1. Identificação do Controlador e do Encarregado
1.1. Controlador de Dados:
- [RAZAO_SOCIAL]
- CNPJ: [CNPJ]
- Endereço: [ENDERECO]
- Contato jurídico: [JURIDICO_EMAIL]
1.2. Encarregado pelo Tratamento de Dados (DPO):
- Nome: [DPO_NOME]
- E-mail: [DPO_EMAIL]
- Canais para exercício de direitos (LGPD art. 18): [DPO_EMAIL] ou painel
/account/privacy.
2. Escopo e aplicação
2.1. Aplica-se ao tratamento de dados pessoais de titulares que (i) acessem o site, (ii) registrem-se na Plataforma, (iii) utilizem qualquer funcionalidade ou (iv) interajam com a 4TMONITOR pelos canais oficiais.
2.2. Não se aplica ao tratamento por terceiros Subprocessadores, que possuem políticas próprias.
2.3. Conteúdo Oficial é dado público (Lei 9.610/98 art. 8º, IV). Dados pessoais incidentalmente contidos em atos oficiais são tratados exclusivamente para organização, indexação e disponibilização do próprio ato, com fundamento no art. 7º, II e III, da LGPD.
3. Definições (LGPD)
| Termo | Definição |
|---|---|
| Dado pessoal | Informação relacionada a pessoa natural identificada ou identificável (art. 5º, I) |
| Dado sensível | Origem racial/étnica, convicção religiosa, opinião política, saúde, biométrico (art. 5º, II) |
| Tratamento | Toda operação realizada com dados pessoais (art. 5º, X) |
| Titular | Pessoa natural a quem se referem os dados (art. 5º, V) |
| Controlador | Pessoa a quem competem as decisões sobre o tratamento (art. 5º, VI) |
| Operador | Pessoa que realiza o tratamento em nome do Controlador (art. 5º, VII) |
| Subprocessador | Operador contratado pelo Operador |
4. Dados pessoais coletados
4.1. Dados fornecidos diretamente (cadastro)
| Categoria | Dados | Obrigatório |
|---|---|---|
| Identificação | Nome, e-mail, telefone | Nome e e-mail |
| Autenticação | Senha (bcrypt unidirecional, nunca em texto claro) | Sim |
| Profissional | Empresa, cargo, área | Não |
| Pagamento | Tokens da Stripe (PAN/CVV não armazenados) | Em planos pagos |
| Faturamento | Razão social, CNPJ, endereço, IE/IM | Em planos B2B |
| Uso | Palavras-chave, agrupamentos, fontes, alertas | Não |
4.2. Dados coletados automaticamente
| Categoria | Dados | Finalidade |
|---|---|---|
| Logs de acesso | IP, user-agent, timestamp UTC, endpoint, status | Segurança, MCI art. 15 |
| Logs de aplicação | Ações na plataforma, recursos, créditos | Auditoria, suporte |
| Sessão | JWT (15min) + refresh (30d), fingerprint, device | Autenticação, anti-fraude |
| Cookies necessários | Sessão, CSRF | Funcionamento |
| Cookies analíticos | Métricas anonimizadas internas | Melhoria do produto |
4.3. Dados que NÃO coletamos
- Dados sensíveis (LGPD art. 5º, II), salvo incidência em Conteúdo Oficial;
- Dados de cartão de crédito — Stripe atua como Operador PCI integralmente;
- Dados de menores de 18 anos;
- Geolocalização precisa.
5. Bases legais do tratamento
| Base legal LGPD | Aplicação |
|---|---|
| Execução de contrato (VII) | Cadastro, autenticação, funcionalidades, débito de créditos, suporte, cobrança |
| Cumprimento legal (II) | Logs MCI; registros fiscais (5 anos); registros de aceite; obrigações tributárias |
| Legítimo interesse (IX) | Segurança, anti-fraude, auditoria, melhoria, anti-abuso — com Teste de Balanço documentado |
| Consentimento (I) | Marketing direto, cookies não-essenciais. Revogável a qualquer tempo |
| Exercício regular de direitos (VI) | Defesa em juízo ou processo administrativo |
6. Finalidades do tratamento
- Cadastro e autenticação — execução de contrato
- Aprovação manual de Freemium (anti-fraude) — legítimo interesse
- Fornecimento de funcionalidades — execução de contrato
- Débito de créditos / Ledger — execução de contrato
- Cobrança e gestão de pagamento — execução de contrato
- Emissão de NFS-e — cumprimento legal
- Auditoria, segurança, anti-fraude — cumprimento legal + legítimo interesse
- Suporte — execução de contrato
- Marketing transacional — execução de contrato
- Marketing direto — consentimento
- Análise estatística agregada — legítimo interesse
- Cumprimento de ordem judicial/administrativa — cumprimento legal
7. Compartilhamento de dados — Subprocessadores
| Subprocessador | País | Finalidade | Salvaguarda |
|---|---|---|---|
| Anthropic, PBC | EUA | LLM (classificação, sumarização, chat) | DPA + opt-out de treinamento |
| Vercel Inc. | EUA | Hospedagem do frontend | DPA Vercel |
| Stripe Payments Europe Ltd. | Irlanda (UE) | Pagamentos | PCI-DSS Level 1 + DPA |
| Cloudflare Inc. | EUA | Proxy reverso, WAF, tunnel | DPA Cloudflare |
| Resend.com Inc. | EUA | E-mail transacional | DPA Resend |
| Open Knowledge Brasil | Brasil | Coleta de DOMs (Querido Diário) | Acordo público |
| Imprensa Nacional / INLABS | Brasil | Coleta do DOU | Termo público |
| GitHub Inc. (Microsoft) | EUA | Repositório privado | DPA GitHub |
| Hospedagem própria | Brasil | Backend, banco, workers | Sob controle direto |
| ⟦Plataforma NFS-e⟧ | Brasil | Emissão fiscal | DPA |
| ⟦CRM/Helpdesk⟧ | — | Suporte | DPA |
7.2. Autoridades: dados podem ser compartilhados mediante ordem judicial, requisição administrativa fundamentada ou dever legal. Sempre que admissível, o titular será comunicado.
7.3. Operações societárias: em fusão/aquisição/venda, dados transferidos ao sucessor mantidas as obrigações desta Política.
8. Transferência internacional de dados
8.1. Parte dos Subprocessadores está sediada fora do Brasil (notadamente EUA).
8.2. A transferência observa LGPD art. 33, fundamentando-se em: execução de contrato, cláusulas contratuais padrão (DPAs), garantia de nível de proteção adequado.
8.3. Informações sobre DPAs vigentes via [DPO_EMAIL].
9. Cookies
| Categoria | Finalidade | Base legal |
|---|---|---|
| Estritamente necessários | Sessão, autenticação, CSRF | Legítimo interesse — não exigível consentimento |
| Analíticos próprios | Métricas anonimizadas | Legítimo interesse — pode ser objetado |
| Publicitários (3rd party) | ⟦Não utilizados⟧ | — |
O titular pode bloquear cookies pelas configurações do navegador. Bloqueio dos estritamente necessários impossibilita o uso da Plataforma.
10. Retenção de dados
| Categoria | Prazo | Fundamento |
|---|---|---|
| Cadastro ativo | Enquanto a Conta estiver ativa | Contrato |
| Cadastro encerrado (não-fiscais) | Eliminação/anonimização em até 30 dias | LGPD art. 16 |
| Logs de acesso | 12 meses (mínimo MCI 6 meses) | MCI |
| Logs de aplicação (auditoria) | 5 anos | Política interna + regulatório |
| Registros fiscais | 5 anos | Lei 8.218/91 |
| Registros de clickwrap | 5 anos | Defesa em processo |
| E-mails marketing (consentimento) | Até revogação ou 2 anos sem interação | Consentimento |
| Backups técnicos | 7d / 30d / 365d, expurgo automático | Segurança |
| Histórico Stripe | Conforme Stripe + 5 anos pela 4TMONITOR | Cumprimento legal |
11. Segurança da informação
Controles conforme LGPD art. 46, ABNT NBR ISO/IEC 27001 e boas práticas:
- Criptografia em trânsito (TLS 1.2+) e em repouso (AES-256);
- Hash bcrypt (custo ≥ 12) para senhas;
- JWT access (15min) + refresh (30d);
- RBAC granular, princípio do privilégio mínimo;
- Rate limiting e anti-brute-force;
- WAF (Cloudflare), CSP headers, CORS restrito;
- Logs imutáveis de auditoria;
- Backups automatizados com teste de restore;
- Segregação de ambientes (dev/homol/prod);
- Revisões periódicas de código e dependências;
- ⟦AJUSTE⟧ Certificações em andamento (ISO 27001, SOC 2 Type II);
- ⟦AJUSTE⟧ MFA obrigatório em contas administrativas; opcional para usuários.
12. Direitos do titular (LGPD art. 18)
O titular pode exercer, gratuitamente, os seguintes direitos:
| Direito | Descrição | Como exercer |
|---|---|---|
| Confirmação | Saber se tratamos seus dados | Painel ou DPO |
| Acesso | Cópia em formato estruturado | Painel /account/privacy |
| Correção | Dados incompletos/inexatos | Painel /account/profile |
| Anonimização/eliminação | Dados desnecessários ou em desconformidade | DPO |
| Portabilidade | Receber dados estruturados | DPO |
| Eliminação (consentimento) | Cancelar tratamentos por consentimento | Painel ou DPO |
| Info compartilhamento | Entidades públicas e privadas | DPO |
| Revogação consentimento | Retirar consentimento | Painel ou DPO |
| Oposição | Tratamento em desconformidade | DPO |
| Revisão decisões automatizadas (art. 20) | Decisões com impacto jurídico | DPO |
Prazo de resposta: 15 dias, prorrogáveis em casos de complexidade comprovada.
Reclamação à ANPD: www.gov.br/anpd.
13. Crianças e adolescentes
A Plataforma não é destinada a menores de 18 anos. Coleta inadvertida enseja eliminação imediata. Reportes ao [DPO_EMAIL].
14. Incidentes de segurança (LGPD art. 48)
14.1. Em incidente com risco/dano relevante, comunicaremos: (a) ANPD em até 72h; (b) titulares afetados — natureza, dados, riscos, medidas, canais.
14.2. Plano de resposta a incidentes mantido conforme NBR ISO/IEC 27035.
14.3. Reporte voluntário: [DPO_EMAIL] com prefixo [INCIDENTE].
15. Inteligência Artificial — avisos específicos
15.1. Pipelines de IA usam modelos de terceiros (Anthropic Claude). Prompts não são utilizados pela Anthropic para treinamento, conforme contrato.
15.2. Outputs de IA são gerados sob demanda, podendo ser armazenados como histórico/cache vinculados à Conta ou anonimizados para análises estatísticas internas.
15.3. A 4TMONITOR não realiza decisões automatizadas com efeitos jurídicos ou impactos significativos sobre o titular. ⟦AJUSTE⟧ Caso futuramente sejam introduzidas (ex.: scoring), atualizar esta Política e oferecer direito de revisão (LGPD art. 20).
15.4. Dados pessoais incidentalmente em Conteúdo Oficial recebem tratamento idêntico ao do dado público que os contém (item 2.3).
16. Localização dos dados
16.1. Bancos de produção mantidos em infraestrutura própria localizada no Brasil. ⟦AJUSTE⟧ Caso evolua para nuvem (AWS/GCP/Azure), atualizar com localização e DPA.
16.2. Backups em mídia cifrada sob custódia direta da 4TMONITOR, com retenção conforme cláusula 10.
17. Atualizações da Política
17.1. Esta Política pode ser atualizada para refletir alterações legais, regulatórias, operacionais ou tecnológicas.
17.2. Alterações materiais: notificação por (i) e-mail, (ii) banner persistente, (iii) novo clickwrap quando aplicável.
17.3. Versão vigente em 4thub.com/privacidade. Versões anteriores arquivadas e disponibilizadas mediante solicitação.
18. Canais de contato
| Assunto | Canal |
|---|---|
| Direitos do titular | [DPO_EMAIL] ou painel /account/privacy |
| Reclamações de privacidade | [DPO_EMAIL] |
| Incidentes de segurança | [DPO_EMAIL] + prefixo [INCIDENTE] |
| Suporte geral | [SUPORTE_EMAIL] |
| Jurídico | [JURIDICO_EMAIL] |
| Faturamento | [FATURAMENTO_EMAIL] |
| ANPD | www.gov.br/anpd |
19. Lei aplicável e foro
19.1. Regida pelas leis da República Federativa do Brasil.
19.2. Foro da Comarca de [COMARCA], [ESTADO], ressalvada a prerrogativa do consumidor (CDC art. 101, I).
[RAZAO_SOCIAL]
CNPJ [CNPJ]
[ENDERECO]
Encarregado pelo Tratamento de Dados (DPO): [DPO_NOME] — [DPO_EMAIL]