Política de Privacidade

1. Papéis das partes

O RDO é fornecido por USS-IAX LTDA (CNPJ 59.669.485/0001-53) na modalidade SaaS para empresas (tenants) que utilizam a plataforma para gerir o Relatório Diário de Obras.

• Cada tenant (empresa contratante) é controlador dos dados de obras, funcionários e relatórios que insere no sistema. A empresa define finalidades e meios do tratamento (Art. 5º, VI da LGPD).
• USS-IAX atua como operadora (Art. 5º, VII) desses dados — processa em nome do tenant conforme o Acordo de Tratamento de Dados (DPA) assinado entre as partes.
• Para os dados de cadastro dos usuários do aplicativo (nome, e-mail, telefone, senha), USS-IAX é controlador direto, com base legal em execução de contrato (Art. 7º, V da LGPD), com a finalidade de autenticar e prover o serviço contratado pelo Tenant.

2. Dados pessoais tratados

2.1. Cadastro de usuário

• Nome completo, e-mail, telefone (opcional).
• Identificador de chat do Telegram (opcional, apenas se o usuário pareou para notificações).
• Senha (armazenada apenas em forma de hash bcrypt, custo 12, não reversível).
• Segredo TOTP do 2º fator (criptografado em repouso com AES-256-GCM).
• Perfil (ADMIN, CLIENTE, CONTRATADA, VISUALIZADOR) e vínculos com obras.

2.2. Registros operacionais (Audit Logs)

• Data, hora, ação executada, identificação do usuário.
• Endereço IP e User-Agent (truncado em 256 caracteres).
• Tentativas de login (sucesso e falha) para detecção de fraude.

Base legal: legítimo interesse (Art. 7º, IX da LGPD) para segurança da informação e prevenção a fraudes, bem como cumprimento de obrigação regulatória.

2.3. Conteúdo das obras (dados do tenant)

• Dados de obras (endereço, contratante, contratada, responsáveis) e cronogramas.
• Relatórios Diários de Obra (RDOs): efetivo lançado, equipamentos, atividades, fotos.
• Fotos anexadas aos RDOs podem conter imagens de pessoas (trabalhadores em campo). Tratamento é responsabilidade do tenant controlador.

Base legal: execução de contrato (Art. 7º, V) entre o tenant controlador e seus trabalhadores/clientes.

3. Finalidades

• Autenticar e autorizar acesso ao sistema.
• Permitir registro, edição e aprovação de RDOs.
• Gerar relatórios e PDFs com assinatura eletrônica (Lei 14.063/2020).
• Enviar notificações operacionais por Telegram (quando ativado).
• Detectar e responder a incidentes de segurança.
• Cumprir obrigações legais e regulatórias.

4. Compartilhamento — sub-processadores

Para operar o serviço, USS-IAX utiliza os seguintes sub-processadores. Todos com cláusulas contratuais de proteção de dados:

Não há venda de dados pessoais a terceiros. Não há marketing ou publicidade direcionada com base nos dados do RDO.

4.1. Transferência internacional de dados

Parte dos sub-processadores acima opera fora do território nacional (Estados Unidos, principalmente). A transferência internacional ocorre com fundamento no Art. 33, II e IX da LGPD: a USS-IAX mantém cláusulas contratuais específicas com cada sub-processador (DPA) impondo padrões de segurança e tratamento equivalentes aos da LGPD, e o tratamento é necessário para a execução do contrato firmado com o Tenant.

5. Retenção e eliminação

A eliminação e a anonimização ao final dos prazos abaixo são executadas por rotina automática (cron diário), com fundamento no Art. 16 da LGPD (eliminação após o término do tratamento). O titular pode, a qualquer tempo, solicitar a antecipação da eliminação por meio do Encarregado, observados os prazos legais de guarda obrigatória.

• Dados de cadastro: mantidos enquanto a conta estiver ativa. Após pedido de exclusão, há cooldown de 7 dias (cancelável pelo titular); decorrido o prazo, a conta é marcada e os campos pessoais são anonimizados em até 30 dias.
• Audit logs: 5 anos, depois IP e User-Agent são anonimizados (preservada a ação para fins regulatórios).
• Tokens de recuperação de senha: excluídos 30 dias após expiração.
• RDOs aprovados: são documentos contratuais imutáveis. Mantidos pelos prazos prescricionais aplicáveis — 5 anos (tributário, Art. 174 CTN; trabalhista, Art. 7º, XXIX CF/88) e 10 anos (pretensão cível geral, Art. 205 CC), prevalecendo o maior prazo, mesmo após exclusão da conta do criador.
• Sessões: cookies de sessão expiram em 24h.

6. Seus direitos (Art. 18 LGPD)

Você pode, a qualquer tempo, solicitar:

• Confirmação da existência de tratamento.
• Acesso aos dados (disponível na tela "Minha conta").
• Correção de dados incompletos, inexatos ou desatualizados.
• Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos.
• Portabilidade dos dados (exportação em formato JSON/ZIP).
• Eliminação de dados tratados com base em consentimento.
• Informação sobre compartilhamento.
• Revogação de consentimento.

Para exercer qualquer um desses direitos, contate o Encarregado de Dados (DPO) indicado abaixo. Atendimento em até 15 dias.

7. Segurança

Medidas técnicas aplicadas:

• HTTPS obrigatório com HSTS preload.
• Senhas armazenadas com bcrypt (custo 12, ~250ms).
• Autenticação de 2 fatores (TOTP) obrigatória para administradores.
• Isolamento por schema Postgres por tenant (sem compartilhamento de tabelas).
• Content Security Policy com nonce dinâmico e strict-dynamic.
• Validação de uploads (magic bytes + análise antivírus opcional).
• Audit log centralizado de todas as ações relevantes.
• Backup gerenciado pelo Supabase (PITR no plano Pro).

8. Incidentes

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, USS-IAX comunicará a ANPD e os titulares afetados em prazo razoável (referência: 48 a 72 horas), nos termos do Art. 48 da LGPD.

9. Encarregado de Dados (DPO)

Ulysses Serrão
E-mail: ulysses.serrao@uss-iax.com

10. Alterações desta Política

Esta Política pode ser atualizada periodicamente. Mudanças materiais serão comunicadas no app, exigindo re-aceite antes do próximo login.

11. Reclamação à ANPD

Caso você considere que seus direitos não foram atendidos após contato com nosso Encarregado, é seu direito apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) em www.gov.br/anpd.