Política de Privacidade

Política de Privacidade e Tratamento de Dados da UTB

Brasília/DF 29 de agosto de 2025.

1. Introdução

A União Transporte Brasília Ltda. - UTB, CNPJ 37.098.480/0001-85, com sede em S.I.A, Trecho 6, lote 160 - Guará/DF, CEP 71.205-060, respeita a sua privacidade e protege os seus dados pessoais. Esta Política é corporativa e aplica-se integralmente à UTB (matriz) e a todas as suas filiais, atuais e futuras, abrangendo todas as operações e atividades realizadas por estas unidades, em conformidade com a Lei Geral de Proteção de Dados Pessoais - LGPD (Lei 13.709/2018) e legislação correlata.

2. Escopo e Abrangência

Esta Política abrange o tratamento de dados pessoais de:

• Passageiros, clientes e usuários dos serviços da UTB, inclusive bilhetagem eletrônica;
• Clientes corporativos e beneficiários de vale-transporte;
• Visitantes do site e usuários de canais digitais de atendimento;
• Fornecedores, prestadores de serviços e seus representantes;
• Colaboradores, ex-colaboradores e candidatos a vagas

3. Definições Essenciais
• Dado pessoal: informação relacionada a pessoa natural identificada ou identificável;
• Dado pessoal sensível: "Dados pessoais sensíveis" são dados sobre a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos, quando vinculado a uma pessoa natural (pessoa física).
• Controladora: pessoa jurídica que toma decisões sobre o tratamento de dados pessoais;
• Operador de dados pessoais: O "operador" é a pessoa natural (física) ou jurídica que realiza o tratamento de dados pessoais em nome e no interesse do controlador.
• Titular: pessoa natural a quem se referem os dados pessoais;
• Encarregado (DPO): pessoa indicada para atuar como canal de comunicação entre controladora, titulares e ANPD;

4. Agentes de Tratamento e Contatos

   4.1 Controladora:

   • União Transporte Brasília Ltda. - UTB, CNPJ 37.098.480/0001-85
   • Endereço postal: S.I.A, Trecho 6, lote 160 - Guará/DF, CEP 71.205-060

   4.2 Encarregado pelo Tratamento de Dados Pessoais (DPO):

   • Nome completo:
   • E-mail institucional do DPO:
   • Canal telefônico gratuito: 0800 647 0825
   • Canal de atendimento para Deficientes Auditivos: 0800 006 8006
   • Canal telefônico: (61) 3233-2505
   • WhatsApp: (61) 98339-5090
   • Endereço postal para correspondências ao DPO: S.I.A, Trecho 6, lote 160 - Guará/DF, CEP 71.205-060

5. Princípios e Bases Legais Princípios aplicáveis:
• Finalidade: tratamos dados para propósitos legítimos, específicos e informados ao titular. Como cumprimos: informamos finalidades na coleta (ex.: bilhetagem, atendimento, segurança).
• Adequação: o uso dos dados é compatível com a finalidade informada. Como cumprimos: evitamos usos secundários incompatíveis.
• Necessidade (minimização): coletamos apenas o mínimo necessário. Como cumprimos: revisões periódicas de formulários e campos.
• Transparência: fornecemos informações claras sobre o tratamento. Como cumprimos: esta Política, avisos de privacidade e canais de contato.
• Livre acesso: o titular pode consultar forma, duração e integralidade de seus dados. Como cumprimos: canal do DPO e prazos de resposta definidos.
• Qualidade dos dados: mantemos exatidão, clareza, relevância e atualização. Como cumprimos: correção/atualização a pedido e validações de cadastro.
• Segurança: adotamos medidas técnicas e administrativas para proteger dados. Como cumprimos: controles de acesso, criptografia, registros e auditorias.
• Prevenção: atuamos para evitar incidentes e danos. Como cumprimos: gestão de vulnerabilidades, treinamento e testes de resposta a incidentes.
• Não discriminação: não tratamos dados para fins discriminatórios ilícitos ou abusivos.
• Responsabilização e prestação de contas: demonstramos conformidade. Como cumprimos: inventário de tratamentos, contratos com operadores, relatórios e auditorias.

6. Mapa de Tratamento por Finalidade

   6.1 Prestação de serviços de transporte

   • Finalidades: venda e validação de passagens, atendimento ao usuário, operação de linhas e horários, gestão de gratuidades e descontos conforme normas aplicáveis
   • Dados tratados: identificação, contato, dados de pagamento, histórico de viagens quando necessário, informações de elegibilidade a gratuidades
   • Bases legais: execução de contrato, obrigação legal, exercício regular de direitos, legítimo interesse (melhoria do serviço e prevenção a fraudes)

   6.2 Bilhetagem eletrônica - Cartão Expresso - (cliente Pessoa Física)

   • Finalidades: Emissão, gestão e uso do Cartão Expresso; processamento de recargas; prevenção a fraudes; auditoria, conciliação e atendimento.
   • Dados processados: Identificação (nome, CPF, data de nascimento, endereço), dados de contato, número do cartão, histórico de uso (validações), histórico de recargas, informações de atendimento relacionadas ao cartão.
   • Compartilhamento: Operadora contratada de bilhetagem TACOM como operadora de dados, mediante contrato com cláusulas de proteção de dados; autoridades competentes quando exigido por lei.
   • Salvaguardas: Criptografia e segregação de ambientes; controles de acesso baseados em papéis; registros e trilhas de auditoria; avaliação periódica de segurança do fornecedor; cláusulas contratuais robustas com a operadora.

   6.3 Vale-Transporte (cliente corporativo)

   • Finalidades: Gestão do benefício, emissão e recargas vinculadas ao empregador; controle de uso para conformidade trabalhista; atendimento e auditoria.
   • Dados tratados: Identificação do trabalhador (nome, CPF, matrícula), dados do empregador (razão social, CNPJ), quantidade de créditos adquiridos e utilizados.
   • Bases legais: execução de contrato, cumprimento de obrigação legal.
   • Observação de papéis: A UTB atua como controladora no ecossistema de bilhetagem. Empregadores fornecem dados e podem atuar como controladores independentes ou corresponsáveis, conforme contratos.
   • Retenção e salvaguardas: Retenção conforme prazos contratuais, legais e prescricionais; controles de acesso; segregação de dados por cliente; auditorias.

   6.4 Atendimentos, Canais Digitais, Site Institucional e fale conosco.

   • Finalidade: Coletamos e tratamos dados pessoais nos nossos canais digitais (site, app e perfis oficiais) para informar sobre a organização e seus serviços, responder solicitações e registrar protocolos, personalizar a experiência, realizar pesquisas de satisfação e assegurar segurança e prevenção a fraudes, sempre com transparência e aderência à LGPD.
   • Dados tratados: Tratamos dados de identificação (nome, CPF quando necessário e data de nascimento para conferência), contato (e-mail e telefone), conteúdos fornecidos (mensagens e anexos), dados técnicos de acesso (IP, data e hora, identificadores de dispositivo/navegador e cookies) e preferências/consentimentos, limitados ao mínimo indispensável para cada finalidade informada.
   • Base legal (LGPD): As operações se fundamentam, conforme o caso, na execução de contrato ou procedimentos preliminares (art. 7º, V), no cumprimento de obrigação legal ou regulatória (art. 7º, II), no exercício regular de direitos (art. 7º, VI), no legítimo interesse com teste de balanceamento e salvaguardas (art. 7º, IX) e no consentimento específico e destacado quando exigido, inclusive para cookies de marketing (art. 7º, I).
   • Cookies: Utilizamos cookies e tecnologias similares estritamente necessários para funcionamento e segurança, além de cookies funcionais/analíticos e de marketing quando consentidos, gerenciados por um painel de preferências que permite aceitar, recusar ou revogar o consentimento a qualquer tempo, com registro de prova.
   • Fluxos de atendimento: O atendimento ao titular ocorre por formulário do site, e-mail, chat, telefone, WhatsApp Business e redes sociais, com emissão de protocolo, verificação de identidade proporcional ao risco, roteamento por categoria (informação, direitos do titular, reclamação etc.) e prazos que incluem confirmação imediata e resposta substancial em até 15 dias aos pedidos do art. 18.
   • Compartilhamento: Os dados podem ser compartilhados com operadores contratados para hospedagem, CRM, mensageria, analytics, antifraude, atendimento e gravação/transcrição, bem como com autoridades mediante requisição legal, sob contratos que imponham confidencialidade, medidas de segurança, subcontratação controlada e dever de notificação de incidentes, incluindo, quando houver transferência internacional, salvaguardas adequadas (arts. 33-36).
   • Retenção: Mantemos registros de atendimento e protocolos pelo prazo necessário às finalidades e/ou pelos prazos legais aplicáveis), logs de acesso por, no mínimo, 6 meses, e gravações de chamadas conforme norma setorial, eliminando ou anonimizando os dados ao final, com evidência do descarte e revisão periódica dos critérios de retenção.
   • Segurança: Adotamos minimização e segregação de dados, controles de acesso por função com revisão periódica, criptografia em trânsito e, quando aplicável, em repouso, mascaramento de dados, testes de segurança (SAST/DAST), proteção contra bots e WAF, monitoramento contínuo e plano de resposta a incidentes com registro, comunicação e melhoria contínua.

   6.5 CFTV e segurança nas instalações e frota

   • Finalidades: Proteger a vida e a integridade de passageiros e colaboradores, resguardar o patrimônio, apoiar a operação e a investigação de incidentes, prevenir e apurar fraudes e atos de vandalismo, e atender solicitações de autoridades competentes.
   • âmbito de monitoramento: Câmeras instaladas em veículos da frota, garagens, pátios, acessos, áreas comuns de circulação, bilheterias e postos de atendimento; não há monitoramento em ambientes que possam violar a privacidade (p. ex., sanitários ou vestiários).
   • Transparência e sinalização: Exibimos sinalização visível nos veículos e áreas monitoradas informando "Ambiente monitorado por CFTV" e, especificamente nos veículos, "Filmagem sem gravação de voz"; nos postos de atendimento, a sinalização indica a presença de câmeras (e, se aplicável, de gravação de áudio no balcão, com aviso destacado).
   • Dados tratados: Imagens (vídeo), data e hora, local da gravação e, quando aplicável nos postos de atendimento com aviso específico, áudio ambiente limitado ao balcão/guichê; não coletamos voz no interior dos veículos.
   • Bases legais (LGPD): Legítimo interesse do controlador na segurança e prevenção de fraudes (art. 7º, IX), proteção da vida e da incolumidade física (art. 7º, VII) e cumprimento de obrigação legal/regulatória quando exigido (art. 7º, II).
   • Retenção e descarte: Armazenamos as imagens, em regra, por até 5 cinco anos; prazos superiores somente por determinação legal, ordem de autoridade ou necessidade de resguardar direitos em processos, com bloqueio/segregação da evidência até o encerramento do caso e posterior descarte seguro.
   • Acesso, uso e compartilhamento: O acesso é restrito a pessoal autorizado; toda visualização/exportação é registrada em log com cadeia de custódia.

   As imagens não são disponibilizadas a clientes, usuários ou quaisquer terceiros por conveniência, curiosidade, demanda comercial, tratativas informais, mídia ou redes sociais.

   As imagens podem ser disponibilizadas a órgãos de segurança pública e autoridades competentes (polícia, Ministério Público, Poder Judiciário ou órgãos afins) mediante ordem/solicitação formal, para fins de prevenção e investigação de incidentes, apuração de infrações e cumprimento de dever legal. Em situações de risco iminente à vida ou à integridade física, o compartilhamento poderá ocorrer de forma célere para mitigar o dano, com registro do fundamento legal, do responsável e do destinatário.

   • Delimitações e proibições: é vedada a captação de áudio nos veículos; nos postos de atendimento, eventual captação de áudio limita-se ao balcão e depende de aviso destacado e necessidade justificada. é proibido o uso das imagens para fins não compatíveis com as finalidades de segurança, exceto quando necessário ao cumprimento de obrigação legal ou exercício regular de direitos.
   • Medidas de segurança: Criptografia de tráfego e, quando viável, de armazenamento; segregação de redes; autenticação forte e perfis por função; hardening e atualizações dos dispositivos; monitoramento de integridade; registros de acesso e exportação; backup controlado; testes periódicos e plano de resposta a incidentes.
   • Auditoria e governança: Inventário dos pontos de câmera, revisão periódica de ângulos e retenção, relatório de acessos/exportações, avaliação de impacto quando houver gravação de áudio nos postos de atendimento e treinamento das equipes envolvidas;

   6.6 Prevenção a fraudes e segurança da informação

   • Finalidades: Detecção, prevenção e mitigação de fraudes; gestão de riscos; segurança de contas e sistemas; auditorias e investigação de incidentes; cumprimento de políticas internas e normas aplicáveis.
   • Dados tratados: Registros e logs de acesso e eventos (data/hora, IP, dispositivo, navegador), padrões de uso e telemetria, identificadores de conta, evidências técnicas de segurança (ex.: hashes, tokens, tentativas de login), dados de transações e de cobrança quando relacionados à análise antifraude.
   • Bases legais: Legítimo interesse (art. 7, IX, LGPD); cumprimento de obrigação legal/regulatória, quando aplicável; execução de contrato (garantia de segurança do serviço contratado); exercício regular de direitos (art. 7, VI); proteção do crédito, quando cabível (art. 7, X).
   • Retenção: Pelo período necessário à prevenção e investigação de fraudes e para resguardar direitos, observados prazos legais/regulatórios aplicáveis. Registros vinculados a litígios podem ser mantidos até o fim da defesa de direitos.

   6.7 Gestão de fornecedores e prestadores

   • Finalidades: Qualificação e due diligence, contratação, gestão e execução de serviços/produtos, compliance (inclusive anticorrupção), faturamento/pagamentos e auditorias.
   • Dados tratados: Identificação e contato de representantes (nome, CPF, e-mail, telefone), informações profissionais e de qualificação, dados fiscais e bancários para pagamento, cópias documentais necessárias à habilitação (ex.: contratos sociais, certidões), registros de desempenho e conformidade.
   • Bases legais: Execução de contrato e procedimentos preliminares (art. 7º, V); cumprimento de obrigação legal/regulatória (fiscal, trabalhista, anticorrupção); legítimo interesse para gestão de riscos e auditoria; exercício regular de direitos.
   • Retenção: Pelo prazo do contrato e pelos prazos legais de guarda aplicáveis (ex.: fiscal/contábil), podendo estender-se para defesa de direitos.
   • Salvaguardas: Realizamos due diligence de privacidade e segurança dos fornecedores, exigimos a assinatura de Termos de Compromisso de Confidencialidade (NDA) e Adendos de Processamento de Dados (DPA) com cláusulas de proteção de dados, segurança, subcontratação controlada e dever de notificação de incidentes, além de auditar a conformidade periodicamente.

   6.8 Recursos humanos e recrutamento

   • Finalidades: Gestão completa do ciclo de vida do colaborador: atração e seleção, admissão, gestão de pessoal (remuneração, benefícios, desenvolvimento, saúde ocupacional), desligamento e cumprimento de obrigações legais (trabalhistas, previdenciárias, fiscais).
   • Dados tratados:
     • Recrutamento: Identificação (nome, CPF, RG), contato, dados profissionais e acadêmicos (formação, histórico profissional), habilidades, currículo.
     • Admissão e Gestão: Além dos anteriores, dados bancários, informações de dependentes, saúde ocupacional (exames admissionais/periódicos), dados biométricos (para ponto eletrônico, se aplicável, com bases legais específicas), informações para benefícios (plano de saúde, vale-transporte).
   • Bases legais:
     • Execução de contrato (art. 7º, V) e procedimentos preliminares (para candidatos).
     • Cumprimento de obrigação legal ou regulatória (art. 7º, II), como obrigações fiscais, previdenciárias e trabalhistas (CLT).
     • Exercício regular de direitos (art. 7º, VI) em processos trabalhistas.
     • Para dados sensíveis (saúde ocupacional, biometria): obrigação legal ou regulatória (art. 11, II) e proteção da vida/incolumidade física (art. 7º, VII), além da tutela da saúde (art. 7º, VIII).
   • Retenção: Conforme prazos legais e regulatórios aplicáveis às relações trabalhistas (ex.: 5 anos para documentos fiscais, 20 anos para prontuários de saúde ocupacional ou conforme prazo de defesa em ações trabalhistas), com descarte seguro ou anonimização ao fim do período. Dados de candidatos não aprovados podem ser retidos por até 12 meses para futuras oportunidades, com opção de revogação.
   • Salvaguardas: Acesso restrito a informações de Departamento de Recursos Humanos, mantendo a confidencialidade reforçada, segregação de banco de dados, medidas de segurança contra acessos não autorizados e treinamentos específicos sobre o manuseio de dados sensíveis.

   6.9 Encomendas e publicidade em busdoor

   • Finalidades: Gestão de pedidos, contratos e faturamento de serviços de encomendas e espaços publicitários (busdoor).
   • Dados tratados: Identificação (nome/razão social, CPF/CNPJ), contato, dados contratuais e de pagamento.
   • Bases legais: Execução de contrato (art. 7º, V), cumprimento de obrigação legal (fiscal, contábil).
   • Retenção: Pelo prazo da relação contratual e pelo período legal para fins fiscais e contábeis.

7. Cookies e Registros de Acesso
• Utilizamos cookies essenciais para garantir funcionalidades do site e segurança.
• Poderemos empregar cookies de desempenho e analytics para melhorar a experiência, observando transparência e, quando necessário, consentimento.
• Registros de acesso ao site e aplicativos são mantidos nos termos do Marco Civil da Internet (Lei 12.965/2014) e da LGPD.

8. Compartilhamento de Dados

Compartilhamos dados pessoais estritamente quando necessário e nos termos da LGPD:

• Operadores e parceiros de tecnologia: bilhetagem eletrônica (ex.: TACOM), hospedagem e suporte de TI, atendimento, antifraude, meios de pagamento e analytics, sempre com contratos que imponham confidencialidade, finalidades específicas, medidas de segurança e obrigações de apoio ao atendimento de direitos dos titulares.
• Clientes corporativos e órgãos públicos: quando exigido por lei, por obrigação regulatória, por ordem judicial/administrativa, ou quando estritamente necessário para execução do contrato/serviço, com minimização de dados.
• Autoridades competentes: mediante obrigação legal, ordem judicial/administrativa ou requisição formal de órgãos de segurança pública e fiscalização, observando autenticação da demanda e registro de cadeia de custódia quando pertinente.
• Auditorias independentes e consultorias: para verificação de conformidade, riscos e controles, mediante acordos de confidencialidade e proteção de dados.
• Restrições de acesso:Não disponibilizamos dados (incluindo imagens de CFTV) a clientes, particulares ou terceiros em solicitações informais. O acesso é restrito a hipóteses legais, contratuais estritamente justificadas ou por determinação de autoridade competente. Todo compartilhamento é registrado e segue o princípio da minimização.

9. Transferências Internacionais

Poderá haver transferência internacional de dados por uso de serviços em nuvem ou provedores situados fora do Brasil.

• Aplicamos salvaguardas previstas na LGPD (arts. 33 a 36): cláusulas contratuais específicas, normas corporativas globais quando aplicáveis e avaliações de risco.
• As transferências ocorrem apenas quando estritamente necessárias à prestação dos serviços e à operação da UTB, com transparência aos titulares.

10. Transferências Internacionais

Adotamos medidas técnicas e administrativas robustas para proteger os dados pessoais:

• Controles de acesso, autenticação forte e segregação de perfis.
• Criptografia em trânsito e, quando adequado, em repouso.
• Gestão de vulnerabilidades, backups, registro e monitoramento de eventos.
• Testes, auditorias periódicas e conscientização de colaboradores.
• Planos de resposta a incidentes e continuidade de negócios.
• Princípios de minimização e privacidade por design aplicados em todas as fases do tratamento.

11. Retenção e Eliminação de Dados
• Mantemos dados somente pelo tempo necessário ao cumprimento das finalidades, obrigações legais e defesa de direitos.
• Prazos específicos:
• CFTV e registros de segurança: em regra até 90 dias, salvo necessidade superior.
• Registros de acesso a aplicações: conforme prazos legais aplicáveis (mínimo de 6 meses pelo Marco Civil da Internet).
• Bilhetagem e contratos: pelo prazo da relação e adicionais exigidos por lei, regulação e auditoria.
• Registros de RH: conforme prazos legais trabalhistas e previdenciários.
• Após o prazo, dados são eliminados ou anonimizados de forma segura, observadas restrições legais e técnicas, com registro de evidência do descarte.

12. Crianças, Adolescentes e Gratuidades
• Tratamos dados de menores somente quando necessário e com observância da legislação aplicável e melhor interesse do titular.
• Em gratuidades e benefícios, coletamos apenas o mínimo necessário para comprovação de elegibilidade, com salvaguardas adicionais.

13. Registros e Avaliações de Impacto

Mantemos registros das operações de tratamento de dados relevantes.

• Realizamos avaliações de impacto à proteção de dados (RIPD) quando o risco exigir, com medidas mitigadoras e controles proporcionais.

14. Incidentes de Segurança
• Em caso de incidente que possa acarretar risco ou dano relevante aos dados pessoais, adotaremos medidas de contenção, investigação e remediação.
• Comunicaremos aos titulares e à ANPD, quando aplicável, nos termos da LGPD e orientações da autoridade.

15. Atualizações desta Política
• Esta Política poderá ser atualizada para refletir mudanças legais, regulatórias ou operacionais.
• Data de última atualização: 01/09/2025

16. Disposições Finais
• Aplicabilidade e prevalência: Esta Política é corporativa e vinculante para a matriz e todas as filiais da UTB, atuais e futuras. Em caso de divergência com documentos locais, prevalece esta Política.
• Interpretação: Em caso de dúvidas sobre a interpretação desta Política, aplica-se a legislação brasileira e a orientação da ANPD, sem prejuízo de outras normas setoriais.