Política de Privacidade

Versão: 1.0 · Última atualização: [A DEFINIR NO DEPLOY] · Base legal: Lei nº 13.709/2018 (LGPD)

1. Quem somos

Este serviço é operado por [RAZÃO SOCIAL A DEFINIR], pessoa jurídica inscrita no CNPJ nº [CNPJ A DEFINIR], com sede em [ENDEREÇO A DEFINIR]. Para os fins da LGPD, somos controlador dos dados cadastrais dos usuários (advogados e peritos que contratam o serviço) e operador dos dados pessoais contidos nos contratos submetidos à análise (dados de terceiros, tipicamente clientes do contratante).

2. Quais dados tratamos

2.1 Dados do usuário (controlador)

• Cadastrais: nome completo, e-mail, telefone, número da OAB e UF, escritório.
• Identificadores: CPF (opcional, armazenado criptografado).
• Autenticação: hash da senha (nunca a senha em si), segredo TOTP se o usuário ativar 2FA.
• Metadados de uso: endereço IP de acesso, navegador, data/hora dos logins, histórico de análises realizadas, transações de crédito.

2.2 Dados contidos nos contratos (operador)

Ao enviar um contrato para análise, o usuário pode fazer upload de um PDF que contenha dados pessoais de terceiros: nome, CPF, endereço, telefone, dados bancários do titular do contrato, imagem facial (selfie) quando houver. Tratamos esses dados exclusivamente para executar a análise técnica solicitada — não há leitura humana, não usamos para treinar modelos, não compartilhamos com terceiros fora das finalidades deste serviço.

3. Por que tratamos (bases legais)

• Execução de contrato (LGPD art. 7º, V): para prestar o serviço contratado pelo usuário.
• Cumprimento de obrigação legal (art. 7º, II): para guarda de registros de acesso conforme Marco Civil da Internet (mín. 6 meses).
• Exercício regular de direitos em processo judicial (art. 7º, VI): os laudos produzidos destinam-se à juntada processual.
• Legítimo interesse (art. 7º, IX): para segurança da informação, prevenção à fraude e melhoria do serviço.
• Consentimento (art. 7º, I): para comunicações não-essenciais de marketing, quando o usuário optar.

Quanto aos dados contidos nos contratos, o tratamento segue a base de exercício regular de direitos em processo judicial e legítimo interesse do advogado-contratante, que atua como controlador desses dados perante o titular.

4. Como protegemos

Aplicamos defesa em profundidade com as seguintes medidas técnicas, documentadas detalhadamente em nosso SECURITY.md:

• Criptografia em repouso dos PDFs (XChaCha20-Poly1305 via libsodium, chaves derivadas por HKDF-BLAKE2b).
• Criptografia por campo de dados sensíveis como CPF (AEAD secretbox).
• Senhas nunca armazenadas em claro: hash argon2id com fallback para bcrypt-cost-13.
• Autenticação em duas etapas (TOTP) opcional para todos, obrigatória para administradores.
• Trilha de auditoria de todo acesso a dados pessoais (LGPD art. 37).
• Rate limiting de autenticação e operações sensíveis.
• Upload blindado: validação multicamada, rejeição de executáveis e polyglots, scan antivírus (ClamAV).
• Headers HTTP: CSP com nonce, HSTS, proteção contra clickjacking, XSS e MIME-sniffing.
• Redação automática de CPF, CNPJ, cartão e e-mail nos logs técnicos.

5. Por quanto tempo guardamos

Aplicamos o princípio da necessidade (LGPD art. 6º, III) — guardamos apenas pelo tempo necessário para cumprir a finalidade.

• PDFs enviados: 365 dias após a conclusão da análise (configurável). Após isso, são purgados automaticamente por rotina diária.
• Relatórios gerados: conforme plano contratado (disponíveis no painel).
• Logs de aplicação: 180 dias (mínimo do Marco Civil).
• Trilha de auditoria: 5 anos (padrão fiscal/CNJ).
• Dados cadastrais: enquanto a conta estiver ativa. Após solicitação de exclusão, anonimizamos em até 15 dias.

6. Com quem compartilhamos

Compartilhamos dados apenas com fornecedores estritamente necessários para a operação:

• Serviços de infraestrutura (hospedagem, banco de dados, backup) — todos contratualmente obrigados a confidencialidade e aderência à LGPD.
• Processador de pagamentos [A DEFINIR] — recebe apenas dados mínimos para cobrança.
• Serviços de geolocalização e verificação — consultamos apenas o IP ou o endereço (sem identificação do titular).
• Autoridades, quando houver requisição legal válida.

Não vendemos dados. Não usamos dados contidos nos contratos para treinar modelos de inteligência artificial.

7. Seus direitos como titular

A LGPD garante a todo titular os direitos dos arts. 17 a 22. Você pode exercê-los a qualquer momento enviando solicitação ao nosso Encarregado (DPO) — seção 10 abaixo. Os direitos incluem:

• Confirmação da existência de tratamento.
• Acesso aos dados que mantemos sobre você.
• Correção de dados incompletos, inexatos ou desatualizados.
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade.
• Portabilidade para outro fornecedor, em formato interoperável (JSON).
• Eliminação dos dados tratados com base em consentimento, ressalvadas obrigações legais de guarda.
• Informação sobre compartilhamentos realizados.
• Revogação do consentimento, quando essa for a base legal.

Respondemos em até 15 dias. Se você não estiver satisfeito com nossa resposta, pode reclamar à Autoridade Nacional de Proteção de Dados (ANPD) em gov.br/anpd.

8. Cookies

Usamos apenas cookies essenciais:

• Sessão (FORENSE_SESS): autenticação. HttpOnly, Secure, SameSite=Strict. Duração: sessão do navegador.
• CSRF token: proteção contra requisições forjadas. Apenas em sessão.

Não usamos cookies de rastreamento, analytics de terceiros ou publicidade comportamental.

9. Transferência internacional

Nossos dados são armazenados em servidores no Brasil. Pequenas consultas a serviços internacionais podem ocorrer (ex.: verificação de senha contra a base pública Have I Been Pwned, via protocolo de k-anonimidade que não transmite a senha em si). Quando houver transferência, aplicamos as salvaguardas previstas no art. 33 da LGPD.

10. Encarregado pelo tratamento de dados (DPO)

Para exercer seus direitos, tirar dúvidas sobre esta política ou reportar um incidente, fale com nosso Encarregado:

• Nome: [A DEFINIR]
• E-mail: [encarregado@dominio.a-definir]
• Prazo de resposta: até 15 dias corridos.

11. Mudanças nesta política

Podemos atualizar esta política para refletir melhorias no serviço ou mudanças legais. Quando houver alteração relevante, avisaremos no painel do usuário e por e-mail. Versões anteriores ficam disponíveis mediante solicitação ao Encarregado.

Voltar ao site