Política de Privacidade - TrustThis

Quando você se cadastra em nossa plataforma, coletamos dados pessoais obrigatórios, incluindo nome completo, endereço de e-mail, senha (armazenada de forma criptografada), empresa/organização, cargo/função e telefone de contato.

Opcionalmente, você pode fornecer informações adicionais como foto de perfil, biografia profissional, certificações profissionais e redes sociais profissionais.

Quando você solicita uma auditoria, coletamos dados da empresa auditada, como razão social, CNPJ, endereço comercial, setor de atuação, porte da empresa e contatos responsáveis (nomes e e-mails).

Adicionalmente, coletamos informações sobre o software ou sistema a ser auditado, incluindo nome do software/sistema, tipo de aplicação, funcionalidades principais, tipos de dados processados, número estimado de usuários e arquitetura técnica básica.

Durante o processo de auditoria, podem ser coletados documentos técnicos como políticas de privacidade, termos de uso, documentação técnica, relatórios de segurança, certificações e contratos com terceiros.

Também podem ser coletadas evidências de compliance, incluindo screenshots de interfaces, logs de sistema (anonimizados), procedimentos operacionais, registros de treinamento e documentação de processos.

Automaticamente coletamos dados técnicos durante sua navegação, incluindo endereço IP, tipo de navegador, sistema operacional, resolução de tela, páginas visitadas, tempo de permanência e origem do acesso (referrer).

Também coletamos dados de interação com a plataforma, como cliques e ações realizadas, formulários preenchidos, downloads realizados, pesquisas efetuadas e preferências de configuração.

Quando você entra em contato conosco, coletamos informações das comunicações diretas, incluindo conteúdo de e-mails, mensagens via chat, ligações telefônicas (quando gravadas), formulários de contato e tickets de suporte.

Base Legal: Execução de contrato (Art. 7º, V, LGPD)

Utilizamos seus dados para realizar auditorias de privacidade e segurança, elaborar relatórios de conformidade, gerar scores e classificações, fornecer recomendações de melhoria, acompanhar evolução de compliance e emitir certificados de auditoria.

Base Legal: Execução de contrato (Art. 7º, V, LGPD)

Processamos dados para criar e manter sua conta de usuário, autenticar acesso à plataforma, personalizar experiência do usuário, fornecer suporte técnico, processar pagamentos e gerenciar assinaturas e planos.

Base Legal: Legítimo interesse (Art. 7º, IX, LGPD) e Consentimento (Art. 7º, I, LGPD)

Para promover transparência no mercado, publicamos scores agregados de empresas, criamos rankings setoriais, disponibilizamos informações públicas de compliance, geramos estatísticas de mercado e promovemos melhores práticas.

Base Legal: Legítimo interesse (Art. 7º, IX, LGPD)

Analisamos dados para aprimorar metodologias de auditoria, desenvolver novas funcionalidades, otimizar performance da plataforma, identificar tendências de mercado e melhorar experiência do usuário.

Base Legal: Consentimento (Art. 7º, I, LGPD)

Com seu consentimento explícito, enviamos newsletters sobre privacidade, comunicamos atualizações de serviços, compartilhamos conteúdo educativo, promovemos eventos e webinars, e realizamos pesquisas de satisfação.

Base Legal: Cumprimento de obrigação legal (Art. 7º, II, LGPD)

Quando necessário, tratamos dados para atender solicitações de autoridades, cumprir decisões judiciais, responder a investigações regulatórias, manter registros contábeis e atender obrigações fiscais.

Compartilhamos dados com prestadores de serviços essenciais, incluindo provedores de infraestrutura em nuvem, serviços de pagamento, ferramentas de comunicação, sistemas de análise e monitoramento, e serviços de backup e segurança.

Condições: Todos os prestadores assinam acordos de processamento de dados com cláusulas específicas de proteção e confidencialidade.

As informações públicas permitidas incluem scores agregados de empresas (sem detalhes internos), rankings setoriais, estatísticas de mercado anonimizadas, informações já disponíveis publicamente e dados com consentimento expresso.

Por outro lado, mantemos sempre privados detalhes específicos de vulnerabilidades, documentos internos de empresas, dados confidenciais de auditoria, informações pessoais de funcionários e procedimentos operacionais específicos.

Podemos compartilhar dados quando exigido por lei ou regulamentação, determinado por ordem judicial, solicitado por autoridades competentes, necessário para proteção de direitos, ou requerido para investigações oficiais.

Caso seja necessário transferir dados para outros países, utilizaremos apenas países com nível adequado de proteção, implementaremos salvaguardas contratuais apropriadas, obteremos consentimento específico quando necessário e garantiremos conformidade com regulamentações locais.

Os dados de conta de usuário são mantidos enquanto a conta estiver ativa. Após cancelamento, mantemos os dados por 30 dias para permitir reativação, procedendo com a eliminação definitiva após 90 dias do cancelamento.

Os dados de auditoria têm períodos de retenção diferenciados: relatórios completos são mantidos por 5 anos para fins históricos, documentos enviados por 3 anos, scores públicos são mantidos indefinidamente em formato anonimizado, e evidências técnicas por 2 anos.

Quanto aos dados de comunicação, e-mails de suporte são retidos por 2 anos, logs de sistema por 1 ano, gravações de chamadas por 6 meses, e histórico de chat de atendimento por 1 ano.

Os dados financeiros seguem a legislação fiscal aplicável: informações de pagamento são mantidas conforme exigido por lei, faturas e recibos por 5 anos, e dados de cartão não são armazenados (utilizamos tokenização).

Ao definir períodos de retenção, consideramos a necessidade para prestação contínua de serviços, obrigações legais e regulatórias, defesa de direitos em processos judiciais, legítimo interesse em manter histórico e solicitações específicas do titular.

Nossa eliminação segura de dados envolve a remoção dos dados de todos os sistemas, atualização de backups para refletir a eliminação, limpeza de cópias em cache, notificação a terceiros para eliminação, e geração de certificado de eliminação.

Existem exceções à eliminação para dados anonimizados utilizados em estatísticas, informações necessárias para cumprimento legal, dados em disputa judicial e informações de segurança críticas.

Conforme a LGPD, você possui os seguintes direitos:

Confirmação e Acesso (Art. 18, I e II): Você pode confirmar se tratamos seus dados pessoais, acessar seus dados pessoais e obter cópia dos dados em formato estruturado.

Correção e Atualização (Art. 18, III): Você tem o direito de corrigir dados incompletos, inexatos ou desatualizados e atualizar informações quando necessário.

Anonimização e Eliminação (Art. 18, IV e VI): Você pode solicitar anonimização de dados desnecessários, requerer eliminação de dados tratados com consentimento e eliminar dados desnecessários ou excessivos.

Portabilidade (Art. 18, V): Você pode receber dados em formato estruturado, transferir dados para outro controlador e obter dados em formato interoperável.

Informação sobre Compartilhamento (Art. 18, VII): Você tem o direito de saber com quem compartilhamos seus dados, conhecer finalidades do compartilhamento e entender bases legais utilizadas.

Revogação de Consentimento (Art. 18, IX): Você pode retirar consentimento a qualquer momento, manter dados tratados com outras bases legais e ser informado sobre consequências da revogação.

Você pode exercer seus direitos através do nosso canal principal, enviando e-mail para contato@trustthis.org, preenchendo o formulário online em https://trustthis.org/direitos-lgpd, ou acessando o portal do usuário na seção "Meus Direitos".

Para processar sua solicitação, precisamos de informações como nome completo, e-mail cadastrado, documento de identificação, descrição específica da solicitação e comprovação de identidade (quando necessário).

Nossos prazos de resposta são: confirmação de recebimento em até 48 horas, resposta inicial em até 15 dias, atendimento completo em até 30 dias, e para casos complexos até 60 dias (com justificativa).

Alguns direitos podem ser limitados quando forem necessários para cumprimento de obrigação legal, requeridos para exercício regular de direitos, essenciais para proteção da vida ou segurança, indispensáveis para tutela da saúde, ou fundamentais para atendimento de interesse público.

Para proteger seus dados, podemos solicitar documento de identificação oficial, confirmação de informações cadastrais, resposta a perguntas de segurança, verificação por e-mail ou telefone, e assinatura digital quando aplicável.

Implementamos criptografia em múltiplas camadas: dados em trânsito são protegidos com TLS 1.3, dados em repouso com AES-256, senhas são armazenadas com hash e salt utilizando bcrypt, e comunicações sensíveis utilizam criptografia ponta a ponta.

Nosso controle de acesso inclui autenticação multifator obrigatória, controle baseado em funções (RBAC), aplicação do princípio do menor privilégio, revisão periódica de acessos e logs de auditoria detalhados.

Nossa infraestrutura conta com servidores em data centers certificados, redundância e alta disponibilidade, monitoramento 24/7, backup automatizado e testado regularmente, e isolamento de ambientes.

Mantemos políticas e procedimentos rigorosos, incluindo Política de Segurança da Informação, procedimentos de resposta a incidentes, treinamento obrigatório para funcionários, acordos de confidencialidade e revisões periódicas de segurança.

Nossa gestão de pessoal inclui verificação de antecedentes, treinamento em proteção de dados, acesso baseado em necessidade, monitoramento de atividades e processo de desligamento seguro.

Utilizamos sistemas de monitoramento avançados, incluindo SIEM (Security Information and Event Management), detecção de anomalias, análise comportamental, alertas em tempo real e correlação de eventos.

Realizamos testes de segurança regulares, como testes de penetração anuais, avaliações de vulnerabilidade, revisões de código, simulações de incidentes e auditorias de segurança.

Seguimos um processo estruturado de resposta a incidentes que envolve: detecção e análise inicial, contenção e erradicação, recuperação e monitoramento, comunicação aos afetados, e lições aprendidas com implementação de melhorias.

Nossa comunicação de incidentes segue os prazos estabelecidos: notificação à ANPD em até 72 horas (quando aplicável), aos titulares em prazo razoável, às autoridades conforme legislação, à mídia quando necessário, e aos parceiros conforme contratos.

Utilizamos cookies essenciais para autenticação de usuário, manutenção de sessão, preferências de segurança e funcionalidades básicas da plataforma.

Os cookies de performance são empregados para análise de uso da plataforma, otimização de performance, identificação de problemas técnicos e melhoria da experiência do usuário.

Também utilizamos cookies de funcionalidade para personalização de interface, lembrança de preferências, configurações de idioma e histórico de navegação.

Você tem controle total sobre os cookies através do banner de consentimento, central de preferências, opção de aceitar ou rejeitar por categoria, e pode revogar consentimento a qualquer momento.

Além disso, você pode configurar cookies diretamente no navegador, seguindo as instruções para os principais navegadores. Informamos o impacto da desabilitação e oferecemos alternativas disponíveis.

Utilizamos Web Beacons para análise de abertura de e-mails, rastreamento de interações e medição de efetividade de comunicações.

O Local Storage é empregado para armazenamento de preferências, cache de dados temporários e melhoria de performance da plataforma.

Como medidas preventivas, solicitamos declaração de maioridade no cadastro, realizamos verificação de e-mail corporativo, analisamos informações profissionais e monitoramos indicadores de idade.

Caso identifiquemos dados de menores, procedemos com a suspensão imediata da conta, contato com responsáveis legais, eliminação dos dados coletados, revisão dos processos de verificação e implementação de melhorias.

Realizamos revisões regulares desta política através de análise anual obrigatória, revisões motivadas por mudanças legais, atualizações por novos serviços e melhorias baseadas em feedback.

Comunicamos mudanças através de notificação por e-mail, aviso na plataforma, destaque de alterações principais e, quando necessário, oferecemos período de adaptação.

Para alterações substanciais, novo consentimento pode ser solicitado, período de transição será oferecido, disponibilizamos opção de cancelamento sem penalidades, e comunicamos com antecedência mínima de 30 dias.

Para questões de privacidade, entre em contato através do e-mail contato@trustthis.org, telefone [TELEFONE], ou presencialmente em nosso endereço na Avenida Paulista, 807 – Conjunto 2315, Bela Vista, CEP: 01311-915, São Paulo – SP. Nosso horário de atendimento é de segunda a sexta, das 9h às 18h.

Para suporte geral, você pode entrar em contato pelo e-mail contato@trustthis.org, chat online disponível em https://trustthis.org/chat, ou através do formulário em https://trustthis.org/contato.

Para questões específicas, disponibilizamos canais dedicados: security@trustthis.org para questões de segurança, compliance@trustthis.org para assuntos de conformidade, e parceiros@trustthis.org para oportunidades de parceria.

Mantemos um canal independente de ouvidoria através do e-mail ouvidoria@trustthis.org, com formulário anônimo disponível, processo estruturado de investigação e compromisso de resposta em até 15 dias úteis.

Esta Política de Privacidade é regida pela legislação brasileira, especialmente pela Lei Geral de Proteção de Dados (Lei nº 13.709/2018), Marco Civil da Internet (Lei nº 12.965/2014), Código de Defesa do Consumidor (Lei nº 8.078/1990) e Código Civil Brasileiro (Lei nº 10.406/2002).

A Autoridade Nacional de Proteção de Dados (ANPD) é o órgão competente para fiscalizar o cumprimento da LGPD no Brasil. Para entrar em contato com a ANPD, acesse o website gov.br/anpd ou envie e-mail para atendimento@anpd.gov.br.