Política de Privacidade do Aplicativo Móvel IDFM da Covoit

Publicado em

Novembro de 2025

Os dados pessoais do usuário coletados pela Karos em nome e em nome da Île-de-France Mobilités são tratados nos termos da lei alterada de 6 de janeiro de 1978 relativa à tecnologia da informação e liberdades civis e do Regulamento Europeu 2016/679 de 27 de abril de 2016 sobre proteção de dados, conhecido como "GDPR", para fins de realização do serviço de carona oferecido na aplicação IDFM da Covoit.

Esta Política de Privacidade explica como a Île-de-France Mobilités ("Île-de-France Mobilités" ou "Nós"), como responsável pela administração de dados nos termos do Artigo 4 do GDPR, processa seus dados pessoais quando você utiliza o aplicativo móvel Covoit IDFM (o "Aplicativo") operado pela Karos Mobility SAS como processador nos termos do Artigo 28 do GDPR.

O escritório registrado da Île-de-France Mobilités está localizado na 39bis-41 rue de Châteaudun, 75009 Paris, França. Se você tiver alguma dúvida sobre proteção de dados, pode entrar em contato com nosso Responsável pela Proteção de Dados (DPO) no seguinte endereço: [email protected].

A Karos Mobility SAS (10 rue de la Paix, 75002 Paris, França) atua apenas como processadora nos termos do Artigo 28 do GDPR.

1. DEFINIÇÕES

Para os fins desta política:

  • "Aplicação" significa a aplicação móvel Covoit IDFM.
  • "Membro" refere-se a qualquer usuário que tenha criado uma conta pelo aplicativo
  • "Viagem" significa a viagem feita por um motorista e um passageiro.
  • "GDPR" significa o Regulamento Geral de Proteção de Dados (UE) 2016/679.
  • "Site" refere-se ao site da Île-de-France Mobilités que apresenta a Solicitação e contém um link para download, acessível no seguinte endereço: www.covoit.idfm.fr.

2. COLETA E USO DE DADOS PESSOAIS

Karos, em nome e em nome da Île-de-France Mobilités, processa Dados Pessoais no contexto do seguinte tratamento:

  • A criação e gestão da conta de usuário;
  • A oferta do serviço de carona;
  • conformidade legal (combate à lavagem de dinheiro, fraude, segurança);
  • diagnóstico técnico e análises estatísticas;
  • Gestão de reclamações de usuários;
  • Comunicação com os usuários (via opt-in).

2.1 Tipos de dados coletados

Quando você usa o aplicativo, podemos coletar e processar as seguintes categorias de dados pessoais. Essas informações nos permitem fornecer, operar e aprimorar os serviços:

  • Dados de identificação
  • Dados de autenticação e verificação
  • Dados de geolocalização
  • Dados de pagamento
  • Dados do veículo
  • Dados de Afiliação a Programas Profissionais e de Transporte
  • Dados de login
  • Navegação de dados
  • Dados de Uso
  • Esses dados podem ser coletados diretamente de você (por exemplo, ao criar uma conta) ou indiretamente por meio do seu uso do aplicativo.

As bases legais e os propósitos são detalhados na próxima seção.

2.2 Base Jurídica e Propósitos

2.2.1 Criação e gerenciamento da conta de usuário

Para aproveitar os serviços oferecidos no Aplicativo, você deve criar uma conta de usuário. Durante esse processo, coletamos certas informações sobre você. Esse processamento é baseado em nossas obrigações contratuais. Os campos obrigatórios incluem as seguintes informações:

  • Primeiro e sobrenome
  • Endereço eletrônico
  • Número de telefone móvel
  • Rua e número da casa
  • Código Postal
  • Cidade
  • País

Após o cadastro bem-sucedido, você pode atualizar seus dados.

Também convidamos você a criar uma senha ou se registrar via "Login com a Apple" ou via single log-on (SSO) com uma conta IDFM Connect. No segundo caso, recebemos apenas os dados que você nos autoriza a compartilhar. Para mais informações, consulte a política de privacidade: https://www.iledefrance-mobilites.fr/cgu-compte.

Base legal: Artigo 6(1)(b) do GDPR (execução do contrato).

2.2.2 Oferta de nossos serviços de carona compartilhada

Para que você possa aproveitar nosso serviço de carona, somos obrigados a:

  • Crie um perfil público de usuário para voc�� no aplicativo, visível para outros membros da comunidade (por exemplo, nome, foto de perfil, empregador).
  • Analisar seus dados de viagem (por exemplo, horários e locais de partida e chegada), incluindo dados de geolocalização, para oferecer viagens adequadas.
  • Compartilhe seus dados pessoais com os membros com quem você compartilha carona (por exemplo, nome, idade, avaliação, nome da empresa se fornecido, informações do perfil, etc.).
  • Compartilhe sua geolocalização com os membros com quem você compartilha carona para facilitar a reunião (por exemplo, posição GPS);
  • Para se comunicar com você, por exemplo, para confirmar uma reserva ou fornecer serviço ao usuário.
  • Gerar faturamento com base nas suas Jornadas e na sua elegibilidade para subsídios (por exemplo, informações da Jornada cruzadas com dados de geolocalização e identidade pessoal)
  • Processe pagamentos, por meio de nossos provedores de pagamento, para viagens feitas e transferências do seu saldo para sua conta bancária (por exemplo, números de cartão de crédito, IBAN, detalhes de transação, nacionalidade etc.). O processamento de pagamentos inclui a verificação obrigatória de identidade KYC (Know Your Customer), em conformidade com as leis antifraude e lavagem de dinheiro.

Base legal: Artigo 6(1)(b) GDPR (execução do contrato) e Artigo 6(1)(a) GDPR (consentimento, revogável a qualquer momento) para informações opcionais do perfil.

2.2.3 Verificação da elegibilidade para o Serviço

Em alguns casos, e para verificar a elegibilidade ao Serviço, pediremos que nos forneça documentos como carteira de motorista, documento de identidade e/ou comprovante de endereço. Os dados são processados por meio de uma interface segura com um serviço de verificação de terceiros.

Esses documentos e as informações neles contidas são usados para fins de segurança para verificar a idade, autenticidade e singularidade das contas do membro. Documentos e informações também podem ser compartilhados com nossos parceiros bancários como parte das obrigações europeias de combate à lavagem de dinheiro.

Isso pode envolver o compartilhamento de dados com nossos parceiros bancários.

Base legal: Artigo 6(1)(c) GDPR (obrigação legal)

2.2.4 Verificação de caronas e acionamento dos pagamentos

Analisamos seus dados de conexão e geolocalização durante o carpooling para verificar se o transporte ocorreu sob as condições definidas no momento da reserva, para acionar o pagamento do motorista e para debitar o passageiro. Seus dados de trajetória e contato podem ser compartilhados com nossos parceiros de verificação antifraude para que possam fazer chamadas de controle.

Base legal: Artigo 6(1)(c) do GDPR (obrigação legal de prevenir fraudes solicitada pela classe C do Registro de Provas de Compartilhamento de Carros)

2.2.5 Garantindo a segurança e aprimorando nossos serviços

Analisamos sua atividade (por exemplo, dados de login) e suas interações com o aplicativo para melhorar os serviços oferecidos (por exemplo, a interface do aplicativo móvel ou mensagens de atendimento ao usuário).

Base legal: Artigo 6(1)(b) do GDPR (Execução do contrato para garantir a segurança, realizar o diagnóstico técnico correto e garantir o funcionamento adequado e a melhoria contínua do Serviço).

2.2.6 Encaminhamento via App

Com seu consentimento, o aplicativo pode acessar seus contatos no telefone para enviar convites. Seus amigos não receberão mensagens comerciais adicionais. Apenas os números dos contatos selecionados são coletados e processados pela Île-de-France Mobilités, via Karos como subcontratada. Os números dos amigos selecionados são mantidos por 2 meses para ativar um bônus de indicação caso o contato se registre. Certifique-se de que seus amigos concordaram em receber essas mensagens.

Base legal: Artigo 6(1)(a) do GDPR (consentimento, revogável a qualquer momento).

2.2.7 Recebendo Subsídios ou Bônus Públicos por meio de Programas Nacionais

Espanha: Participação no Sistema de Certificados de Economia de Energia (CEE)

Para que o usuário participe do sistema de certificados de economia de energia promovido e implementado pelo Ministério de Transição Ecológica e Desafio Demográfico (MITECO), devemos coletar e processar dados de identificação (como nome, sobrenome e CNI/NIE), bem como dados técnicos sobre o veículo (marca, modelo, registro, tipo de combustível). com o objetivo de registrar as economias geradas pelas viagens compartilhadas e transferi-las para órgãos ou entidades autorizadas para validação.

Base legal: Artigo 6(1)(b) do GDPR (execução do contrato).

2.2.8 Recebimento de Subsídios ou Bônus Públicos por Programas Regionais

Em algumas regiões, os caronas compartilhadas podem se beneficiar de subsídios ou bônus públicos. Esses valores são recebidos pela Île-de-France Mobilités, via Karos como subcontratado, e redistribuídos aos seus Membros.

Nesse contexto, certos dados (por exemplo, data, origem, destino das suas viagens, comprovação de que as viagens ocorreram, etc.) podem ser fornecidos às autoridades públicas que concedem o subsídio ou bônus.

Base legal: Artigo 6(1)(b) do GDPR (Execução do contrato para permitir a gestão de programas regionais e cálculo de subsídios).

2.2.9 Participe do seu Programa Regional de Carpooling

Em algumas áreas, trabalhamos com autoridades locais, como aquelas que gerenciam a mobilidade pública, para fornecer seus serviços. Nesse contexto, certos dados (por exemplo, sobrenome, primeiro nome, endereço de e-mail, número de telefone, número do cartão de transporte, endereço postal, etc.) podem ser compartilhados com o parceiro.

Informações agregadas sobre o uso do aplicativo na área também podem ser fornecidas.

Base legal: Artigo 6(1)(b) do GDPR (Execução do contrato para permitir a gestão de programas regionais e cálculo de subsídios).

2.2.10 Participação no Programa de Carpooling da Sua Empresa ou Escola

Quando uma empresa ou escola colabora com a Île-de-France Mobilités como parte de um programa de carona: Se um Membro optar por se filiar à empresa ou escola em questão, de acordo com os termos de uso, certos dados de identificação necessários (como nome, sobrenome e qualquer outra informação estritamente exigida) podem ser compartilhados com a empresa ou escola para a gestão administrativa do Afiliações.

Esse compartilhamento é apenas para fins administrativos, incluindo permitir que empresas parceiras mantenham sua lista de funcionários ativos atualizada e para que instituições educacionais mantenham sua lista de estudantes ativos atualizada.

Dados agregados e anonimizados sobre o uso da Aplicação por membros identificados como funcionários ou estudantes também podem ser fornecidos para fins estatísticos ou para avaliar o programa.

Dados individualizados (por exemplo, para fins fiscais ou de conformidade) também podem ser transmitidos quando os Membros tenham dado seu consentimento.

Em alguns casos, os propósitos e meios do processamento dos dados podem ser determinados conjuntamente com o empregador (por exemplo, reporte das distâncias percorridas para programas fiscais ou de mobilidade). As responsabilidades são definidas em um acordo separado.

Base legal: Artigo 6(1)(b) do GDPR (Execução do contrato para permitir o cálculo dos subsídios).

2.2.11 Parcerias com a Route Finder Services

Estabelecemos certas parcerias para exibir as viagens disponíveis do aplicativo até serviços de busca de rotas de terceiros. Nesse contexto, certos dados sobre os Membros e as trajetórias que eles oferecem podem ser compartilhados com os parceiros.

Base legal: Artigo 6(1)(f) do GDPR (interesse legítimo em melhorar a visibilidade das jornadas por meio de parcerias, protegendo os dados dos usuários).

2.2.12 Recebendo Assistência de Retorno

Se seus caronas forem elegíveis para um programa de assistência de retorno, suas informações de contato e endereços podem ser compartilhados com nossos parceiros de transporte.

Base legal: Artigo 6(1)(a) do GDPR (consentimento).

2.2.13 Benefício de Vagas de Estacionamento Reservadas

Se o carona lhe der direito a uma vaga reservada, seus dados de contato e endereços podem ser compartilhados com o parceiro relevante para reservar sua vaga e possíveis verificações.

Base legal: Artigo 6(1)(a) do GDPR (consentimento).

2.2.14 Recebendo Presentes ou Benefícios

Seu carona ou atividade pode lhe dar direito a certos benefícios, como presentes, vouchers ou outros privilégios, caso você participe dos jogos organizados pela Île-de-France Mobilités, via Karos como subcontratado.

Base legal: Artigo 6(1)(b) do GDPR (execução do contrato conforme definido na GTCU).

2.2.15 Expandindo nossa comunidade de usuários

Boletins: Boletins informativos periódicos, mensagens dentro do aplicativo e pesquisas podem ser enviados por meio de parceiros terceirizados. Você pode cancelar a inscrição a qualquer momento usando o link fornecido na comunicação.
 Base legal: Artigo 6(1)(a) do GDPR (consentimento).

Concursos e Sorteios: Ao organizar competições, os dados dos participantes (por exemplo, nome, endereço de e-mail) são processados para realizar a operação. Os dados são excluídos posteriormente, salvo necessidade legal em contrário.
Base legal: Artigo 6(1)(a) do GDPR (consentimento).

Avaliações de Usuários : Para melhorar os Serviços, avaliações podem ser coletadas dos Membros                                        
Base legal: Artigo 6(1)(a) do GDPR (consentimento).

2.2.16 Garantindo a Segurança e a Solidariedade dentro da Comunidade

No Aplicativo, os membros registrados podem interagir entre si por meio de vários recursos, como:

● Enviando mensagens

● Avaliação de viagens passadas

Durante essas interações, os seguintes dados podem ser visíveis:

● Seu perfil de usuário (nome, idade, número de celular)

● Seu Feedback Recebido

● Postagens e avaliações compartilhadas com outros usuários

Quando necessário, como em caso de comportamento anormal ou de um relatório feito por um usuário, podemos analisar interações e discussões no aplicativo.

Base legal: Artigo 6(1)(b) do GDPR (Execução do contrato para garantir segurança e conformidade com as diretrizes comunitárias).

2.2.17 Categorias Especiais de Dados

Por favor, não forneça, insira ou transmita qualquer informação relacionada a categorias especiais de dados pessoais (como origem racial ou étnica, opiniões políticas, crenças religiosas ou filosóficas, filiação sindical, dados genéticos, biométricos, de saúde, vida sexual ou orientação sexual) ao utilizar este serviço. Esses dados não têm ligação direta ou necessária com o serviço oferecido e não temos permissão para coletar ou processar esses dados, mesmo que você consinta.

2.2.18 Links

Certas seções do nosso Site e App contêm links para sites de terceiros, incluindo redes sociais (por exemplo, Instagram, Facebook, LinkedIn, YouTube, X). Clicar nesses links redireciona você para a plataforma relevante, que pode receber dados dos usuários.

Por favor, consulte as políticas de privacidade dessas plataformas para mais detalhes. Esses sites operam sob suas próprias políticas de privacidade. Não somos responsáveis pela operação deles, incluindo pelo gerenciamento de dados.

2.2.19 Cookies e comunicação

Podemos usar cookies para analisar seu comportamento em detalhes. Cookies são pequenos arquivos de texto que ficam armazenados no seu dispositivo. Eles são usados para garantir certas funções técnicas do local. Esses dados não são fundidos com outros dados. As informações coletadas podem incluir:

  • Configurações e estatísticas de vídeo do YouTube
  • Otimização de Anúncios no Facebook

Distinguimos entre as seguintes categorias de cookies:

  • Cookies de marketing (por exemplo, DoubleClick, Facebook Pixel): Usados para otimizar publicidade e entregar anúncios direcionados. Esses cookies também só são armazenados com seu consentimento prévio.
  • Cookies de gerenciamento de assinaturas da newsletter : usados para verificar se um usuário assinou a newsletter.

Os dados armazenados nos cookies são usados apenas para os propósitos descritos acima e não são usados para criar perfis completos de usuário ou para rastrear comportamentos fora dos propósitos declarados.

Base legal: Artigo 6(1)(a) GDPR (consentimento do usuário)

2.2.20 Gerenciamento de reclamações de usuários

Como parte da assistência aos usuários e do processamento de reclamações, a Île-de-France Mobilités, via Karos como subcontratada, processa certos dados pessoais para identificar os Membros, analisar as situações relatadas e fornecer uma resposta adequada.

Os tratamentos incluem:

  • Visualização e verificação das informações da conta do usuário, incluindo dados de contato (nome, sobrenome, endereço de e-mail, número de telefone) e histórico de viagens associados à conta.
  • Acesso a informações de viagem durante e fora das viagens, como posições GPS e dados de geolocalização, quando necessário para verificar uma viagem, resolver disputas entre compartilhadores de carro ou prevenir comportamentos fraudulentos.
  • Acesso ao banco de dados de usuários, limitado a agentes autorizados de atendimento ao cliente e suporte técnico, para possibilitar o gerenciamento de solicitações, a rastreabilidade das trocas e a oferta de suporte eficaz.
  • A análise de registros de atividade e dados de conexão, para diagnosticar falhas técnicas ou identificar possíveis usos não conformes da Aplicação.

Os dados processados nesse contexto são usados apenas para resolver solicitações, prevenir fraudes e melhorar o suporte ao usuário.

Ele pode, se necessário, ser compartilhado com os prestadores de serviços envolvidos no tratamento da reclamação (por exemplo, provedores de pagamento, parceiros de mobilidade, suporte técnico), apenas na medida estritamente necessária para resolver o problema.

Base legal: Artigo 6(1)(b) do GDPR – Execução do contrato (assistência e resolução de disputas).

2.2.21 Cumprimento das Obrigações Legais

Processamos dados pessoais para cumprir obrigações legais, como períodos comerciais, empresariais ou de retenção fiscal. Base legal: Artigo 6(1)(c) do GDPR em conjunto com as leis comerciais, profissionais ou fiscais aplicáveis

Processamos dados pessoais para afirmar ou defender contra reivindicações legais, bem como para investigar ou prevenir infrações criminais.

Base legal: Artigo 6(1)(c) GDPR (Requisito Legal para Proteção e Segurança Jurídica)

2.2.22 Tomada Automatizada de Decisão / Perfilamento

Não utilizamos tomada automática de decisões ou perfilamento no sentido de Arte. 22 GDPR.

3. COMPARTILHAMENTO E PROTEÇÃO DE DADOS

3.1 Proteção de dados

A Île-de-France Mobilités, com o apoio da Karos como subcontratada, garante a proteção dos dados dos usuários por meio de técnicas de criptografia, autenticação e detecção de fraudes de última geração. Equipes dedicadas trabalham diariamente para proteger a comunidade contra usos fraudulentos e abusivos.

3.2 Compartilhamento de Dados com Parceiros

Apenas nossas equipes internas têm acesso aos seus dados. Como exceção, certos dados podem ser compartilhados com parceiros e prestadores de serviços, a quem podem ser transmitidos, sujeito ao seu consentimento quando necessário. Esses recipientes incluem:

  • Karos Mobility SAS, como subcontratada técnica mandatada pela Île-de-France Mobilités para a operação da Aplicação Covoit'IDFM;
  • Provedores de serviços que utilizamos para fornecer nossos serviços, como pagamentos, análises, hospedagem, mensagens, cobrança de dívidas e assessoria jurídica, além de provedores de verificação de identidade;
  • Serviços de transporte implementando nosso programa de assistência ao retorno, se aplicável;
  • Plataformas de redes sociais às quais você pode vincular sua conta IDFM do Covoit, inclusive durante o registro;
  • Parceiros públicos com os quais oferecemos nossos serviços em determinados territórios;
  • parceiros privados que escolheram a Karos para seu programa corporativo de carona;
  • Autoridades públicas criando um registro de comprovação de carona e/ou pagamento de subsídios aos caronagens por meio de nós;
  • Nossos parceiros comerciais como parte do nosso programa de doações e privilégios.

Aqui está a lista atual de nossos provedores de serviços com quem os dados podem ser compartilhados:

Os dados também são compartilhados com autoridades públicas e parceiros para:

  • Programas de economia de energia (SIPLEC / PNCEE)
  • Iniciativas regionais de carona
  • Programas corporativos ou educacionais de carona compartilhada

Compartilhamos apenas dados que são estritamente necessários para o propósito pretendido e de acordo com o Art. 28 GDPR (acordos de processamento de dados) ou Art. 26 GDPR (contratos de responsabilidade conjunta).

Anonimizamos e agregamos informações de viagens, itinerários e certas características dos perfis de usuários para produzir estatísticas de uso para terceiros.

3.3 Períodos de retenção de dados

De acordo com as disposições do GDPR, comprometemo-nos a reter dados pessoais apenas pelo tempo necessário para os fins para os quais são processados:

  • Dados da conta: até o pedido de fechamento ou 2 anos após o último uso;
  • Dados financeiros: período de contabilidade legal e impostos;
  • Subsídios ou bônus públicos: duração exigida pelos regulamentos;
  • Dados de geolocalização: 1 ano;
  • Conta suspensa/bloqueada: 5 anos;
  • Conteúdo gerado pelos usuários: anonimizado após a desativação da conta, salvo se exigido por lei.

3.4 Medidas de Segurança

Implementamos medidas de segurança apropriadas para proteger os dados pessoais contra destruição acidental ou ilegal, perda acidental, alteração, divulgação ou acesso não autorizado, bem como contra qualquer outro processamento que não esteja de acordo com esta Política de Privacidade.

4. CONTROLE E ACESSO AOS DADOS

De acordo com o GDPR, você tem os seguintes direitos:

  • Direito de acesso (Art. 15 GDPR)
  • Direito à rectificação (Art. 16 GDPR)
  • Direito à apagamento (Art. 17 GDPR)
  • Direito à restrição de processamento (Art. 18 GDPR)
  • Direito à portabilidade de dados (Art. 20 GDPR)
  • Direito de retirar seu consentimento
  • Direito de protestar (Art. 21 GDPR)
  • Direito de apresentar reclamação (Art. 77 GDPR)

Você pode exercer seus direitos enviando um pedido para [email protected]. Será necessário comprovar identidade.
 Você também pode entrar em contato com [email protected] (processador técnico).

Em caso de incumprimento dos seus direitos, você pode encaminhar o caso à CNIL ou a qualquer outra autoridade competente.
Você também pode excluir sua conta IDFM do Covoit diretamente pelo aplicativo.

5. TRANSFERÊNCIA DE DADOS PARA TERCEIROS PAÍSES

Com exceção do processamento listado abaixo, seus dados que contribuem para a operação do Serviço são processados dentro da União Europeia.

Propósito / Parceiros / Países para os quais seus dados são transferidos / Garantias que regem a transferência

Acompanhamento de campanhas promocionais / Filiais/EUA / Acordo de Processamento de Dados (DPA)

Acompanhamento de dados estatísticos de uso e gerenciamento de campanhas publicitárias / Google Analytics & Tag Manager /EUA / Acordo de Processamento de Dados (DPA)

Pesquisas Ocasionais de Usuários / Typeform / EUA / Acordo de Processamento de Dados (DPA)

Confirmação por SMS & Jornada por SMS /Vonage /EUA / Acordo de Processamento de Dados (DPA)

Monitoramento estatístico do uso do Acordo de Processamento de Dados (DPA) de Aplicação / Amplitude / EUA

Fazemos essas transferências com base nas Cláusulas Contratuais Padrão (SCCs) aprovadas pela Comissão Europeia.

6. MUDANÇAS NESTA POLÍTICA DE PRIVACIDADE

Reservamo-nos o direito de alterar esta Política de Privacidade a qualquer momento.

Os membros da Aplicação são informados diretamente pela Aplicação e devem cumprir as mudanças para continuar utilizando os serviços.

Salvo indicação em contrário, tais mudanças são efetivas imediatamente após a publicação.

Recomendamos que você revise esta apólice regularmente.