Política de Privacidade — GADU Financeiro
Versão 1.0 · publicada em 2026-04-29
Controlador: [CONTROLADOR_RAZAO_SOCIAL] · CNPJ [CONTROLADOR_CNPJ] · [CONTROLADOR_ENDERECO]
1. Quem somos
[CONTROLADOR_RAZAO_SOCIAL] é a controladora dos dados pessoais tratados pelo sistema GADU Web, conforme a Lei Geral de Proteção de Dados (Lei 13.709/2018). Este sistema é instalado e operado nas dependências do cliente final ou em infraestrutura por ele contratada.
2. Quais dados pessoais tratamos
- De usuários do sistema: login, nome, email, hash de senha, registros de acesso (IP, máquina, data/hora) e histórico de ações.
- De pessoas vinculadas à propriedade rural (funcionários, motoristas, fornecedores PF, vendedores PF, responsáveis técnicos): nome, CPF/CNPJ, telefones, email, endereço, profissão e tipo de vínculo.
- Cookies funcionais de sessão (HttpOnly + Secure + SameSite=Strict). Não usamos cookies de tracking.
Não tratamos dados pessoais sensíveis (origem racial, saúde, biometria etc.).
3. Para que tratamos esses dados
- Identificação e contato das pessoas vinculadas à operação.
- Autenticação dos operadores no sistema.
- Trilha de auditoria das operações realizadas.
- Cumprimento de obrigações legais (fiscais, sanitárias, trabalhistas).
- Notificações operacionais por email, com possibilidade de opt-out.
4. Fundamento legal (LGPD art. 7)
Os tratamentos se fundamentam em: V — execução de contrato; II — cumprimento de obrigação legal; IX — legítimo interesse (segurança da informação e auditoria).
5. Por quanto tempo guardamos
- Auditoria de operações: 5 anos.
- Cadastro de usuários: indefinido enquanto vínculo ativo; após desligamento, anonimização ou eliminação ao fim do prazo prescricional fiscal.
- Cadastro de pessoas vinculadas: 5 anos após o término do vínculo, depois anonimização.
- Logs de segurança: 1 ano.
- Cookies de sessão: TTL do JWT (~15 min) e refresh de até 30 dias.
6. Com quem compartilhamos
Compartilhamos dados apenas com operadores contratados (provedor de hospedagem, SMTP, observabilidade) sob contrato com cláusulas LGPD, ou com autoridades competentes mediante ordem judicial ou requisição da ANPD. Não compartilhamos para fins comerciais nem publicitários.
7. Transferência internacional
Padrão: não há. Sistema é instalado localmente. Caso a hospedagem seja em data center fora do Brasil, comunicaremos previamente.
8. Seus direitos como titular (LGPD arts. 17 a 22)
Você pode, a qualquer momento:
- Confirmar a existência de tratamento dos seus dados.
- Acessar os seus dados.
- Corrigir dados incompletos, inexatos ou desatualizados.
- Anonimizar, bloquear ou eliminar dados desnecessários.
- Solicitar a portabilidade.
- Eliminar dados tratados com base no consentimento.
- Revogar consentimento.
- Opor-se ao tratamento baseado em legítimo interesse.
Para exercer qualquer desses direitos, contate o Encarregado:
- Nome: [DPO_NOME]
- Email: [DPO_EMAIL]
- Prazo de resposta: até 15 dias, prorrogável quando justificado.
9. Segurança
Aplicamos medidas técnicas e administrativas (LGPD art. 46):
- Cookies de sessão com HttpOnly, Secure e SameSite=Strict.
- Senhas armazenadas como hash bcrypt; suporte a 2FA (TOTP).
- HTTPS com HSTS preload em produção.
- Content Security Policy (CSP) com nonce e
strict-dynamic. - Validação de origem (anti-SSRF) e Content-Type estrito.
- Sanitização de payloads (XSS, prototype pollution).
- Limite de tamanho de payload (anti-DoS).
- Rate limiting nas rotas autenticadas.
- Auditoria automática de operações críticas.
10. Em caso de incidente
Em caso de incidente que possa acarretar risco ou dano relevante, comunicaremos a ANPD e os titulares afetados em prazo razoável. Você pode comunicar suspeita de incidente pelo email [DPO_EMAIL].
11. Atualizações desta política
A versão vigente é a publicada nesta página, com a data no topo. Mudanças materiais serão comunicadas por email (quando houver email cadastrado) ou em destaque na próxima sessão no sistema.