| # 🔐 Política de Privacidade - Cidadão.AI Backend | |
| ## 📋 Visão Geral | |
| Esta política de privacidade descreve como o Cidadão.AI Backend coleta, usa, armazena e protege dados pessoais em conformidade com a Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018) e melhores práticas internacionais de privacidade. | |
| ## 🎯 Responsável pelo Tratamento dos Dados | |
| **Controlador dos Dados:** | |
| - **Nome**: Anderson Henrique da Silva | |
| - **E-mail**: [email protected] (ou [email protected]) | |
| - **Função**: Controlador e Desenvolvedor do Sistema | |
| - **Instituição**: Instituto Federal do Sul de Minas Gerais | |
| ## 📊 Dados Coletados | |
| ### Dados Pessoais dos Usuários | |
| - **Dados de Identificação**: Nome, e-mail, função | |
| - **Dados de Autenticação**: Hash de senhas (bcrypt), tokens JWT | |
| - **Dados de Acesso**: Logs de login, endereço IP, timestamp | |
| - **Dados de Uso**: Interações com o sistema, investigações realizadas | |
| ### Dados Públicos Analisados | |
| - **Contratos Governamentais**: Dados públicos do Portal da Transparência | |
| - **Gastos Públicos**: Informações de despesas governamentais | |
| - **Fornecedores**: Dados públicos de empresas contratadas pelo governo | |
| - **Servidores Públicos**: Informações públicas conforme LAI | |
| ## 🎯 Finalidades do Tratamento | |
| ### Finalidades Primárias | |
| 1. **Autenticação e Autorização**: Controle de acesso ao sistema | |
| 2. **Análise de Transparência**: Detecção de anomalias em dados públicos | |
| 3. **Auditoria e Compliance**: Rastreamento de ações para segurança | |
| 4. **Melhorias do Sistema**: Análise de uso para otimizações | |
| ### Finalidades Secundárias | |
| 1. **Pesquisa Acadêmica**: Estudos sobre transparência pública (dados anonimizados) | |
| 2. **Relatórios Estatísticos**: Métricas agregadas sem identificação pessoal | |
| 3. **Segurança**: Detecção e prevenção de fraudes e abusos | |
| ## 🛡️ Base Legal (LGPD) | |
| ### Artigo 7º - Bases Legais Aplicadas | |
| - **Inciso I**: Consentimento do titular para dados de cadastro | |
| - **Inciso VI**: Interesse legítimo para análise de dados públicos | |
| - **Inciso VIII**: Tutela da saúde em procedimentos realizados por profissionais de saúde | |
| - **Inciso IX**: Interesse público para transparência governamental | |
| ### Artigo 11º - Tratamento de Dados Sensíveis | |
| - **Não coletamos dados sensíveis** definidos no Art. 5º, II da LGPD | |
| - Dados raciais, étnicos, religiosos, políticos não são processados | |
| - Dados de saúde, genéticos e biométricos não são coletados | |
| ## 🔒 Medidas de Segurança | |
| ### Segurança Técnica | |
| - **Criptografia**: AES-256 para dados em repouso, TLS 1.3 em trânsito | |
| - **Hashing**: bcrypt para senhas, SHA-256 para integridade | |
| - **Tokenização**: JWT com expiração de 30 minutos | |
| - **Logs de Auditoria**: Trilha completa de acesso com integridade | |
| ### Segurança Administrativa | |
| - **Acesso Restrito**: Princípio do menor privilégio | |
| - **Treinamento**: Capacitação em proteção de dados | |
| - **Políticas**: Procedimentos documentados de segurança | |
| - **Revisões**: Auditorias trimestrais de segurança | |
| ### Segurança Física | |
| - **Infraestrutura**: Serviços em nuvem com certificação ISO 27001 | |
| - **Backup**: Cópias seguras com criptografia | |
| - **Disaster Recovery**: Planos de continuidade de negócio | |
| ## ⏰ Retenção de Dados | |
| ### Períodos de Retenção | |
| | Tipo de Dado | Período de Retenção | Justificativa | | |
| |--------------|-------------------|---------------| | |
| | Dados de Cadastro | 5 anos após inatividade | Compliance e auditoria | | |
| | Logs de Acesso | 1 ano | Segurança e investigação | | |
| | Dados de Investigação | 7 anos | Interesse público histórico | | |
| | Backups de Segurança | 3 anos | Recuperação de desastres | | |
| ### Eliminação Segura | |
| - **Sobrescrita Segura**: Padrão DoD 5220.22-M para HDDs | |
| - **Destruição Criptográfica**: Eliminação de chaves de criptografia | |
| - **Certificação**: Comprovante de eliminação quando aplicável | |
| ## 👤 Direitos dos Titulares (LGPD Art. 18) | |
| ### Direitos Garantidos | |
| 1. **Confirmação e Acesso**: Informações sobre tratamento de dados | |
| 2. **Correção**: Atualização de dados incompletos ou incorretos | |
| 3. **Anonimização/Eliminação**: Remoção de dados desnecessários | |
| 4. **Portabilidade**: Transferência de dados para outro fornecedor | |
| 5. **Informação sobre Compartilhamento**: Com quem os dados são compartilhados | |
| 6. **Revogação do Consentimento**: Retirada de autorização | |
| 7. **Oposição**: Contestação ao tratamento em casos específicos | |
| ### Como Exercer os Direitos | |
| - **E-mail**: [email protected] | |
| - **Prazo de Resposta**: Até 15 dias úteis | |
| - **Formulário Online**: [Em desenvolvimento] | |
| - **Identificação**: Verificação de identidade necessária | |
| ## 🌍 Transferência Internacional | |
| ### Não Realizamos Transferências Internacionais | |
| - Todos os dados são armazenados em território brasileiro | |
| - Servidores localizados em data centers nacionais | |
| - Fornecedores de nuvem com presença local | |
| ### Exceções (se aplicáveis) | |
| - Serviços de monitoramento com anonimização prévia | |
| - Backups georeplicados dentro do território nacional | |
| ## 🤝 Compartilhamento de Dados | |
| ### Não Compartilhamos Dados Pessoais | |
| - Dados pessoais nunca são vendidos ou comercializados | |
| - Compartilhamento apenas para cumprimento legal | |
| - Pesquisa acadêmica apenas com dados anonimizados | |
| ### Dados Públicos Processados | |
| - Dados já públicos do Portal da Transparência | |
| - Informações de domínio público conforme LAI | |
| - Análises e relatórios com dados agregados/anonimizados | |
| ## 📞 Canal de Comunicação | |
| ### Encarregado de Dados (DPO) | |
| - **Nome**: Anderson Henrique da Silva | |
| - **E-mail**: [email protected] | |
| - **Telefone**: [A ser disponibilizado] | |
| - **Horário**: Segunda a sexta, 8h às 17h | |
| ### Autoridade Nacional de Proteção de Dados (ANPD) | |
| - **Website**: https://www.gov.br/anpd/pt-br | |
| - **E-mail**: [email protected] | |
| ## 🔄 Atualizações desta Política | |
| ### Controle de Versões | |
| - **Versão Atual**: 1.0 | |
| - **Data**: Janeiro de 2025 | |
| - **Última Atualização**: 24/01/2025 | |
| ### Comunicação de Mudanças | |
| - Mudanças substanciais comunicadas por e-mail | |
| - Histórico de versões disponível no GitHub | |
| - Período de adaptação de 30 dias para mudanças materiais | |
| ## 📚 Conformidade Legal | |
| ### Legislação Aplicável | |
| - **LGPD** (Lei nº 13.709/2018): Lei Geral de Proteção de Dados | |
| - **LAI** (Lei nº 12.527/2011): Lei de Acesso à Informação | |
| - **Marco Civil da Internet** (Lei nº 12.965/2014) | |
| - **Código de Defesa do Consumidor** (Lei nº 8.078/1990) | |
| ### Certificações e Auditorias | |
| - Auditoria anual de conformidade LGPD | |
| - Revisão trimestral de medidas de segurança | |
| - Certificações de segurança da informação (em andamento) | |
| ## 🚨 Incidentes de Segurança | |
| ### Procedimento de Notificação | |
| 1. **Detecção**: Sistemas automatizados + monitoramento manual | |
| 2. **Avaliação**: Impacto e gravidade do incidente | |
| 3. **Contenção**: Medidas imediatas para minimizar danos | |
| 4. **Notificação**: ANPD (72h) e titulares (prazo razoável) | |
| 5. **Investigação**: Causa raiz e medidas corretivas | |
| 6. **Relatório**: Documentação completa do incidente | |
| ### Histórico de Incidentes | |
| - **2025**: Nenhum incidente reportado até a data | |
| - Relatórios anuais de segurança disponíveis sob demanda | |
| ## 🎯 Uso de Cookies e Tecnologias Similares | |
| ### Cookies Utilizados | |
| - **Essenciais**: Autenticação e funcionamento do sistema | |
| - **Funcionais**: Preferências de idioma e tema | |
| - **Não utilizamos**: Cookies de publicidade ou rastreamento | |
| ### Gestão de Cookies | |
| - Controle pelo usuário via configurações do navegador | |
| - Opção de desabilitar cookies não essenciais | |
| - Informações claras sobre finalidade de cada cookie | |
| ## 📊 Transparência e Governança | |
| ### Relatórios de Transparência | |
| - Relatório anual de atividades de proteção de dados | |
| - Estatísticas de exercício de direitos dos titulares | |
| - Métricas de segurança (dados agregados) | |
| ### Programa de Governança | |
| - **Privacy by Design**: Privacidade desde a concepção | |
| - **Privacy by Default**: Configurações padrão de máxima privacidade | |
| - **Avaliação de Impacto**: DPIA para novas funcionalidades | |
| - **Treinamento**: Capacitação contínua da equipe | |
| --- | |
| **Importante**: Esta política de privacidade é um documento vivo e pode ser atualizada conforme necessário. Recomendamos revisões periódicas para se manter informado sobre como protegemos seus dados. | |
| **Última atualização**: 24 de janeiro de 2025 | |
| **Próxima revisão**: 24 de abril de 2025 | |
| Para dúvidas sobre esta política, entre em contato: **[email protected]** |