Política de Privacidade

1. Introdução

A Luz Tecnologia LTDA, CNPJ 48.407.967/0001-19, responsável pelo UniSUS ("Plataforma"), está comprometida com a proteção dos dados pessoais de seus usuários, em conformidade com a Lei Geral de Proteção de Dados (LGPD, Lei nº 13.709/2018).

2. Dados Coletados

A Plataforma coleta diferentes categorias de dados conforme a forma de uso:

2.1 Usuários sem conta (navegação pública)

• Dados de navegação: endereço IP anonimizado, tipo de navegador, páginas acessadas e dados de interação — coletados por ferramenta de analytics anonimizado, sem cookies de rastreamento.

2.2 Usuários cadastrados (conta gratuita)

• E-mail: coletado no cadastro ou via OAuth Google.
• Nome: fornecido no cadastro ou obtido do perfil Google.
• Favoritos e votos no roadmap: associados ao ID interno do usuário.

2.3 Assinantes (planos Apoiador e Profissional)

Além dos dados acima, coletamos:

• Dados de cobrança via Stripe: nome completo, e-mail, método de pagamento tokenizado (número do cartão não é armazenado pela Luz Tecnologia), histórico de faturas e status da assinatura.
• CPF ou CNPJ: coletado no fluxo de checkout Stripe (campo obrigatório), exclusivamente para emissão de Nota Fiscal de Serviços Eletrônica (NFS-e) conforme legislação tributária municipal do Distrito Federal.
• Plano e ciclo de cobrança: mensal ou anual, armazenados para controle de acesso às funcionalidades.

3. Finalidade do Tratamento

• Autenticação e gestão de conta;
• Processamento de pagamentos e emissão de NFS-e;
• Controle de acesso a funcionalidades por plano;
• Melhoria contínua da Plataforma com base em dados analíticos agregados;
• Resposta a solicitações enviadas pelo formulário de contato.

4. Compartilhamento e Transferência Internacional de Dados

Não vendemos nem alugamos dados pessoais. Compartilhamos apenas com os seguintes subprocessadores, estritamente necessários ao funcionamento da Plataforma:

• Stripe, Inc. (EUA) — processamento de pagamentos e gestão de assinaturas. Transferência internacional amparada por Cláusulas Contratuais Padrão (Standard Contractual Clauses). Política de privacidade Stripe.
• Cloudflare, Inc. (global/EUA) — hospedagem (R2), CDN, WAF e analytics anonimizado. Transferência internacional amparada por Cláusulas Contratuais Padrão.
• Google LLC (EUA) — OAuth (login "Entrar com Google"), Google Analytics (GA4) e Google AdSense (quando consentido). Transferência internacional amparada por Cláusulas Contratuais Padrão.
• Tecnospeed / Focus NFe (Brasil) — emissão de NFS-e. CPF/CNPJ e dados da nota são transmitidos para a prefeitura via Focus NFe conforme obrigação legal.
• Quando exigido por lei ou ordem judicial.

As transferências internacionais ocorrem apenas para os subprocessadores acima listados, sempre suportadas por Cláusulas Contratuais Padrão (Standard Contractual Clauses) ou outro mecanismo previsto no art. 33 da LGPD. Não realizamos transferência de dados pessoais a países que não ofereçam nível adequado de proteção sem a adoção dessas salvaguardas.

5. Retenção de Dados

• Dados de conta: mantidos enquanto a conta estiver ativa. Excluídos em até 30 dias após solicitação.
• Dados de cobrança e NFS-e: retidos por 5 anos conforme obrigação fiscal (Decreto nº 10.654/2021 e legislação tributária).
• Logs de acesso: 90 dias.
• Mensagens de formulário de contato: até 12 meses após resolução da demanda.

6. Seus Direitos (LGPD)

Você tem direito a:

• Confirmar a existência de tratamento;
• Acessar, corrigir ou portar seus dados;
• Solicitar a eliminação de dados pessoais (exceto os de retenção obrigatória por lei);
• Revogar consentimento a qualquer momento;
• Apresentar reclamação à ANPD.

7. Encarregado (DPO)

O Encarregado pelo tratamento de dados pessoais (DPO), nos termos do art. 41 da LGPD, é:

• Nome: Guilherme Henrique
• E-mail: [email protected]
• Canal alternativo: página de contato com o assunto "LGPD — Dados Pessoais"

Para exercer seus direitos previstos no art. 18 da LGPD (acesso, correção, portabilidade, eliminação, revogação de consentimento, informação sobre compartilhamento), utilize um dos canais acima.

8. Segurança

Adotamos HTTPS obrigatório, controles de autenticação e autorização apropriados ao tipo de dado e medidas técnicas e organizacionais compatíveis com boas práticas de segurança da informação para proteção dos dados pessoais tratados.

8.1 Resposta a incidentes de segurança

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares (ex.: acesso não autorizado, vazamento, perda ou destruição de dados pessoais), a Luz Tecnologia seguirá o procedimento abaixo:

• Notificação à ANPD e aos titulares afetados em até 72 horas após ciência do incidente, conforme art. 48 da LGPD e orientação CD/ANPD nº 15/2024.
• Canal oficial de comunicação: a notificação será enviada por e-mail pelo Encarregado ([email protected]) aos titulares diretamente afetados, e reportada à ANPD pelo canal oficial daquele órgão.
• Conteúdo da comunicação: descrição da natureza dos dados pessoais afetados, informações sobre os titulares envolvidos (quando possível), indicação das medidas técnicas e de segurança utilizadas, riscos relacionados ao incidente, motivos da eventual demora no reporte e medidas adotadas ou propostas para reverter ou mitigar os efeitos.
• Registro interno: todo incidente é registrado em livro próprio (data, escopo, vetor, dados afetados, ações corretivas) e conservado por pelo menos 5 anos.

9. Publicidade e Cookies de Terceiros (Google AdSense)

A Plataforma exibe publicidade contextual por meio do Google AdSense. Para isso, o Google e seus parceiros podem utilizar cookies e identificadores de dispositivo para:

• Veicular anúncios com base em visitas anteriores a este e outros sites;
• Medir o desempenho e a relevância dos anúncios;
• Prevenir fraudes e abusos publicitários.

O uso desses cookies depende do seu consentimento, gerenciado pelo banner na primeira visita e revogável a qualquer momento. Por padrão, nenhum cookie publicitário é ativado sem consentimento explícito.

Você pode gerenciar ou desativar publicidade personalizada a qualquer momento em:

• Configurações de anúncios do Google;
• aboutads.info/choices (DAA);
• youradchoices.com.

Para detalhes sobre como o Google trata dados em serviços de publicidade, consulte a política do Google para parceiros. Nossas regras de conteúdo publicitário estão descritas na Política de Anúncios.

10. Alterações

Esta política pode ser atualizada periodicamente. Usuários assinantes serão notificados por e-mail em caso de alteração substancial.