Política de Privacidade

SGS — Sistema de Gestão de Segurança · Última atualização: 25 de março de 2026

1. Controlador dos Dados

O SGS (Sistema de Gestao de Seguranca) e operado por GandraTecnologia, inscrita no CPF/CNPJ 150.823.026-98, com sede em Rua Alberto Cintra 35. Para fins da Lei Geral de Protecao de Dados (LGPD — Lei nº 13.709/2018), esta entidade atua como controladora dos dados pessoais tratados na plataforma.

Encarregado de protecao de dados (DPO): canal LGPD do controlador — privacidadesgs@outlook.com

2. Dados Coletados

Coletamos os dados estritamente necessários para a prestação do serviço:

Identificação: nome completo, CPF, e-mail, cargo/função.
Autenticação: hash de senha (argon2id), tokens JWT em cookie HttpOnly.
Dados de uso: logs de acesso, ações realizadas (trilha de auditoria).
Dados SST: documentos de segurança do trabalho inseridos pela sua empresa (APRs, PTAs, checklists, CATs, treinamentos, exames médicos).
Dispositivo: endereço IP, User-Agent (para detecção de sessões suspeitas).

3. Finalidades e Base Legal

Finalidade	Base Legal (LGPD)
Autenticação e controle de acesso	Art. 7º, II — execução de contrato
Gestão de documentos SST	Art. 7º, II — execução de contrato
Cumprimento de obrigações legais NR	Art. 7º, II — obrigação legal
Trilha de auditoria e segurança	Art. 7º, IX — legítimo interesse
Envio de alertas e notificações	Art. 7º, II — execução de contrato
Melhoria do serviço (analytics internos)	Art. 7º, IX — legítimo interesse

4. Compartilhamento de Dados

Seus dados não são vendidos. Compartilhamos apenas com:

Provedores de infraestrutura: Railway (hospedagem), AWS S3 (armazenamento de arquivos) — localizados fora do Brasil, com cláusulas contratuais adequadas.
Serviço de e-mail: Resend / Brevo — apenas para disparo de notificações operacionais.
Autoridades públicas: quando exigido por lei ou ordem judicial.

Inteligência Artificial (Sophie): quando habilitada pela sua organização, dados relevantes podem ser processados pela API da OpenAI. Esta funcionalidade requer aceitação de termos específicos e só é ativada após formalização de contrato de processamento de dados (DPA) com a OpenAI.

5. Retenção de Dados

Dados de conta ativa: enquanto o contrato estiver vigente.
Documentos SST: mínimo de 5 anos (conforme NR-1 e legislação trabalhista).
Logs de auditoria (trilha forense): 7 anos.
Após encerramento do contrato: exclusão ou anonimização em até 90 dias, salvo obrigação legal.

6. Seus Direitos (LGPD Art. 18)

Você tem direito a:

Confirmação e acesso aos dados que possuímos sobre você.
Portabilidade dos seus dados em formato estruturado (disponível via Configurações → Exportar meus dados).
Correção de dados inexatos ou desatualizados.
Eliminação dos dados tratados com base em consentimento.
Revogação do consentimento para funcionalidades opcionais (ex.: IA).
Oposição ao tratamento baseado em legítimo interesse.

Para exercer seus direitos, contate: privacidadesgs@outlook.com — resposta em ate 15 dias corridos.

7. Segurança

Adotamos as seguintes medidas técnicas e organizacionais: criptografia em trânsito (TLS 1.2+), hash de senhas com argon2id (fator de custo elevado), autenticação via tokens JWT de curta duração (15 min) em cookies HttpOnly/Secure, Row-Level Security no banco de dados para isolamento multi-tenant, e trilha de auditoria imutável com encadeamento de hashes.

8. Cookies

Utilizamos apenas cookies estritamente necessários para a sessão autenticada (token de acesso e refresh token em cookies HttpOnly). Não utilizamos cookies de rastreamento de terceiros ou publicidade.

9. Alterações nesta Política

Reservamo-nos o direito de atualizar esta política periodicamente. Alterações relevantes serão comunicadas via e-mail e/ou notificação na plataforma com antecedência mínima de 30 dias. A data da última atualização está sempre indicada no topo desta página.

10. Contato e ANPD

Em caso de dúvidas ou para exercer seus direitos: privacidadesgs@outlook.com

Você também pode peticionar à Autoridade Nacional de Proteção de Dados (ANPD): www.gov.br/anpd