Política de Privacidade

1. Introdução e Compromisso com a Privacidade

A CodeCortex Tecnologia Ltda. ("CodeCortex", "nós", "nosso" ou "Complyer") está profundamente comprometida em proteger a privacidade e os dados pessoais de todos os usuários do serviço Complyer.app ("Serviço", "Plataforma"). Esta Política de Privacidade descreve de forma clara e transparente como coletamos, usamos, armazenamos, compartilhamos e protegemos suas informações pessoais.

Esta Política está em total conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 - LGPD) e outras legislações de privacidade aplicáveis no Brasil. Ao usar nosso Serviço, você concorda expressamente com as práticas descritas nesta Política.

Ironia Consciente: Somos uma plataforma de compliance de dados. Levamos a proteção dos seus dados tão a sério quanto esperamos que você leve a proteção dos dados da sua empresa.

2. Definições e Terminologia

Para os fins desta Política, aplicam-se as seguintes definições conforme a LGPD:

• Dado Pessoal: Informação relacionada a pessoa natural identificada ou identificável
• Titular: Pessoa natural a quem se referem os dados pessoais (você)
• Controlador: Entidade que toma decisões sobre o tratamento de dados pessoais (CodeCortex para dados de conta; Você para Dados do Cliente)
• Operador: Entidade que realiza o tratamento de dados em nome do controlador (CodeCortex quando processa Dados do Cliente)
• Tratamento: Toda operação com dados pessoais (coleta, armazenamento, uso, compartilhamento, eliminação, etc.)
• Anonimização: Processo que torna impossível identificar o titular dos dados
• Consentimento: Manifestação livre, informada e inequívoca de concordância
• Encarregado (DPO): Pessoa responsável por atuar como canal de comunicação sobre privacidade

3. Informações que Coletamos

Coletamos diferentes categorias de informações para fornecer, manter e melhorar nosso Serviço. Abaixo, detalhamos cada categoria:

3.1. Dados de Cadastro e Identificação

• Nome completo
• Email corporativo (usado como identificador principal)
• Nome da empresa/organização
• Cargo/função na empresa
• Número de telefone (opcional)
• Informações de faturamento (quando aplicável)

3.2. Dados de Uso e Navegação

• Informações sobre como você acessa e usa o Serviço
• Páginas visitadas, funcionalidades utilizadas, tempo de sessão
• Preferências de configuração e personalização
• Histórico de consultas e buscas dentro da plataforma
• Interações com alertas e relatórios gerados
• Logs de atividades e timestamps

3.3. Dados Técnicos e de Dispositivo

• Endereço IP (Internet Protocol)
• Tipo e versão de navegador (browser)
• Sistema operacional e versão
• Resolução de tela e configurações de dispositivo
• Idioma e fuso horário
• Provedor de serviços de Internet (ISP)
• Páginas de referência (de onde você veio)
• Identificadores únicos de dispositivo (quando aplicável)

3.4. Dados de Documentos e Conteúdo (Dados do Cliente)

Importante: Estes são os dados que você, como Cliente, carrega na plataforma para análise. Para estes dados, VOCÊ atua como Controlador e nós atuamos como Operador sob suas instruções.

• Documentos, arquivos e contratos carregados para análise
• Emails e comunicações conectadas via integrações
• Planilhas, PDFs, documentos de texto e outros formatos
• Metadados dos arquivos (datas, autores, tamanhos)
• Conteúdo textual extraído para análise de IA
• Resultados e relatórios de análise gerados

3.5. Dados de Comunicação

• Mensagens trocadas com nossa equipe de suporte
• Feedback, avaliações e pesquisas de satisfação
• Participação em webinars, demos ou eventos
• Inscrição em newsletters ou comunicações de marketing (mediante consentimento)

3.6. Dados de Integrações de Terceiros

Quando você conecta o Complyer a serviços terceiros (Google Workspace, Microsoft 365, etc.), podemos coletar dados conforme autorizado por você através dessas integrações:

• Informações de perfil do Google/Microsoft (nome, email, foto)
• Permissões de acesso a documentos e emails (somente leitura, conforme escopo autorizado)
• Metadados de arquivos e pastas
• Tokens de acesso e refresh tokens (armazenados de forma criptografada)

4. Como Usamos Suas Informações

Utilizamos as informações coletadas exclusivamente para as finalidades descritas abaixo, respeitando sempre o princípio da finalidade e minimização de dados:

4.1. Provisão e Operação do Serviço

• Criar, manter e gerenciar sua conta de usuário
• Autenticar e autorizar seu acesso à plataforma
• Processar e analisar documentos através de nossos algoritmos de IA para identificar riscos de compliance
• Detectar violações de LGPD, vazamentos de dados e cláusulas contratuais problemáticas
• Gerar relatórios, dashboards e alertas personalizados
• Sincronizar dados com integrações autorizadas (Google Workspace, Microsoft 365)

4.2. Comunicação com Usuários

• Enviar notificações transacionais sobre alertas críticos de compliance
• Notificar sobre atualizações de serviço, manutenções ou mudanças nos Termos
• Responder às suas solicitações de suporte e dúvidas técnicas
• Enviar confirmações de pedidos e faturas (quando aplicável)
• Comunicações de marketing (apenas mediante consentimento explícito e com opção de descadastramento)

4.3. Melhoria e Desenvolvimento

• Analisar padrões de uso para melhorar funcionalidades existentes
• Desenvolver novos recursos e aprimorar algoritmos de IA
• Realizar testes A/B e experimentos de UX (com dados anonimizados)
• Treinar modelos de machine learning (apenas com dados agregados e anonimizados)
• Conduzir pesquisas de satisfação e análise de produto

4.4. Segurança e Prevenção de Fraudes

• Detectar, prevenir e resolver problemas técnicos e de segurança
• Proteger contra acesso não autorizado, uso indevido ou atividades fraudulentas
• Monitorar e analisar tentativas de login suspeitas
• Investigar violações dos Termos de Uso
• Manter logs de auditoria para fins de segurança e compliance

4.5. Cumprimento Legal e Regulatório

• Cumprir obrigações legais e regulatórias (LGPD, Marco Civil, etc.)
• Responder a ordens judiciais, intimações ou solicitações governamentais
• Fazer cumprir nossos direitos contratuais
• Manter registros contábeis e fiscais conforme exigido por lei

5. Base Legal para Tratamento de Dados (LGPD)

Processamos seus dados pessoais com base nas seguintes bases legais previstas no Art. 7º da LGPD:

• Execução de contrato (Art. 7º, V): Para fornecer os serviços de compliance contratados, incluindo processamento de documentos, geração de relatórios e envio de alertas
• Legítimo interesse (Art. 7º, IX): Para melhorar nossos serviços, desenvolver novos recursos, garantir segurança da plataforma e prevenir fraudes, sempre respeitando seus direitos e liberdades
• Consentimento (Art. 7º, I): Para comunicações de marketing, cookies não essenciais e compartilhamento de dados além do necessário para o serviço (quando aplicável)
• Cumprimento de obrigação legal (Art. 7º, II): Para cumprir determinações legais, regulatórias, ordens judiciais ou requisições de autoridades competentes
• Exercício regular de direitos (Art. 7º, VI): Para proteger nossos direitos em processos judiciais, administrativos ou arbitrais

6. Compartilhamento de Dados com Terceiros

Compromisso: Nós NÃO vendemos, alugamos ou comercializamos seus dados pessoais. O compartilhamento ocorre apenas nas situações estritamente necessárias descritas abaixo:

6.1. Prestadores de Serviço (Suboperadores)

Utilizamos prestadores de serviço terceirizados para auxiliar na operação da plataforma. Todos os suboperadores são cuidadosamente selecionados e vinculados por contratos que garantem a proteção dos seus dados:

• Hospedagem em nuvem: Amazon Web Services (AWS) ou Google Cloud Platform (GCP) - localização: Brasil/EUA com cláusulas de transferência adequadas
• Analytics e monitoramento: Google Analytics, Mixpanel (dados anonimizados)
• Suporte ao cliente: Zendesk, Intercom ou similares
• Email transacional: SendGrid, Amazon SES
• Processamento de pagamentos: Stripe, Pagar.me (quando aplicável)
• CDN e segurança: Cloudflare

6.2. Autoridades Governamentais e Requisições Legais

Podemos divulgar dados pessoais quando legalmente exigido ou em resposta a processos legais válidos:

• Ordens judiciais, mandados ou intimações
• Solicitações da Autoridade Nacional de Proteção de Dados (ANPD)
• Investigações de autoridades policiais ou regulatórias
• Cumprimento de leis brasileiras aplicáveis

Transparência: Sempre que legalmente permitido, notificaremos você sobre tais solicitações.

6.3. Sucessores Corporativos

Em caso de fusão, aquisição, venda de ativos, reorganização ou falência, seus dados pessoais podem ser transferidos para o sucessor. Você será notificado sobre tal transferência e quaisquer mudanças nas práticas de privacidade.

6.4. Com Seu Consentimento

Podemos compartilhar dados com outras entidades quando você fornecer consentimento explícito para tal.

7. Segurança dos Dados

Implementamos medidas de segurança técnicas, administrativas e organizacionais rigorosas para proteger seus dados contra acesso não autorizado, alteração, divulgação ou destruição:

7.1. Medidas Técnicas

• Criptografia em trânsito: TLS 1.3 para todas as transmissões de dados
• Criptografia em repouso: AES-256 para dados armazenados em bancos de dados e storage
• Autenticação multifator (MFA): Disponível e recomendada para todas as contas
• Hashing de senhas: bcrypt com salt aleatório (nunca armazenamos senhas em texto claro)
• Firewall e WAF: Proteção contra ataques DDoS, SQL injection, XSS
• Monitoramento contínuo: Logs de segurança, detecção de intrusão, alertas automáticos
• Backups criptografados: Backups automáticos diários com retenção de 30 dias
• Testes de penetração: Auditorias de segurança regulares por terceiros especializados

7.2. Medidas Administrativas

• Controle de acesso baseado em funções (RBAC) com princípio do menor privilégio
• Revisões periódicas de permissões de acesso
• Treinamento obrigatório de segurança e privacidade para todos os funcionários
• Acordos de confidencialidade (NDAs) com todos os colaboradores e parceiros
• Processo formal de resposta a incidentes de segurança
• Auditorias internas e externas regulares

7.3. Certificações e Conformidade

• Certificação ISO 27001 (Sistema de Gestão de Segurança da Informação)
• Conformidade com LGPD (Lei nº 13.709/2018)
• Alinhamento com boas práticas internacionais (NIST, CIS Controls)

Importante: Apesar de todos os nossos esforços, nenhum sistema é 100% seguro. Você também tem responsabilidade em manter suas credenciais seguras e reportar qualquer atividade suspeita imediatamente.

8. Seus Direitos como Titular de Dados (LGPD)

De acordo com os artigos 17 e 18 da LGPD, você possui os seguintes direitos relacionados aos seus dados pessoais:

8.1. Direitos Garantidos

• Confirmação e Acesso (Art. 18, I e II): Confirmar se tratamos seus dados e obter acesso aos dados pessoais que possuímos sobre você
• Correção (Art. 18, III): Solicitar a correção de dados incompletos, inexatos ou desatualizados
• Anonimização, Bloqueio ou Eliminação (Art. 18, IV): Solicitar a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD
• Portabilidade (Art. 18, V): Solicitar a portabilidade de seus dados a outro fornecedor de serviço, mediante requisição expressa e em formato estruturado
• Eliminação (Art. 18, VI): Solicitar a eliminação de dados tratados com base em consentimento
• Informação sobre Compartilhamento (Art. 18, VII): Obter informação sobre com quais entidades públicas e privadas compartilhamos seus dados
• Informação sobre Recusa de Consentimento (Art. 18, VIII): Ser informado sobre as consequências de não fornecer consentimento, quando aplicável
• Revogação de Consentimento (Art. 18, IX): Revogar consentimento previamente fornecido
• Oposição (Art. 18, § 2º): Opor-se a tratamento realizado em desconformidade com a LGPD
• Revisão de Decisões Automatizadas (Art. 20): Solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado que afetem seus interesses

8.2. Como Exercer Seus Direitos

Para exercer qualquer um dos direitos acima, você pode:

• Enviar email para nosso Encarregado de Dados (DPO): dpo@complyer.app
• Utilizar o canal de privacidade: privacidade@complyer.app
• Acessar as configurações de privacidade dentro da plataforma (para alguns direitos)

Prazo de Resposta: Responderemos sua solicitação em até 15 dias úteis, conforme Art. 19 da LGPD. Em casos complexos, podemos prorrogar por mais 15 dias, mediante justificativa.

Verificação de Identidade: Para proteger sua privacidade, poderemos solicitar informações adicionais para confirmar sua identidade antes de processar sua solicitação.

9. Retenção e Eliminação de Dados

Retemos seus dados pessoais apenas pelo tempo estritamente necessário para cumprir as finalidades descritas nesta Política, respeitando o princípio da necessidade (Art. 6º, III, LGPD):

9.1. Períodos de Retenção

• Dados de conta ativa: Durante todo o período de vigência do contrato/assinatura
• Dados de Documentos (Dados do Cliente): Conforme suas instruções como Controlador; excluídos em até 30 dias após encerramento da conta, salvo obrigação legal
• Logs de segurança e auditoria: 12 meses (requisito de segurança e investigação de incidentes)
• Dados fiscais e contábeis: 5 anos (conforme legislação tributária brasileira)
• Comunicações de marketing: Até revogação do consentimento ou 2 anos sem interação
• Dados anonimizados: Indefinidamente (dados anonimizados não são dados pessoais sob LGPD)

9.2. Processo de Eliminação

Ao final do período de retenção, procedemos com a eliminação segura dos dados:

• Eliminação permanente de bancos de dados de produção
• Remoção de backups conforme cronograma de rotação
• Destruição de cópias físicas ou digitais em sistemas terceiros
• Documentação do processo de eliminação para fins de auditoria

9.3. Exceções Legais

Podemos reter dados por períodos superiores quando:

• Exigido por lei ou regulamentação (obrigações fiscais, trabalhistas, etc.)
• Necessário para cumprimento de ordem judicial
• Essencial para exercício regular de direitos em processos judiciais ou administrativos
• Com seu consentimento explícito para período superior

10. Cookies e Tecnologias de Rastreamento

Utilizamos cookies e tecnologias similares para melhorar sua experiência e entender como você usa nosso Serviço.

10.1. Tipos de Cookies Utilizados

• Cookies Estritamente Necessários: Essenciais para o funcionamento básico (autenticação, segurança, preferências de sessão). Não requerem consentimento conforme LGPD.
• Cookies de Desempenho e Analytics: Coletam informações agregadas sobre uso do site (Google Analytics com IP anonimizado). Requerem consentimento.
• Cookies de Funcionalidade: Armazenam preferências do usuário (idioma, tema, configurações).
• Cookies de Marketing: Rastreiam visitantes para exibir anúncios relevantes (quando aplicável). Requerem consentimento explícito.

10.2. Gerenciamento de Cookies

Você pode gerenciar suas preferências de cookies:

• Através do banner de consentimento exibido em sua primeira visita
• Nas configurações do seu navegador (Chrome, Firefox, Safari, Edge)
• Através de ferramentas de opt-out de analytics (Google Analytics Opt-out)

Atenção: Desabilitar cookies essenciais pode afetar a funcionalidade do Serviço.

10.3. Outras Tecnologias

• Web Beacons/Pixels: Pequenas imagens em emails para rastreamento de abertura (apenas em emails de marketing com consentimento)
• Local Storage: Armazenamento local para melhorar desempenho e experiência offline
• Session Storage: Armazenamento temporário durante a sessão de navegação

11. Transferência Internacional de Dados

Seus dados são preferencialmente armazenados e processados em servidores localizados no Brasil. No entanto, alguns de nossos prestadores de serviço podem estar localizados fora do Brasil, incluindo Estados Unidos e Europa.

Quando realizamos transferências internacionais de dados, garantimos a conformidade com o Capítulo V da LGPD (Arts. 33-36) através de:

• Cláusulas Contratuais Padrão: Contratos com fornecedores internacionais incluem cláusulas de proteção de dados equivalentes às exigidas pela LGPD
• Adequação de País: Priorizamos países reconhecidos como adequados pela ANPD (quando aplicável)
• Certificações Internacionais: Prestadores com ISO 27001, SOC 2, Privacy Shield (quando relevante)
• Consentimento Específico: Quando necessário, solicitamos seu consentimento explícito para transferências internacionais

12. Privacidade de Menores

O Serviço Complyer é voltado exclusivamente para uso corporativo e empresarial. Não coletamos intencionalmente dados pessoais de menores de 18 anos.

Se tomarmos conhecimento de que coletamos inadvertidamente dados de menores de idade, tomaremos medidas imediatas para excluir tais informações de nossos servidores. Pais, responsáveis legais ou representantes podem entrar em contato conosco em dpo@complyer.app caso identifiquem tal situação.

13. Notificação de Incidentes de Segurança

Conforme Art. 48 da LGPD, em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, adotaremos as seguintes medidas:

• Comunicação Imediata ao Titular: Notificaremos você em prazo razoável (máximo 72 horas) sobre o incidente, natureza dos dados afetados, possíveis consequências e medidas tomadas
• Notificação à ANPD: Comunicaremos a Autoridade Nacional de Proteção de Dados conforme procedimentos estabelecidos
• Medidas Corretivas: Tomaremos ações imediatas para conter o incidente, investigar causas e implementar melhorias de segurança
• Transparência: Publicaremos comunicado público se o incidente afetar grande número de usuários

14. Alterações a Esta Política de Privacidade

Podemos atualizar esta Política de Privacidade periodicamente para refletir mudanças em nossas práticas, legislação ou por outros motivos operacionais, legais ou regulatórios.

Notificação de Mudanças:

• Alterações substanciais serão notificadas por email com antecedência mínima de 10 dias
• Publicaremos aviso destacado em nosso site sobre as mudanças
• A data de "Última atualização" no topo desta página será atualizada
• Manteremos versões anteriores disponíveis para consulta mediante solicitação

Recomendamos que você revise periodicamente esta Política para se manter informado sobre como protegemos seus dados. Seu uso contínuo do Serviço após alterações constitui aceitação da Política revisada.

15. Encarregado de Proteção de Dados (DPO)

Conforme Art. 41 da LGPD, nomeamos um Encarregado de Proteção de Dados (Data Protection Officer - DPO) para atuar como canal de comunicação entre a CodeCortex, os titulares de dados e a ANPD.

Responsabilidades do DPO:

• Aceitar reclamações e comunicações dos titulares
• Prestar esclarecimentos sobre exercício de direitos
• Receber comunicações da ANPD e adotar providências
• Orientar funcionários sobre práticas de proteção de dados

16. Direito de Reclamação à ANPD

Sem prejuízo de qualquer outra via de recurso administrativo ou judicial, você tem o direito de apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) caso considere que o tratamento de seus dados pessoais viola a LGPD.

17. Jurisdição e Lei Aplicável

Esta Política de Privacidade é regida e interpretada de acordo com as leis da República Federativa do Brasil, especialmente:

• Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 - LGPD)
• Marco Civil da Internet (Lei nº 12.965/2014)
• Código de Defesa do Consumidor (Lei nº 8.078/1990)
• Código Civil Brasileiro (Lei nº 10.406/2002)

Quaisquer disputas relacionadas a esta Política serão submetidas à jurisdição exclusiva dos tribunais da Comarca de São Paulo, Estado de São Paulo, Brasil.

18. Contato e Informações da Empresa

Se você tiver dúvidas, comentários ou solicitações sobre esta Política de Privacidade ou sobre nossas práticas de tratamento de dados, entre em contato conosco:

Documento em conformidade com: LGPD (Lei nº 13.709/2018), Marco Civil da Internet (Lei nº 12.965/2014), Resolução CD/ANPD nº 2/2022 (Agentes de Tratamento de Pequeno Porte).

Última revisão e aprovação jurídica: Janeiro de 2026