Última atualização: 2026-05-05
Política de Privacidade
1. Quem somos
A OTO ("Plataforma", "nós", "nosso") é uma plataforma SaaS B2B operada por [RAZÃO SOCIAL — preencher] que oferece análise consolidada de indicadores municipais brasileiros para apoiar decisões comerciais B2G (business-to-government).
- CNPJ: [PREENCHER]
- Endereço: [PREENCHER]
- DPO (Encarregado pelo Tratamento de Dados): [PREENCHER]
- Email: dpo@analise-comecial.com.br
Esta política descreve como a Plataforma trata dados pessoais e empresariais que coleta, armazena ou processa.
2. Princípios — modelo BYOK (Bring Your Own Key)
A Plataforma adota arquitetura BYOK (Bring Your Own Key) para chamadas a modelos de IA de linguagem (LLMs):
- O cliente fornece sua própria chave API da Anthropic, OpenAI ou outro provedor compatível
- A Plataforma armazena a chave cifrada (AES-256-GCM) em escopo isolado por workspace (Row-Level Security)
- Quando o cliente realiza uma análise, a chamada LLM é feita diretamente do servidor da Plataforma para o provedor usando a chave do cliente
- A Plataforma NUNCA envia dados do cliente a um provedor LLM com chave própria nossa, exceto durante o trial de 14 dias (ver §6)
- Os dados de saída do LLM podem ser armazenados em log da Plataforma para auditoria do cliente, mas o prompt enviado e a resposta não são compartilhados com nenhum terceiro além do provedor escolhido pelo cliente
Implicação prática: o cliente é responsável por configurar a sua relação contratual com Anthropic/OpenAI/etc. quanto a uso, retenção e treinamento de modelo. A Plataforma é apenas um conduto cifrado.
3. Dados que coletamos
3.1. Dados de cadastro do cliente
- Nome completo
- E-mail corporativo
- Senha (hash bcrypt; nunca armazenamos texto-claro)
- Empresa/Workspace de associação
- Aceite de Termos e desta Política
Base legal LGPD (Art. 7º): execução de contrato (II) e legítimo interesse (IX) para autenticação e segurança.
3.2. Dados operacionais do workspace
- Configurações da empresa/workspace (logo, cores, preferências)
- Watchlists de municípios
- Produtos cadastrados (nome, categoria, ticket, descritivos)
- Resultados de análises (diagnósticos, pitches, simulações ROI)
- Logs de auditoria (quem fez o que, quando)
3.3. Dados das prefeituras analisadas
A Plataforma indexa dados públicos de prefeituras brasileiras a partir de fontes oficiais:
- IBGE (Censo, PIB, Cidades)
- IPEA (Atlas DH, IDHM)
- Tesouro Nacional (SICONFI, CAPAG, CAUC)
- INEP (IDEB, SAEB, Censo Escolar, FNDE PNATE)
- DATASUS / SISAB (cobertura saúde, vacinação, internações)
- SNIS (saneamento)
- MDS / VIS Data 3 (CadÚnico — AGREGADOS, sem PII)
- TransfereGov (convênios, editais)
- PNCP / CGU (governança, transparência)
- CAGED (mercado de trabalho)
- RFB (CNPJ, MEIs)
- SSP estaduais (segurança — quando disponível)
- DENATRAN (acidentes de trânsito)
Esses dados são públicos por força de lei (LAI Lei 12.527/2011) e seu indexamento não está sujeito à LGPD na qualidade de "dados pessoais" — referem-se a entes públicos, não pessoas físicas.
3.4. ⚠ Tratamento especial de dados sociais (LGPD Art. 7º)
A Plataforma NUNCA armazena ou exibe dados pessoais dos beneficiários de programas sociais (CadÚnico, Bolsa Família, BPC, etc.). Apenas agregados municipais anônimos são processados:
- Quantidade total de famílias inscritas
- Cobertura percentual da população
- Quantidade de benefícios concedidos no município
O sistema de ETL possui guard automático que rejeita uploads de CSVs contendo cabeçalhos com PII (CPF, NIS, nome, endereço, etc.).
3.5. Dados de uso (analytics)
- Páginas visitadas
- Funcionalidades acessadas
- Tempo de sessão
- Dispositivo, navegador, sistema operacional
- IP (apenas para detecção de abuso/segurança)
4. Dados que NÃO coletamos
- Não usamos cookies de rastreamento publicitário
- Não vendemos dados de clientes a terceiros
- Não treinamos modelos próprios de IA com dados dos clientes
- Não compartilhamos dados de uma prefeitura entre workspaces (RLS)
- Não armazenamos chaves API em texto-claro (sempre cifradas com AES-256-GCM)
5. Como tratamos os dados
5.1. Multi-tenancy isolado
Cada workspace tem isolamento completo via Row-Level Security PostgreSQL. Dois clientes do mesmo provedor LLM NUNCA veem dados um do outro.
5.2. Segurança
- TLS 1.3 obrigatório (HTTPS)
- Senhas: bcrypt cost 12
- Tokens JWT: HS256, expiração 24h
- API keys de provedor LLM: AES-256-GCM com AAD por contexto
- Backups diários (retenção 30 dias)
- Logs de acesso (retenção 90 dias)
5.3. Localização
- Servidores no Brasil (Render.com, região São Paulo) ou EUA caso clientes optem
- Postgres com replicação síncrona
- Backups: AWS S3 com encryption at-rest
- LLMs: Anthropic (US), OpenAI (US/EU). Cliente escolhe ao adicionar a chave.
5.4. Retenção
| Tipo de dado | Período de retenção |
|---|---|
| Conta ativa | enquanto durar contrato |
| Conta cancelada | 30 dias para reativação, depois exclusão completa |
| Logs de auditoria | 12 meses (compliance) |
| Backups | 30 dias rolling |
| Dados de prefeituras (públicos) | indefinido (são públicos) |
6. Trial e dados temporários
Durante os 14 dias de trial gratuito:
- Cliente recebe acesso a uma chave API de cortesia (cap R$ 50 em LLM)
- Esta chave é da Plataforma; chamadas LLM passam pelos servidores Anthropic/OpenAI com nossa chave
- Recomendamos ler: Anthropic e OpenAI
- Após dia 14, ou cliente vincula chave própria (BYOK) ou não consegue mais rodar análises (apenas leitura de histórico)
7. Direitos do titular (LGPD Art. 18)
O titular pode exercer seus direitos via email dpo@analise-comecial.com.br:
| Direito | Como exercer | Prazo |
|---|---|---|
| Confirmação de tratamento | 15 dias | |
| Acesso aos dados | painel /account/data-export (V2) ou email | 15 dias |
| Correção de dados | painel /account/profile ou email | 5 dias |
| Anonimização / bloqueio | email com solicitação justificada | 15 dias |
| Eliminação | painel /account/delete ou email | 15 dias (efetiva em 30 dias) |
| Portabilidade | export JSON via API | 15 dias |
| Revogação de consentimento | painel /account/consent ou email | 15 dias |
8. Compartilhamento com terceiros
Operadores subcontratados (LGPD Art. 39):
| Operador | Finalidade | País | Cláusula |
|---|---|---|---|
| Render.com | hospedagem | EUA | DPA assinado |
| Anthropic | LLM (BYOK) | EUA | cliente é responsável (BYOK) |
| OpenAI | LLM (BYOK) | EUA | cliente é responsável (BYOK) |
| Stripe / Pagar.me | pagamentos | BR/EUA | DPA + PCI-DSS |
| Sentry | monitoramento de erros | EUA | DPA + dados anonimizados |
Não cedemos dados a: anunciantes, plataformas de marketing, outros clientes da Plataforma.
Cessão por obrigação legal (Art. 11, II): apenas mediante ordem judicial fundamentada. Cliente é notificado (exceto se a ordem proibir).
9. Crianças e adolescentes
A Plataforma é destinada exclusivamente a profissionais maiores de 18 anos. Não coletamos intencionalmente dados de menores.
10. Alterações nesta política
Alterações materiais serão comunicadas com 30 dias de antecedência via email, com opção de cancelamento sem penalidade. Alterações editoriais podem ser feitas sem aviso prévio, mas a data desta política sempre indica a última atualização.
11. Reclamações e ANPD
Se o titular entender que seus direitos não foram respeitados, pode:
- Contatar o DPO da Plataforma: dpo@analise-comecial.com.br
- Recorrer à Autoridade Nacional de Proteção de Dados (ANPD): gov.br/anpd
- Recorrer ao judiciário
12. Disposições finais
Esta política rege-se pela Lei 13.709/2018 (LGPD) e demais normas aplicáveis. O foro eleito é o da Comarca de [PREENCHER]. Em caso de divergência entre esta política e os Termos de Uso, prevalece esta política nos pontos de privacidade.