Política de Privacidade
Versão 1.0 — vigente desde 18 de abril de 2026 · Conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018)
1. Quem somos
A plataforma Cumply é operada pela Origo Tecnologia LTDA, inscrita no CNPJ [em processo de registro], com sede em Belo Horizonte/MG, doravante referida como "Cumply" (nome comercial) ou "Origo" (razão social).
Notas fiscais de serviço são emitidas em nome da Origo Tecnologia LTDA.
Encarregado de Dados (DPO): dpo@cumply.com.br
2. Papéis no tratamento de dados
| Dado tratado | Controlador | Operador |
|---|---|---|
| Cadastro da empresa contratante + usuários administradores | Origo Tecnologia LTDA | Origo Tecnologia LTDA |
| Dados dos colaboradores (nome, email, departamento) fornecidos pelo Contratante | Empresa Contratante | Origo Tecnologia LTDA |
| Respostas a questionários psicossociais (anonimizadas) | Empresa Contratante | Origo Tecnologia LTDA |
| Dados de pagamento (cartão, Pix, dados fiscais) | Empresa Contratante | Asaas (sub-operador) |
Para saber mais sobre os termos da relação controlador-operador, consulte o Data Processing Agreement (DPA).
3. Dados coletados
3.1 Do Contratante (pessoa jurídica + seus administradores)
- Identificação: CNPJ, razão social, nome fantasia, setor econômico (CNAE), porte, endereço fiscal.
- Conta: nome completo, email, telefone, cargo, senha criptografada (bcrypt).
- Financeiros: últimos 4 dígitos do cartão, ID Asaas, histórico de faturas. O Cumply não armazena números completos de cartão nem CVV.
- Uso: logs de login, IP, user-agent, páginas visitadas (para segurança e diagnóstico técnico).
3.2 Dos colaboradores
- Convite: nome, email profissional, departamento/função (fornecidos pelo Contratante).
- Respostas: respostas ao questionário COPSOQ-BR dissociadas do identificador individual. As respostas são armazenadas em formato agregado por dimensão e por grupo mínimo de 3 respondentes. Comentários livres são sanitizados (PII-redactor) antes do armazenamento.
O Contratante não vê quem respondeu o quê. A Plataforma agrega respostas em grupos mínimos e bloqueia visualização de recortes que permitiriam reidentificação.
Em diagnósticos marcados como anônimos pelo administrador, NÃO coletamos IP nem informações do navegador. Utilizamos apenas um identificador técnico de 24h que impede respostas duplicadas, mas não permite identificação da pessoa.
3.3 Cookies e tecnologias similares
- Essenciais: autenticação (sessão JWT), CSRF, preferências de tema.
- Analíticos: Google Analytics 4 (tráfego agregado, anonimizado por IP).
- Marketing: Meta Pixel e Google Ads, ativados apenas com consentimento explícito via banner.
4. Finalidade e base legal
- Execução do contrato (art. 7º V da LGPD): prestação do serviço contratado, emissão de NFSe, cobrança.
- Legítimo interesse (art. 7º IX): segurança da plataforma, prevenção a fraudes, melhorias de produto baseadas em uso agregado.
- Cumprimento de obrigação legal (art. 7º II): retenção fiscal (NFSe por 5 anos), registros de segurança.
- Consentimento (art. 7º I): cookies de marketing e analítico não-essencial, comunicações de marketing.
5. Compartilhamento com terceiros
O Cumply compartilha dados apenas com subprocessadores essenciais à entrega do serviço. A lista completa e atualizada está no Anexo do DPA. Principais:
- Hostinger Web Services Ltd. — hospedagem (servidores na União Europeia).
- Asaas Gestão Financeira S.A. — processamento de pagamentos e emissão de NFSe.
- Anthropic PBC — modelo de IA (Claude) para geração de textos de relatório, sob contrato que proíbe uso de dados para treinamento.
- Cloudflare, Inc. — CDN e proteção DDoS.
- Provedor de email transacional (Hostinger SMTP atualmente) — envio de emails.
6. Transferência internacional
Alguns subprocessadores operam fora do Brasil (Anthropic – Estados Unidos; Cloudflare – Estados Unidos; Hostinger – União Europeia). As transferências ocorrem sob salvaguardas contratuais adequadas (cláusulas contratuais padrão) conforme art. 33 da LGPD.
7. Retenção
| Dado | Retenção |
|---|---|
| Dados de conta ativa | Enquanto durar o contrato |
| Dados após cancelamento | 30 dias (janela de reativação) + exclusão |
| Respostas de questionário (agregadas) | 5 anos (valor probatório fiscalização) |
| Logs de segurança e acesso | 12 meses |
| Dados fiscais (faturas, NFSe) | 5 anos (obrigação legal) |
| Backups | 30 dias |
8. Direitos do titular (art. 18 da LGPD)
Todo titular tem direito a:
- Confirmação da existência de tratamento
- Acesso aos dados
- Correção de dados incompletos, inexatos ou desatualizados
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD
- Portabilidade dos dados
- Eliminação dos dados tratados com consentimento
- Informação sobre entidades com as quais o Cumply compartilhou seus dados
- Revogação do consentimento
Para exercer qualquer desses direitos, use a página de direitos LGPD no seu painel (requer login) ou envie email para dpo@cumply.com.br. Responderemos em até 15 dias corridos.
Usuários administradores podem exportar todos os dados da empresa em CSV/JSON diretamente em /meus-dados a qualquer momento, sem necessidade de solicitação.
9. Segurança
- Criptografia em trânsito (TLS 1.2+) e senhas em repouso (bcrypt cost 12)
- 2FA disponível para administradores e obrigatório para contadores parceiros
- Rate limiting em endpoints de autenticação
- Fail2ban + firewall UFW no servidor
- Backups diários criptografados
- Logs de auditoria de alterações sensíveis (tabela
risk_audit_log) - Política de senha forte (mínimo 10 caracteres, mistura exigida)
- Princípio do menor privilégio no RBAC (admin, manager, viewer)
10. Incidentes de segurança
Em caso de incidente que possa acarretar risco ou dano relevante aos titulares, o Cumply notificará a ANPD e os titulares afetados em prazo razoável (máximo 72 horas após a tomada de conhecimento), conforme art. 48 da LGPD.
11. Alterações desta Política
Alterações materiais serão comunicadas por email com 30 dias de antecedência. O histórico de versões fica disponível sob solicitação.
12. Contato
Encarregado de Dados (DPO): dpo@cumply.com.br
ANPD: gov.br/anpd