Política de Privacidade

Última atualização: 14 de maio de 2026 · Conforme LGPD (Lei 13.709/2018)

A Projetive Tecnologia ("Projetive", "nós") respeita sua privacidade e está comprometida em proteger os dados pessoais tratados durante a utilização do Aprovador. Esta Política descreve quais dados coletamos, como utilizamos, com quem compartilhamos e quais são os direitos dos titulares conforme a Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018).

1. Controlador dos dados

Projetive Tecnologia, pessoa jurídica de direito privado, com sede em Ribeirão Preto/SP, é a controladora dos dados pessoais tratados nesta plataforma.

Encarregado de Dados (DPO): contato via WhatsApp +55 16 3184-1103 ou site institucional projetive.com.br.

2. Dados que coletamos

Coletamos apenas os dados estritamente necessários para a prestação do serviço:

2.1. Dados cadastrais do Cliente (pessoa jurídica)

  • Razão social e nome fantasia
  • Email do contato responsável
  • Telefone/WhatsApp do contato responsável
  • Subdomínio escolhido para o ambiente

2.2. Dados dos usuários do Cliente

  • Nome, username, email
  • Número de WhatsApp (quando configurado pelo admin)
  • Papel atribuído (Admin, Aprovador, Usuário)
  • ID no Protheus
  • Histórico de aprovações realizadas (auditoria)

2.3. Dados de pagamento

Não armazenamos dados de cartão de crédito. Todo processamento de pagamento é realizado pela Stripe Inc. (PCI-DSS Level 1). Recebemos apenas: ID do cliente Stripe, ID da subscription, status do pagamento, datas de cobrança.

2.4. Dados operacionais

  • Configurações de fluxos de aprovação
  • Anexos categorizados (PDF, imagens) — armazenados em AWS S3 privado
  • Comentários e menções entre usuários
  • Logs de acesso, IP e device de cada decisão (auditoria)
  • Histórico de pagamentos do Protheus (leitura via SE2 — não armazenamos cópia, apenas consultamos sob demanda)

2.5. Dados técnicos

  • IP de acesso
  • Tipo de dispositivo, navegador
  • Tokens de autenticação (JWT) e refresh tokens
  • Logs de erro (Sentry) — sem dados pessoais identificáveis
  • Métricas de uso anonimizadas

3. Finalidades do tratamento

Tratamos os dados pessoais para as seguintes finalidades:

  • Prestação do serviço: autenticar usuários, executar aprovações, integrar com Protheus, gerar relatórios
  • Comunicação: enviar notificações de aprovação pendente, resultado de aprovação, alertas de billing
  • Cobrança: processar pagamentos via Stripe, emitir recibos, gerir inadimplência
  • Suporte: resolver dúvidas e incidentes técnicos
  • Segurança: detectar fraudes, abusos e tentativas de acesso indevido
  • Cumprimento legal: atender obrigações fiscais, trabalhistas e regulatórias
  • Melhoria do produto: análise agregada e anonimizada de uso pra desenvolvimento de novas features

4. Base legal

O tratamento dos dados pessoais fundamenta-se nas seguintes bases legais previstas no art. 7º da LGPD:

  • Execução de contrato (inciso V): a maior parte dos tratamentos é necessária para prestar o serviço contratado
  • Cumprimento de obrigação legal (inciso II): retenção de registros contábeis e fiscais
  • Legítimo interesse (inciso IX): segurança da plataforma, prevenção a fraudes, análise agregada anonimizada
  • Consentimento (inciso I): comunicações de marketing (opt-in, com possibilidade de descadastro)

5. Compartilhamento com terceiros

Os dados são compartilhados apenas com operadores essenciais à prestação do serviço:

  • Stripe Inc. — processamento de pagamentos
  • Amazon Web Services (AWS) — hospedagem do banco PostgreSQL, armazenamento de anexos (S3), envio de emails (SES)
  • Google LLC (Gemini API) — análise de documentos via IA (apenas conteúdo do documento, sem dados pessoais identificáveis)
  • WhatsApp Business (Meta) — envio de notificações via conector self-hosted Baileys
  • Sentry — monitoramento de erros (sem dados pessoais)
  • TOTVS Protheus do próprio Cliente — conectamos no Protheus do Cliente com credenciais fornecidas por ele, lendo e escrevendo apenas o necessário

Não comercializamos, alugamos ou compartilhamos dados pessoais com terceiros para fins de marketing ou perfilagem comportamental.

6. Transferência internacional

Alguns operadores (Stripe, AWS, Google) podem processar dados em servidores localizados fora do Brasil. Em todos os casos, esses fornecedores garantem nível adequado de proteção conforme padrões internacionais (Cláusulas Contratuais Padrão, certificações ISO 27001, SOC 2). Quando possível, optamos por regiões brasileiras (AWS sa-east-1).

7. Retenção de dados

  • Durante o uso do serviço: dados mantidos integralmente para operação
  • Após cancelamento: 90 dias para eventual reativação, depois excluídos
  • Dados financeiros e fiscais: 5 anos conforme legislação
  • Logs de segurança: 12 meses
  • Backups: rotação automática de 30 dias

8. Direitos do titular (Art. 18 LGPD)

O titular dos dados pessoais tem direito a:

  • Confirmação da existência de tratamento
  • Acesso aos dados
  • Correção de dados incompletos, inexatos ou desatualizados
  • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade
  • Portabilidade dos dados a outro fornecedor de serviço
  • Eliminação dos dados tratados com consentimento
  • Informação sobre entidades com as quais compartilhamos dados
  • Revogação do consentimento
  • Oposição a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento da LGPD

Para exercer qualquer desses direitos, entre em contato com o Encarregado de Dados via WhatsApp +55 16 3184-1103. Responderemos em até 15 dias úteis.

9. Segurança

Adotamos medidas técnicas e administrativas para proteger os dados pessoais:

  • HTTPS/TLS em todo o tráfego
  • Banco de dados isolado por tenant (schema separado)
  • Senhas armazenadas com hash bcrypt (rounds 12)
  • Tokens JWT com expiração curta e refresh tokens revogáveis
  • Anexos em S3 com URL pré-assinada (bucket privado)
  • Auditoria de acesso e logs imutáveis
  • Backups diários com retenção de 30 dias
  • Monitoramento contínuo via Sentry
  • Acesso restrito por papéis (RBAC)

10. Cookies

Utilizamos cookies estritamente necessários para o funcionamento da plataforma (autenticação, preferências de UI). Não utilizamos cookies de marketing nem rastreamento comportamental.

11. Incidentes de segurança

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados em prazo razoável, conforme art. 48 da LGPD.

12. Alterações nesta Política

Esta Política pode ser atualizada periodicamente. Alterações relevantes serão comunicadas com antecedência de 30 dias por email. A versão vigente fica sempre disponível em aprovador.projetive.com.br/privacidade.

13. Contato