Conformidade LGPD

A governança de privacidade é coordenada por um Encarregado de Proteção de Dados (DPO) formalmente designado, com canal direto de reporte à diretoria. Comitê de Privacidade & Segurança reúne-se trimestralmente para revisar o programa, riscos e indicadores.

Mantemos Registro de Operações de Tratamento (ROPA) atualizado, classificação de dados por sensibilidade, política de retenção formalizada e plano de resposta a incidentes testado anualmente.

Toda a operação ocorre em infraestrutura sediada em território nacional, com replicação geográfica entre regiões brasileiras. Dados de clientes não atravessam a fronteira sem instrumento contratual específico e base legal documentada.

Cada banca opera em workspace logicamente isolado, com chaves criptográficas dedicadas. Não há mistura de dados entre clientes e não utilizamos conteúdo de uma banca para treinar modelos servidos a outra. Modelos de inteligência operam em modo zero-retention contratual.

O fluxo de atendimento de solicitações de titulares (acesso, correção, eliminação, portabilidade, revogação de consentimento, revisão de decisão automatizada) é todo registrado em sistema, com SLA de 15 dias úteis e relatório auditável disponível à banca.

Subprocessadores são submetidos a due diligence prévia e contrato de tratamento de dados (DPA). Lista atualizada está disponível mediante solicitação. Toda alteração relevante na cadeia é comunicada com antecedência aos clientes corporativos.

Possuímos procedimento formal de resposta a incidentes, com classificação por severidade, comunicação à ANPD e aos titulares afetados nos prazos legais, retenção de evidências para cadeia de custódia e revisão pós-incidente (post-mortem) com plano de remediação.

Mantemos trilhas de auditoria de todas as operações sensíveis. Clientes corporativos podem solicitar relatório SOC 2 Type II e ISO/IEC 27001 sob NDA, além de auditorias específicas mediante acordo prévio.