Política de Privacidade

1. Controlador e encarregado (DPO)

O controlador responsável pelo tratamento dos dados pessoais descritos nesta política é a GGSA Consultoria em TI Ltda., inscrita no CNPJ 49.390.014/0001-58, com sede em São Paulo/SP, operando sob a marca Cadenio. O encarregado pelo tratamento de dados (art. 41 da LGPD / GDPR Art. 37) pode ser contatado pelo formulário dedicado abaixo ou pelo e-mail privacy@cadenio.com.

2. Escopo e papéis (controlador vs. operador)

Esta política cobre dados pessoais coletados em três contextos: (a) site institucional cadenio.com (incluindo formulários, blog e cookies); (b) interações comerciais e de suporte; (c) plataforma Cadenio (aplicação SaaS multi-tenant). Não cobre práticas de privacidade de sites ou serviços de terceiros vinculados, ainda que acessíveis por links.

Papéis: o Cadenio atua como controlador (LGPD) / controller (GDPR) em relação a dados de visitantes do site, leads, contatos comerciais, dados de cobrança e dados de administradores de conta. Em relação ao conteúdo carregado pela organização contratante na plataforma (incluindo dados pessoais de seus colaboradores, clientes e parceiros), o Cadenio atua como operador (LGPD) / processor (GDPR), seguindo as instruções documentadas do cliente e seu DPA. Solicitações de direitos de titulares cujos dados foram inseridos por uma organização cliente devem ser direcionadas, em primeiro lugar, à própria organização contratante.

3. Dados que você nos fornece

• Identificação e contato: nome, e-mail corporativo, empresa, cargo, telefone (quando informado).
• Dados de conta: organização, perfil, foto opcional, preferências de idioma/mercado, configurações e sessões autenticadas.
• Conteúdo do cliente: workflows, execuções de processos, comentários, tarefas concluídas, anexos, formulários respondidos e demais dados inseridos por usuários autorizados na plataforma.
• Convites: ao convidar colegas para a plataforma, você nos fornece o e-mail dessas pessoas. Esses dados são usados exclusivamente para enviar o convite e registrar a aceitação.
• Dados de pagamento: processados pelo nosso provedor (Stripe). O Cadenio armazena somente metadados não sensíveis (últimos 4 dígitos, marca, expiração) — nunca número completo do cartão ou CVV.
• Comunicações de suporte: mensagens, e-mails e anexos enviados ao time de suporte são retidos para resolução do chamado e melhoria do serviço.

4. Dados coletados automaticamente

• Logs de servidor: endereço IP (anonimizado por hash imediatamente após autenticação para usuários logados), tipo de navegador, sistema operacional, páginas visitadas, referrer, ações executadas e marcas de tempo. Utilizados para segurança, prevenção de fraude e diagnóstico.
• Cookies estritamente necessários: locale e mercado para experiência localizada e tokens de sessão. Não requerem consentimento por serem essenciais ao serviço.
• Cookies de analytics e desempenho: ativados somente com consentimento explícito via banner. Por padrão usamos medição anônima/agregada para estatísticas essenciais. Preferências podem ser alteradas a qualquer momento pelo banner no rodapé.
• Web beacons / pixels em e-mails de marketing: utilizados, mediante consentimento, para medir abertura e cliques. Em e-mails transacionais e de suporte, não há rastreamento de comportamento individual.
• Dados de desempenho do produto: latência, erros e métricas técnicas, sem associação direta a indivíduos quando possível, para estabilidade e diagnóstico.
• Sinal Do Not Track / Global Privacy Control: respeitamos a sinalização do navegador para desativar cookies não essenciais, equiparando-a a uma negativa de consentimento.

5. Dados recebidos de terceiros

Podemos receber dados pessoais de fontes legitimadas, como: (i) administradores que criam conta de membro em nome de uma organização cliente; (ii) provedores de autenticação federada (login social/SSO) limitados aos dados estritamente necessários para autenticar; (iii) parceiros comerciais e fontes públicas (LinkedIn, registros empresariais) para fins de prospecção B2B legítima, sempre observados os requisitos de transparência e oposição.

6. Como utilizamos os dados

• Operação do serviço: prover acesso à plataforma, autenticar sessões, executar workflows, processar pagamentos e enviar comunicações transacionais.
• Suporte: responder chamados, investigar problemas e melhorar a experiência. O time de suporte só acessa conteúdo do cliente quando estritamente necessário e mediante registro de auditoria.
• Segurança: prevenção de fraude, detecção de abuso, monitoramento de incidentes e cumprimento de obrigações legais e regulatórias.
• Aprimoramento do produto: análises agregadas e desidentificadas para entender uso, identificar melhorias e priorizar roadmap.
• Marketing e relacionamento: envio de comunicações comerciais (newsletter, conteúdos, eventos) somente com base em consentimento ou interesse legítimo de relacionamento B2B com administradores ativos. Sempre há mecanismo de opt-out.
• Cumprimento legal: atender obrigações fiscais, regulatórias, ordens judiciais e requisições de autoridades competentes.

7. Bases legais para o tratamento

• Execução de contrato (LGPD art. 7º, V / GDPR art. 6º(1)(b)): provimento da plataforma, autenticação, cobrança.
• Legítimo interesse (LGPD art. 7º, IX / GDPR art. 6º(1)(f)): segurança da plataforma, prevenção de fraude, melhoria operacional, medição anônima essencial e relacionamento B2B com administradores.
• Consentimento (LGPD art. 7º, I / GDPR art. 6º(1)(a)): cookies de analytics, marketing direto e qualquer tratamento que dependa de aprovação expressa. Pode ser revogado a qualquer momento, sem afetar tratamento anterior.
• Cumprimento de obrigação legal ou regulatória (LGPD art. 7º, II / GDPR art. 6º(1)(c)): retenção fiscal, contábil, regulatória ou judicial.
• Exercício regular de direitos (LGPD art. 7º, VI / GDPR art. 6º(1)(f)): defesa em processo judicial, administrativo ou arbitral.

8. Compartilhamento e divulgação

Não vendemos dados pessoais a terceiros, não os compartilhamos para fins de publicidade comportamental cruzada (cross-context behavioral advertising) e não os utilizamos para treinar modelos de IA proprietários ou de terceiros sem consentimento expresso. Compartilhamos dados pessoais apenas nas seguintes hipóteses:

• Subprocessadores: provedores de hospedagem em nuvem, banco de dados, e-mail transacional, processamento de pagamentos (Stripe), monitoramento de erros, suporte e modelos de IA, todos sob contrato com obrigações equivalentes a esta política.
• Consultores profissionais: advogados, auditores e contadores sob dever de sigilo, na medida necessária para defesa de direitos ou cumprimento legal.
• Autoridades competentes: divulgação compelida por lei, ordem judicial ou requisição administrativa fundamentada, ou quando razoavelmente necessário para proteger direitos, segurança ou propriedade do Cadenio, dos clientes ou de terceiros. Sempre que legalmente possível, notificaremos o cliente afetado antes da divulgação.
• Operações societárias: em caso de fusão, aquisição, venda de ativos, reorganização societária ou processo de insolvência, dados pessoais podem ser transferidos como parte do negócio, mediante notificação prévia razoável e mantidas as proteções desta política pela parte sucessora.
• Com seu consentimento: para qualquer outra finalidade não prevista nesta política, mediante consentimento específico, granular e informado.
• Dados desidentificados/agregados: estatísticas e métricas que não permitem identificar indivíduos podem ser publicadas ou compartilhadas livremente.

A lista atualizada de subprocessadores está disponível mediante solicitação pelo formulário de contato, com mecanismo de notificação prévia para inclusão de novos subprocessadores quando exigido pelo DPA do cliente.

9. Transferências internacionais

Alguns subprocessadores operam fora do Brasil ou da União Europeia (em especial Estados Unidos e União Europeia). Quando há transferência internacional de dados pessoais, aplicamos salvaguardas compatíveis com LGPD (art. 33) e GDPR (capítulo V), incluindo Cláusulas Contratuais Padrão (SCCs) ou outros mecanismos reconhecidos pelas autoridades competentes (ANPD, Comissão Europeia, ICO). Cópias dessas salvaguardas estão disponíveis mediante solicitação.

10. Retenção e descarte

• Dados de conta e operacionais: mantidos durante a vigência do contrato e por até 90 dias após o encerramento para exportação pelo cliente, salvo solicitação de exclusão antecipada.
• Trilhas de auditoria e logs de segurança: retidos por até 12 meses para conformidade e investigação de incidentes.
• Dados de pagamento e fiscais: retenção por 5 anos, conforme legislação fiscal brasileira (Decreto-Lei 486/1969 e regramento do Fisco).
• Dados de formulários de contato/marketing: retidos por até 24 meses para acompanhamento comercial, salvo solicitação de exclusão anterior.
• Backups: retidos conforme rotação operacional (até 30 dias para incrementais, até 12 meses para snapshots de recuperação) e descartados ao fim do ciclo.

Após os períodos acima, aplicamos exclusão segura ou anonimização irreversível, ressalvada retenção mínima exigida por lei ou para defesa em processos judiciais, administrativos ou arbitrais.

11. Segurança e notificação de incidentes

Adotamos controles técnicos e organizacionais incluindo: isolamento por tenant com Row-Level Security, controles de acesso baseados em função (RBAC), criptografia em trânsito (TLS) e em repouso, trilhas de auditoria imutáveis, autenticação por sessão segura, gestão de vulnerabilidades, segregação de ambientes e revisões periódicas de acesso. Apesar disso, nenhum método de transmissão ou armazenamento eletrônico é 100% seguro.

Em caso de incidente de segurança com potencial impacto em dados pessoais, notificaremos as autoridades competentes (ANPD nos termos do art. 48 da LGPD e/ou autoridade supervisora do GDPR em até 72 horas, quando exigido) e os titulares afetados sem atraso injustificado, na forma prevista em lei.

12. Direitos dos titulares

Você tem os seguintes direitos em relação aos seus dados pessoais (art. 18 da LGPD, arts. 15-22 do GDPR e legislação local aplicável):

• Confirmação e acesso: confirmar a existência de tratamento e obter cópia dos seus dados em formato compreensível.
• Correção: solicitar atualização de dados incompletos, inexatos ou desatualizados.
• Anonimização, bloqueio ou eliminação: de dados desnecessários, excessivos ou tratados em desconformidade.
• Portabilidade: receber seus dados em formato estruturado e legível por máquina, ou solicitar transmissão a outro fornecedor (limitada por viabilidade técnica e segredo comercial de terceiros).
• Oposição e restrição: opor-se ou restringir tratamento baseado em legítimo interesse.
• Revogação de consentimento: a qualquer momento, sem prejudicar tratamento anterior.
• Informação sobre compartilhamento: identificação das entidades públicas e privadas com as quais houve uso compartilhado.
• Reclamação à autoridade supervisora: titulares no Brasil podem registrar reclamação na ANPD (anpd.gov.br); titulares na União Europeia ou EEE, junto à autoridade nacional de proteção de dados; no Reino Unido, junto ao ICO.

Verificação de identidade: para proteger sua privacidade, podemos solicitar informações adicionais para confirmar a identidade do solicitante antes de atender. Agente autorizado: você pode designar um representante para exercer direitos em seu nome, mediante autorização escrita verificável.

Prazo de resposta: até 15 dias corridos (LGPD) ou 30 dias (GDPR) a partir do recebimento da solicitação verificada, prorrogáveis em casos justificados, com aviso ao titular. Os direitos podem ser limitados por exceções legais (por exemplo, retenção fiscal obrigatória ou defesa de direitos).

Quando atuamos como operador (dados inseridos por uma organização cliente), encaminhe a solicitação primeiro à organização contratante; auxiliaremos o cliente conforme o DPA aplicável.

13. Decisões automatizadas e perfis

A plataforma aplica decisões automatizadas em contextos limitados, sem perfilamento comportamental ou pontuação de crédito:

• Bloqueio temporário de login por excesso de tentativas inválidas (padrão: 5 tentativas, bloqueio de 15 minutos, configurável pelo administrador da conta).
• Bloqueio de acesso por status de cobrança (planos cancelados ou pausados, com período de carência).
• Limitação de taxa (rate limiting) em endpoints de autenticação e API para proteção contra ataques automatizados.
• Moderação automática de entradas em funcionalidades de IA, conforme descrito nos Termos de Uso.

Direito à revisão (LGPD art. 20): titulares afetados por decisões automatizadas que produzam efeitos em sua esfera podem solicitar revisão por pessoa natural, descrição dos critérios e procedimentos utilizados, observados os limites de segredo comercial e segurança da informação.

14. Comunicações de marketing e opt-out

Enviamos comunicações de marketing (newsletter, conteúdos, eventos, novidades de produto) somente com base em consentimento ou em legítimo interesse de relacionamento B2B com administradores de contas ativas. Toda mensagem inclui link de descadastro (opt-out). Você também pode revogar o consentimento ou se descadastrar a qualquer momento pelo formulário de privacidade ou enviando e-mail para privacy@cadenio.com.

Comunicações transacionais (confirmação de pagamento, alertas de segurança, mudanças contratuais) são essenciais ao serviço e não dependem de consentimento de marketing.

15. Dados pessoais sensíveis

O Cadenio não solicita nem se destina a processar dados pessoais sensíveis na acepção do art. 5º, II, da LGPD (origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, dados de saúde, vida ou orientação sexual, dados genéticos ou biométricos), nem categorias especiais sob GDPR. O cliente é o único responsável pelo conteúdo que insere na plataforma; o uso da plataforma para tratar tais dados depende de adendo escrito específico (DPA com escopo de dados sensíveis), sem o qual a inserção é vedada conforme os Termos de Uso.

16. Crianças e adolescentes

O serviço é destinado exclusivamente a uso empresarial por pessoas maiores de 18 anos. Não coletamos intencionalmente dados pessoais de crianças (até 12 anos incompletos) ou adolescentes (12 a 18 anos), conforme art. 14 da LGPD e ECA. Se identificarmos coleta indevida, excluiremos os dados prontamente. Pais ou responsáveis que identificarem tratamento indevido podem entrar em contato pelo formulário abaixo.

17. Aviso a usuários finais (administração pela organização)

Quando uma organização (por exemplo, seu empregador) contrata o serviço e cria conta para você como usuário membro, essa organização é a administradora e controladora primária dos dados em sua conta. O Cadenio atua como operador. Os administradores podem, a seu critério e dentro dos limites do plano contratado: (i) exigir redefinição de senha; (ii) restringir, suspender ou encerrar seu acesso; (iii) acessar dados da sua conta; (iv) modificar permissões e atribuições; (v) acessar registros de atividade. O uso da plataforma estará sujeito também às políticas internas da sua organização. Solicitações de privacidade devem ser direcionadas, em primeiro lugar, ao administrador da organização.

18. DPA para clientes B2B

Clientes que atuam como controladores independentes e necessitam de Adendo de Processamento de Dados (DPA) para conformidade com LGPD ou GDPR podem solicitá-lo pelo formulário de contato. O DPA cobre obrigações de subprocessamento, medidas técnicas e organizacionais, condições de transferência internacional, retenção e suporte a direitos de titulares.

19. Sites e serviços de terceiros

O site e a plataforma podem conter links para sites ou serviços operados por terceiros (por exemplo, integrações com Google, Slack, Stripe, redes sociais). O Cadenio não controla tais sites e não se responsabiliza por suas práticas de privacidade. Ao acessá-los, sua interação fica sujeita à política do respectivo terceiro. Recomendamos a leitura desses termos antes do uso.

20. Disposições jurisdicionais específicas

• Brasil (LGPD): exerça os direitos do art. 18 da LGPD pelo formulário de privacidade ou privacy@cadenio.com. Reclamações podem ser endereçadas à ANPD (anpd.gov.br).
• União Europeia / EEE (GDPR): exerça os direitos dos arts. 15-22 do GDPR pelos canais acima. Reclamações podem ser dirigidas à autoridade supervisora do seu país de residência.
• Reino Unido (UK GDPR): direitos equivalentes podem ser exercidos pelos mesmos canais; reclamações ao ICO (ico.org.uk).
• Califórnia, EUA (CCPA/CPRA): residentes da Califórnia podem solicitar acesso, exclusão, correção e opt-out de venda/compartilhamento. Reafirmamos: o Cadenio não vende dados pessoais nem os compartilha para publicidade comportamental cruzada (sentido CCPA).
• Suíça (FADP): residentes podem exercer direitos equivalentes pelo formulário de privacidade.

Se uma jurisdição aplicável conferir direitos adicionais não previstos acima, esses direitos serão respeitados na medida exigida pela lei local imperativa.

21. Atualizações desta política

Podemos atualizar esta política para refletir mudanças legais, técnicas ou operacionais. Para alterações materiais, notificaremos os usuários ativos com antecedência mínima de 14 dias por e-mail, banner no produto ou aviso no site. A data de última atualização indica a versão vigente. Mediante solicitação, disponibilizamos versões anteriores da política para fins de auditoria e histórico.

Se você não concordar com as alterações materiais, deve interromper o uso do serviço e solicitar o encerramento da conta antes da data de vigência da nova política.

22. Contato e solicitações de privacidade

Para exercer direitos de titular, solicitar exclusão, correção, portabilidade, revisão de decisão automatizada ou qualquer outra solicitação de privacidade, utilize o formulário dedicado abaixo ou envie e-mail para privacy@cadenio.com.

Endereço postal: GGSA Consultoria em TI Ltda. — São Paulo/SP, Brasil. (Endereço completo disponível mediante solicitação para fins legais.)

Abrir solicitação de privacidade