LGPD - Lei Geral de Proteção de Dados
1. Sobre a LGPD
A Lei Geral de Proteção de Dados (Lei nº 13.709/2018 - LGPD) é a legislação brasileira que regula o tratamento de dados pessoais e estabelece direitos fundamentais de privacidade e proteção de dados de indivíduos.
A RICARDO ***** - ME, operadora da plataforma NUDINN, está plenamente comprometida com o cumprimento da LGPD e com a proteção da privacidade dos titulares de dados.
Este documento complementa nossa Política de Privacidade e fornece informações específicas sobre conformidade com LGPD, direitos dos titulares, e nossas responsabilidades como controlador e operador de dados.
2. Papéis e Responsabilidades
2.1. Controlador de Dados
Razão Social: RICARDO ***** - ME
CNPJ: 16.***.***/0001-80
Papel: Controlador de Dados (Art. 5º, VI da LGPD)
Como controlador, somos responsáveis pelas decisões referentes ao tratamento de dados pessoais, incluindo finalidades, meios e formas de processamento.
2.2. Encarregado de Dados (DPO - Data Protection Officer)
Nome: Ricardo *****
E-mail: dpo@nudinn.com
E-mail alternativo: privacidade@nudinn.com
O Encarregado de Dados é o canal de comunicação entre o controlador, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD). Suas responsabilidades incluem:
- Aceitar reclamações e comunicações dos titulares
- Prestar esclarecimentos sobre tratamento de dados
- Receber comunicações da ANPD e adotar providências
- Orientar colaboradores sobre práticas de proteção de dados
- Executar demais atribuições determinadas pelo controlador ou pela ANPD
2.3. Operadores de Dados (Processadores)
Utilizamos prestadores de serviço terceirizados (operadores) que processam dados pessoais em nosso nome, sempre mediante contratos que garantem conformidade com LGPD:
- Stripe: Processamento de pagamentos
- AWS/Google Cloud: Hospedagem e armazenamento de dados
- Provedores de E-mail: Envio de comunicações transacionais
- Analytics: Ferramentas de análise (dados anonimizados)
Todos os operadores são cuidadosamente selecionados, auditados e obrigados contratualmente a processar dados estritamente conforme nossas instruções e em conformidade com LGPD.
3. Dados Pessoais Tratados
3.1. Categorias de Dados
| Categoria | Tipos de Dados | Finalidade | Base Legal (Art. 7º) |
|---|---|---|---|
| Identificação | Nome, CPF, e-mail, telefone, data de nascimento | Cadastro e gestão de conta | Execução de contrato (V) |
| Autenticação | Senha (hash), tokens de sessão | Segurança e controle de acesso | Execução de contrato (V) |
| Financeiros | Receitas, despesas, saldos, transações, contas bancárias | Prestação do serviço de gestão financeira | Execução de contrato (V) |
| Pagamento | Dados de cartão (tokenizados), histórico de assinaturas | Cobrança e faturamento | Execução de contrato (V) |
| Navegação | IP, navegador, páginas visitadas, cookies | Analytics, melhorias, segurança | Legítimo interesse (IX) |
| Marketing | E-mail, preferências de comunicação | Envio de newsletters e promoções | Consentimento (I) |
| Suporte | Mensagens, histórico de tickets | Atendimento ao cliente | Execução de contrato (V) |
3.2. Dados Sensíveis
Importante: Não coletamos, processamos ou armazenamos dados pessoais sensíveis conforme definidos pelo Art. 5º, II da LGPD (origem racial/étnica, convicção religiosa, opinião política, filiação sindical, dado genético, biométrico, de saúde ou vida sexual).
3.3. Dados de Crianças e Adolescentes
Nossos serviços não são destinados a menores de 18 anos. O tratamento de dados de crianças e adolescentes somente ocorreria mediante consentimento específico de pelo menos um dos pais ou responsável legal (Art. 14 da LGPD).
Caso identifiquemos coleta inadvertida de dados de menores, eliminaremos tais dados imediatamente.
4. Bases Legais para Tratamento
Todo tratamento de dados pessoais pelo NUDINN fundamenta-se em uma ou mais bases legais previstas no Art. 7º da LGPD:
Art. 7º, I - Consentimento
Aplicação: Utilizado para comunicações de marketing, newsletters, uso de cookies não essenciais e análises avançadas.
Características: Consentimento livre, informado, inequívoco e específico. Pode ser revogado a qualquer momento sem custos ou prejuízo ao uso dos serviços essenciais.
Art. 7º, V - Execução de Contrato
Aplicação: Fundamental para prestação dos serviços contratados (gestão financeira, alertas, recomendações, processamento de pagamentos).
Características: Dados necessários para cumprir obrigações contratuais estabelecidas nos Termos de Uso.
Art. 7º, IX - Legítimo Interesse
Aplicação: Utilizado para prevenção de fraudes, segurança da plataforma, analytics para melhorias, proteção de direitos em processos judiciais.
Características: Nosso interesse legítimo é sempre balanceado com seus direitos fundamentais. Realizamos Teste de Balanceamento (Legitimate Interest Assessment - LIA) documentado.
Direito de Oposição: Você pode se opor ao tratamento baseado em legítimo interesse (Art. 18, §2º).
Art. 7º, II - Cumprimento de Obrigação Legal
Aplicação: Quando exigido por lei ou regulamentação (ex: obrigações fiscais, contábeis, requisições judiciais, preservação de registros conforme Marco Civil da Internet).
5. Direitos dos Titulares (Art. 18 da LGPD)
A LGPD garante aos titulares de dados diversos direitos em relação aos seus dados pessoais. O NUDINN respeita e facilita o exercício de todos esses direitos:
1. Confirmação e Acesso
Art. 18, I e II
Confirmar se tratamos seus dados e acessar seus dados pessoais.
✓ Disponível via download na plataforma ou por solicitação
2. Correção
Art. 18, III
Corrigir dados incompletos, inexatos ou desatualizados.
✓ Disponível nas configurações da conta ou por solicitação
3. Anonimização, Bloqueio ou Eliminação
Art. 18, IV
Solicitar anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade.
✓ Analisamos caso a caso respeitando obrigações legais
4. Portabilidade
Art. 18, V
Receber seus dados em formato estruturado, comumente utilizado e legível por máquina.
✓ Exportação em formato JSON/CSV
5. Eliminação
Art. 18, VI
Solicitar a exclusão de dados tratados com base no consentimento.
✓ Exclusão de conta disponível na plataforma
6. Informação sobre Compartilhamento
Art. 18, VII
Saber com quais entidades públicas e privadas compartilhamos seus dados.
✓ Informação disponível na Política de Privacidade
7. Informação sobre Não Consentimento
Art. 18, VIII
Ser informado sobre as consequências de não fornecer consentimento.
✓ Informamos claramente quando solicitamos consentimento
8. Revogação do Consentimento
Art. 18, IX
Retirar seu consentimento a qualquer momento.
✓ Disponível nas configurações ou via e-mail
9. Oposição
Art. 18, §2º
Opor-se a tratamento realizado com base em legítimo interesse.
✓ Analisamos caso a caso considerando direitos fundamentais
10. Revisão de Decisões Automatizadas
Art. 20
Solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado.
✓ Revisão humana disponível mediante solicitação
Como Exercer Seus Direitos
Para exercer qualquer dos direitos acima, você pode:
- Através da Plataforma: Configurações da conta > Privacidade e Dados
- E-mail ao DPO: dpo@nudinn.com ou privacidade@nudinn.com
- Canal de Suporte: suporte@nudinn.com
Prazos de Resposta
- Prazo padrão: Até 15 dias corridos a partir da solicitação
- Prorrogação: Pode ser prorrogado por mais 15 dias mediante justificativa (complexidade, volume de solicitações)
- Comunicação: Você será informado sobre o andamento de sua solicitação
Verificação de Identidade
Para proteger seus dados, podemos solicitar informações adicionais para verificar sua identidade antes de processar solicitações relacionadas a acesso, correção ou eliminação de dados.
6. Retenção de Dados
Mantemos seus dados pessoais apenas pelo tempo necessário para as finalidades para as quais foram coletados, respeitando obrigações legais e prazos prescricionais:
| Tipo de Dado | Prazo de Retenção | Justificativa |
|---|---|---|
| Dados de conta ativa | Durante vigência da relação | Execução de contrato |
| Dados de conta encerrada | Até 5 anos após encerramento | Obrigações fiscais (5 anos) e defesa em processos |
| Logs de acesso (IP) | 6 meses | Marco Civil da Internet (Art. 15) |
| Dados de pagamento | 5 anos após última transação | Obrigações fiscais e contábeis |
| Comunicações de marketing | Até revogação ou 2 anos sem interação | Consentimento / Legítimo interesse |
| Tickets de suporte | 3 anos após resolução | Qualidade do serviço e defesa |
| Dados anonimizados | Indefinidamente | Não permitem identificação (Art. 12 LGPD) |
Após os prazos de retenção, os dados são eliminados de forma segura e irreversível, através de processos de sanitização que impedem recuperação.
7. Segurança e Proteção de Dados
Em cumprimento ao Art. 46 da LGPD, adotamos medidas de segurança técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e situações acidentais ou ilícitas:
- Criptografia: SSL/TLS em trânsito, AES-256 em repouso
- Controle de Acesso: Autenticação multifator, princípio do menor privilégio
- Monitoramento: SIEM, logs de auditoria, detecção de intrusão
- Testes: Pentests semestrais, auditorias de segurança
- Backups: Criptografados e geograficamente distribuídos
- Treinamento: Capacitação contínua da equipe sobre LGPD e segurança
Para detalhes completos sobre nossas práticas de segurança, consulte nossa página dedicada: Segurança da Informação.
8. Comunicação de Incidentes de Segurança
Em conformidade com o Art. 48 da LGPD, em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares:
8.1. Comunicação à ANPD
- Prazo: Em prazo razoável (geralmente 72 horas após detecção)
- Conteúdo: Descrição do incidente, dados afetados, medidas tomadas, impactos potenciais
8.2. Notificação aos Titulares Afetados
- Prazo: Imediato, após análise preliminar
- Meio: E-mail, notificação in-app e/ou comunicado público
- Conteúdo:
- Natureza do incidente
- Tipos de dados afetados
- Medidas técnicas de proteção adotadas
- Riscos relacionados ao incidente
- Medidas que o titular pode adotar para mitigar efeitos adversos
- Canal de contato para esclarecimentos
8.3. Dispensa de Comunicação
A comunicação pode ser dispensada quando (Art. 48, §4º):
- Dados afetados são incompreensíveis a terceiros (criptografia robusta)
- Medidas técnicas de proteção tornam os dados inacessíveis
- Medidas posteriores eliminaram risco de dano
9. Transferência Internacional de Dados
Alguns de nossos prestadores de serviço (operadores) podem estar localizados ou processar dados fora do Brasil. Garantimos que tais transferências internacionais estejam em conformidade com a LGPD (Art. 33):
9.1. Mecanismos de Adequação
- Países com Nível Adequado: Transferências para países reconhecidos pela ANPD como tendo nível de proteção adequado
- Cláusulas Contratuais Padrão (SCC): Contratos baseados em Standard Contractual Clauses aprovadas
- Certificações: Prestadores certificados com ISO 27001, SOC 2 Type II, Privacy Shield (quando aplicável)
- Garantias Específicas: Cláusulas contratuais que asseguram proteção equivalente à LGPD
9.2. Transparência
Informamos claramente na Política de Privacidade quais prestadores podem processar dados internacionalmente. Principais destinos:
- Estados Unidos: AWS, Google Cloud, Stripe (certificados/adequados)
- União Europeia: Alguns servidores de backup e CDN
10. Governança de Dados e Compliance
10.1. Programa de Governança
Implementamos um Programa de Governança em Privacidade que inclui:
- Políticas Internas: Políticas de privacidade, segurança e retenção de dados
- Mapeamento de Dados: Inventário completo de dados pessoais tratados (Data Mapping)
- DPIA (Data Protection Impact Assessment): Avaliações de impacto para tratamentos de alto risco
- Registros de Tratamento: Documentação detalhada conforme Art. 37 da LGPD
- Treinamentos: Capacitação obrigatória anual para todos os colaboradores
- Auditorias: Revisões internas trimestrais e auditorias externas anuais
10.2. Privacy by Design e by Default
Incorporamos princípios de privacidade desde a concepção:
- Minimização de dados: coletamos apenas o necessário
- Limitação de finalidade: dados usados apenas para fins declarados
- Privacidade como configuração padrão
- Segurança integrada na arquitetura
- Transparência e controle ao usuário
11. Relação com ANPD
A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão da administração pública federal responsável por zelar, implementar e fiscalizar o cumprimento da LGPD no Brasil.
11.1. Canal de Comunicação
ANPD - Autoridade Nacional de Proteção de Dados
Website: www.gov.br/anpd
11.2. Reclamações
Se você acredita que seus direitos sob a LGPD foram violados e não obteve resolução satisfatória através de nosso Encarregado de Dados, você tem o direito de apresentar reclamação à ANPD.
12. Decisões Automatizadas e Perfilamento
O NUDINN utiliza algoritmos de Inteligência Artificial para análises financeiras, projeções e recomendações. Garantimos transparência e controle sobre esse processamento:
12.1. Transparência
- Informamos claramente quando decisões são tomadas por sistemas automatizados
- Explicamos a lógica, critérios e importância do tratamento automatizado
- Fornecemos informações sobre as consequências para o titular
12.2. Direito à Revisão Humana
Conforme Art. 20 da LGPD, você tem direito a solicitar revisão humana de decisões tomadas unicamente com base em tratamento automatizado que afetem seus interesses.
Para solicitar revisão humana de alertas ou recomendações do sistema, entre em contato com suporte@nudinn.com.
12.3. Limitações de Perfilamento
Não utilizamos perfilamento automatizado para decisões que produzam efeitos legais significativos ou que afetem direitos fundamentais (ex: concessão de crédito, discriminação). Nosso uso de IA limita-se a recomendações financeiras pessoais.
13. Atualizações desta Página
Esta página sobre conformidade com LGPD pode ser atualizada periodicamente para refletir mudanças em nossas práticas, na legislação ou em orientações da ANPD.
A data de "Última atualização" no topo desta página indica quando foram realizadas as últimas modificações. Alterações substanciais serão comunicadas por e-mail ou mediante aviso na plataforma.
14. Dúvidas Frequentes sobre LGPD
O que são dados pessoais?
São informações relacionadas a pessoa natural identificada ou identificável (Art. 5º, I). Exemplos: nome, CPF, e-mail, IP, dados de localização.
Posso solicitar a exclusão de todos os meus dados?
Sim, você pode solicitar a exclusão da sua conta e dados. Entretanto, podemos reter alguns dados pelo prazo necessário para cumprimento de obrigações legais (ex: registros fiscais por 5 anos).
Como sei que meus dados estão seguros?
Implementamos múltiplas camadas de segurança incluindo criptografia, controles de acesso, monitoramento 24/7 e auditorias regulares. Veja detalhes em nossa página de Segurança.
Vocês vendem meus dados?
Não. Jamais vendemos, alugamos ou comercializamos dados pessoais de usuários.
O que acontece se eu revogar meu consentimento?
A revogação de consentimento para comunicações de marketing não afeta o uso dos serviços essenciais da plataforma. Você simplesmente deixará de receber newsletters e promoções.
Quanto tempo demora para vocês responderem minha solicitação?
Temos até 15 dias para responder, podendo ser prorrogado por mais 15 dias em casos complexos, sempre com comunicação prévia.
15. Contato - Encarregado de Dados (DPO)
Para exercer seus direitos, esclarecer dúvidas sobre LGPD ou apresentar reclamações relacionadas ao tratamento de dados pessoais:
RICARDO ***** - ME
CNPJ: 16.***.***/0001-80
Encarregado de Dados (DPO): Ricardo *****
E-mail do DPO: dpo@nudinn.com
E-mail Privacidade: privacidade@nudinn.com
Suporte Geral: suporte@nudinn.com
Respondemos todas as solicitações relacionadas à LGPD em até 15 dias corridos, conforme estabelecido pela legislação.