Política de Privacidade
Versão 1.0 — vigente desde 18 de abril de 2026 · Conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018)
1. Quem somos
A plataforma Cumply é operada pela Origo Tecnologia LTDA, inscrita no CNPJ [em processo de registro], com sede em Belo Horizonte/MG, doravante referida como "Cumply" (nome comercial) ou "Origo" (razão social).
Notas fiscais de serviço são emitidas em nome da Origo Tecnologia LTDA.
Encarregado de Dados (DPO): dpo@cumply.com.br
2. Papéis no tratamento de dados
| Dado tratado | Controlador | Operador |
|---|---|---|
| Cadastro da empresa contratante + usuários administradores | Origo Tecnologia LTDA | Origo Tecnologia LTDA |
| Dados dos colaboradores (nome, email, departamento) fornecidos pelo Contratante | Empresa Contratante | Origo Tecnologia LTDA |
| Respostas a questionários psicossociais (anonimizadas) | Empresa Contratante | Origo Tecnologia LTDA |
| Dados de pagamento (cartão, Pix, dados fiscais) | Empresa Contratante | Asaas (sub-operador) |
Para saber mais sobre os termos da relação controlador-operador, consulte o Data Processing Agreement (DPA).
3. Dados coletados
3.1 Do Contratante (pessoa jurídica + seus administradores)
- Identificação: CNPJ, razão social, nome fantasia, setor econômico (CNAE), porte, endereço fiscal.
- Conta: nome completo, email, telefone, cargo, senha criptografada (bcrypt).
- Financeiros: últimos 4 dígitos do cartão, ID Asaas, histórico de faturas. O Cumply não armazena números completos de cartão nem CVV.
- Uso: logs de login, IP, user-agent, páginas visitadas (para segurança e diagnóstico técnico).
3.2 Dos colaboradores
- Convite: nome, email profissional, departamento/função (fornecidos pelo Contratante).
- Respostas: respostas ao questionário COPSOQ-BR dissociadas do identificador individual. As respostas são armazenadas em formato agregado por dimensão e por grupo mínimo de 3 respondentes. Comentários livres são sanitizados (PII-redactor) antes do armazenamento.
O Contratante não vê quem respondeu o quê. A Plataforma agrega respostas em grupos mínimos e bloqueia visualização de recortes que permitiriam reidentificação.
3.3 Cookies e tecnologias similares
- Essenciais: autenticação (sessão JWT), CSRF, preferências de tema.
- Analíticos: Google Analytics 4 (tráfego agregado, anonimizado por IP).
- Marketing: Meta Pixel e Google Ads, ativados apenas com consentimento explícito via banner.
4. Finalidade e base legal
- Execução do contrato (art. 7º V da LGPD): prestação do serviço contratado, emissão de NFSe, cobrança.
- Legítimo interesse (art. 7º IX): segurança da plataforma, prevenção a fraudes, melhorias de produto baseadas em uso agregado.
- Cumprimento de obrigação legal (art. 7º II): retenção fiscal (NFSe por 5 anos), registros de segurança.
- Consentimento (art. 7º I): cookies de marketing e analítico não-essencial, comunicações de marketing.
5. Compartilhamento com terceiros
O Cumply compartilha dados apenas com subprocessadores essenciais à entrega do serviço. A lista completa e atualizada está no Anexo do DPA. Principais:
- Hostinger Web Services Ltd. — hospedagem (servidores na União Europeia).
- Asaas Gestão Financeira S.A. — processamento de pagamentos e emissão de NFSe.
- Anthropic PBC — modelo de IA (Claude) para geração de textos de relatório, sob contrato que proíbe uso de dados para treinamento.
- Cloudflare, Inc. — CDN e proteção DDoS.
- Provedor de email transacional (Hostinger SMTP atualmente) — envio de emails.
6. Transferência internacional
Alguns subprocessadores operam fora do Brasil (Anthropic – Estados Unidos; Cloudflare – Estados Unidos; Hostinger – União Europeia). As transferências ocorrem sob salvaguardas contratuais adequadas (cláusulas contratuais padrão) conforme art. 33 da LGPD.
7. Retenção
| Dado | Retenção |
|---|---|
| Dados de conta ativa | Enquanto durar o contrato |
| Dados após cancelamento | 30 dias (janela de reativação) + exclusão |
| Respostas de questionário (agregadas) | 5 anos (valor probatório fiscalização) |
| Logs de segurança e acesso | 12 meses |
| Dados fiscais (faturas, NFSe) | 5 anos (obrigação legal) |
| Backups | 30 dias |
8. Direitos do titular (art. 18 da LGPD)
Todo titular tem direito a:
- Confirmação da existência de tratamento
- Acesso aos dados
- Correção de dados incompletos, inexatos ou desatualizados
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD
- Portabilidade dos dados
- Eliminação dos dados tratados com consentimento
- Informação sobre entidades com as quais o Cumply compartilhou seus dados
- Revogação do consentimento
Para exercer qualquer desses direitos, envie email para dpo@cumply.com.br. Responderemos em até 15 dias corridos.
Usuários administradores podem exportar todos os dados da empresa em CSV/Excel diretamente pelo painel, a qualquer momento, sem necessidade de solicitação.
9. Segurança
- Criptografia em trânsito (TLS 1.2+) e senhas em repouso (bcrypt cost 12)
- 2FA disponível para administradores e obrigatório para contadores parceiros
- Rate limiting em endpoints de autenticação
- Fail2ban + firewall UFW no servidor
- Backups diários criptografados
- Logs de auditoria de alterações sensíveis (tabela
risk_audit_log) - Política de senha forte (mínimo 10 caracteres, mistura exigida)
- Princípio do menor privilégio no RBAC (admin, manager, viewer)
10. Incidentes de segurança
Em caso de incidente que possa acarretar risco ou dano relevante aos titulares, o Cumply notificará a ANPD e os titulares afetados em prazo razoável (máximo 72 horas após a tomada de conhecimento), conforme art. 48 da LGPD.
11. Alterações desta Política
Alterações materiais serão comunicadas por email com 30 dias de antecedência. O histórico de versões fica disponível sob solicitação.
12. Contato
Encarregado de Dados (DPO): dpo@cumply.com.br
ANPD: gov.br/anpd