Compromisso LGPD

A LGPD é a régua. Esta página detalha como cumprimos cada exigência da Lei 13.709/2018 — sem vaguidade.

Esta página detalha o compromisso do FechaFácil com a Lei Geral de Proteção de Dados (Lei 13.709/2018). Para a política completa de tratamento de dados pessoais, veja a Política de Privacidade.

1. Papéis: controlador × operador

O FechaFácil atua em dois papéis distintos conforme o dado:

Cenário	FechaFácil é	Quem é controlador
Dados de cadastro do cliente FechaFácil (nome, e-mail, CNPJ)	Controlador	FechaFácil
Dados de signatários e tomadores das propostas (CPF, e-mail, IP)	Operador	O cliente FechaFácil

Ou seja: você (cliente FechaFácil) decide quais dados de signatários coletar e por quanto tempo manter. Nós apenas processamos esses dados segundo suas instruções, com o nível de segurança técnica descrito abaixo.

2. Bases legais por finalidade

A LGPD exige base legal específica para cada finalidade de tratamento. Veja a tabela detalhada na Política de Privacidade § 3.

Resumo das bases mais usadas:

Execução de contrato (art. 7º, V) — operação da plataforma.
Cumprimento de obrigação legal (art. 7º, II) — Lei 14.063/2020, Marco Civil, normas tributárias.
Legítimo interesse (art. 7º, IX) — prevenção a fraude, melhoria do produto. Nunca usado como base genérica para marketing comportamental.
Consentimento (art. 7º, I) — cookies de analytics, comunicações de marketing opcionais.

3. Medidas de segurança

Cumprimos o art. 46 da LGPD com as seguintes medidas técnicas e administrativas:

Técnicas

Criptografia em trânsito (TLS 1.3) e em repouso (AES-256).
Senhas hashed com bcrypt (fator de custo 12).
Isolamento de tenant em todas as queries (sem cross-tenant possível por design).
Backups diários criptografados, com teste de restauração mensal.
Logs de auditoria imutáveis para ações sensíveis (assinatura, exclusão, exportação).
Verificação de integridade do PDF assinado via hash SHA-256 + carimbo RFC 3161.

Administrativas

2FA obrigatório para toda equipe interna.
Acesso administrativo a workspace de cliente requer consentimento explícito.
Política interna de mesa limpa e tela limpa (clean desk).
Treinamento LGPD anual para todos colaboradores.
Contratos de confidencialidade (NDA) com todos colaboradores e terceirizados.

4. Acordo de Operador (Data Processing Agreement)

Quando o cliente FechaFácil é controlador (cenário típico), oferecemos Acordo de Operador (DPA) formal que detalha:

Escopo dos dados tratados em seu nome.
Subprocessadores autorizados (ver /privacidade § 5).
Medidas de segurança aplicáveis.
Procedimentos de atendimento a titulares e ANPD.
Cláusula de auditoria.

O DPA é gerado automaticamente para clientes Business. Clientes Pro podem solicitar via dpo@fechafacil.app sem custo.

5. Atendimento aos titulares

Quando um titular (signatário ou tomador) exerce direitos previstos no art. 18 da LGPD:

Se o titular contatar diretamente o FechaFácil mas o dado é de cliente nosso, encaminhamos a requisição ao cliente correspondente em até 24h.
Se o titular contatar o cliente, o cliente coordena conosco a resposta técnica (exportação, exclusão, retificação) usando ferramentas do painel ou API.
Em ambos os casos, mantemos log auditável da requisição e da resposta.

Prazo legal de resposta: 15 dias úteis.

6. Resposta a incidentes

Em caso de incidente de segurança que possa acarretar risco ou dano relevante a titulares, cumprimos o art. 48 da LGPD:

Detecção e contenção — em até 4 horas (meta interna).
Avaliação de impacto — em até 24 horas.
Notificação à ANPD — em até 72 horas.
Notificação ao cliente afetado — em paralelo à ANPD.
Notificação a titulares — quando exigido pela ANPD.
Relatório post-mortem público — em até 30 dias, no /blog.

7. Transferência internacional

A maioria dos dados é processada e armazenada no Brasil. Algumas exceções:

Resend (e-mail transacional) — servidores nos EUA / UE. Coberto por cláusulas-padrão contratuais aprovadas pelo art. 33 da LGPD.
FreeTSA (carimbo de tempo) — servidor na Áustria. Apenas o hash SHA-256 do PDF é enviado, sem conteúdo identificável.

Não realizamos transferência internacional de dados de signatários para finalidades não estritamente operacionais.

8. Auditoria e relatórios

Clientes Business têm direito a auditoria documental anual gratuita — enviamos relatório com:

Logs agregados de acesso administrativo ao seu workspace.
Lista de subprocessadores efetivamente acionados no período.
Eventuais incidentes de segurança que tenham afetado seu workspace.
Métricas de SLA atendido vs contratado.

Auditorias on-site ou independentes (por terceiro escolhido pelo cliente) podem ser realizadas com agendamento prévio de 30 dias e custos por conta do solicitante.

9. DPO e canal direto com a ANPD

Encarregado pelo Tratamento de Dados (DPO):
Nome: a designar (transição de governança em curso).
E-mail: dpo@fechafacil.app
Resposta em até 3 dias úteis para qualquer assunto LGPD.

Em caso de tratamento incompatível com a LGPD ou resposta insatisfatória do nosso DPO, o titular pode peticionar diretamente à ANPD — Autoridade Nacional de Proteção de Dados.