Este Aviso de Privacidade descreve como a plataforma Privia Pro trata dados pessoais de seus usuários autorizados (colaboradores e gestores da organização contratante), em cumprimento à Lei nº 13.709/2018 — Lei Geral de Proteção de Dados Pessoais (LGPD).
Resumo em 1 linha: só tratamos dados necessários para autenticar o usuário, controlar acessos e manter a trilha de auditoria da conformidade LGPD e ética.
1. Quem é o operador da plataforma
A Privia Pro atua como operadora dos dados pessoais processados na plataforma. A organização contratante figura como controladora, determinando finalidades e meios do tratamento dos dados dos seus colaboradores e titulares atendidos.
2. Dados pessoais tratados
| Categoria | Dados | Origem |
|---|
| Cadastrais | Nome completo, e-mail corporativo, cargo/função, empresa(s), setor(es) | Autocadastro do próprio usuário + aprovação do DPO/Master |
| Autenticação | Hash da senha (bcrypt/werkzeug), dispositivos confiáveis de MFA, códigos OTP temporários | Gerado pela própria plataforma |
| Acesso e auditoria | Endereço IP, navegador/SO (user agent), data-hora de login/logout, histórico de ações relevantes | Coletado automaticamente durante o uso |
| Conteúdo operacional | Documentos que o usuário cria, assina ou edita (RoPA, RIPD, LIA, diagnósticos, incidentes etc.) | Inserido pelo próprio usuário |
3. Finalidades do tratamento
- Permitir autenticação segura e o controle de acesso baseado em perfil e setores aprovados.
- Prevenir fraudes e acessos não autorizados (alerta automático em novo IP/dispositivo, rate-limiting, MFA).
- Gerar e manter a trilha de auditoria imutável exigida pelo Art. 37 e 46 da LGPD.
- Enviar comunicações operacionais (verificação de e-mail, recuperação de senha, alertas de segurança, notificações do DPO).
- Subsidiar a demonstração de conformidade perante a ANPD e terceiros.
4. Bases legais (Art. 7º e 11 da LGPD)
- Execução de contrato / procedimentos preliminares (Art. 7º, V): para cadastro e uso autorizado da plataforma.
- Cumprimento de obrigação legal (Art. 7º, II): manutenção de trilhas de auditoria e demonstração de conformidade LGPD.
- Legítimo interesse (Art. 7º, IX): prevenção de fraude e segurança do sistema (alerta de novo acesso, bloqueio automático).
5. Compartilhamento
A Privia Pro não comercializa dados pessoais e não os compartilha com terceiros, exceto:
- Para atender a ordem de autoridade competente ou obrigação legal;
- Com operadores técnicos estritamente necessários (serviço de SMTP para envio de e-mails), sempre sob cláusulas de confidencialidade e mínimo necessário.
6. Transferência internacional
A plataforma é hospedada preferencialmente em território nacional. Caso haja transferência internacional (ex.: serviço de e-mail), será observado o Art. 33 da LGPD.
7. Retenção e eliminação
| Dado | Prazo |
|---|
| Cadastro ativo do usuário | Enquanto o acesso estiver habilitado |
| Solicitações de cadastro não verificadas | Eliminadas após expiração do link (5 minutos) |
| Códigos de recuperação de senha / OTPs | 15 minutos ou após uso |
| Logs de auditoria e sessões | Retidos por até 5 anos após o encerramento da conta, para fins regulatórios |
8. Segurança da informação
- Senhas armazenadas apenas em hash bcrypt (nunca em texto claro).
- Política de senha configurável com mínimo de 12 caracteres + letra + número + especial (padrão).
- Proteção CSRF em todas as rotas de mutação e rate-limiting contra força bruta no login.
- MFA opcional com TOTP e dispositivos confiáveis; alerta de segurança por e-mail em novo IP/dispositivo, com botão de bloqueio imediato da conta.
- Trilha de auditoria imutável (SQLite) com campos de integridade.
- Conexão HTTPS obrigatória em produção.
9. Direitos do titular (Art. 18, LGPD)
Você pode, a qualquer tempo, exercer os seguintes direitos relativos aos seus dados pessoais:
- Confirmação da existência de tratamento;
- Acesso aos dados;
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
- Portabilidade (quando aplicável);
- Eliminação dos dados tratados com base no consentimento;
- Informação sobre compartilhamentos;
- Revogação do consentimento.
10. Encarregado (DPO)
As solicitações podem ser enviadas ao Encarregado pela proteção de dados da organização contratante ou, para questões relativas à plataforma, ao canal técnico: contato@priviapro.com.br.
11. Atualizações
Este Aviso pode ser atualizado periodicamente. A versão vigente e a respectiva data de vigência estão sempre indicadas no topo desta página, cabendo ao titular consultá-lo sempre que desejar.