🇧🇷 PT | 🇺🇸 EN

Política de Tratamento de Dados Pessoais — em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018).

Última atualização: abril de 2026
Vigência: esta política entra em vigor a partir de sua publicação e permanece válida até sua substituição por nova versão.

1. INTRODUÇÃO

O Instituto Nacional de Combate ao Cibercrime (INCC), instituição do terceiro setor sem fins lucrativos, apartidária e independente, dedicada ao combate do cibercrime, ciberterrorismo e terrorismo, reconhece a importância da privacidade e da proteção dos dados pessoais como direito fundamental dos titulares.

Esta Política de Tratamento de Dados Pessoais ("Política") estabelece as práticas adotadas pelo INCC no tratamento de dados pessoais, em conformidade com a Lei nº 13.709/2018 — Lei Geral de Proteção de Dados Pessoais (LGPD), com o Marco Civil da Internet (Lei nº 12.965/2014), com o Decreto nº 8.771/2016 e com as melhores práticas internacionais de proteção de dados, como o General Data Protection Regulation (GDPR) europeu.

2. DEFINIÇÕES

Para os fins desta Política, aplicam-se as seguintes definições, conforme art. 5º da LGPD:

  • Dado pessoal: informação relacionada a pessoa natural identificada ou identificável.
  • Dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização religiosa, filosófica ou política, dado referente à saúde ou à vida sexual, dado genético ou biométrico.
  • Titular: pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
  • Controlador: pessoa natural ou jurídica a quem competem as decisões referentes ao tratamento de dados pessoais — neste caso, o INCC.
  • Operador: pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador.
  • Encarregado (DPO): pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
  • Tratamento: toda operação realizada com dados pessoais — coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, modificação, comunicação, transferência, difusão ou extração.
  • Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.
  • Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.

3. CONTROLADOR E ENCARREGADO

O controlador dos dados pessoais tratados no âmbito desta Política é o Instituto Nacional de Combate ao Cibercrime — INCC.

Para o exercício dos direitos previstos na LGPD ou para esclarecimentos sobre o tratamento de dados, o titular poderá entrar em contato com o Encarregado pelo Tratamento de Dados Pessoais (DPO) do INCC pelos seguintes canais:

4. DADOS PESSOAIS COLETADOS

O INCC coleta dados pessoais de titulares em diferentes contextos, conforme detalhado a seguir:

4.1. Dados fornecidos diretamente pelo titular

  • Dados de identificação: nome completo, CPF, data de nascimento, e-mail, telefone, endereço, profissão, instituição vinculada.
  • Dados de comunicação: mensagens, formulários de contato, denúncias, solicitações enviadas pelos canais oficiais.
  • Dados de cadastro: credenciais de acesso para áreas restritas (quando aplicável).

4.1.1. Canal de denúncia de cibercrime

Ao utilizar o formulário de denúncia disponível em /cidadao.html#denunciar, podem ser coletados os seguintes dados:

  • Tipo, data e descrição do ocorrido, valor de prejuízo, evidências eventualmente anexadas;
  • Dados do suspeito informados pelo denunciante (telefone, e-mail, conta/Pix);
  • Dados do denunciante: nome, CPF, e-mail, telefone, estado e cidade, exceto quando a denúncia for marcada como anônima — caso em que nenhum dado de identificação do denunciante é coletado;
  • Hash do endereço IP, user-agent do navegador e timestamp, exclusivamente para fins de auditoria, prevenção a abuso e segurança da informação.

Os campos identificáveis (nome, CPF, e-mail, telefone, descrição livre, dados do suspeito) são criptografados em repouso com AES-256 (GCM) antes de serem gravados no banco de dados, com chave gerenciada exclusivamente pelo INCC.

4.1.2. Cadastro para download de relatórios e estudos

Ao solicitar o download de publicações em /conteudo.html, são coletados:

  • Nome, e-mail (obrigatórios), organização, cargo e finalidade de uso (opcionais);
  • Consentimento explícito para o tratamento e, separadamente, consentimento opcional para receber comunicações futuras.

Estes dados servem para análise institucional do alcance das publicações e, com consentimento explícito, para envio de novos materiais.

4.2. Dados coletados automaticamente

  • Dados de navegação: endereço IP, tipo de navegador, sistema operacional, páginas acessadas, tempo de permanência, origem do tráfego (referrer), data e hora dos acessos.
  • Cookies e tecnologias similares: conforme detalhado em nossa Política de Cookies.

4.3. Dados sensíveis

O INCC, em regra, não coleta dados pessoais sensíveis. Quando a coleta for indispensável (por exemplo, em denúncias específicas que envolvam vítimas), o tratamento ocorrerá com bases legais específicas previstas no art. 11 da LGPD, com adoção de medidas de proteção reforçadas.

4.4. Dados de crianças e adolescentes

O tratamento de dados pessoais de crianças e adolescentes será realizado em seu melhor interesse, conforme art. 14 da LGPD, mediante consentimento específico e em destaque por pelo menos um dos pais ou responsável legal, exceto nas hipóteses legais que dispensam tal consentimento.

5. FINALIDADES DO TRATAMENTO

Os dados pessoais coletados pelo INCC são tratados para as seguintes finalidades específicas:

  • Execução das atividades institucionais do INCC, incluindo produção de inteligência, articulação público-privada, mobilização, acompanhamento de resultados e apoio técnico;
  • Atendimento a solicitações, denúncias, sugestões e contatos enviados pelos canais oficiais;
  • Envio de comunicações institucionais, alertas de segurança e materiais educativos para titulares que tenham manifestado interesse;
  • Aperfeiçoamento dos serviços e da experiência de navegação no site;
  • Cumprimento de obrigações legais, regulatórias e judiciais;
  • Cooperação com autoridades públicas e instituições parceiras, quando legalmente exigido ou pertinente ao combate ao cibercrime;
  • Defesa de direitos do INCC em processos judiciais, administrativos ou arbitrais;
  • Pesquisas, estudos e estatísticas — sempre que possível, em formato anonimizado.

6. BASES LEGAIS PARA O TRATAMENTO

O INCC realiza o tratamento de dados pessoais com base em uma ou mais das hipóteses legais previstas no art. 7º da LGPD:

  • Consentimento do titular (art. 7º, I), de forma livre, informada e inequívoca;
  • Cumprimento de obrigação legal ou regulatória pelo controlador (art. 7º, II);
  • Execução de políticas públicas previstas em leis e regulamentos (art. 7º, III), quando aplicável;
  • Realização de estudos por órgão de pesquisa, garantida a anonimização sempre que possível (art. 7º, IV);
  • Execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular (art. 7º, V);
  • Exercício regular de direitos em processo judicial, administrativo ou arbitral (art. 7º, VI);
  • Proteção da vida ou da incolumidade física do titular ou de terceiro (art. 7º, VII);
  • Tutela da saúde, em procedimento realizado por profissionais de saúde (art. 7º, VIII);
  • Legítimo interesse do controlador ou de terceiro, observados os direitos e liberdades fundamentais do titular (art. 7º, IX);
  • Proteção do crédito, conforme legislação pertinente (art. 7º, X).

7. COMPARTILHAMENTO DE DADOS

O INCC poderá compartilhar dados pessoais com terceiros nas seguintes hipóteses:

  • Autoridades públicas: Polícias Federal, Civil e Militar, Ministério Público, Poder Judiciário, ANPD e demais órgãos competentes, quando exigido por lei ou em cumprimento a ordem judicial;
  • Instituições parceiras: em projetos de cooperação técnica, mediante acordo formal e sob obrigação de confidencialidade;
  • Operadores e prestadores de serviços: empresas que processam dados em nome do INCC (por exemplo, hospedagem em nuvem, ferramentas de e-mail, análise de dados), sempre vinculadas por contrato com cláusulas de proteção;
  • Organismos internacionais: em situações específicas envolvendo cibercrimes transnacionais, observadas as exigências do art. 33 da LGPD para transferência internacional de dados.

O INCC não comercializa dados pessoais sob qualquer hipótese.

8. TRANSFERÊNCIA INTERNACIONAL

Eventuais transferências internacionais de dados pessoais ocorrerão somente:

  • Para países que proporcionem grau de proteção de dados adequado, conforme avaliação da ANPD;
  • Mediante garantias específicas (cláusulas-padrão contratuais, normas corporativas globais ou certificações);
  • Com consentimento específico do titular para a transferência;
  • Para cumprimento de obrigação legal, execução de política pública, cooperação internacional entre órgãos públicos, ou proteção da vida ou da incolumidade física;
  • Para o exercício regular de direitos em processo judicial, administrativo ou arbitral.

9. DIREITOS DO TITULAR

Nos termos do art. 18 da LGPD, o titular dos dados pessoais tem direito a obter do INCC, em relação aos seus dados:

  • Confirmação da existência de tratamento;
  • Acesso aos dados;
  • Correção de dados incompletos, inexatos ou desatualizados;
  • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
  • Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa;
  • Eliminação dos dados pessoais tratados com base no consentimento, ressalvadas as hipóteses de guarda legal;
  • Informação sobre as entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
  • Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
  • Revogação do consentimento, mediante manifestação expressa do titular;
  • Oposição a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento da LGPD.

Para exercer qualquer um desses direitos, o titular pode:

  • Enviar solicitação ao Encarregado: dpo@incc.org.br;
  • Ou utilizar o canal automatizado de solicitação de exclusão em POST /api/lgpd/excluir (informando e-mail e tipo de dado: denuncia, download ou tudo).

O INCC se compromete a responder em prazo não superior a 15 (quinze) dias contados do recebimento da solicitação. Cada solicitação é registrada com hash do IP e timestamp para fins de auditoria.

10. ARMAZENAMENTO E RETENÇÃO

Os dados pessoais são armazenados pelo INCC pelo tempo necessário ao cumprimento das finalidades para as quais foram coletados, observados os seguintes critérios:

  • Período necessário para a execução da finalidade que motivou a coleta;
  • Cumprimento de obrigação legal ou regulatória de retenção;
  • Estudo, pesquisa ou produção de inteligência, com anonimização sempre que possível;
  • Exercício regular de direitos em processo judicial, administrativo ou arbitral;
  • Defesa de interesses do INCC em ações fiscais, contratuais ou litigiosas.

Prazos específicos:

  • Denúncias de cibercrime: 5 (cinco) anos a contar do recebimento, em razão da utilidade investigativa e do prazo prescricional dos crimes mais graves cobertos pelo canal;
  • Cadastros de download: 2 (dois) anos a contar do registro, ou até a revogação do consentimento pelo titular;
  • Logs de auditoria: 12 meses, conforme art. 10 do Marco Civil da Internet;
  • Registros de consentimento (consent log): 5 anos, para fins de demonstração de conformidade à ANPD.

Encerrado o prazo de retenção, os dados são eliminados ou anonimizados de forma automática, salvo nas hipóteses legais de conservação previstas no art. 16 da LGPD.

O titular pode solicitar a antecipação da exclusão a qualquer momento por meio do canal dpo@incc.org.br ou pela rota /api/lgpd/excluir, conforme detalhado na seção 9.

10.1. Operadores e infraestrutura

Os dados são processados pelos seguintes operadores, todos vinculados por contrato e com cláusulas de proteção:

  • Cloudflare, Inc. — hospedagem da aplicação (Pages), banco de dados (D1), armazenamento de arquivos (R2), proteção contra bots (Turnstile), CDN, WAF e analytics agregado;
  • Google LLC — Google Analytics 4 e Google Tag Manager, com IP anonimizado e somente após consentimento explícito do titular via banner LGPD.

11. SEGURANÇA DA INFORMAÇÃO

O INCC adota medidas técnicas, administrativas e organizacionais aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Entre as principais medidas:

  • Criptografia em trânsito (HTTPS/TLS) e em repouso, quando aplicável;
  • Controle de acesso baseado em perfis e princípio do menor privilégio;
  • Registro de logs e trilhas de auditoria;
  • Monitoramento contínuo da infraestrutura;
  • Realização de backups periódicos com testes de recuperação;
  • Capacitação contínua dos colaboradores em proteção de dados e cibersegurança;
  • Avaliação periódica de fornecedores e parceiros;
  • Plano de Resposta a Incidentes (Incident Response Plan) com procedimentos de notificação à ANPD e aos titulares afetados, conforme art. 48 da LGPD.

12. INCIDENTES DE SEGURANÇA

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, o INCC comunicará à ANPD e aos titulares afetados em prazo razoável, conforme regulamentação aplicável, fornecendo, no mínimo:

  • Descrição da natureza dos dados pessoais afetados;
  • Informações sobre os titulares envolvidos;
  • Indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados;
  • Riscos relacionados ao incidente;
  • Motivos da demora, no caso de comunicação não imediata;
  • Medidas adotadas ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo.

13. COOKIES

O INCC utiliza cookies e tecnologias similares para melhorar a experiência de navegação. Para informações detalhadas, consulte nossa Política de Cookies.

14. ALTERAÇÕES NESTA POLÍTICA

Esta Política poderá ser alterada a qualquer momento, mediante atualização da data indicada no início do documento. Em caso de modificações materiais, o INCC envidará esforços razoáveis para comunicar previamente os titulares pelos canais disponíveis. Recomenda-se a leitura periódica desta Política.

15. LEGISLAÇÃO E FORO

Esta Política rege-se pela legislação brasileira, em especial pela Lei nº 13.709/2018 (LGPD), pela Lei nº 12.965/2014 (Marco Civil da Internet) e demais normas aplicáveis. Eventuais controvérsias serão dirimidas no foro do domicílio do titular ou conforme acordado entre as partes, observada a competência de juízos especializados quando aplicável.

16. CANAL DE CONTATO E AUTORIDADE COMPETENTE

Para dúvidas, sugestões, exercício de direitos ou denúncias relacionadas ao tratamento de dados pessoais, entre em contato com o Encarregado: dpo@incc.org.br.

O titular também poderá apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) pelos canais oficiais: www.gov.br/anpd.

i
Compromisso institucional: o INCC reafirma seu compromisso com a privacidade, a transparência e a proteção dos dados pessoais como pilares da confiança institucional e da cidadania digital.