Política de Privacidade - Compliance Shield

1. Introdução e Identificação do Controlador

1.1. A Compliance Shield Ltda. (doravante denominada "Controladora" ou "Compliance Shield"), pessoa jurídica de direito privado, inscrita no CNPJ sob nº 60.124.464/0001-31, com sede na cidade de São Luís, Estado do Maranhão, Brasil, atua como Controladora de Dados Pessoais nos termos do Art. 5º, VII, da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD).

1.2. A presente Política de Privacidade tem por objetivo informar de forma transparente, clara e adequada aos titulares de dados pessoais sobre:

(i) as finalidades do tratamento de dados pessoais realizados pela Controladora;
(ii) as categorias de dados pessoais coletados e tratados;
(iii) a base legal que fundamenta cada tratamento;
(iv) os direitos dos titulares previstos no Art. 18 da LGPD;
(v) as medidas de segurança técnicas e administrativas adotadas;
(vi) a identificação e contato do Encarregado (DPO); e
(vii) as hipóteses de compartilhamento de dados com terceiros.

1.3. Esta Política aplica-se a todos os usuários da plataforma SaaS da Compliance Shield (doravante denominada "Plataforma"), inclusive pessoas físicas (empreendedores) e pessoas jurídicas (startups e PMEs) que utilizem os serviços da Controladora, bem como a visitantes do site, prospectos, fornecedores, parceiros e demais stakeholders.

1.4. O acesso e uso da Plataforma implica a aceitação integral desta Política de Privacidade.

2. Dados Coletados e Categorias de Tratamento

A Controladora coleta e trata as seguintes categorias de dados pessoais:

2.1. Dados de Cadastro e Identificação

Categoria	Exemplos	Finalidade	Base Legal
Dados pessoais básicos	Nome completo, e-mail, telefone, CPF, CNPJ, endereço, cargo/função	Identificação do usuário, criação de conta, autenticação, comunicação institucional	Execução de contrato (Art. 7º, I) e legítimo interesse (Art. 7º, IX)
Dados de representação legal	Nome do representante, poder de representação, documento de identificação, assinatura digitalizada	Validação da legitimidade da representação perante pessoa jurídica	Execução de contrato (Art. 7º, I) e cumprimento de obrigação legal (Art. 7º, II)
Dados profissionais	Profissão, empresa vinculada, área de atuação	Prestação de serviços especializados, segmentação de funcionalidades	Execução de contrato (Art. 7º, I)

2.2. Dados de Uso da Plataforma e Logs Técnicos

Categoria	Exemplos	Finalidade	Base Legal
Dados de acesso e autenticação	IP, user-agent, horário de acesso, geolocalização aproximada, dispositivo, navegador	Segurança, prevenção de fraudes, auditoria de acesso, melhoria da experiência	Legítimo interesse (Art. 7º, IX) e segurança (Art. 7º, VI)
Dados de uso da Plataforma	Funcionalidades acessadas, tempo de sessão, documentos gerados, configurações	Melhoria contínua, analytics, desenvolvimento de novas funcionalidades com IA	Legítimo interesse (Art. 7º, IX) e execução de contrato (Art. 7º, I)
Metadados documentais	Tipo de documento, data de criação/modificação, tamanho do arquivo, hash de integridade	Gestão documental, versionamento, recuperação de documentos	Execução de contrato (Art. 7º, I)

2.3. Dados Financeiros e de Pagamento

Categoria	Exemplos	Finalidade	Base Legal
Dados de faturamento	Nome da empresa, CNPJ, endereço de cobrança, e-mail para fatura	Emissão de notas fiscais, cobrança, gestão de assinatura	Execução de contrato (Art. 7º, I)
Dados de pagamento	Últimos dígitos do cartão, histórico de transações, status de pagamento	Processamento de pagamentos via Asaas, prevenção de fraudes	Execução de contrato (Art. 7º, I) e obrigação legal (Art. 7º, II)

Observação: A Controladora NÃO armazena dados completos de cartão de crédito. O processamento de pagamentos é realizado integralmente pela Asaas, operadora especializada e contratada como Operadora de Dados, conforme previsto no Art. 28 da LGPD.

2.4. Dados Gerados pela Plataforma (Conteúdo dos Usuários)

Categoria	Exemplos	Finalidade	Base Legal
Dados contratuais e jurídicos	Cláusulas contratuais, dados das partes contratantes, documentos jurídicos gerados	Automação de contratos, gestão de compliance, geração de documentos jurídicos	Execução de contrato (Art. 7º, I)
Dados de compliance regulatório	Obrigações legais identificadas, prazos regulatórios, matrizes de risco, plano de ação LGPD	Gestão de compliance regulatório, monitoramento de obrigações	Execução de contrato (Art. 7º, I)
Dados de direito empresarial	Atas de reunião, registros societários, estatuto social, contrato social, alterações contratuais	Gestão de obrigações societárias, compliance corporativo	Execução de contrato (Art. 7º, I)

2.5. Dados Sensíveis (Tratamento Excepcional)

A Controladora NÃO coleta nem trata dados sensíveis nos termos do Art. 5º, II, da LGPD (origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dado genético ou biométrico), salvo quando expressamente fornecidos pelo titular para finalidades específicas e com consentimento explícito (Art. 11, II, "a").

Em caso eventual de tratamento de dados sensíveis, será obtido consentimento específico e destacado do titular, com informação clara sobre as finalidades, e o tratamento será realizado em estrita conformidade com o Art. 11 da LGPD.

3. Finalidades do Tratamento de Dados

A Controladora trata dados pessoais exclusivamente para as seguintes finalidades específicas, em conformidade com o princípio da finalidade do Art. 6º, I, da LGPD:

3.1. Prestação de Serviços e Execução Contratual

Criação e gestão de conta de usuário na Plataforma;
Autenticação e autorização de acesso à Plataforma;
Fornecimento dos serviços SaaS conforme plano contratado (gestão de compliance, automação de contratos, gestão societária, CRM jurídico, gestão documental);
Emissão de faturas e cobrança de assinaturas;
Suporte técnico e atendimento ao cliente;
Manutenção e atualização dos serviços contratados.

Base legal: Execução de contrato (Art. 7º, I, da LGPD).

3.2. Segurança e Prevenção de Fraudes

Monitoramento de acessos e detecção de atividades suspeitas;
Prevenção e combate a fraudes, invasões de conta e uso não autorizado;
Proteção da integridade da Plataforma e dos dados dos usuários;
Registro de logs de segurança para auditoria e investigação de incidentes;
Aplicação das medidas técnicas e administrativas de segurança previstas no Art. 46 da LGPD.

Base legal: Segurança (Art. 7º, VI, da LGPD) e legítimo interesse (Art. 7º, IX).

3.3. Melhoria Contínua e Desenvolvimento de Produtos

Análise de uso da Plataforma (analytics) para identificar padrões e melhorar a experiência do usuário;
Desenvolvimento de novas funcionalidades com base nas necessidades dos usuários;
Treinamento e aprimoramento de modelos de linguagem (LLMs) utilizados na automação jurídica com IA;
Pesquisa e desenvolvimento de novas soluções de LegalTech;
Estatísticas anonimizadas sobre uso da Plataforma.

Base legal: Legítimo interesse (Art. 7º, IX, da LGPD), desde que não prevaleçam os direitos e liberdades do titular.

3.4. Cumprimento de Obrigações Legais e Regulatórias

Cumprimento de obrigações fiscais e contábeis;
Atendimento a requisições judiciais ou administrativas por autoridade competente;
Comunicação de incidentes de segurança à ANPD e aos titulares, quando aplicável (Art. 48 da LGPD);
Cumprimento do dever de transparência previsto no Art. 6º, III, da LGPD.

Base legal: Cumprimento de obrigação legal (Art. 7º, II, da LGPD).

3.5. Marketing e Comunicação Comercial (com consentimento)

Envio de newsletter com atualizações sobre a Plataforma, funcionalidades novas e conteúdos jurídicos relevantes;
Comunicação sobre eventos, webinars e treinamentos relacionados a compliance e LGPD;
Pesquisas de satisfação e NPS (Net Promoter Score);
Ofertas de planos upgraded ou serviços complementares.

Base legal: Consentimento (Art. 7º, I, da LGPD), obtido de forma livre, informada e inequívoca, com possibilidade de revogação a qualquer tempo (Art. 8º, § 5º).

4. Compartilhamento de Dados com Terceiros

A Controladora NÃO vende, aluga ou comercializa dados pessoais de titulares. O compartilhamento de dados ocorre exclusivamente nas seguintes hipóteses, em conformidade com o Art. 7º e Art. 11 da LGPD:

4.1. Operadores de Dados (Prestadores de Serviço)

Operador	Finalidade	Dados Compartilhados	Base Legal
Amazon Web Services (AWS)	Hospedagem e armazenamento em AWS S3	Dados de cadastro, logs, documentos jurídicos, metadados	Execução de contrato (Art. 7º, I)
Asaas	Processamento de pagamentos e gestão de assinaturas	Dados de faturamento, últimos dígitos do cartão, histórico de transações	Execução de contrato (Art. 7º, I)
Serviços de e-mail transacional	Envio de e-mails de confirmação, recuperação de senha, notificações	Nome, e-mail, ID de usuário	Execução de contrato (Art. 7º, I)
Ferramentas de analytics	Análise de uso da Plataforma	IP (anonimizado), dados de navegação, eventos de uso	Legítimo interesse (Art. 7º, IX)

4.2. Autoridades Públicas e Órgãos Reguladores

A Controladora pode compartilhar dados pessoais com autoridades públicas quando obrigatório por lei, houver ordem judicial ou mandado válido, ou for necessário para investigação de ilícitos ou defesa jurídica da Controladora.

4.3. Sucessão Empresarial e Fusões/Aquisições

Em hipótese de fusão, aquisição, cisão ou integração empresarial, os dados pessoais podem ser transferidos ao sucessor jurídico, desde que o sucessor adote políticas equivalentes, os titulares sejam informados e a transferência respeite as finalidades originais.

5. Transferência Internacional de Dados

A Controladora utiliza servidores e serviços de Amazon Web Services (AWS) localizados no exterior, o que caracteriza transferência internacional de dados pessoais nos termos do Art. 33 da LGPD.

A transferência internacional é realizada com base nas seguintes garantias:

Compromisso de conformidade do operador externo com os princípios e direitos da LGPD;
Cláusulas contratuais padronizadas (Standard Contractual Clauses) entre Controladora e Operador;
Medidas de segurança técnicas adequadas (criptografia em trânsito e em repouso, controle de acesso, pseudonimização);
Compromisso de nível de serviço (SLA) com garantias de proteção de dados.

6. DPO (Encarregado de Dados) e Contato

E-mail do DPO: dpo@complianceshield.com.br

Prazo de resposta: Até 3 (três) dias úteis

Os titulares podem entrar em contato com o DPO para exercer direitos previstos no Art. 18 da LGPD, reportar incidentes de segurança ou uso indevido de dados, e revogar consentimento (quando aplicável).

7. Direitos dos Titulares de Dados

Conforme Art. 18 da LGPD, todo titular de dados pessoais tem os seguintes direitos:

Direito	Descrição	Como Exercer
Confirmação e acesso	Confirmação da existência de tratamento e acesso aos dados	Solicitar ao DPO por e-mail
Correção	Retificação de dados incompletos, inexatos ou desatualizados	Solicitar ao DPO com informações atualizadas
Anonimização, bloqueio ou eliminação	Eliminação de dados tratados indevidamente ou desnecessários	Solicitar ao DPO, fundamentando o pedido
Portabilidade	Transferência de dados a outro fornecedor	Solicitar ao DPO (formato estruturado)
Eliminação com consentimento	Exclusão de dados tratados com base em consentimento	Solicitar ao DPO com revogação
Informação sobre compartilhamento	Informação sobre entidades com quem dados foram compartilhados	Solicitar ao DPO
Revogação do consentimento	Revogação a qualquer tempo (Art. 8º, § 5º)	Solicitar ao DPO ou funcionalidade na Plataforma
Revisão de decisões automatizadas	Revisão de decisões por tratamento automatizado (Art. 20)	Solicitar ao DPO com fundamentação

A Controladora responderá aos pedidos em até 15 (quinze) dias, prorrogáveis por igual período. O exercício dos direitos é gratuito, salvo pedido excessivo ou infundado.

8. Medidas de Segurança e Incidentes de Dados

8.1. Medidas Técnicas

Criptografia em repouso: Dados armazenados no AWS S3 criptografados com AES-256;
Criptografia em trânsito: Comunicação via TLS 1.3 (HTTPS) em toda a Plataforma;
Controle de acesso baseado em função (RBAC): Autenticação com múltiplo fator (MFA) para administradores;
Pseudonimização: Dados sensíveis mascarados quando possível;
Backups criptografados: Cópias de segurança realizadas diariamente;
Monitoramento contínuo: SIEM para detecção de ameaças;
Testes de segurança: Pentests periódicos e varreduras de vulnerabilidade.

8.2. Medidas Administrativas

Políticas internas de segurança da informação e LGPD;
Treinamento obrigatório de funcionários sobre proteção de dados;
Contratos de confidencialidade (NDA) com funcionários e parceiros;
Gestão de incidentes: procedimento interno para tratamento de violações;
Revisão periódica de controles de segurança (a cada 6 meses).

8.3. Comunicação de Incidentes

Em caso de incidente de segurança que possa acarretar risco ou dano relevante (Art. 48 da LGPD), a Controladora comunicará imediatamente à ANPD no prazo de 2 (dois) dias úteis e ao titular afetado de forma clara e adequada.

9. Consentimento e Revogação

9.1. Quando o tratamento for baseado em consentimento, este será obtido de forma livre, informada e inequívoca, por ação afirmativa do titular.

9.2. O titular poderá revogar o consentimento a qualquer tempo (Art. 8º, § 5º), mediante solicitação ao DPO ou por funcionalidade na Plataforma. A revogação não invalida tratamentos anteriores e, após a revogação, a Controladora eliminará os dados tratados com base no consentimento, salvo quando houver outra base legal aplicável.

10. Retenção e Eliminação de Dados

Categoria	Período de Retenção	Justificativa
Dados de cadastro e autenticação	Conta ativa + 5 anos após encerramento	Prescrição civil (Código Civil, Art. 206)
Dados financeiros e de pagamento	5 anos após última transação	Obrigação fiscal (CTN)
Logs de segurança e acesso	1 ano	Marco Civil da Internet (Art. 15)
Documentos jurídicos gerados	Conta ativa + 10 anos após rescisão	Prescrição contratual (Código Civil)
Dados de analytics (anonimizados)	Indefinidamente	Dados anonimizados não são dados pessoais (Art. 12, § 3º)
Dados de marketing (com consentimento)	Até revogação do consentimento	Consentimento (Art. 7º, I)

11. Cookies e Tecnologias de Rastreamento

Tipo	Finalidade	Duração	Consentimento
Essenciais	Funcionamento da Plataforma, autenticação	Sessão	NÃO necessário
Funcionais	Preferências do usuário	1 ano	NÃO necessário
Analytics	Análise de uso	2 anos	SIM
Marketing	Remarketing, campanhas	6 meses	SIM

12. Tratamento Automatizado e Tomada de Decisão por IA

12.1. A Plataforma utiliza modelos de linguagem (LLMs) e inteligência artificial para automação de contratos, geração de cláusulas, recomendações de compliance, classificação inteligente de documentos e CRM jurídico com sugestões automatizadas.

12.2. Garantias do Art. 20 da LGPD: O titular tem direito a solicitar revisão de decisões automatizadas que afetem seus interesses, ser informado sobre os critérios da automatização e ter decisão humana quando solicitar revisão.

12.3. A Controladora não toma decisões automatizadas que resultem em exclusão de acesso, rescisão de contrato ou negativa de serviço sem revisão humana prévia.

13. Alterações desta Política

Alterações relevantes serão comunicadas aos titulares por e-mail ou notificação na Plataforma. A data de última atualização será informada no cabeçalho. O uso continuado da Plataforma após alteração implica aceitação das novas condições. Se o titular discordar, poderá encerrar a conta e solicitar eliminação de dados.

14. Disposições Gerais e Foro

14.1. Esta Política é regida pela legislação brasileira, especialmente a LGPD (Lei nº 13.709/2018), o Código Civil (Lei nº 10.406/2002), o CDC (Lei nº 8.078/1990) — quando aplicável —, e o Marco Civil da Internet (Lei nº 12.965/2014).

14.2. Fica eleito o foro da Comarca de São Luís, Estado do Maranhão, para análise de qualquer questão decorrente desta Política, com renúncia expressa a qualquer outro, por mais privilegiado que seja, nos termos do Art. 63 do Código de Processo Civil.