Política de Privacidade

1. Controlador e DPO

Controlador dos dados: Baroz IT (operadora da plataforma Nexio), com sede legal a definir conforme contrato vigente.

Encarregado pelo Tratamento de Dados (DPO): designado internamente. Contato: bruno.arozio@gmail.com.

2. Dados que coletamos

Coletamos os seguintes tipos de dados pessoais durante o uso da plataforma:

• Dados de cadastro: nome, email, número de telefone (opcional), foto de perfil (opcional).
• Dados de autenticação: email, senha (armazenada com hash), tokens MFA, histórico de login (timestamp, IP).
• Dados de uso: páginas acessadas, ações realizadas (audit log), preferências de interface.
• Dados técnicos: User-Agent, idioma do navegador, fuso horário, IP de acesso.
• Dados de comunicação: emails enviados pela plataforma e respostas, anexos eventualmente compartilhados.
• Dados de pagamento: tratados por gateway de terceiros (não armazenamos número de cartão).

3. Finalidades e bases legais (Art. 7 LGPD)

Tratamos dados pessoais com as seguintes finalidades e bases legais:

• Execução de contrato (Art. 7, V LGPD): operar a plataforma, autenticar usuários, processar transações, prestar suporte.
• Cumprimento de obrigação legal (Art. 7, II): retenção de logs fiscais e contábeis, atender requisições judiciais.
• Legítimo interesse (Art. 7, IX): segurança da plataforma (detecção de fraude, monitoramento de abuso), melhoria de produto.
• Consentimento (Art. 7, I): comunicações de marketing, cookies não essenciais, funcionalidades opt-in de IA.
• Proteção do crédito (Art. 7, X): quando aplicável a clientes B2B com inadimplência.

4. Compartilhamento com terceiros

Compartilhamos dados pessoais apenas com subprocessadores estritamente necessários à operação da plataforma. A lista completa, com finalidade, localização e certificações de cada um, está em /legal/subprocessors.

Não vendemos dados pessoais. Não compartilhamos para fins de marketing de terceiros.

5. Retenção de dados

Mantemos dados pessoais pelo período necessário ao cumprimento das finalidades para as quais foram coletados, observados os prazos legais. Como regra geral:

• Dados de conta ativa: enquanto a conta estiver ativa.
• Dados de conta encerrada: até 30 dias após o encerramento, exceto quando obrigação legal exigir prazo maior (logs fiscais: 5 anos).
• Audit log: 12 meses online + arquivamento em backup encriptado por mais 2 anos.
• Dados de comunicação (suporte, emails): 24 meses.
• Backups: rotacionados automaticamente conforme política de DR (atual: até 30 dias).

6. Direitos do titular (Art. 18 LGPD)

Você, como titular dos dados, tem os seguintes direitos garantidos pela LGPD:

• Confirmação da existência de tratamento.
• Acesso aos dados pessoais que mantemos sobre você.
• Correção de dados incompletos, inexatos ou desatualizados.
• Anonimização, bloqueio ou eliminação de dados desnecessários.
• Portabilidade dos dados a outro fornecedor.
• Eliminação dos dados pessoais tratados com seu consentimento.
• Informação sobre as entidades públicas e privadas com as quais compartilhamos dados.
• Informação sobre a possibilidade de não fornecer consentimento e suas consequências.
• Revogação do consentimento a qualquer momento.
• Oposição a tratamento realizado com fundamento em base legal dispensada de consentimento.

7. Como exercer seus direitos

Para exercer qualquer dos direitos acima, envie solicitação ao DPO em bruno.arozio@gmail.com. Identifique-se com nome completo, email cadastrado e descrição da solicitação.

Responderemos em até 15 dias úteis a partir do recebimento da solicitação válida. Em casos complexos, prazo pode ser estendido com justificativa.

8. Cookies e tecnologias similares

Utilizamos cookies e tecnologias similares (localStorage, sessionStorage) para operar a plataforma:

• Cookies estritamente necessários: autenticação, manutenção de sessão, preferências essenciais. Não exigem consentimento.
• Cookies de preferência: idioma, tema (dark/light), filtros salvos. Opt-in granular.
• Cookies analíticos: medição de uso anônima da plataforma. Opt-in.
• Não utilizamos cookies de marketing ou publicidade comportamental de terceiros.

9. Transferência internacional (Art. 33 LGPD)

Alguns subprocessadores que utilizamos hospedam dados em servidores localizados nos Estados Unidos ou União Europeia (Vercel, Supabase, Sentry, OpenAI, Anthropic, GitHub). A transferência internacional segue:

• Cláusulas contratuais padrão (Standard Contractual Clauses) com cada subprocessador.
• Verificação de adequação do país (Art. 33, I LGPD) ou de garantias contratuais equivalentes (Art. 33, II).
• DPA (Data Processing Agreement) assinado com cada subprocessador, listado em /legal/subprocessors.

10. Dados de menores (Art. 14 LGPD)

A plataforma Nexio é destinada a uso profissional B2B e não é direcionada a menores de 18 anos. Não coletamos intencionalmente dados de menores. Caso identifiquemos coleta inadvertida, eliminamos os dados imediatamente.

11. Segurança

Adotamos medidas técnicas e organizacionais para proteger dados pessoais, incluindo criptografia em trânsito e em repouso, isolamento entre tenants via Row-Level Security, autenticação multifator obrigatória para administradores, e audit log completo. Detalhes em /trust.

12. Alterações desta política

Podemos atualizar esta Política de Privacidade. Mudanças materiais serão comunicadas com 30 dias de antecedência por email ou notificação na plataforma. Mudanças menores (ortografia, esclarecimentos) podem ser publicadas sem aviso prévio.

A data da última atualização é informada no topo deste documento.

13. Contato

Dúvidas sobre esta política, exercício de direitos ou reclamações sobre tratamento de dados pessoais: bruno.arozio@gmail.com.

Você também pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD): https://www.gov.br/anpd