Conformidade com a LGPD

1. Nosso Compromisso com a LGPD

O iGestPro, operado pela I GEST PRO LTDA (CNPJ 60.581.532/0001-91), sediada em Goiânia/GO, tem o compromisso de proteger os dados pessoais de todos os envolvidos em sua operação, em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei n. 13.709/2018 — LGPD). Este compromisso se reflete em todas as nossas práticas, desde o desenvolvimento da plataforma até o atendimento ao cliente.

iGestPro como Controlador

Quando você se cadastra como usuário da plataforma iGestPro, atuamos como Controlador dos seus dados pessoais, conforme definido no Art. 5, VI da LGPD. Isso significa que somos responsáveis pelas decisões referentes ao tratamento dos seus dados cadastrais, financeiros e de uso da plataforma. Nessa condição, determinamos as finalidades e os meios de tratamento dos dados que você nos fornece diretamente, como nome, e-mail, CPF/CNPJ, dados de pagamento e informações de acesso.

iGestPro como Operador

Quando os lojistas (nossos clientes) inserem dados dos seus próprios clientes na plataforma — como cadastro de clientes da loja, ordens de serviço e informações fiscais — o iGestPro atua como Operador desses dados (Art. 5, VII da LGPD). Nessa função, tratamos os dados exclusivamente de acordo com as instruções do controlador (o lojista) e conforme as obrigações contratuais e legais aplicáveis. O lojista permanece como controlador dos dados dos seus clientes e é responsável por garantir a conformidade com a LGPD em relação a esses dados.

Para mais detalhes sobre como coletamos e utilizamos dados pessoais, consulte nossa Política de Privacidade. Os termos que regem o uso da plataforma estão disponíveis nos nossos Termos de Uso.

2. Princípios que Seguimos

O iGestPro opera em conformidade com os dez princípios estabelecidos pelo Art. 6 da LGPD, que norteiam toda atividade de tratamento de dados pessoais na plataforma:

1. Finalidade: Coletamos e tratamos dados pessoais para propósitos legítimos, específicos e explícitos, informados ao titular. Por exemplo, seus dados cadastrais são utilizados exclusivamente para a prestação do serviço contratado, e dados fiscais são processados para a emissão de documentos fiscais eletrônicos (NFe/NFCe), conforme exigido pela legislação tributária.
2. Adequação: O tratamento de dados é compatível com as finalidades informadas. Se você se cadastra para utilizar nosso módulo de assistência técnica, seus dados serão utilizados para gerenciar ordens de serviço, e não para finalidades incompatíveis com o serviço contratado.
3. Necessidade: Limitamos a coleta ao mínimo necessário para a realização das finalidades pretendidas. Solicitamos apenas os dados indispensáveis para a operação de cada módulo — por exemplo, para emissão de notas fiscais, coletamos apenas os dados fiscais exigidos pela SEFAZ.
4. Livre acesso: Garantimos aos titulares a consulta facilitada e gratuita sobre a forma e a duração do tratamento, bem como sobre a integralidade dos seus dados pessoais. Você pode solicitar essas informações a qualquer momento através dos canais indicados nesta página.
5. Qualidade dos dados: Mantemos os dados atualizados e exatos, conforme a necessidade do tratamento. A plataforma permite que os usuários editem e atualizem seus dados cadastrais a qualquer momento, garantindo a precisão das informações.
6. Transparência: Fornecemos informações claras, precisas e acessíveis sobre o tratamento de dados e os agentes envolvidos. Esta página, em conjunto com nossa Política de Privacidade e Termos de Uso, compõem nosso compromisso de transparência.
7. Segurança: Adotamos medidas técnicas e administrativas aptas a proteger os dados pessoais contra acessos não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão. Detalhamos nossas medidas de segurança na seção 7 desta página.
8. Prevenção: Adotamos medidas preventivas contra a ocorrência de danos em virtude do tratamento de dados pessoais. Realizamos avaliações periódicas de risco, testes de segurança e revisões de processos para antecipar e mitigar potenciais vulnerabilidades.
9. Não discriminação: O tratamento de dados nunca é utilizado para fins discriminatórios, ilícitos ou abusivos. Todos os nossos usuários e seus clientes recebem tratamento igualitário, independentemente de qualquer característica pessoal.
10. Responsabilização e prestação de contas: Demonstramos a adoção de medidas eficazes e capazes de comprovar a observância e o cumprimento das normas de proteção de dados pessoais. Mantemos registros das operações de tratamento, documentação de processos e evidências de conformidade.

3. Bases Legais para Tratamento

Todo tratamento de dados pessoais realizado pelo iGestPro está fundamentado em uma base legal prevista no Art. 7 da LGPD. A tabela a seguir apresenta as principais categorias de dados, suas finalidades e as respectivas bases legais:

Quando o tratamento é baseado em legítimo interesse (Art. 10 da LGPD), realizamos uma avaliação de proporcionalidade para garantir que os interesses legítimos do iGestPro não prevaleçam sobre os direitos e liberdades fundamentais do titular. Os dados de uso coletados para fins de melhoria são anonimizados ou pseudonimizados sempre que possível.

4. Seus Direitos como Titular

A LGPD garante aos titulares de dados pessoais uma série de direitos, previstos no Art. 18. No iGestPro, respeitamos e facilitamos o exercício de cada um deles:

• Confirmação da existência de tratamento (Art. 18, I): Você pode solicitar a confirmação de que o iGestPro realiza o tratamento dos seus dados pessoais. Responderemos informando se processamos ou não dados a seu respeito.
• Acesso aos dados (Art. 18, II): Você tem direito a acessar todos os dados pessoais que mantemos sobre você. A plataforma permite a visualização direta dos seus dados cadastrais e, para dados adicionais, você pode solicitar um relatório completo através dos nossos canais de atendimento.
• Correção de dados incompletos, inexatos ou desatualizados (Art. 18, III): Você pode corrigir seus dados diretamente na plataforma, acessando as configurações do seu perfil. Caso não consiga realizar a correção pela plataforma, entre em contato conosco.
• Anonimização, bloqueio ou eliminação de dados desnecessários (Art. 18, IV): Caso identifique que tratamos dados que não são necessários para a finalidade pretendida ou que estão em desconformidade com a LGPD, você pode solicitar a anonimização, o bloqueio ou a eliminação desses dados.
• Portabilidade dos dados (Art. 18, V): Você pode solicitar a portabilidade dos seus dados pessoais a outro fornecedor de serviço ou produto. O iGestPro fornecerá os dados em formato estruturado e de uso corrente (como CSV ou JSON), conforme regulamentação da ANPD.
• Eliminação dos dados tratados com consentimento (Art. 18, VI): Dados pessoais tratados com base no seu consentimento podem ser eliminados a qualquer momento, mediante sua solicitação. Ressaltamos que a eliminação não se aplica a dados cuja manutenção seja obrigatória por lei (como dados fiscais e logs de acesso).
• Informação sobre compartilhamento (Art. 18, VII): Você tem direito a saber com quais entidades públicas ou privadas compartilhamos seus dados pessoais. As principais partes com quem compartilhamos dados estão listadas na seção 10 desta página.
• Informação sobre a possibilidade de não consentir (Art. 18, VIII): Informamos sobre as consequências de não fornecer consentimento quando solicitado. Por exemplo, caso opte por não consentir com o recebimento de comunicações de marketing, você continuará utilizando a plataforma normalmente, sem qualquer prejuízo.
• Revogação do consentimento (Art. 18, IX): Você pode revogar o consentimento a qualquer momento, de forma gratuita e facilitada. A revogação não afeta a licitude do tratamento realizado anteriormente com base no consentimento.
• Oposição ao tratamento (Art. 21): Você pode se opor ao tratamento de dados pessoais quando este estiver em desconformidade com a LGPD. Analisaremos sua solicitação e, caso o tratamento esteja em desacordo com a lei, cessaremos o tratamento imediatamente.
• Revisão de decisões automatizadas (Art. 20): Caso alguma decisão seja tomada exclusivamente com base em tratamento automatizado de dados pessoais, você pode solicitar a revisão dessa decisão. O iGestPro não utiliza processos automatizados de tomada de decisão que afetem significativamente os interesses dos titulares, mas garantimos esse direito caso seja aplicável no futuro.

5. Como Exercer Seus Direitos

Para exercer qualquer dos direitos previstos na LGPD, siga os passos abaixo:

1. Envie um e-mail para: [email protected]
2. Inclua as seguintes informações na sua solicitação:
   • Nome completo
   • E-mail cadastrado na plataforma
   • CPF (para verificação de identidade)
   • Descrição detalhada da solicitação e do direito que deseja exercer
3. Prazo de resposta: Responderemos à sua solicitação em até 15 (quinze) dias úteis, contados a partir do recebimento da solicitação completa, conforme previsto no Art. 18, §5 da LGPD.
4. Solicitações complexas: Em casos que envolvam grande volume de dados ou complexidade técnica, o prazo poderá ser estendido para até 30 (trinta) dias, com a devida justificativa enviada ao titular.

A verificação de identidade é uma medida de segurança necessária para proteger seus dados contra acessos indevidos. Todos os pedidos serão registrados e documentados conforme nossas obrigações de prestação de contas (Art. 6, X da LGPD).

6. Encarregado de Proteção de Dados (DPO)

Em conformidade com o Art. 41 da LGPD, o iGestPro designou um Encarregado pelo Tratamento de Dados Pessoais (DPO — Data Protection Officer), responsável por:

• Aceitar reclamações e comunicações dos titulares de dados, prestar esclarecimentos e adotar providências;
• Receber comunicações da Autoridade Nacional de Proteção de Dados (ANPD) e adotar as medidas cabíveis;
• Orientar os funcionários e contratados da empresa a respeito das práticas de proteção de dados pessoais;
• Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

Canal de contato do Encarregado:

• E-mail: [email protected]
• Assunto sugerido: “Solicitação LGPD — [Descreva brevemente]”

O Encarregado atua de forma independente e reporta diretamente à direção da empresa, garantindo que todas as questões relacionadas à proteção de dados sejam tratadas com a devida prioridade e seriedade.

7. Medidas de Segurança

O iGestPro adota medidas técnicas e administrativas de segurança aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, em conformidade com o Art. 46 da LGPD.

Medidas Técnicas

• Autenticação OAuth2 (Passport): Sistema robusto de autenticação baseado em tokens de acesso, garantindo que apenas usuários autorizados acessem a plataforma. Tokens são revogáveis e possuem tempo de expiração configurável.
• Isolamento multi-tenant (company_id): Cada empresa possui seus dados completamente isolados das demais. Todas as consultas ao banco de dados são filtradas pelo identificador da empresa, impedindo acesso cruzado entre organizações. O middleware de validação de empresa é executado em toda requisição autenticada.
• Criptografia em trânsito (HTTPS/TLS): Todas as comunicações entre o navegador do usuário e nossos servidores são criptografadas utilizando protocolo HTTPS com certificados TLS válidos, protegendo os dados contra interceptação.
• Hash de senhas (bcrypt): As senhas dos usuários são armazenadas utilizando o algoritmo bcrypt com salt, tornando computacionalmente inviável a recuperação da senha original mesmo em caso de acesso indevido ao banco de dados.
• Banco de dados PostgreSQL com criptografia: Utilizamos PostgreSQL com criptografia de dados em repouso, garantindo que os dados armazenados permaneçam protegidos contra acesso físico não autorizado aos servidores.
• Redis com controle de acesso: O sistema de cache Redis é configurado com autenticação e controle de acesso restrito, utilizado para armazenamento temporário de dados de sessão e validação de acesso à empresa com TTL de 5 minutos.
• Backups regulares: Realizamos backups automáticos e periódicos de todos os dados, com armazenamento redundante e criptografado, possibilitando a recuperação em caso de incidentes.
• Monitoramento via Sentry: Utilizamos o Sentry para monitoramento contínuo de erros e performance da aplicação, permitindo a detecção precoce de anomalias e possíveis tentativas de acesso indevido. Dados enviados ao Sentry são anonimizados e não incluem informações pessoais identificáveis.

Medidas Administrativas

• Políticas de controle de acesso: Implementamos o princípio do menor privilégio, onde cada usuário possui acesso apenas aos dados e funcionalidades necessários para exercer sua função. O sistema de permissões granular permite configurar acessos específicos por papel (usuário, vendedor, técnico).
• Treinamento da equipe: Todos os colaboradores do iGestPro recebem treinamento periódico sobre proteção de dados pessoais, boas práticas de segurança da informação e procedimentos internos de conformidade com a LGPD.
• Procedimentos de resposta a incidentes: Mantemos procedimentos documentados e testados para resposta a incidentes de segurança, incluindo identificação, contenção, erradicação, recuperação e análise pós-incidente.
• Revisões periódicas de segurança: Realizamos avaliações regulares de segurança, incluindo revisão de código, análise de vulnerabilidades e testes de penetração, para identificar e corrigir potenciais fragilidades antes que sejam exploradas.

8. Resposta a Incidentes

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares de dados, o iGestPro seguirá o procedimento estabelecido no Art. 48 da LGPD:

1. Identificação e contenção: Ao tomar conhecimento de um incidente de segurança, nossa equipe técnica atuará imediatamente para identificar a origem, extensão e natureza do incidente, adotando medidas de contenção para limitar seus efeitos.
2. Avaliação de risco: Realizaremos uma avaliação detalhada do incidente para determinar os dados pessoais afetados, o número de titulares envolvidos, as consequências prováveis e a gravidade do risco.
3. Comunicação à ANPD: Caso o incidente possa acarretar risco ou dano relevante aos titulares, comunicaremos à Autoridade Nacional de Proteção de Dados (ANPD) em prazo razoável, conforme definido pela autoridade (Art. 48, §1), incluindo:
   • Descrição da natureza dos dados pessoais afetados;
   • Informações sobre os titulares envolvidos;
   • Indicação das medidas técnicas e de segurança utilizadas;
   • Riscos relacionados ao incidente;
   • Medidas que foram ou serão adotadas para reverter ou mitigar os efeitos do incidente.
4. Comunicação aos titulares: Quando o incidente representar risco relevante aos direitos e liberdades dos titulares, comunicaremos os afetados de forma clara e objetiva, informando a natureza do incidente, os dados envolvidos e as medidas adotadas para proteção dos seus direitos.
5. Medidas corretivas e pós-incidente: Após a contenção do incidente, realizaremos uma análise aprofundada (post-mortem) para identificar as causas raiz, implementar melhorias nos processos e na infraestrutura, e prevenir a recorrência de incidentes semelhantes.

9. Política de Cookies

O iGestPro utiliza cookies e tecnologias semelhantes de forma transparente e com base legal adequada, considerando o contexto de uso da aplicação e do site institucional:

• localStorage para autenticação: Utilizamos o localStorage do navegador (e não cookies tradicionais) para armazenar dados essenciais de autenticação, como as informações do usuário autenticado (currentUser) e a empresa ativa (currentCompany). Esses dados são necessários para o funcionamento da plataforma e são removidos ao realizar logout.
• Cookies essenciais: Utilizamos cookies estritamente necessários para gerenciamento de sessão, segurança e funcionamento da plataforma.
• Medição e performance: Podemos utilizar tecnologias para mensuração de desempenho, estabilidade e eventos de navegação no site institucional e na plataforma.
• Google Ads e Facebook Ads (Meta Ads): No site institucional, podemos utilizar tags e pixels de conversão para mensuração de campanhas e otimização de mídia, em conformidade com as políticas dessas plataformas e com mecanismos de consentimento quando aplicável.

Para informações detalhadas sobre o tratamento de dados, consulte nossa Política de Privacidade.

10. Suboperadores e Terceiros

Para a prestação completa dos nossos serviços, o iGestPro compartilha dados pessoais com terceiros que atuam como suboperadores, sempre em conformidade com o Art. 39 da LGPD e mediante contratos que garantem a proteção adequada dos dados. Eventuais transferências internacionais de dados seguem as disposições dos Arts. 33 a 36 da LGPD.

Todos os suboperadores listados foram avaliados quanto às suas práticas de segurança e proteção de dados. Mantemos contratos de processamento de dados com cada um deles, estabelecendo obrigações de confidencialidade, segurança e conformidade com a LGPD.

11. Responsabilidades do Usuário como Controlador

Conforme explicado na seção 1, quando os lojistas (nossos clientes) cadastram dados dos seus próprios clientes na plataforma, eles atuam como Controladores desses dados, nos termos dos Arts. 1 a 4 e Art. 5, VI da LGPD. Nessa relação, o iGestPro atua como Operador, tratando os dados conforme as instruções do controlador.

Como Controlador dos dados dos seus clientes, o lojista tem as seguintes responsabilidades:

• Informar seus clientes sobre a coleta de dados: O lojista deve informar seus clientes sobre quais dados pessoais são coletados, para quais finalidades e como serão tratados, conforme os Arts. 17 a 22 da LGPD.
• Obter consentimento quando necessário: Quando a base legal para o tratamento for o consentimento (Art. 7, I), o lojista é responsável por obtê-lo de forma livre, informada e inequívoca junto aos seus clientes.
• Atender solicitações dos titulares: O lojista deve responder às solicitações dos seus clientes quanto ao exercício dos direitos previstos no Art. 18 da LGPD (acesso, correção, eliminação, portabilidade, etc.).
• Garantir a proteção de dados de menores: Caso o lojista trate dados de crianças ou adolescentes, deve observar as disposições do Art. 14 da LGPD, incluindo a obtenção de consentimento específico de um dos pais ou responsável legal.

Ferramentas disponibilizadas pelo iGestPro

Para auxiliar os lojistas no cumprimento das suas obrigações como Controladores, o iGestPro disponibiliza as seguintes ferramentas:

• Exportação de dados: Funcionalidade de exportação de dados cadastrais dos clientes em formato estruturado (CSV), permitindo atender solicitações de portabilidade e acesso.
• Exclusão de dados: Ferramenta para exclusão de dados de clientes da loja, respeitando os prazos de retenção obrigatórios por lei (como dados fiscais que devem ser mantidos por 5 anos).
• Controle de acesso granular: Sistema de permissões que permite ao lojista definir quais colaboradores (vendedores, técnicos) têm acesso a quais dados dos clientes.
• Logs de auditoria: Registro de acessos e modificações realizadas nos dados, permitindo rastreabilidade e prestação de contas.

Para mais informações sobre as responsabilidades contratuais entre o iGestPro e seus usuários, consulte os Termos de Uso.

12. Atualizações desta Página

Esta página de conformidade com a LGPD pode ser atualizada periodicamente para refletir mudanças nas nossas práticas de tratamento de dados, melhorias nos nossos processos de segurança ou alterações na legislação aplicável.

Quando realizarmos alterações significativas, notificaremos os usuários da plataforma através de:

• Aviso na plataforma durante o acesso;
• Comunicação por e-mail para os administradores das contas;
• Atualização da data de “última atualização” ao final desta página.

Recomendamos a revisão periódica desta página para manter-se informado sobre nossas práticas de proteção de dados. A continuidade no uso da plataforma após a publicação de alterações constitui ciência das mudanças realizadas.

Referências Legais

Esta página foi elaborada em conformidade com as seguintes legislações:

• Lei Geral de Proteção de Dados Pessoais — LGPD (Lei n. 13.709/2018): Arts. 1-4 (disposições preliminares), Arts. 5-7 (definições e bases legais), Art. 10 (legítimo interesse), Art. 14 (dados de crianças e adolescentes), Arts. 17-22 (direitos do titular), Arts. 33-36 (transferência internacional), Art. 39 (operador), Art. 41 (encarregado), Arts. 46-48 (segurança e boas práticas), Art. 55-J (competência da ANPD);
• Marco Civil da Internet (Lei n. 12.965/2014): obrigações de guarda de registros de acesso;
• Regulamentos e orientações da Autoridade Nacional de Proteção de Dados (ANPD).