Política de Privacidade

1.1. Esta Política de Privacidade (“Política”) descreve como a Causality Consultoria Científica LTDA, inscrita no CNPJ sob o nº 47.116.500/0001-57, com sede na Rua Campos Gerais, 494, Ouro Verde, Três Pontas – MG, CEP 37190-000 (“Compliant”, “nós” ou “nosso”), coleta, utiliza, armazena, compartilha e protege os dados pessoais dos Usuários da plataforma Compliant (“Plataforma”).

1.2. Esta Política foi elaborada em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais — LGPD), a Lei nº 12.965/2014 (Marco Civil da Internet), o Decreto nº 8.771/2016 e demais normas aplicáveis.

1.3. Ao utilizar a Plataforma, o Usuário declara estar ciente e de acordo com o tratamento de seus dados pessoais nos termos desta Política.

Para os fins desta Política, adotam-se as definições da LGPD, complementadas pelas seguintes:

• Dados Pessoais: informação relacionada a pessoa natural identificada ou identificável.
• Tratamento: toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração.
• Dados da Plataforma: dados pessoais coletados e tratados pelo Compliant para fins de operação da Plataforma, incluindo dados de cadastro, autenticação, cobrança, segurança, trilha de auditoria, logs de acesso e indicadores de uso.
• Dados do Cliente: dados pessoais inseridos, carregados, armazenados ou de qualquer forma tratados pelo Usuário ou pela Empresa no uso da Plataforma, incluindo o conteúdo de documentos, arquivos anexados, comentários de revisão e quaisquer informações contidas nos materiais gerenciados pelo Usuário.
• Titular: a pessoa natural a quem se referem os dados pessoais tratados.
• Consentimento: manifestação livre, informada e inequívoca pela qual o Titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
• ANPD: Autoridade Nacional de Proteção de Dados.

2.1. Papéis no Tratamento de Dados Pessoais

Para fins da Lei nº 13.709/2018 (LGPD), as partes reconhecem que o Compliant exerce papéis distintos conforme a natureza dos dados tratados:

I. O Compliant atua como Controlador em relação aos Dados da Plataforma, tomando as decisões referentes ao tratamento de dados pessoais necessários para:

• cadastro e gestão de contas de Usuários;
• autenticação e controle de acesso;
• faturamento, cobrança e processamento de pagamentos;
• segurança da Plataforma e prevenção de fraudes;
• registro da trilha de auditoria e histórico de ações;
• composição de dashboards e cálculo de indicadores;
• envio de notificações operacionais e comunicações sobre a Plataforma;
• cumprimento de obrigações legais e regulatórias próprias.

II. O Compliant atua como Operador em relação aos Dados do Cliente, realizando o tratamento exclusivamente conforme as instruções do Cliente (Controlador) e com a finalidade de prestar o serviço contratado. Nessa condição, o Compliant compromete-se a:

• tratar os Dados do Cliente exclusivamente para os fins necessários à prestação do serviço;
• não utilizar os Dados do Cliente para finalidades próprias, comerciais ou de qualquer outra natureza que extrapole a execução do serviço;
• manter sigilo sobre os Dados do Cliente, exigindo o mesmo de seus colaboradores e subcontratados;
• adotar as medidas técnicas e organizacionais de segurança descritas nesta Política;
• cooperar com o Cliente no atendimento a solicitações de Titulares e da ANPD, quando aplicável;
• comunicar o Cliente em caso de incidente de segurança que envolva os Dados do Cliente.

III. O Usuário, quando atua em nome de uma Empresa, declara ser o Controlador dos Dados do Cliente e reconhece sua responsabilidade por:

• garantir a existência de base legal adequada para o tratamento dos dados pessoais inseridos na Plataforma;
• assegurar a qualidade, a legitimidade e a conformidade legal dos dados inseridos;
• atender aos direitos dos Titulares dos dados pessoais contidos nos Dados do Cliente, nos termos da LGPD;
• informar os Titulares sobre o uso da Plataforma como meio de tratamento de seus dados, quando aplicável.

IV. Ao término da relação contratual, o Compliant, na qualidade de Operador, eliminará os Dados do Cliente de seus servidores e sistemas após o transcurso do prazo de permanência no Estado Congelado previsto nos Termos de Uso (cláusula 6.7), salvo quando a retenção for necessária para cumprimento de obrigação legal ou regulatória. Antes da eliminação, o Controlador poderá solicitar a devolução dos Dados do Cliente em formato estruturado e de uso corrente, por meio das funcionalidades de exportação disponíveis na Plataforma.

V. O Compliant poderá contratar suboperadores (subprocessadores) para auxiliar na prestação do serviço, tais como provedores de infraestrutura em nuvem, processadores de pagamento e serviços de envio de comunicações. O Compliant responsabiliza-se por exigir de seus suboperadores níveis adequados de proteção de dados pessoais, compatíveis com as obrigações assumidas nesta Política e na LGPD. A lista atualizada de subprocessadores poderá ser disponibilizada ao Controlador mediante solicitação dirigida ao Encarregado de Proteção de Dados, nos canais indicados na Seção 13.

3.1. O Compliant coleta e trata as seguintes categorias de dados pessoais:

3.1.1. Dados fornecidos pelo Usuário:

• Dados de cadastro: nome completo, endereço de e-mail, senha (armazenada de forma criptografada), informações de autenticação via Google (quando aplicável);
• Dados da Empresa: razão social ou nome fantasia da empresa vinculada à Conta;
• Dados de perfil: foto de perfil (quando fornecida voluntariamente), cargo ou função (quando informados).

3.1.2. Dados gerados pelo uso da Plataforma:

• Dados de atividade: registros de ações realizadas na Plataforma (criação, edição, revisão, aprovação, reprovação, cancelamento de documentos), incluindo timestamps e identificação do Usuário;
• Dados de trilha de auditoria: registros cronológicos e imutáveis de todas as ações relevantes realizadas no sistema;
• Dados de interação: comentários inseridos em rodadas de revisão, justificativas de criação ou reprovação de documentos;
• Dados de uso: funcionalidades acessadas, frequência de uso, tempos de resposta a tarefas, número de documentos criados/revisados/aprovados;
• Metadados de documentos: título, categoria, status, data de criação, data de vencimento, versão, revisores designados, fluxo de revisão utilizado.

3.1.3. Dados coletados automaticamente:

• Dados de acesso: endereço IP, tipo e versão do navegador, sistema operacional, resolução de tela, idioma;
• Dados de navegação: páginas acessadas, tempo de permanência, data e horário de acesso;
• Cookies e tecnologias similares: conforme descrito na Seção 8 desta Política.

3.1.4. Dados de pagamento:

• Informações necessárias ao processamento do pagamento (nome do titular do cartão, número parcial do cartão, data de validade) são coletadas e processadas exclusivamente por operadoras de pagamento terceirizadas. O Compliant não armazena dados completos de cartão de crédito em seus servidores.

4.1. Os dados pessoais são tratados para as seguintes finalidades:

5.1. O Compliant poderá compartilhar dados pessoais com terceiros nas seguintes hipóteses:

5.1.1. Dentro do Ambiente da Empresa:

• O nome e o e-mail do Usuário são visíveis para os demais Usuários do mesmo Workspace, na medida necessária para a operação da Plataforma (identificação de autores, revisores, aprovadores);
• As ações registradas na trilha de auditoria são acessíveis aos Administradores do Workspace e da Empresa;
• Indicadores de desempenho individuais poderão ser visíveis nos dashboards administrativos, conforme o Plano contratado.

5.1.2. Com prestadores de serviço (Operadores):

• Provedores de infraestrutura e hospedagem em nuvem;
• Processadores de pagamento;
• Serviços de envio de e-mail;
• Serviços de autenticação (Google OAuth);
• Ferramentas de análise e monitoramento de desempenho da Plataforma.

5.2. Todos os prestadores de serviço são contratualmente obrigados a tratar os dados pessoais em conformidade com a LGPD e com as instruções do Compliant.

5.3. O Compliant não vende, aluga ou comercializa dados pessoais dos Usuários a terceiros.

5.4. O Compliant poderá compartilhar dados pessoais quando obrigado por determinação legal, judicial ou administrativa de autoridade competente.

6.1. Os dados pessoais são armazenados em servidores seguros, protegidos por medidas técnicas e organizacionais adequadas, conforme descrito na Seção 7.

6.2. Os dados pessoais serão retidos pelo período necessário para o cumprimento das finalidades descritas nesta Política, respeitados os seguintes critérios:

6.3. Após o término do período de retenção, os dados pessoais serão eliminados ou anonimizados, salvo quando houver obrigação legal ou regulatória que justifique sua manutenção.

7.1. O Compliant adota medidas técnicas e organizacionais adequadas para proteger os dados pessoais contra acessos não autorizados, destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, incluindo:

• Criptografia: dados em trânsito protegidos por TLS/SSL; senhas armazenadas com hash criptográfico (bcrypt ou equivalente);
• Controle de acesso: autenticação obrigatória, gestão de permissões por papéis (Administrador, Editor, Leitor), segregação entre Workspaces;
• Monitoramento: logs de acesso e atividade, detecção de acessos anômalos;
• Backups: cópias de segurança periódicas com armazenamento redundante;
• Infraestrutura: hospedagem em provedores de nuvem com certificações de segurança reconhecidas internacionalmente;
• Políticas internas: treinamento de equipe, revisão periódica de acessos, princípio do menor privilégio.

7.2. Nenhum sistema é absolutamente seguro. O Compliant não pode garantir proteção total contra todos os tipos de ameaças, mas compromete-se a agir com diligência e a adotar as melhores práticas disponíveis.

7.3. Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos Titulares, o Compliant comunicará a ANPD e os Titulares afetados, nos termos do art. 48 da LGPD.

8.1. A Plataforma utiliza cookies e tecnologias similares para melhorar a experiência do Usuário e para fins de análise.

8.2. Os tipos de cookies utilizados incluem:

8.3. O Usuário poderá gerenciar suas preferências de cookies diretamente na Plataforma ou nas configurações de seu navegador. A desativação de cookies essenciais poderá comprometer o funcionamento da Plataforma.

9.1. Em conformidade com a LGPD (arts. 17 a 22), o Titular dos dados pessoais tem os seguintes direitos:

• Confirmação e acesso: confirmar a existência de tratamento e acessar seus dados;
• Correção: solicitar a correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação: solicitar a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
• Portabilidade: solicitar a portabilidade dos dados a outro fornecedor de serviço, mediante requisição expressa, observados os segredos comercial e industrial;
• Eliminação: solicitar a eliminação dos dados tratados com base no consentimento, exceto nas hipóteses de retenção obrigatória previstas na LGPD (art. 16);
• Informação sobre compartilhamento: obter informações sobre as entidades públicas e privadas com as quais o Compliant compartilhou seus dados;
• Informação sobre consentimento: ser informado sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
• Revogação do consentimento: revogar o consentimento a qualquer momento, mediante manifestação expressa, nos termos do art. 8º, § 5º, da LGPD.

9.2. Para exercer seus direitos, o Titular poderá entrar em contato com o Encarregado de Proteção de Dados (DPO) do Compliant pelos canais indicados na Seção 13.

9.3. O Compliant responderá às solicitações dos Titulares no prazo de até 15 (quinze) dias, contados da data do recebimento da requisição, podendo ser prorrogado quando justificado.

9.4. O exercício de direitos pelo Titular não afetará a legalidade do tratamento realizado anteriormente com base no consentimento ou em outra base legal válida.

9.5. Observação importante sobre trilha de auditoria: os registros da trilha de auditoria são considerados necessários para o cumprimento de obrigações legais e regulatórias e para o exercício regular de direitos do Controlador e da Empresa vinculada. Assim, solicitações de eliminação de dados não se aplicam aos registros da trilha de auditoria enquanto estiverem dentro do período de retenção legal.

10.1. Os dados pessoais poderão ser armazenados ou processados em servidores localizados fora do Brasil, operados por provedores de infraestrutura em nuvem contratados pelo Compliant.

10.2. Nessas hipóteses, o Compliant assegura que a transferência internacional de dados será realizada em conformidade com a LGPD (arts. 33 a 36), adotando ao menos uma das seguintes salvaguardas:

• Transferência para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD;
• Cláusulas contratuais específicas que garantam a conformidade com a LGPD;
• Certificações ou selos regulamentares de proteção de dados reconhecidos pela ANPD.

11.1. A Plataforma não é direcionada a menores de 18 (dezoito) anos. O Compliant não coleta intencionalmente dados pessoais de menores de idade.

11.2. Caso o Compliant tome conhecimento de que dados de um menor de 18 anos foram coletados sem o consentimento adequado do responsável legal, adotará medidas para eliminá-los o mais brevemente possível.

12.1. O Compliant poderá atualizar esta Política periodicamente para refletir mudanças nas práticas de tratamento de dados, na legislação aplicável ou nas funcionalidades da Plataforma.

12.2. Alterações relevantes serão comunicadas ao Usuário com antecedência razoável, por e-mail ou por notificação na Plataforma.

12.3. A versão vigente da Política estará sempre disponível na Plataforma, com indicação da data da última atualização.

13.1. O Compliant designou um Encarregado de Proteção de Dados Pessoais (Data Protection Officer — DPO), conforme exigido pelo art. 41 da LGPD.

13.2. O Encarregado poderá ser contatado pelos seguintes meios:

13.3. O Encarregado é responsável por:

• Aceitar reclamações e comunicações dos Titulares, prestar esclarecimentos e adotar providências;
• Receber comunicações da ANPD e adotar providências;
• Orientar os funcionários e os contratados do Compliant sobre as práticas de proteção de dados pessoais;
• Executar as demais atribuições determinadas pelo Controlador ou estabelecidas em normas complementares.

14.1. Esta Política é regida pela legislação da República Federativa do Brasil, em especial:

• Lei nº 13.709/2018 — Lei Geral de Proteção de Dados Pessoais (LGPD);
• Lei nº 12.965/2014 — Marco Civil da Internet;
• Decreto nº 8.771/2016 — Regulamentação do Marco Civil da Internet;
• Lei nº 8.078/1990 — Código de Defesa do Consumidor, quando aplicável.

15.1. Fica eleito o foro da comarca de Varginha, Estado de Minas Gerais, Brasil, para dirimir quaisquer controvérsias decorrentes desta Política, com renúncia a qualquer outro, por mais privilegiado que seja.