Política de Privacidade

1 Quem Somos — Identificação do Controlador e do Operador

Para entender esta Política, é importante saber a diferença entre dois papéis previstos na LGPD (Lei Geral de Proteção de Dados Pessoais):

• Controlador: A pessoa ou empresa que decide por que e comoos dados são tratados. O controlador define as finalidades do tratamento.
• Operador: A pessoa ou empresa que trata dados em nome do controlador, seguindo as instruções dele.

No contexto do ObrasCitY, os papéis funcionam assim:

• Para os dados dos próprios usuários da plataforma (nome, e-mail, informações de conta, dados de uso): o ObrasCitY é o Controlador. Somos nós quem decidimos como esses dados são tratados para fornecer o serviço;
• Para os dados de terceiros que os clientes inserem na plataforma(dados de funcionários, clientes finais, fornecedores): o cliente (empresa usuária) é o Controlador e o ObrasCitY atua como Operador, tratando esses dados conforme as instruções do cliente para fornecer o serviço contratado.

2 Quais Dados Coletamos — Tudo Detalhado

Coletamos apenas os dados necessários para fornecer o serviço e cumprir obrigações legais. Abaixo, detalhamos cada categoria de dado que coletamos, quando e como:

2.1 Dados que Você Nos Fornece Diretamente

São os dados que você mesmo insere na plataforma, seja durante o cadastro ou durante o uso:

2.2 Dados Coletados Automaticamente pelo Sistema

Quando você usa a plataforma, alguns dados são coletados automaticamente pelos sistemas de forma técnica, sem que você precise inserir nada:

2.3 O Que NÃO Coletamos

Para ser completamente transparente, também listamos o que não coletamos:

• ❌ Dados biométricos (impressão digital, reconhecimento facial, voz);
• ❌ Dados de saúde, condição médica ou histórico médico;
• ❌ Dados de origem racial ou étnica;
• ❌ Opiniões políticas, crenças religiosas ou filosóficas;
• ❌ Orientação sexual ou vida íntima;
• ❌ Número completo do cartão de crédito ou CVV (processados exclusivamente pelo Stripe);
• ❌ Senhas em texto claro (somente hash irreversível é armazenado);
• ❌ Conteúdo de conversas privadas fora da plataforma;
• ❌ Dados de redes sociais sem sua autorização explícita.

3 Por Que Usamos Seus Dados — Finalidades Detalhadas

Cada dado que coletamos tem uma finalidade específica, legítima e proporcional. Não utilizamos seus dados de forma incompatível com as finalidades informadas abaixo. Para cada finalidade, indicamos também a base legal que a justifica na LGPD:

4 Bases Legais — Por Que Temos o Direito de Tratar Seus Dados

A LGPD exige que todo tratamento de dados pessoais tenha uma justificativa legal — chamada de "base legal". Não basta querer tratar dados; é preciso ter um motivo legítimo previsto em lei. Abaixo explicamos cada base legal que utilizamos e o que ela significa na prática:

• Execução de contrato (art. 7º, V da LGPD): Utilizamos seus dados porque é necessário para cumprir o contrato que temos com você (os Termos de Uso). Sem esses dados, simplesmente não conseguimos fornecer o serviço. Exemplo: sem seu e-mail, não conseguimos criar sua conta; sem os dados das obras, não conseguimos fornecer o módulo de gestão de projetos.
• Cumprimento de obrigação legal (art. 7º, II da LGPD): Em alguns casos, a lei nos obriga a manter determinados dados. Exemplo: o Marco Civil da Internet (art. 15) nos obriga a guardar logs de acesso por 6 meses; leis fiscais nos obrigam a manter registros de cobrança por 5 anos.
• Legítimo interesse (art. 7º, IX da LGPD): Para finalidades onde temos um interesse legítimo que não se sobrepõe aos seus direitos. Exemplo: analisar logs de acesso para detectar tentativas de invasão (nosso interesse e o seu coincidem — ninguém quer ter a conta invadida). Antes de usar essa base legal, realizamos uma análise de proporcionalidade para garantir que o interesse do ObrasCitY não prejudique desnecessariamente os direitos do titular.
• Consentimento (art. 7º, I da LGPD): Para tratamentos opcionais, como envio de e-mails de marketing, pedimos seu consentimento explícito. Você pode revogar esse consentimento a qualquer momento, sem nenhum prejuízo ao uso da plataforma. A revogação do consentimento não afeta o tratamento realizado antes dela.
• Exercício regular de direitos (art. 7º, VI da LGPD): Para usar dados em processos judiciais, administrativos ou arbitrais como meio de prova ou defesa.
• Proteção da vida (art. 7º, III da LGPD): Em situações extremamente excepcionais envolvendo risco iminente à vida ou à segurança de pessoas — situação que esperamos nunca ocorrer no contexto do ObrasCitY.

5 Com Quem Compartilhamos Seus Dados

Esta é uma das partes mais importantes desta Política. Explicamos aqui, de forma completamente transparente, todos os cenários em que seus dados podem ser acessados por outros além de você:

5.1 Nossa Equipe Interna

Funcionários e colaboradores do ObrasCitY têm acesso apenas aos dados estritamente necessários para desempenhar suas funções (princípio do menor privilégio). Por exemplo: a equipe de suporte pode acessar dados da conta para resolver um problema; a equipe técnica acessa logs para investigar um bug. Nenhum funcionário acessa dados de clientes por curiosidade ou para fins pessoais — isso é expressamente proibido por nossas políticas internas e pelos contratos de trabalho.

5.2 Prestadores de Serviço Técnico (Suboperadores)

Para fornecer o serviço, precisamos de parceiros técnicos especializados. Esses parceiros atuam como "suboperadores" — ou seja, tratam dados em nosso nome e seguindo nossas instruções. Todos eles estão sujeitos a contratos que exigem proteção de dados equivalente à desta Política:

5.3 Autoridades Governamentais e Obrigações Legais

Podemos compartilhar dados com autoridades quando:

• Formos legalmente obrigados: Requisição judicial com mandado legal válido, ordem do Ministério Público, requisição da Receita Federal com base em lei, etc. Não fornecemos dados com base em pedidos informais ou sem respaldo legal adequado;
• Para defender nossos direitos: Em processos judiciais ou administrativos nos quais o ObrasCitY seja parte, podemos usar dados como meio de prova;
• Para proteger direitos de terceiros: Em casos de fraude comprovada ou atividade criminosa que afete outros usuários ou terceiros.

Quando possível e permitido por lei, notificaremos o Usuário antes de fornecer dados a autoridades, para que ele possa buscar medidas legais caso entenda que o pedido é indevido.

5.4 Em Caso de Venda ou Reestruturação do ObrasCitY

Se o ObrasCitY for adquirido, se fundir com outra empresa ou vender parte de seus ativos, os dados dos usuários podem ser transferidos ao novo controlador. Nesse caso:

• Notificaremos todos os usuários com antecedência razoável;
• O novo controlador será obrigado a manter proteções equivalentes às desta Política;
• Se as práticas de privacidade do novo controlador forem menos protetoras, você terá o direito de encerrar sua conta sem ônus antes da transferência.

5.5 O Que Definitivamente NÃO Fazemos

• 🚫 Não vendemos dados a terceiros, jamais;
• 🚫 Não compartilhamos dados para fins de publicidade de terceiros;
• 🚫 Não permitimos que anunciantes ou corretores de dados acessem informações dos usuários;
• 🚫 Não cruzamos dados de um cliente com dados de outro cliente;
• 🚫 Não compartilhamos dados com concorrentes ou parceiros comerciais sem relação técnica direta;
• 🚫 Não fornecemos dados a autoridades sem respaldo legal adequado.

6 Cookies — O Que São, Quais Usamos e Como Gerenciar

6.1 O Que São Cookies?

Cookies são pequenos arquivos de texto que os sites armazenam no seu navegador quando você os acessa. Eles servem para que o site "lembre" de você entre visitas ou durante uma sessão. Cookies não são vírus, não executam código e não têm acesso a outros arquivos do seu dispositivo. Você pode ver, gerenciar e excluir os cookies a qualquer momento pelas configurações do seu navegador.

6.2 Cookies que Utilizamos

6.3 O Que Não Usamos

O ObrasCitY não utiliza cookies de publicidade (para mostrar anúncios), cookies de rastreamento cross-site (para seguir você em outros sites), nem pixels de conversão de redes sociais ou plataformas de anúncios.

6.4 Como Gerenciar Cookies

Você pode gerenciar seus cookies de duas formas:

• Dentro da plataforma: Acesse Configurações → Privacidade → Preferências de Cookies para gerenciar cookies funcionais e analíticos;
• No seu navegador: Todos os navegadores modernos permitem visualizar, bloquear e excluir cookies. Consulte as instruções do seu navegador (Chrome, Firefox, Safari, Edge) para saber como fazer isso. Observe que bloquear cookies essenciais impedirá o funcionamento da plataforma.

7 Como e Por Quanto Tempo Armazenamos seus Dados

7.1 Onde Seus Dados são Armazenados

Seus dados são armazenados em servidores seguros hospedados em infraestrutura de nuvem profissional. Trabalhamos com provedores que possuem certificações de segurança reconhecidas internacionalmente. Os dados são preferencialmente armazenados em território brasileiro ou em países com grau de proteção adequado à LGPD.

Todos os dados são armazenados de forma criptografada. Backups são realizados diariamente e armazenados em localização geográfica diferente do servidor principal, para garantia de recuperação em caso de desastre.

7.2 Medidas de Segurança Técnicas

Implementamos as seguintes medidas para proteger seus dados armazenados:

• Criptografia em trânsito: TLS 1.2+ (HTTPS) em todas as comunicações. Nenhum dado trafega em texto claro pela internet;
• Criptografia em repouso: Dados sensíveis armazenados com AES-256, padrão militar de criptografia;
• Isolamento de dados: Dados de cada empresa isolados em nível de banco de dados (row-level security), garantindo que vazamentos em um tenant não afetem outros;
• Hash de senhas: Bcrypt com fator de custo mínimo 12. É computacionalmente inviável reverter o hash para obter a senha original;
• Controle de acesso: Somente funcionários com necessidade operacional comprovada têm acesso a dados de produção, mediante autenticação de dois fatores e registro de acesso;
• Auditoria: Todas as operações em dados de produção são registradas em logs de auditoria imutáveis.

7.3 Medidas Organizacionais

• Política interna de segurança da informação documentada e revisada periodicamente;
• Treinamento obrigatório de segurança e privacidade para todos os colaboradores;
• Acordos de confidencialidade (NDAs) com todos os funcionários e prestadores de serviço que acessam dados;
• Processo formal de resposta a incidentes de segurança;
• Revisões periódicas de segurança e penetration testing.

7.4 Prazos de Retenção de Dados

Mantemos seus dados apenas pelo tempo necessário para cumprir a finalidade para a qual foram coletados, ou pelo prazo mínimo exigido por lei, o que for maior:

Ao final do prazo de retenção, os dados são excluídos de forma segura(sobrescrita múltipla ou exclusão certificada do armazenamento) ou anonimizados de maneira tecnicamente irreversível, de modo que não seja mais possível associá-los a um indivíduo identificado ou identificável.

8 Seus Direitos como Titular — Você Tem Controle

A LGPD garante a você, como titular de dados pessoais, um conjunto completo de direitos. O ObrasCitY não apenas cumpre esses direitos por obrigação legal — acreditamos genuinamente que você deve ter controle sobre seus próprios dados. Abaixo, explicamos cada direito em linguagem simples e como exercê-los:

Direito 1 — Confirmação e Acesso (art. 18, I e II da LGPD)

O que é: Você tem o direito de saber se tratamos dados seus e, em caso afirmativo, ter acesso a uma cópia completa desses dados.

Na prática: Você pode solicitar um relatório completo com todos os dados que temos sobre você — desde informações de perfil até logs de acesso.

Como exercer: Acesse Configurações → Segurança e LGPD → Solicitar Meus Dados. Responderemos em até 15 dias.

Direito 2 — Correção (art. 18, III da LGPD)

O que é: Você tem o direito de corrigir dados incompletos, inexatos ou desatualizados que temos sobre você.

Na prática: Se seu nome está errado, se seu e-mail mudou, se os dados da empresa estão desatualizados — você pode corrigir isso.

Como exercer: Muitos dados podem ser corrigidos diretamente no perfil. Para dados que não conseguir alterar sozinho, entre em contato com o suporte.

Direito 3 — Anonimização, Bloqueio ou Exclusão (art. 18, IV da LGPD)

O que é: Você tem o direito de solicitar que dados desnecessários, excessivos ou tratados em desconformidade com a LGPD sejam anonimizados, bloqueados ou excluídos.

Na prática: Se você acredita que estamos tratando algum dado sem necessidade ou sem base legal adequada, pode pedir que paremos.

Como exercer: Acesse Configurações → Segurança e LGPD → Solicitar Exclusão ou entre em contato com o DPO.

Observação: Não podemos excluir dados que temos obrigação legal de manter (como registros fiscais) ou que são necessários para cumprir o contrato ativo.

Direito 4 — Portabilidade (art. 18, V da LGPD)

O que é: Você tem o direito de receber seus dados em formato estruturado, legível por máquina e interoperável, para poder migrá-los para outro serviço.

Na prática: Você pode exportar todos os seus dados (obras, projetos, clientes, documentos, etc.) em formatos padrão (JSON, CSV, Excel, PDF).

Como exercer: Acesse Configurações → Exportar Dados para exportações completas ou por módulo.

Direito 5 — Eliminação com Base no Consentimento (art. 18, VI da LGPD)

O que é: Para dados que tratamos com base no seu consentimento (como marketing), você pode solicitar a eliminação desses dados ao revogar o consentimento.

Como exercer: Revogue o consentimento em Configurações → Privacidade → Consentimentos. A eliminação ocorrerá conforme os prazos legais.

Direito 6 — Informação sobre Compartilhamento (art. 18, VII da LGPD)

O que é: Você tem o direito de saber com quais entidades públicas e privadas compartilhamos seus dados.

Como exercer: Todas as informações sobre compartilhamento estão nesta Política, Seção 5. Caso queira informações mais específicas, entre em contato com o DPO.

Direito 7 — Revogação do Consentimento (art. 18, IX da LGPD)

O que é: Para qualquer tratamento baseado em consentimento, você pode revogar esse consentimento a qualquer momento, sem nenhum prejuízo ao uso da plataforma.

Na prática: Revogar o consentimento para marketing não afeta em nada o seu acesso à plataforma — apenas para de receber e-mails promocionais.

Como exercer: Configurações → Privacidade → Consentimentos, ou pelo link "cancelar inscrição" em qualquer e-mail de marketing.

Direito 8 — Oposição ao Tratamento (art. 18, §2º da LGPD)

O que é: Você pode se opor a tratamentos realizados com base em "legítimo interesse" quando entender que esses tratamentos não cumprem os requisitos legais ou prejudicam seus direitos.

Como exercer: Entre em contato com o DPO descrevendo o tratamento que questiona. Analisaremos seu caso e responderemos em até 15 dias.

Direito 9 — Revisão de Decisões Automatizadas (art. 20 da LGPD)

O que é: Se alguma decisão que afete seus interesses for tomada exclusivamente de forma automatizada (por algoritmos, sem intervenção humana), você tem o direito de solicitar revisão por uma pessoa.

Como exercer: Entre em contato com o suporte descrevendo a decisão automatizada que questiona.

Direito 10 — Petição à ANPD (art. 18, VIII da LGPD)

O que é: Se você acreditar que o ObrasCitY violou algum dos seus direitos previstos na LGPD e não conseguiu resolver pela comunicação direta conosco, você tem o direito de encaminhar uma reclamação formal à Autoridade Nacional de Proteção de Dados (ANPD).

Como exercer: Acesse gov.br/anpd e siga as instruções para abertura de reclamação. Recomendamos tentar resolver diretamente conosco primeiro — acreditamos que a maioria dos casos tem solução amigável.

9 Segurança das Credenciais de Acesso

9.1 Campos de Login Sempre Limpos

Os campos de e-mail e senha na tela de login são sempre carregados completamente em branco, sem preenchimento automático baseado em sessões anteriores de outros usuários. Isso é especialmente importante em ambientes compartilhados (como computadores de escritório usados por várias pessoas), onde informações de um usuário não devem ser exibidas para outro. Implementamos atributos específicos no código para garantir isso tecnicamente, independentemente das configurações do navegador.

9.2 Como Armazenamos Senhas

Senhas são armazenadas usando o algoritmo bcrypt com fator de custo mínimo 12. Isso significa que:

• A senha é transformada em um hash (código embaralhado irreversível) antes de ser salva;
• Não existe nenhum processo que possa converter o hash de volta para a senha original;
• Nenhum funcionário, nem mesmo o desenvolvedor do sistema, pode ver sua senha;
• Se você esquecer a senha, ela precisa ser redefinida (não recuperada), porque ela não existe em formato legível em nenhum lugar;
• Mesmo que nosso banco de dados fosse completamente comprometido por um invasor, as senhas seriam inúteis para ele.

10 Transferência Internacional de Dados

Alguns dos nossos parceiros técnicos operam servidores fora do Brasil. Quando isso ocorre, garantimos que a transferência internacional de dados pessoais cumpre os requisitos da LGPD:

• Países com grau de proteção adequado: Transferimos dados apenas para países que a ANPD reconhecer como tendo grau de proteção equivalente ao da LGPD;
• Cláusulas contratuais padrão: Quando o país não tem reconhecimento de adequação, exigimos dos nossos parceiros a adoção de cláusulas contratuais aprovadas pela ANPD ou por autoridades de proteção equivalentes;
• Stripe (EUA): A Stripe é certificada PCI-DSS nível 1 e adota medidas de proteção compatíveis com o GDPR europeu e com a LGPD brasileira, incluindo cláusulas contratuais padrão para transferências internacionais;
• Provedores de nuvem: Nossos provedores de infraestrutura possuem certificações internacionais de segurança (ISO 27001, SOC 2, etc.) e estão sujeitos a acordos de processamento de dados com cláusulas de proteção adequadas.

11 Menores de Idade — Proteção Especial

O ObrasCitY é uma plataforma de uso profissional e corporativo. Não é destinada, em nenhuma hipótese, a menores de 18 (dezoito) anos.

Não coletamos intencionalmente dados pessoais de menores de 18 anos. Se um menor tentar se cadastrar, o sistema não permitirá a criação da conta. Se, de alguma forma, identificarmos ou recebermos comunicação de que dados de um menor foram coletados inadvertidamente, tomaremos imediatamente as seguintes medidas: (i) suspender o acesso da conta; (ii) notificar o responsável legal, se identificado; (iii) excluir os dados do menor de forma segura e permanente.

Se você é pai, mãe ou responsável legal e acredita que um menor sob sua guarda forneceu dados ao ObrasCitY, entre em contato com nosso suporte imediatamente pelo canal de atendimento disponível na plataforma.

12 O Que Acontece em Caso de Incidente de Segurança

Mesmo com todas as medidas de segurança implementadas, nenhum sistema é 100% inviolável. Por isso, temos um plano claro de como agir caso ocorra um incidente de segurança que possa afetar seus dados:

12.1 Detecção e Contenção

Ao detectar um incidente de segurança (vazamento, acesso não autorizado, alteração indevida de dados, etc.), nossa equipe de segurança agirá imediatamente para: (i) conter o incidente e impedir que se expanda; (ii) identificar os dados afetados; (iii) identificar a causa e corrigi-la; (iv) preservar evidências para investigação.

12.2 Notificação à ANPD

Conforme exigido pelo art. 48 da LGPD, o ObrasCitY notificará a Autoridade Nacional de Proteção de Dados (ANPD) dentro de 72 horas após tomar conhecimento de um incidente de segurança que possa acarretar risco ou dano relevante aos titulares de dados. A notificação incluirá: (i) descrição do incidente; (ii) natureza e categoria dos dados afetados; (iii) número estimado de titulares afetados; (iv) medidas de mitigação adotadas.

12.3 Notificação aos Titulares Afetados

Titulares cujos dados forem afetados pelo incidente serão notificados em prazo razoável, com informações claras sobre: (i) o que aconteceu; (ii) quais dados foram afetados; (iii) os possíveis riscos para você; (iv) o que fizemos para corrigir o problema; (v) as medidas que você pode tomar para se proteger; (vi) como entrar em contato conosco para mais informações.

13 Comunicações de Marketing — Opt-in e Opt-out

Queremos ser uma fonte de valor para você, não de incômodo. Por isso, nossa política de comunicações de marketing é bastante direta:

• Só enviamos marketing se você pediu (opt-in): E-mails de novidades, dicas, promoções e conteúdo educacional são enviados apenas para usuários que marcaram explicitamente a opção de receber esses comunicados, seja no momento do cadastro ou posteriormente nas configurações;
• Cancelamento imediato (opt-out): Você pode parar de receber e-mails de marketing a qualquer momento, de duas formas: (1) clicando no link "cancelar inscrição" no rodapé de qualquer e-mail de marketing; (2) acessando Configurações → Notificações → E-mails de Marketing. O cancelamento é processado em até 48 horas;
• Comunicações essenciais não são marketing: Faturas, alertas de segurança, avisos de manutenção e alterações nos Termos são comunicações necessárias para o funcionamento do serviço, não marketing. Essas não podem ser desativadas enquanto a conta estiver ativa;
• Não usamos dados de uso para personalizar marketing invasivo: Não analisamos o conteúdo das suas obras para enviar publicidade. As comunicações de marketing são gerais e baseadas no perfil do plano contratado.

14 Links e Integrações com Serviços Externos

A plataforma ObrasCitY pode conter links para sites externos ou oferecer integrações com serviços de terceiros. É importante que você saiba que:

• Ao clicar em um link para um site externo, você deixará a plataforma ObrasCitY e estará sujeito à política de privacidade do site de destino, que é independente desta Política;
• Ao ativar uma integração com um serviço externo (WhatsApp, Stripe, etc.), parte dos seus dados pode ser compartilhada com esse serviço conforme necessário para o funcionamento da integração. Você será informado sobre quais dados são compartilhados antes de ativar cada integração;
• O ObrasCitY não se responsabiliza pelo conteúdo, práticas de privacidade, políticas de segurança ou disponibilidade de sites e serviços externos;
• Recomendamos que você leia a política de privacidade de qualquer serviço externo antes de fornecer seus dados.

15 Alterações nesta Política de Privacidade

Esta Política pode precisar ser atualizada ao longo do tempo por diversas razões: mudanças na legislação, novas funcionalidades da plataforma, novos parceiros técnicos ou melhorias nas nossas práticas de privacidade. Comprometemo-nos a fazer essas atualizações de forma transparente:

• Alterações materiais (que afetam como tratamos seus dados, seus direitos ou nossas obrigações): serão comunicadas com antecedência mínima de 30 dias por e-mail e por aviso destacado dentro da plataforma, antes de entrarem em vigor;
• Alterações não materiais (correções de texto, esclarecimentos sem impacto ao titular, atualização de links): podem ser realizadas sem aviso prévio;
• A versão atualizada ficará sempre disponível em /privacidade. A data de "Última atualização" e o número de versão no topo do documento indicam quando ocorreu a última revisão. Você pode acompanhar o histórico de versões pelo canal de suporte;
• O uso continuado da plataforma após a data de vigência das alterações implica aceite das novas práticas. Se não concordar com as alterações, você pode encerrar sua conta antes da data de vigência;
• Para alterações que reduzam significativamente a proteção dos seus dados, pediremos seu consentimento expresso antes de aplicá-las.

16 Como Entrar em Contato — Canais de Privacidade

Para qualquer questão relacionada à privacidade dos seus dados, aos seus direitos como titular ou ao conteúdo desta Política, você pode nos contatar pelos seguintes canais:

Prazo de resposta: Nos comprometemos a responder todas as solicitações em até 15 dias corridos. Solicitações urgentes de segurança (como suspeita de acesso não autorizado) são tratadas com prioridade máxima.