Política de Privacidade — Compugeo
Esta Política de Privacidade descreve como a Compugeo ("nós") coleta, utiliza, armazena e protege os dados pessoais dos usuários do sistema de gestão de estacas ("Sistema"), em conformidade com a Lei nº 13.709/2018 — Lei Geral de Proteção de Dados (LGPD). Ao utilizar o Sistema, o usuário declara estar ciente das disposições aqui contidas.
1. Dados coletados. O Sistema coleta os seguintes dados pessoais: (1.1) Dados de cadastro, fornecidos pelo administrador da empresa contratante no momento da criação da conta, incluindo nome completo, endereço de e-mail, empresa à qual o usuário está vinculado, papel de acesso (administrador ou usuário comum) e senha, sendo esta última armazenada exclusivamente sob forma de hash criptográfico (bcrypt), sem possibilidade de recuperação do valor original. (1.2) Dados de uso e operação, gerados durante a utilização do Sistema, abrangendo registros de obras, estacas, máquinas e contratos da empresa do usuário, histórico de edições com identificação do operador responsável, configurações personalizadas e arquivos de logotipo enviados pela empresa. (1.3) Dados de auditoria de segurança, coletados automaticamente a cada tentativa de autenticação (bem-sucedida ou não), compreendendo data e horário do evento, endereço de protocolo de internet (IP) de origem da conexão, identificação técnica do navegador e sistema operacional (user-agent) e resultado da autenticação.
2. Finalidade do tratamento. Os dados pessoais coletados são utilizados exclusivamente para as seguintes finalidades: (2.1) autenticar o usuário no Sistema e controlar o acesso por empresa, garantindo que cada usuário visualize apenas dados pertencentes à organização à qual está vinculado; (2.2) viabilizar a operação principal do Sistema, incluindo visualização, edição e geração de relatórios de obras e estacas; (2.3) manter histórico auditável de alterações em registros técnicos, com identificação do responsável e momento da alteração; (2.4) detectar acessos suspeitos, tentativas de invasão ou contas comprometidas, bem como investigar incidentes de segurança; (2.5) cumprir obrigações legais ou regulatórias aplicáveis.
3. Base legal. O tratamento dos dados pessoais fundamenta-se nas seguintes hipóteses previstas no artigo 7º da LGPD: (3.1) execução de contrato ou procedimentos preliminares relacionados a contrato do qual o titular é parte, no que diz respeito aos dados estritamente necessários ao funcionamento do Sistema (inciso V); (3.2) atendimento de legítimo interesse do controlador no que se refere aos registros de auditoria de segurança, cujo objetivo é a prevenção e detecção de incidentes que possam afetar o titular ou terceiros (inciso IX); (3.3) cumprimento de obrigação legal ou regulatória pelo controlador, quando aplicável (inciso II).
4. Prazo de retenção. Os dados pessoais são mantidos pelos seguintes períodos: (4.1) dados de cadastro são conservados enquanto a conta estiver ativa e, após sua desativação, por até dois anos, ressalvada solicitação expressa de exclusão pelo titular; (4.2) registros de obras, estacas, máquinas e configurações são preservados enquanto vigente a relação contratual com a empresa do usuário, em razão de seu valor histórico e técnico para a execução das obras; (4.3) o histórico de edições de estacas é mantido enquanto a estaca correspondente existir no Sistema, por necessidade de auditoria técnica; (4.4) os registros de auditoria de acessos (IP, user-agent, horário de login) são automaticamente apagados decorridos noventa dias contados da data do evento.
5. Compartilhamento de dados. Os dados pessoais armazenados no Sistema não são compartilhados com terceiros para finalidades comerciais, publicitárias ou similares. O compartilhamento limita-se a duas hipóteses: (5.1) quando solicitado por autoridade competente em processo administrativo ou judicial formal; (5.2) com provedores de infraestrutura técnica (hospedagem, banco de dados), que atuam como operadores sob orientação e responsabilidade do controlador, vinculados contratualmente ao tratamento exclusivo para os fins desta política. O Sistema utiliza o serviço de mapas do Google (Google Maps) para exibição de localização geográfica de obras; nesse contexto, requisições são enviadas aos servidores do Google, que atua como controlador independente. Recomenda-se a leitura da política de privacidade do Google em policies.google.com/privacy.
6. Direitos do titular. Nos termos do artigo 18 da LGPD, o titular dos dados pessoais possui, a qualquer tempo, mediante requisição ao controlador, os seguintes direitos: confirmação da existência de tratamento; acesso aos dados; correção de dados incompletos, inexatos ou desatualizados; anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD; portabilidade dos dados a outro fornecedor de serviço ou produto; eliminação dos dados pessoais tratados com base no consentimento, ressalvadas as hipóteses de conservação previstas em lei; informação sobre as entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; informação sobre a possibilidade de não fornecer consentimento e as consequências da negativa; revogação do consentimento, nos termos da Lei. As solicitações devem ser encaminhadas ao canal de contato indicado no item 10 desta política e serão respondidas no prazo de até quinze dias úteis. Alguns dados não poderão ser excluídos de imediato, em razão da necessidade de preservação para fins de auditoria técnica de obra ou investigação de incidentes de segurança, observados os prazos legais aplicáveis.
7. Segurança da informação. O controlador adota medidas técnicas e administrativas para proteger os dados pessoais contra acessos não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. As principais medidas em vigor incluem: criptografia em trânsito por meio do protocolo HTTPS/TLS em todas as comunicações entre o navegador do usuário e os servidores do Sistema; armazenamento de senhas exclusivamente sob forma de hash criptográfico bcrypt com salt único por usuário; isolamento lógico de dados por empresa, mediante filtros aplicados em todas as consultas; cookies de sessão protegidos pelos atributos HttpOnly, Secure e SameSite=Strict; limitação de tentativas de autenticação por endereço IP para impedir ataques de força bruta; registro auditável de todas as tentativas de autenticação para detecção de comportamento anômalo; aplicação do princípio do menor privilégio na atribuição de papéis de acesso. Nenhum sistema é absolutamente invulnerável; em caso de incidente de segurança relevante que possa afetar o titular, o controlador comunicará a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados, nos prazos e formas previstos na LGPD.
8. Cookies. O Sistema utiliza apenas cookies estritamente necessários ao seu funcionamento. O único cookie persistido no navegador do usuário é o de sessão, denominado "compugeo_sess", com tempo de vida de doze horas em sessão padrão ou trinta dias quando o usuário opta expressamente por permanecer conectado. Este cookie possui os atributos HttpOnly, Secure e SameSite=Strict. Não são utilizados cookies de rastreamento, análise comportamental ou publicidade direcionada.
9. Alterações desta política. Esta Política de Privacidade poderá ser atualizada a qualquer tempo, especialmente em razão de mudanças legislativas, regulatórias ou na forma de operação do Sistema. Sempre que houver alteração relevante, o usuário será notificado no momento do próximo acesso e deverá manifestar novamente sua ciência para continuar utilizando o Sistema. A data da versão vigente consta no topo deste documento.
10. Contato. Para esclarecimento de dúvidas, exercício de direitos como titular ou comunicação de incidentes relacionados ao tratamento de dados pessoais, o usuário deverá contatar o controlador pelo endereço de correio eletrônico compugeo@compugeo.com.br. O titular também poderá apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD), por meio do endereço gov.br/anpd.