível 1.
• Resend Inc. (São Francisco, EUA — datacenter eu-west-1 Irlanda via AWS SES): envio dos e-mails transacionais (confirmação, Assessment).
• Anthropic PBC (São Francisco, EUA): geração do diagnóstico preliminar usando o modelo de IA Claude, sobre dados pseudonimizados.
• Meta Platforms Inc. (Menlo Park, EUA, via Conversions API): analytics publicitários, apenas com seu consentimento de marketing.
• Upstash Inc. (datacenter Frankfurt, Alemanha): limitação de tráfego antifraude (rate limiting).

A lista exaustiva e atualizada dos nossos subcontratados, bem como os contratos de tratamento subjacentes, podem ser comunicados mediante simples solicitação motivada ao endereço dpo@cittadinanzadesk.com.

Alguns dos nossos subcontratados têm sede fora da União Europeia, particularmente nos Estados Unidos. Isso diz respeito especialmente à Anthropic (análise por IA) e à Meta Platforms (analytics publicitários). Essas transferências estão sujeitas a um enquadramento jurídico estrito, em conformidade com o Capítulo V do RGPD. Para transferências envolvendo dados de titulares brasileiros, observam-se também os requisitos dos artigos 33 a 36 da LGPD.

Para as transferências para a Anthropic, baseamo-nos nas Cláusulas Contratuais Padrão (SCC) adotadas pela Comissão Europeia em sua Decisão de Execução 2021/914 de 4 de junho de 2021. Essas cláusulas obrigam a Anthropic a aplicar um nível de proteção dos dados pessoais equivalente ao que prevalece na União Europeia. Além disso, os dados transmitidos à Anthropic são pseudonimizados antes do envio: não incluem seu sobrenome, nem seu endereço físico, nem elementos diretamente identificadores além do seu primeiro nome e dos elementos do caso necessários para a análise.

Para as transferências para a Meta Platforms, baseamo-nos simultaneamente nas Cláusulas Contratuais Padrão e na adesão da Meta ao Data Privacy Framework (DPF), adotado pela Comissão Europeia em julho de 2023, que reconhece um nível adequado de proteção para os fluxos de dados UE-EUA com organizações certificadas.

Você tem o direito de obter uma cópia das garantias contratuais que enquadram essas transferências, em aplicação do artigo 46 do RGPD, mediante solicitação motivada por e-mail ao endereço dpo@cittadinanzadesk.com.

Não conservamos seus dados pessoais além do tempo necessário às finalidades para as quais foram coletados. O prazo de conservação varia conforme a categoria de dado e a base legal do tratamento.

Dados do cliente ativo

Conservados durante toda a duração da relação comercial, depois por 24 meses após a última interação significativa, a fim de poder responder às suas perguntas posteriores e manter um histórico coerente do dossiê.

Documentos do dossiê Assessment

Os documentos comprobatórios enviados (registros do estado civil, certidões, etc.) são conservados por 24 meses após a entrega do Assessment, por razões de segurança jurídica do dossiê e para permitir consultas posteriores caso seu caso evolua.

Faturas e dados contábeis

Conservados por 10 anos em conformidade com o artigo L123-22 do Código Comercial francês, no âmbito das nossas obrigações legais em matéria contábil.

Logs técnicos anonimizados

Conservados por no máximo 12 meses, com finalidade de segurança e diagnóstico de incidentes.

Cookies

O prazo de conservação de cada cookie está detalhado na nossa Política de Cookies. Os cookies analíticos e publicitários são conservados por no máximo 13 meses, em conformidade com as recomendações da CNIL.

Ao final dos prazos enumerados, seus dados são apagados de forma segura ou anonimizados de forma irreversível. Certos dados podem ser conservados além desses prazos em caso de litígio em curso, até sua resolução definitiva.

Como titular de dados, você dispõe de um conjunto de direitos garantidos pelo RGPD europeu e, para residentes no Brasil, pela LGPD. Esses direitos podem ser exercidos sem condição de motivação, gratuitamente, e a qualquer momento.

• Direito de acesso (artigo 15 RGPD / artigo 18, II da LGPD): obter a confirmação de que dados que dizem respeito a você estão sendo tratados e obter uma cópia desses dados.
• Direito de retificação (artigo 16 RGPD / artigo 18, III da LGPD): obter a correção dos dados inexatos ou o complemento dos dados incompletos.
• Direito de eliminação, também chamado de direito ao esquecimento (artigo 17 RGPD / artigo 18, VI da LGPD): obter a exclusão dos dados que dizem respeito a você, sob condições precisas (dados não mais necessários para a finalidade, retirada do consentimento, oposição legítima, etc.).
• Direito à limitação do tratamento (artigo 18 RGPD): obter a suspensão temporária do tratamento enquanto uma solicitação for examinada (por exemplo, durante o exame de uma solicitação de retificação).
• Direito à portabilidade (artigo 20 RGPD / artigo 18, V da LGPD): receber os dados que você forneceu em formato estruturado, comumente utilizado e legível por máquina, e transmiti-los a outro controlador.
• Direito de oposição (artigo 21 RGPD): opor-se a qualquer momento, por razões relativas à sua situação particular, a um tratamento dos seus dados baseado no interesse legítimo ou no interesse público.
• Direito de retirada do consentimento (artigo 7 RGPD / artigo 8, §5° da LGPD): quando o tratamento se basear em seu consentimento, retirá-lo a qualquer momento, sem afetar a legalidade do tratamento anterior.

Para exercer qualquer um dos direitos enumerados na seção anterior, convidamos você a nos enviar um e-mail para dpo@cittadinanzadesk.com indicando claramente o direito que deseja exercer e fornecendo um comprovante de identidade (cópia de um documento de identidade oficial, parcialmente mascarado, exceto o nome, sobrenome e data de nascimento).

Essa verificação de identidade é necessária para proteger seus dados contra qualquer tentativa de acesso fraudulento por terceiros. O comprovante fornecido será destruído assim que a verificação for concluída.

Responderemos sem atraso indevido e, em qualquer caso, no prazo de um mês a partir do recebimento da solicitação, em conformidade com o artigo 12.3 do RGPD. Esse prazo pode ser prorrogado por mais dois meses em caso de solicitação complexa ou de múltiplas solicitações; nesse caso, informaremos você dentro do primeiro mês.

Caso considere, após nos ter contatado, que seus direitos não foram respeitados, você dispõe da possibilidade de apresentar uma reclamação perante a autoridade de controle competente. Na França, trata-se da Commission Nationale de l'Informatique et des Libertés (CNIL), 3 place de Fontenoy, TSA 80715, 75334 Paris Cedex 07, www.cnil.fr. Para residentes no Brasil, a autoridade competente é a ANPD (Autoridade Nacional de Proteção de Dados), www.gov.br/anpd. Como cidadão de um Estado-membro da União Europeia, você também pode escolher a autoridade de controle do seu país de residência.

Nosso site utiliza cookies e tecnologias semelhantes (localStorage, sessionStorage) para garantir o funcionamento técnico do serviço, melhorar a experiência do usuário, medir a audiência e, mediante seu consentimento, otimizar nossas campanhas publicitárias.

Os cookies essenciais ao funcionamento do site são depositados automaticamente e não requerem consentimento. Os cookies analíticos e publicitários requerem seu consentimento expresso, dado por meio do nosso banner de cookies em sua primeira visita. Você pode modificar sua escolha a qualquer momento clicando no link "Gerenciar cookies" presente no rodapé do site.

Consulte nossa Política de Cookies detalhada

Implementamos medidas técnicas e organizacionais adequadas para proteger seus dados pessoais contra acesso não autorizado, divulgação acidental, perda, alteração ou destruição. Essas medidas são revistas e atualizadas regularmente para acompanhar a evolução das ameaças e das melhores práticas do setor.

Em particular, todo o tráfego para nosso site é criptografado por meio do protocolo HTTPS (TLS 1.3). Os dados armazenados em nosso banco de dados são protegidos por mecanismos de controle de acesso estritos, e o acesso aos dados pessoais é limitado às pessoas que precisam conhecê-los no âmbito de sua função. As senhas são submetidas a hash com algoritmos criptográficos robustos; os dados bancários nunca são armazenados em nossos servidores.

Em caso de violação de dados pessoais suscetível de gerar um risco elevado para seus direitos e liberdades, informaremos você sem atraso indevido em conformidade com o artigo 34 do RGPD, e notificaremos a violação à CNIL no prazo de 72 horas em conformidade com o artigo 33. Para titulares no Brasil, a notificação à ANPD obedecerá ao artigo 48 da LGPD.

Esta Política de Privacidade pode ser modificada periodicamente para refletir a evolução dos nossos tratamentos, dos nossos serviços ou do enquadramento legal aplicável. A data da última atualização é indicada no topo do documento.

Em caso de modificação substancial que afete seus direitos ou as finalidades dos tratamentos, informaremos você por e-mail antes da entrada em vigor das novas disposições, e ofereceremos a possibilidade de exercer seus direitos antes da aplicação das mudanças.

Para qualquer pergunta relativa a esta Política de Privacidade ou ao tratamento dos seus dados pessoais, você pode nos contatar pelo endereço dpo@cittadinanzadesk.com.

Para qualquer reclamação, você dispõe do direito de apresentar queixa perante a Commission Nationale de l'Informatique et des Libertés (CNIL), perante a ANPD brasileira, ou perante a autoridade de controle competente do seu país de residência na União Europeia.

Página oficial da CNIL — direitos e reclamações