Política de Privacidade
Versão 2026-06-14
Esta Política reflete o tratamento real de dados no Prymaz e está alinhada à LGPD (Lei 13.709/2018).
1. Controlador e encarregado
Controlador: Johny Clemente de Oliveira (nome fantasia “Stellar — Soluções em Gestão Empresarial e Projetos”), CNPJ 44.158.256/0001-05, com sede na Rua VP 04, nº 09, Casa 1, Quadra 52, Lote 13-A, Residencial Vale dos Pirineus, Anápolis/GO, CEP 75.056-040. Encarregado (DPO): Johny Clemente de Oliveira — contato@prymaz.com.
2. Dados que tratamos
- Identificação: nome, e-mail, telefone (opcional), foto.
- Autenticação: hash de senha e tokens de sessão (hash).
- Uso: projetos, tarefas, comentários e notificações.
- Registros técnicos: IP em assinaturas e na trilha de auditoria.
- Integrações opcionais: tokens de calendário (cifrados).
Não tratamos dados sensíveis por design.
Usamos apenas cookies estritamente necessários (sessão e login). Detalhes na Política de Cookies.
3. Bases legais e finalidades
- Execução de contrato — operar a conta e prestar o serviço.
- Legítimo interesse — segurança, prevenção a fraude e auditoria.
- Consentimento — comunicações por e-mail e integrações opt-in.
4. Compartilhamento (subprocessadores)
Usamos provedores que tratam dados em nosso nome — banco de dados, hospedagem, IA, pagamentos, e-mail e login social. Há transferência internacional para alguns deles, com as salvaguardas descritas a seguir.
Base legal. As transferências internacionais observam as hipóteses do art. 33 da LGPD, conforme o caso: cláusulas contratuais com os subprocessadores que asseguram proteção compatível com a LGPD (art. 33, II); necessidade para a execução do contrato a seu pedido, ao usar um recurso que depende de provedor no exterior (art. 33, IX); e/ou consentimento específico nos recursos opcionais (opt-in), como login social e integrações de calendário.
Subprocessadores internacionais. A transferência alcança, em especial: IA de geração e análise de texto (DeepSeek); embeddings de busca semântica (OpenAI ou Google, conforme configuração); e-mail transacional (Brevo); e login social e calendário, quando ativados por você (Google e Microsoft). O banco de dados (Neon) e os pagamentos (Asaas) tratam os dados em território nacional.
Salvaguardas. Mantemos compromissos contratuais de proteção de dados com esses provedores e exigimos medidas técnicas e organizacionais de segurança (como criptografia em trânsito e controle de acesso), tratando apenas os dados necessários a cada finalidade. A lista completa e atualizada é mantida em docs/auditoria/subprocessadores.md.
5. Seus direitos (art. 18)
Você pode acessar, corrigir, portar e solicitar a eliminação dos seus dados. No app: exporte seus dados e edite seu perfil em Minha conta; a exclusão de conta anonimiza seus dados pessoais. Para outras solicitações, fale com o Encarregado em contato@prymaz.com.
6. Retenção e segurança
Aplicamos criptografia (em trânsito e de segredos em repouso), controle de acesso por papel e trilha de auditoria. Os períodos de retenção são:
- Conta e perfil: retidos enquanto a conta estiver ativa, para a prestação do serviço.
- Após a exclusão da conta: os dados pessoais são anonimizados de forma irreversível; dados anonimizados podem ser mantidos para fins estatísticos, sem vínculo com você.
- Registros transitórios (sessões, rate-limit, cache): expurgados periodicamente, de forma automática.
- Trilha de auditoria e registros de acesso (incluindo IP): retidos por, no mínimo, 6 (seis) meses, conforme o art. 15 da Lei nº 12.965/2014 (Marco Civil da Internet). Nos planos Gratuito, Pro e Times, o padrão é 365 dias (o administrador da plataforma pode estender esse prazo, nunca reduzi-lo abaixo do mínimo legal). No plano Enterprise, a trilha de auditoria é retida por prazo indeterminado, sem expurgo automático.
- Backups: expurgados conforme o ciclo de rotação do provedor (em regra, até 30 dias), após o que os dados excluídos da base ativa deixam de existir nas cópias.
Após esses prazos, os dados pessoais são anonimizados ou eliminados com segurança, ressalvada a guarda necessária ao cumprimento de obrigação legal, ao exercício regular de direitos e às demais hipóteses do art. 16 da LGPD.
7. Alterações
Esta Política pode ser atualizada; a versão vigente consta no topo. Mudanças relevantes são comunicadas.