Política de Privacidade e Proteção de Dados

1. Quem somos e compromisso com a LGPD

A EcoAudit AI é uma plataforma de auditoria ESG automatizada, comprometida com a proteção de dados e a privacidade de nossos usuários, conforme estabelecido pela Lei Geral de Proteção de Dados (Lei nº 13.709/2018 - LGPD).

Esta Política de Privacidade explica de forma clara e transparente como coletamos, processamos, armazenamos e protegemos seus dados pessoais, em total conformidade com a LGPD e com as melhores práticas internacionais de segurança da informação.

2. Quais dados coletamos e por quê

2.1. Dados fornecidos por você

Coletamos apenas os dados estritamente necessários para prestação do serviço:

• Dados de identificação: Nome completo, e-mail corporativo, CNPJ da empresa
• Dados empresariais: Documentos ESG, relatórios ambientais, planilhas de emissões, políticas corporativas
• Dados de comunicação: Histórico de mensagens trocadas com nossa equipe de suporte

2.2. Dados coletados automaticamente

• Dados técnicos: Endereço IP, tipo de navegador, sistema operacional, timestamps de acesso
• Dados de uso: Páginas visitadas, tempo de sessão, cliques e interações na plataforma
• Cookies: Apenas cookies essenciais para funcionamento da plataforma (não usamos cookies de rastreamento ou publicidade)

2.3. Finalidade do tratamento (Art. 7º, LGPD)

Seus dados são processados exclusivamente para:

1. Prestação do serviço de auditoria ESG contratado (base legal: execução de contrato)
2. Comunicação sobre o andamento da auditoria (base legal: legítimo interesse)
3. Melhoria da plataforma e prevenção a fraudes (base legal: legítimo interesse)
4. Cumprimento de obrigações legais e regulatórias (base legal: obrigação legal)

3. Como usamos seus dados

3.1. Processamento para auditoria ESG

Utilizamos Inteligência Artificial para extrair e estruturar dados de documentos enviados. No entanto, garantimos que:

• Seus dados NÃO são usados para treinar modelos de IA. Não alimentamos sistemas de machine learning com informações de clientes.
• Processamento local e isolado. Cada auditoria é processada de forma independente, sem compartilhamento entre clientes.
• Revisão humana obrigatória. Profissionais certificados validam 100% dos relatórios antes da entrega, garantindo precisão e confidencialidade.

3.2. Retenção e exclusão de dados

Praticamos a minimização de dados conforme exigido pela LGPD:

• Documentos enviados: Mantidos por 90 dias após conclusão da auditoria, então permanentemente deletados
• Dados cadastrais: Mantidos durante vigência do contrato + 5 anos (prazo legal de prescrição)
• Logs de acesso: Mantidos por 6 meses para fins de segurança, então anonimizados
• Relatórios finais: Armazenados por 5 anos para fins de auditoria regulatória (obrigação legal)

3.3. Compartilhamento de dados

Seus dados NUNCA são vendidos ou compartilhados para fins comerciais. Compartilhamos apenas quando:

• Autorizado por você: Submissão de relatórios para instituições financeiras (mediante consentimento explícito)
• Prestadores de serviço: Infraestrutura de hospedagem (Hetzner - Alemanha), serviço de e-mail transacional (sob acordo de confidencialidade)
• Obrigação legal: Autoridades competentes mediante ordem judicial

4. Medidas de segurança técnicas e organizacionais

Implementamos controles rigorosos de segurança conforme Art. 46 da LGPD e boas práticas internacionais (ISO 27001):

4.1. Segurança técnica

• Criptografia AES-256: Todos os dados em repouso e em trânsito
• TLS 1.3: Protocolo de comunicação segura atualizado
• Autenticação multifator (MFA): Obrigatória para acessos administrativos
• Firewall e detecção de intrusão: Monitoramento 24/7 de atividades suspeitas
• Backups criptografados: Realizados diariamente, armazenados em datacenter geograficamente separado
• Testes de penetração: Auditorias de segurança trimestrais por empresa independente

4.2. Segurança organizacional

• Política de acesso mínimo: Funcionários acessam apenas dados estritamente necessários
• Termos de confidencialidade: Todos os colaboradores assinam NDA antes de acessar a plataforma
• Treinamento LGPD: Capacitação trimestral sobre proteção de dados
• Logs de auditoria: Registro de todos os acessos a dados pessoais (imutável e monitorado)
• Plano de resposta a incidentes: Procedimento documentado para notificação à ANPD em até 72h

4.3. Localização dos servidores

Nossos servidores estão localizados em Falkenstein, Alemanha (Hetzner Online GmbH), país com legislação de proteção de dados equivalente à LGPD (GDPR - General Data Protection Regulation).

Não realizamos transferência internacional de dados para países sem adequado nível de proteção.

5. Seus direitos como titular de dados (Art. 18, LGPD)

Você tem controle total sobre seus dados pessoais. Garantimos os seguintes direitos:

• Confirmação e acesso (Art. 18, I e II): Saber se processamos seus dados e solicitar cópia completa
• Correção (Art. 18, III): Atualizar dados incompletos, incorretos ou desatualizados
• Anonimização, bloqueio ou eliminação (Art. 18, IV): Solicitar exclusão de dados desnecessários ou tratados em desconformidade
• Portabilidade (Art. 18, V): Receber seus dados em formato estruturado e de uso comum
• Eliminação de dados tratados com consentimento (Art. 18, VI): Excluir dados fornecidos mediante consentimento
• Informação sobre compartilhamento (Art. 18, VII): Saber com quais entidades públicas e privadas compartilhamos seus dados
• Revogação do consentimento (Art. 18, IX): Retirar consentimento a qualquer momento
• Oposição ao tratamento (Art. 18, § 2º): Contestar tratamento realizado com base em legítimo interesse

6. Uso de cookies e tecnologias semelhantes

Utilizamos apenas cookies essenciais para funcionamento da plataforma. Não usamos cookies de rastreamento, publicidade ou análise de comportamento.

Cookies utilizados:

• session_token: Mantém sessão ativa durante navegação (expires ao fechar navegador)
• csrf_token: Proteção contra ataques Cross-Site Request Forgery (necessário para segurança)

Você pode desabilitar cookies nas configurações do seu navegador, mas isso pode afetar funcionalidades da plataforma.

7. Alterações nesta política

Podemos atualizar esta Política de Privacidade para refletir mudanças em nossas práticas ou exigências legais. Quando houver alterações substanciais, notificaremos você:

• Por e-mail (enviado para o endereço cadastrado)
• Banner de destaque na plataforma
• Atualização da data de "Última atualização" no topo desta página

Recomendamos revisar esta política periodicamente. O uso continuado da plataforma após alterações implica aceitação da nova política.

8. Legislação e foro aplicáveis

Esta Política de Privacidade é regida pela legislação brasileira, em especial:

• Lei nº 13.709/2018 (Lei Geral de Proteção de Dados - LGPD)
• Lei nº 12.965/2014 (Marco Civil da Internet)
• Lei nº 8.078/1990 (Código de Defesa do Consumidor)

Fica eleito o foro da comarca de [Sua Cidade/SP] para dirimir quaisquer questões relativas a esta política, com renúncia expressa a qualquer outro, por mais privilegiado que seja.

9. Glossário de termos técnicos

• Dado pessoal: Informação relacionada a pessoa natural identificada ou identificável
• Titular de dados: Pessoa natural a quem se referem os dados pessoais
• Tratamento: Toda operação realizada com dados pessoais (coleta, armazenamento, uso, compartilhamento, exclusão)
• Controlador: Quem toma decisões sobre o tratamento de dados (EcoAudit AI)
• Operador: Quem realiza o tratamento em nome do controlador (nossos prestadores de serviço)
• Encarregado (DPO): Pessoa indicada para atuar como canal de comunicação entre controlador, titulares e ANPD
• ANPD: Autoridade Nacional de Proteção de Dados (órgão fiscalizador da LGPD)
• Anonimização: Processo que torna impossível a identificação do titular