public.legal.privacyTitle

1. INFORMAÇÕES GERAIS Esta Política de Privacidade tem como objetivo informar como coletamos, utilizamos, armazenamos e protegemos seus dados pessoais ao utilizar a plataforma de Canal de Denúncias ETIVOX, em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD — Lei nº 13.709/2018). 2. CONTROLADOR DOS DADOS O controlador dos dados pessoais é a empresa contratante do Canal de Denúncias ETIVOX. Para exercer seus direitos como titular de dados, entre em contato com o Encarregado de Dados (DPO) pelo e-mail: dpo@etivox.com.br. 3. DADOS PESSOAIS COLETADOS 3.1. Em denúncias identificadas, podemos coletar: • Nome completo • CPF • E-mail • Telefone • Localização (Estado e Cidade) • Descrição dos fatos • Evidências (fotos, vídeos, documentos) 3.2. Em denúncias anônimas, não coletamos dados de identificação pessoal. A plataforma é projetada para que a opção anônima seja oferecida como padrão. 3.3. Dados de administradores e operadores do canal: • Nome completo, e-mail, telefone/WhatsApp (opcional), senha (armazenada com hash bcrypt) • Dados de sessão: endereço IP, navegador, dispositivo, horário de acesso, última atividade • Preferências de notificação por canal (in-app, push web, e-mail, WhatsApp, webhook) • Subscriptions de Push Web (endpoint do navegador, chave pública, token de autenticação) — necessários para o envio de notificações push 3.4. Dados de navegação: metadados técnicos podem ser registrados para fins de segurança (IP, user-agent), conforme Art. 7, inciso IX da LGPD. 4. FINALIDADES DO TRATAMENTO Os dados pessoais são tratados exclusivamente para: • Recebimento, registro e acompanhamento de denúncias • Condução de investigações internas pela empresa contratante • Comunicação com o denunciante sobre o andamento da apuração • Cumprimento de obrigações legais e regulatórias • Geração de estatísticas agregadas e anonimizadas • Classificação automática de severidade e urgência por inteligência artificial (IA), utilizando apenas o texto da denúncia (sem dados pessoais) • Notificação de eventos relevantes aos administradores através de múltiplos canais (in-app, push web, e-mail, WhatsApp, webhook) • Monitoramento de sessões ativas para segurança da plataforma • Alteração de natureza da denúncia (anônima ↔ identificada) por solicitação voluntária do denunciante 5. BASE LEGAL (Art. 7 — LGPD) • Consentimento do titular (Art. 7, I) — para denúncias identificadas e alteração de anônima para identificada • Cumprimento de obrigação legal (Art. 7, II) — Lei nº 14.457/2022 (Canal de Denúncias obrigatório) • Legítimo interesse (Art. 7, IX) — para denúncias anônimas, segurança da plataforma e classificação por IA • Exercício regular de direitos em processo (Art. 7, VI) 6. COMPARTILHAMENTO DE DADOS Os dados pessoais poderão ser compartilhados com: • Colaboradores autorizados da empresa contratante, responsáveis pela investigação • Autoridades competentes, mediante determinação legal ou judicial • Prestadores de serviço técnico (infraestrutura), sob contrato de confidencialidade Os dados NÃO são vendidos, comercializados ou cedidos a terceiros para fins de marketing. 6.1. Classificação automática por inteligência artificial: A Plataforma utiliza provedores de IA (Google Gemini ou OpenAI, conforme configuração) para classificar automaticamente denúncias. Os dados compartilhados com a IA são exclusivamente: • Texto da denúncia (descrição dos fatos) • Categoria e localização da denúncia Os seguintes dados NUNCA são compartilhados com provedores de IA: • Nome, CPF, e-mail ou telefone do denunciante • Evidências, anexos ou arquivos • Dados de identificação de qualquer pessoa mencionada Os provedores de IA operam como sub-processadores, sob obrigações contratuais de confidencialidade e proteção de dados. O processamento é realizado via API segura (HTTPS) e os dados não são retidos pelo provedor após o processamento. 6.2. Notificações multicanal: Os administradores podem receber notificações sobre eventos do sistema através dos seguintes canais, conforme suas preferências individuais: • Centro de notificações interno (in-app) — armazenado no banco de dados • Push web (tecnologia VAPID) — requer consentimento do navegador; dados do subscription armazenados criptografados • E-mail (via servidor SMTP configurado pela empresa contratante) • WhatsApp (via integração Evolution API) — utilizando o número cadastrado pelo administrador • Webhook (para integrações externas configuradas pela empresa contratante) O denunciante NÃO recebe notificações — o acompanhamento é feito exclusivamente via consulta de protocolo pelo próprio denunciante. 7. ARMAZENAMENTO E SEGURANÇA (Art. 46 — LGPD) Adotamos medidas técnicas e administrativas para proteção dos dados: • Criptografia de dados pessoais sensíveis em repouso (AES-128/Fernet) • Comunicação criptografada via HTTPS/TLS • Autenticação multifator (2FA/TOTP) para acesso administrativo • Controle de acesso baseado em papéis (RBAC) com permissões granulares • Registro de auditoria imutável com blockchain (hash criptográfico) • Sanitização de metadados EXIF em evidências fotográficas • Rate limiting contra ataques de força bruta • Validação de uploads por magic bytes com whitelist de extensões • Monitoramento de sessões ativas (IP, dispositivo, última atividade) em Redis • Timeout automático por inatividade (15 minutos) para sessões administrativas • Bloqueio de conta após tentativas de login mal-sucedidas com cooldown (15 minutos) • Logs dedicados de acesso e modificação de dados pessoais (PII access/modify logs) 8. RETENÇÃO DE DADOS (Art. 15/16 — LGPD) Os dados pessoais serão retidos pelo período necessário para: • Conclusão da investigação e eventuais desdobramentos legais • Cumprimento de obrigações legais de guarda (mínimo 5 anos para registros trabalhistas) • Exercício regular de direitos em processo judicial Após o período de retenção, os dados serão eliminados de forma segura. A Plataforma possui mecanismo de anonimização automática que substitui dados pessoais por "[ANONYMIZED]" após o período de retenção configurável (padrão: 365 dias após a conclusão da investigação). Esta anonimização é irreversível e preserva os dados estruturais da denúncia para fins estatísticos. A frequência de execução é semanal, via job automatizado. 9. DIREITOS DO TITULAR (Art. 18 — LGPD) Você tem o direito de solicitar: • Confirmação da existência de tratamento • Acesso aos seus dados pessoais • Correção de dados incompletos, inexatos ou desatualizados • Anonimização, bloqueio ou eliminação de dados desnecessários • Portabilidade dos dados • Eliminação dos dados tratados com consentimento • Informação sobre compartilhamento de dados • Revogação do consentimento Para exercer seus direitos, acesse a página do Encarregado de Dados (/encarregado-de-dados), utilize o formulário de Exercício de Direitos (/exercicio-de-direitos) ou envie e-mail para dpo@etivox.com.br. O prazo de resposta é de 15 dias úteis (Art. 18, §5). 9.1. Direito de alteração de natureza da denúncia (autoatendimento): Além dos direitos listados acima, o denunciante pode exercer diretamente, sem intermediação do DPO, as seguintes ações pela página de consulta de protocolo: • Direito à anonimização (Art. 18, VI): ao alterar a denúncia de identificada para anônima, todos os dados pessoais são permanentemente removidos do banco de dados. Esta ação é irreversível e equivale ao exercício direto do direito à anonimização. • Identificação voluntária: ao alterar a denúncia de anônima para identificada, o denunciante fornece novo consentimento (Art. 8, LGPD) e seus dados são protegidos por criptografia AES-128/Fernet. Esta ação pode ser revertida a qualquer momento. Ambas as ações são registradas no log de auditoria (sem exposição de PII) e geram hash blockchain imutável. 10. COOKIES A plataforma utiliza cookies estritamente necessários para: • Autenticação de sessão administrativa • Preferências de idioma e tema visual Não utilizamos cookies de rastreamento ou publicidade. 11. ALTERAÇÕES NESTA POLÍTICA Esta política poderá ser atualizada periodicamente. A data da última atualização será informada ao final do documento. Recomendamos a consulta periódica. 12. CONTATO Para dúvidas, solicitações ou reclamações sobre o tratamento de dados pessoais: • Encarregado de Dados (DPO): dpo@etivox.com.br • Página do DPO: /encarregado-de-dados • Exercício de Direitos: /exercicio-de-direitos • Autoridade Nacional de Proteção de Dados (ANPD): www.gov.br/anpd Caso não esteja satisfeito com a resposta ou tratamento dado à sua solicitação, você tem o direito de peticionar à ANPD (Art. 18, §1 da LGPD). Última atualização: Maio de 2026.