Legal

Conformidade LGPD.

Última atualização: 18 de abril de 2026.

1. Nosso compromisso

A Automatiza é construída e operada em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), observando os princípios de finalidade, adequação, necessidade, livre acesso, qualidade, transparência, segurança, prevenção, não discriminação e responsabilização.

2. Papéis na relação de tratamento

Você (empresa contratante) — Controlador

Sua empresa é controladora dos dados pessoais dos seus clientes, funcionários, prospects e demais titulares cadastrados na Plataforma. A você cabe decidir quais dados coletar, para qual finalidade e por quanto tempo tratá-los.

Automatiza (Scorp Digital) — Operador

Atuamos como operadora, processando os dados inseridos estritamente dentro das instruções contratuais — para viabilizar a funcionalidade da Plataforma, emitir documentos fiscais, processar folha de pagamento, etc.

Em resumo: os dados que sua empresa insere na Plataforma são seus. Não vendemos, alugamos, cedemos ou usamos para publicidade. Tratamos apenas para entregar o serviço contratado.

3. Bases legais utilizadas

Para cada finalidade de tratamento, aplicamos a base legal adequada conforme o art. 7º da LGPD:

  • Execução de contrato — prestação do serviço SaaS contratado;
  • Obrigação legal — emissão de documentos fiscais, retenção de dados fiscais por 5 anos, cumprimento de ordens judiciais;
  • Legítimo interesse — segurança da Plataforma, prevenção a fraudes, melhorias de produto com dados agregados e anonimizados;
  • Consentimento — comunicações de marketing opcionais, cookies não essenciais;
  • Proteção ao crédito — quando aplicável a relações comerciais diretas.

4. Subprocessadores

Utilizamos os seguintes subprocessadores contratuais, todos sob acordo de proteção de dados (DPA):

  • Hospedagem e infraestrutura — provedor em território nacional, São Paulo/SP;
  • CDN e mitigação DDoS — Cloudflare (nível de segurança de rede);
  • E-mails transacionais — Stalwart (autohospedado) e SendGrid;
  • SEFAZ — Receita Federal e Secretarias estaduais para NF-e/NFC-e;
  • Instituições financeiras — bancos autorizados pelo BCB para PIX e boletos;
  • WhatsApp Business — Meta/WhatsApp, via Evolution API (quando o módulo estiver ativo);
  • Provedores de IA — Anthropic (Claude) e Google (Gemini), usados em funcionalidades de geração de conteúdo, scoring de leads e análise preditiva — sempre com prompts redigidos para não expor dados pessoais sensíveis.

A lista é atualizada sempre que um novo subprocessador é contratado, com aviso prévio aos clientes.

5. Transferência internacional

Alguns subprocessadores (Cloudflare, Anthropic, Google) operam infraestrutura fora do Brasil. Essas transferências seguem o art. 33 da LGPD, baseadas em cláusulas contratuais padrão e adequação dos países de destino, ou no consentimento específico quando exigido.

Os dados operacionais primários — banco de dados principal, documentos fiscais, backups — permanecem em território nacional.

6. Direitos do titular

Os titulares de dados pessoais tratados na Plataforma podem exercer, nos termos dos arts. 17 a 22 da LGPD:

  1. Confirmação da existência de tratamento;
  2. Acesso aos dados;
  3. Correção de dados incompletos, inexatos ou desatualizados;
  4. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
  5. Portabilidade a outro fornecedor de serviço;
  6. Eliminação dos dados tratados com consentimento;
  7. Informação sobre compartilhamento e subprocessadores;
  8. Revogação do consentimento;
  9. Oposição a tratamento realizado com fundamento em legítimo interesse.

Para exercer os direitos, o titular deve se identificar e detalhar a solicitação via dpo@scorp.digital. Respondemos em até 15 dias corridos.

7. Medidas técnicas de segurança

  • Isolamento multi-tenant por CNPJ (impossível um cliente ler dados de outro);
  • Senhas armazenadas com hash bcrypt de fator 12;
  • Autenticação baseada em JWT curto (15 min) + refresh rotacionado (7 dias);
  • Cookies httpOnly, Secure, SameSite para mitigar XSS e CSRF;
  • TLS 1.3 com HSTS e certificados renovados automaticamente;
  • Auditoria de acessos privilegiados com retenção de logs por 12 meses;
  • Backups criptografados diários com rotação de 30 dias;
  • Testes de intrusão (pentest) trimestrais e correção prioritária de achados;
  • Hardening de infraestrutura seguindo CIS Benchmarks.

8. Incidentes de segurança

Em caso de incidente envolvendo dados pessoais — vazamento, acesso não autorizado, perda de integridade — seguimos o procedimento:

  1. Contenção imediata e investigação forense;
  2. Comunicação à ANPD em até 72 horas a partir da ciência, conforme resoluções vigentes;
  3. Comunicação aos titulares afetados de forma clara, descrevendo natureza do incidente, dados envolvidos, medidas adotadas e recomendações;
  4. Relatório pós-incidente (RCA) publicado para clientes afetados.

9. Encarregado de proteção de dados (DPO)

Nomeamos Encarregado para atuar como canal de comunicação entre a empresa, os titulares e a ANPD:

  • E-mail: dpo@scorp.digital
  • Horário de atendimento: dias úteis, 9h–18h (horário de Brasília)

10. Autoridade de controle

Em caso de discordância sobre como tratamos seus dados, o titular pode apresentar reclamação à Autoridade Nacional de Proteção de Dados:

www.gov.br/anpd

Documentos relacionados: Termos de Uso · Política de Privacidade.