Aviso de Privacidade
Aviso sobre o tratamento de dados pessoais
da Plank Italy S.p.a. società benefit
Plataforma digital e aplicativos móveis
Última atualização: 27 de março de 2026
O presente aviso descreve as modalidades com que a Plank Italy S.p.a. società benefit (“Plank”, “a Sociedade” ou “nós”) coleta, utiliza e protege os dados pessoais tratados no âmbito do fornecimento da plataforma digital Plank, dos aplicativos móveis e dos serviços tecnológicos correlatos (conjuntamente, os “Serviços”).
A Plank desenvolve e opera uma plataforma de software destinada principalmente a clientes empresariais, como operadores de energia e outras organizações que utilizam a plataforma para gerenciar seus próprios serviços e as relações com seus usuários ou clientes. A utilização da plataforma pode ocorrer por meio de interfaces web ou por meio de aplicativos móveis distribuídos nas lojas digitais.
O presente aviso é publicado na plataforma e apresentado aos usuários no momento do primeiro acesso ou do registro. Ele é acessível a qualquer momento na seção “Privacidade – Documentos Legais” do portal e dos aplicativos móveis.
O presente aviso visa fornecer aos usuários informações claras e transparentes sobre o tratamento de dados pessoais realizado pela Plank na qualidade de controladora autônoma do tratamento, em conformidade com o Regulamento (UE) 2016/679 (“RGPD”) e a legislação aplicável em matéria de proteção de dados pessoais.
1. Controladora do tratamento
A controladora do tratamento é a Plank Italy S.p.a. società benefit, com sede legal em Sestiere Santa Croce 466/B, 30135 Veneza (Itália), C.F. e P.IVA 04545400279.
Para qualquer solicitação ou informação relativa ao tratamento de dados pessoais, a Sociedade pode ser contatada nos seguintes endereços:
- E-mail: gdpr@plank.global
- Correio: Plank Italy S.p.a. – Encarregado da Proteção de Dados – Sestiere Santa Croce 466/B, 30135 Veneza (VE)
2. Encarregado da Proteção de Dados (DPO)
A Plank Italy S.p.a. designou um Encarregado da Proteção de Dados (Data Protection Officer – DPO) nos termos do art. 37 do RGPD, levando em consideração a natureza, a extensão e as finalidades dos tratamentos realizados na qualidade de operadora do tratamento em nome de múltiplos clientes empresariais em larga escala.
O DPO pode ser contatado nos seguintes endereços:
- E-mail: dpo@plank.global (msavoldi@plank.global)
- Correio: Plank Italy S.p.a. – Data Protection Officer – Sestiere Santa Croce 466/B, 30135 Veneza (VE)
O DPO opera de forma independente e pode ser contatado diretamente pelos titulares dos dados para qualquer questão relativa ao tratamento de seus dados pessoais e ao exercício de seus direitos.
3. Papel da Plank no âmbito dos Serviços
O presente aviso disciplina exclusivamente os tratamentos realizados pela Plank na qualidade de controladora autônoma do tratamento, ou seja, os tratamentos que a Plank realiza para suas próprias finalidades no âmbito da gestão técnica e da segurança da plataforma. Ele se dirige aos usuários profissionais que acessam a plataforma em nome dos clientes empresariais da Plank.
Tratamentos na qualidade de Controladora Autônoma. A Plank atua como controladora autônoma para as atividades estritamente relacionadas à gestão técnica e à segurança da plataforma, tais como a autenticação dos usuários, a gestão das sessões, o monitoramento técnico da infraestrutura, a gestão dos logs de segurança, a prevenção de acessos não autorizados ou abusos e a manutenção técnica dos serviços.
Tratamentos na qualidade de Operadora do Tratamento. Separadamente do acima exposto, a Plank atua como operadora do tratamento nos termos do art. 28 RGPD quando trata dados pessoais em nome de seus clientes empresariais, os quais atuam como controladores do tratamento para os dados relativos a seus próprios usuários ou clientes finais. Para tais tratamentos, o cliente empresarial é o sujeito responsável pelo cumprimento das obrigações informativas perante seus usuários finais.
Os usuários que interagem com os serviços prestados por um cliente Plank por meio da plataforma são, portanto, convidados a consultar também o aviso de privacidade do próprio cliente, que disciplina o tratamento de dados pessoais realizado no âmbito dos serviços por ele prestados.
4. Tipos de dados pessoais tratados
No curso do fornecimento dos Serviços, a Plank pode tratar, na qualidade de controladora autônoma, as seguintes categorias de dados pessoais relativos aos usuários profissionais que acessam a plataforma em nome dos clientes empresariais:
- Dados de identificação e autenticação: identificadores de conta, credenciais de acesso e dados de sessão necessários para permitir o acesso seguro à plataforma.
- Dados do perfil profissional: nome, sobrenome, endereço de e-mail profissional, organização de pertencimento, função ou cargo.
- Dados operacionais e de serviço: informações relativas à gestão de solicitações de assistência, comunicações operacionais, documentos ou anexos carregados pelos usuários ou outros conteúdos necessários para o funcionamento das funcionalidades da plataforma.
- Dados técnicos e de diagnóstico: endereço IP, tipo de dispositivo, sistema operacional, versão do aplicativo, identificadores de sessão, logs técnicos e dados de diagnóstico necessários para o monitoramento e o correto funcionamento dos sistemas.
- Dados relativos ao uso do aplicativo móvel: em caso de uso dos aplicativos móveis, algumas funcionalidades podem exigir acesso à câmera, à biblioteca de fotos ou aos arquivos locais, exclusivamente para permitir o uso das respectivas funcionalidades.
Dados biométricos
Caso o aplicativo permita o uso de sistemas biométricos do dispositivo (ex.: reconhecimento facial ou impressão digital) para facilitar o acesso à sessão do usuário, tais mecanismos são gerenciados exclusivamente pelo sistema operacional do dispositivo. A Plank não armazena, não coleta e não trata templates biométricos.
Os dados biométricos constituem categorias especiais de dados nos termos do art. 9 RGPD. Uma vez que seu tratamento ocorre inteiramente no dispositivo do usuário por meio das APIs do sistema operacional, e a Plank não tem acesso a tais dados, a base jurídica aplicável é o consentimento explícito do usuário expresso por meio das configurações de seu dispositivo (art. 9(2)(a) RGPD).
Dados relativos aos clientes finais dos clientes empresariais
No âmbito da utilização da plataforma pelos clientes empresariais, também podem ser tratados dados pessoais relativos aos clientes finais de tais clientes. Nesses casos, o cliente empresarial atua como controlador do tratamento nos termos do art. 4(7) RGPD, enquanto a Plank atua como operadora do tratamento nos termos do art. 28 RGPD, limitadamente ao fornecimento da plataforma e dos serviços tecnológicos correlatos.
5. Finalidades e bases jurídicas do tratamento
Os dados pessoais dos quais a Plank é controladora autônoma do tratamento são tratados para as seguintes finalidades e com base nas seguintes bases jurídicas:
5.1 Autenticação e acesso à plataforma
Finalidade: permitir a autenticação dos usuários, a gestão das sessões de acesso e a utilização das funcionalidades da plataforma.
Base jurídica: execução do contrato de fornecimento dos Serviços celebrado entre a Plank e o cliente empresarial, no âmbito do qual os usuários profissionais são habilitados a acessar a plataforma (art. 6(1)(b) RGPD).
Fornecimento de dados: obrigatório para fins de acesso à plataforma. Sem tais dados, não é possível utilizar os Serviços.
5.2 Gestão técnica, segurança e prevenção de abusos
Finalidade: gestão técnica da plataforma, manutenção, monitoramento dos sistemas, detecção de anomalias ou vulnerabilidades, prevenção de incidentes informáticos, prevenção de acessos não autorizados ou abusos, defesa dos direitos da Sociedade em caso de utilizacões abusivas ou não conformes, auditorias de segurança.
Base jurídica: interesse legítimo da Plank nos termos do art. 6(1)(f) RGPD, consistente em garantir a segurança, a integridade e a confiabilidade de seus serviços digitais, proteger os dados de seus clientes e usuários contra acessos não autorizados, fraudes ou abusos, e assegurar a continuidade operacional da plataforma. A Plank realizou um balanceamento entre seus interesses legítimos e os direitos e liberdades fundamentais dos titulares dos dados, considerando que tais interesses não são predominantemente prejudiciais aos titulares, uma vez que os dados tratados para tais finalidades são dados técnicos de sistema e não dados sensíveis ou de conteúdo.
Fornecimento de dados: o tratamento é necessário para o funcionamento técnico da plataforma e não está sujeito à escolha do usuário. O usuário tem, contudo, o direito de se opor nos termos do art. 21 RGPD (cf. Seção 10).
5.3 Cumprimento de obrigações legais
Finalidade: cumprir obrigações legais ou responder a solicitações de autoridades competentes, quando tais obrigações decorram da legislação aplicável.
Base jurídica: cumprimento de uma obrigação legal à qual a controladora do tratamento está sujeita (art. 6(1)(c) RGPD).
Fornecimento de dados: obrigatório conforme exigido por lei. A falta de fornecimento pode acarretar a impossibilidade de a Plank cumprir suas obrigações normativas.
5.4 Análises estatísticas agregadas
Finalidade: em forma agregada e não identificável, certas informações relativas ao uso da plataforma podem ser utilizadas para análises estatísticas e para melhorar o desempenho, a segurança e a qualidade dos Serviços oferecidos.
Base jurídica: interesse legítimo da Plank em melhorar a qualidade e o desempenho de seus serviços (art. 6(1)(f) RGPD). Uma vez que os dados são processados de forma exclusivamente agregada e anônima, o impacto sobre os direitos e liberdades dos titulares dos dados é desprezível.
A Plank não utiliza os dados coletados por meio da plataforma para finalidades de publicidade comportamental ou perfilação comercial.
6. Processos decisórios automatizados e perfilação
A Plank não realiza processos decisórios automatizados, incluindo a perfilação, que produzam efeitos jurídicos ou que afetem de maneira análoga significativamente os titulares dos dados nos termos do art. 22 RGPD.
Os sistemas de monitoramento automatizado da plataforma (ex.: detecção de anomalias de acesso) são utilizados exclusivamente para fins de segurança técnica e não produzem decisões individuais automatizadas com efeitos sobre os titulares dos dados. Qualquer decisão que possa afetar os usuários é tomada com intervenção humana.
Caso no futuro sejam introduzidos processos decisórios automatizados relevantes nos termos do art. 22 RGPD, o presente aviso será atualizado em conformidade e aos titulares dos dados será fornecido o aviso complementar previsto pela legislação aplicável.
7. Comunicação de dados pessoais
No âmbito das finalidades acima descritas, os dados pessoais podem ser disponibilizados ou comunicados aos seguintes destinatários:
- Pessoal autorizado da Plank, que opera com base em instruções específicas e em conformidade com as obrigações de sigilo.
- Prestadores de serviços técnicos (suboperadores do tratamento nos termos do art. 28 RGPD), como provedores de infraestrutura em nuvem, serviços de hospedagem, ferramentas de monitoramento e logging, serviços de suporte técnico. Tais entidades operam com base em acordos contratuais específicos que disciplinam as instruções de tratamento, as medidas de segurança aplicáveis e as modalidades de gestão dos dados pessoais.
- Clientes empresariais da Plank, que podem acessar os dados pessoais dos usuários no âmbito da relação contratual com os próprios usuários.
- Entidades públicas ou autoridades competentes, quando exigido por lei ou por determinações das autoridades.
A Plank não vende nem cede dados pessoais a terceiros para finalidades comerciais.
8. Transferências internacionais de dados
Alguns prestadores de serviços técnicos utilizados para o fornecimento da plataforma têm sede ou tratam dados fora do Espaço Econômico Europeu (EEE), em particular nos Estados Unidos da América. As transferências de dados pessoais para países terceiros são realizadas em conformidade com as garantias previstas pela legislação aplicável, em particular por meio de:
- Cláusulas Contratuais Padrão (SCC) aprovadas pela Comissão Europeia por meio da Decisão de Execução (UE) 2021/914 de 4 de junho de 2021;
- Eventuais decisões de adequação adotadas pela Comissão Europeia em relação a países terceiros específicos.
Mediante solicitação, a Plank pode fornecer aos titulares dos dados uma cópia das garantias adotadas para as transferências internacionais. As solicitações podem ser enviadas para gdpr@plank.global.
9. Conservação dos dados
Os dados pessoais são conservados pelo período de tempo necessário para cumprir as finalidades para as quais foram coletados e para cumprir as obrigações contratuais e normativas aplicáveis. Os períodos específicos de conservação para cada categoria de dados são os seguintes:
| Categoria de dados | Período | Critério |
|---|---|---|
| Dados de conta e perfil profissional | Duração da relação + 12 meses | Necessário para a gestão do contrato e a resolução de eventuais contestações. |
| Logs técnicos de acesso e autenticação | 12 meses | Proporcional às necessidades de segurança informática e detecção de anomalias. |
| Logs de segurança e trilha de auditoria | 24 meses | Necessário para investigações de incidentes de segurança e auditorias de conformidade. |
| Dados operacionais e documentos carregados | Duração do contrato com o cliente empresarial + 30 dias | Necessário para a prestação do serviço; excluídos ao término da relação. |
Ao término do período de conservação, os dados pessoais são excluídos ou anonimizados de forma irreversível.
10. Segurança dos dados
A Plank adota medidas técnicas e organizacionais adequadas para garantir a proteção dos dados pessoais tratados por meio da plataforma. Tais medidas incluem, entre outras, sistemas de controle de acesso, proteção das comunicações, monitoramento dos sistemas, gestão de autorizações baseada em funções e procedimentos de backup e continuidade operacional.
Embora adotando medidas técnicas e organizacionais adequadas à natureza dos dados tratados e aos riscos associados, a Plank não pode garantir que nenhum sistema informático ou transmissão de dados pela Internet esteja completamente isento de riscos. A Sociedade adota, portanto, procedimentos de monitoramento e atualização contínua de suas medidas de segurança a fim de reduzir os riscos de acessos não autorizados, perda ou divulgação de dados.
11. Direitos dos titulares dos dados
Os titulares dos dados podem exercer os seguintes direitos previstos pela legislação em matéria de proteção de dados pessoais:
- Direito de acesso (art. 15 RGPD): obter a confirmação de que estão ou não sendo tratados dados pessoais que lhes digam respeito e, em caso afirmativo, acessar os dados e as informações relativas ao tratamento.
- Direito de retificação (art. 16 RGPD): obter a retificação de dados pessoais inexatos ou o complemento de dados incompletos.
- Direito à exclusão (art. 17 RGPD): obter a exclusão dos dados pessoais nos casos previstos por lei (“direito ao esquecimento”).
- Direito à limitação do tratamento (art. 18 RGPD): obter a limitação do tratamento nos casos previstos por lei.
- Direito à portabilidade dos dados (art. 20 RGPD): receber seus dados pessoais em formato estruturado, de uso comum e legível por máquina, e transmiti-los a outro controlador do tratamento, nos casos em que o tratamento seja baseado no contrato ou no consentimento e seja realizado por meios automatizados.
- Direito de oposição (art. 21 RGPD): opor-se a qualquer momento, por motivos relacionados à sua situação particular, ao tratamento de seus dados pessoais baseado no interesse legítimo do controlador (art. 6(1)(f) RGPD). Em particular, os titulares dos dados podem se opor aos tratamentos descritos nas Seções 5.2 e 5.4. O controlador reserva-se o direito de não atender à oposição quando existam motivos legítimos e imperiosos que prevaleçam sobre os interesses, direitos e liberdades do titular dos dados, ou para o estabelecimento, exercício ou defesa de reclamações judiciais.
Revogação do consentimento
Nos casos em que o tratamento se baseie no consentimento do titular dos dados (em particular para o uso de sistemas biométricos do dispositivo por meio das configurações do mesmo), o titular dos dados tem o direito de revogar seu consentimento a qualquer momento, sem prejuízo da legalidade do tratamento baseado no consentimento anterior à sua revogação. A revogação do consentimento relativa aos sistemas biométricos pode ser realizada diretamente pelas configurações do dispositivo.
Para revogar eventuais consentimentos prestados no âmbito da utilização da plataforma, é possível contatar a Plank no endereço gdpr@plank.global.
Modalidades de exercício dos direitos e prazos de resposta
As solicitações de exercício dos direitos podem ser enviadas à Plank no endereço gdpr@plank.global ou por correio para Plank Italy S.p.a., Sestiere Santa Croce 466/B, 30135 Veneza (VE).
A Plank responde às solicitações no prazo de um mês a partir do recebimento. Em caso de solicitações particularmente complexas ou numerosas, esse prazo pode ser prorrogado por mais dois meses, mediante comunicação ao titular dos dados dentro do primeiro mês indicando os motivos da prorrogação (art. 12(3) RGPD).
Caso a Plank trate dados pessoais em nome de um cliente empresarial que atue como controlador do tratamento, as solicitações poderão ser dirigidas também a tal cliente ou transmitidas pela Plank ao controlador competente.
12. Obrigatoriedade do fornecimento de dados
Para algumas finalidades, o fornecimento de dados é necessário e as consequências da falta de fornecimento são as seguintes:
| Finalidade | Natureza do fornecimento | Consequências da falta de fornecimento |
|---|---|---|
| Autenticação e acesso à plataforma | Contratual | Impossibilidade de acessar a plataforma e os Serviços. |
| Gestão técnica e segurança dos sistemas | Necessário para a execução do contrato / Interesse legítimo | O tratamento é inerente ao funcionamento técnico da plataforma; não fornecer tais dados implicaria não poder utilizar os Serviços. |
| Cumprimento de obrigações legais | Obrigação legal | Impossibilidade de a Plank cumprir suas obrigações normativas. |
| Análises estatísticas agregadas | Interesse legítimo | Nenhuma consequência direta para o usuário. |
13. Direito de reclamação
Os titulares dos dados têm o direito de apresentar reclamação à autoridade de controle competente em matéria de proteção de dados pessoais ou a outra autoridade de controle competente caso considerem que o tratamento de dados pessoais viola a legislação aplicável.
Garante per la Protezione dei Dati Personali (Itália):
- Endereço: Piazza Venezia 11, 00187 Roma
- Telefone: +39 06 69677 1
- E-mail: garante@gpdp.it
- Site: www.gpdp.it
Alternativamente, o titular dos dados pode dirigir-se à autoridade de controle do Estado-membro da União Europeia em que resida habitualmente, trabalhe ou em que considere ter ocorrido a violação.
14. Alterações ao presente aviso
O presente aviso pode ser atualizado periodicamente para refletir eventuais alterações nos Serviços, evoluções normativas ou mudanças nas modalidades de tratamento de dados pessoais. A versão atualizada será publicada na plataforma e indicará a data da última atualização e o número de versão.
Caso as alterações sejam relevantes nos termos do art. 13 RGPD, a Plank comunicará os usuários com pelo menos 30 dias de antecedência, por meio de notificação no aplicativo ou por e-mail no endereço associado à conta. A continuação do uso dos Serviços após esse período constitui ciência das alterações realizadas.
As versões anteriores do aviso são conservadas pela Sociedade para fins de responsabilização previstos pelo art. 5(2) RGPD e estão disponíveis mediante solicitação.