Nesta página
1 O que é a LGPD?
A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) é a legislação brasileira que estabelece regras sobre coleta, armazenamento, tratamento e compartilhamento de dados pessoais. A CloudAtlas adota medidas técnicas e organizacionais para garantir plena conformidade com esta lei.
2 Como Tratamos Seus Dados
Todo tratamento de dados pessoais na plataforma CloudAtlas é realizado com base em pelo menos uma das hipóteses legais previstas no Art. 7º da LGPD:
- Execução de contrato: dados necessários para prestar o serviço contratado (autenticação, gerenciamento de recursos, faturamento).
- Legítimo interesse: segurança da plataforma, prevenção a fraudes, auditoria de atividades.
- Cumprimento de obrigação legal: registros fiscais mantidos pelo prazo obrigatório de 5 anos.
- Consentimento: comunicações de marketing (somente quando explicitamente solicitado).
3 Seus Direitos como Titular (Art. 18)
O Art. 18 da LGPD garante os seguintes direitos, exercíveis a qualquer momento:
Acesso
Confirmar se tratamos seus dados e obter uma cópia completa.
Correção
Atualizar dados incorretos ou desatualizados em Configurações → Perfil.
Portabilidade
Exportar seus dados em formato JSON via Configurações → Exportar Dados.
Eliminação
Solicitar exclusão via Configurações → Encerrar Conta ou pelo e-mail do DPO.
Revogação
Revogar consentimento para comunicações de marketing a qualquer momento.
Informação
Saber com quais terceiros compartilhamos seus dados e por quê.
Respondemos a todas as solicitações em até 15 dias úteis.
4 Medidas de Segurança (Art. 46)
- Criptografia em trânsito: TLS 1.2+ em todas as comunicações entre cliente e servidor.
- Criptografia em repouso: credenciais de provedores cloud armazenadas com AES-128 (Fernet), com chave única por organização.
- Controle de acesso: sistema RBAC com 5 papéis e princípio do menor privilégio.
- Autenticação: MFA disponível para todas as contas; rate limiting contra força bruta.
- Logs de auditoria: todas as ações administrativas são registradas com IP, timestamp e usuário responsável.
- Isolamento de dados: cada organização possui chave de criptografia própria.
5 Aceite de Termos e Prova de Consentimento
No momento do aceite dos termos de uso, registramos:
- Data e hora do aceite (timestamp UTC).
- Endereço IP real do cliente (obtido considerando proxies confiáveis, em conformidade com boas práticas de prova LGPD).
- Versão dos termos aceitos.
6 Transferência Internacional de Dados
A Plataforma utiliza serviços de terceiros (AWS, Azure, GCP, Microsoft) que podem processar dados em servidores fora do Brasil. Essas transferências ocorrem com base no Art. 33 da LGPD, para países ou organizações com nível de proteção de dados adequado ou mediante cláusulas contratuais específicas de proteção.
7 Retenção e Eliminação de Dados
- Dados de conta ativa: mantidos enquanto a conta estiver ativa.
- Após encerramento: dados mantidos por 90 dias para eventual recuperação, depois permanentemente excluídos.
- Logs de auditoria: 1 ano; IPs anonimizados após 90 dias.
- Registros fiscais: 5 anos (obrigação legal — Art. 7º, II).
- Aceite de termos: mantidos pelo prazo de validade legal como prova de consentimento.
8 Encarregado de Dados (DPO — Art. 41)
Conforme exigido pelo Art. 41 da LGPD, designamos um Encarregado de Proteção de Dados (DPO) para atuar como canal de comunicação entre a CloudAtlas, os titulares dos dados e a Autoridade Nacional de Proteção de Dados (ANPD).
9 Incidentes de Segurança (Art. 48)
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a CloudAtlas se compromete a:
- Notificar a ANPD no prazo de até 72 horas após a ciência do incidente (Art. 48 da LGPD).
- Comunicar aos titulares afetados de forma clara e em linguagem acessível.
- Informar as medidas adotadas para remediar o incidente e evitar recorrência.