LGPD

POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS PESSOAIS

Em conformidade com a Lei Geral de Proteção de Dados — Lei nº 13.709/2018 (LGPD)

Maio/2025 Vigência: 01/06/2025 Aprovado pelo DPO

1. Apresentação e Compromisso

A Belasis (belasis.com.br) — doravante denominada simplesmente “Belasis”, “nós” ou “Empresa” — desenvolveu esta Política de Privacidade e Proteção de Dados Pessoais para demonstrar seu compromisso irrevogável com a privacidade, a transparência e a segurança das informações de todos que interagem com seus produtos, serviços e plataformas digitais.

Este documento estabelece, de forma clara e objetiva, como coletamos, utilizamos, armazenamos, compartilhamos e protegemos os dados pessoais de clientes, usuários, parceiros, fornecedores e colaboradores, em total conformidade com:

  • Lei Geral de Proteção de Dados Pessoais — LGPD (Lei nº 13.709/2018) e suas regulamentações;

  • Marco Civil da Internet (Lei nº 12.965/2014);

  • Código de Defesa do Consumidor (Lei nº 8.078/1990);

  • Regulamento Geral de Proteção de Dados da União Europeia — GDPR (Regulamento UE 2016/679), quando aplicável;

  • Normas e orientações emitidas pela Autoridade Nacional de Proteção de Dados — ANPD.

Princípios que guiam nossa atuação

Toda operação de tratamento de dados realizada pela Belasis obedece aos princípios da

finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização

— previstos no art. 6º da LGPD.

2. Controlador, Operador e Encarregado (DPO)

2.1 Identificação do Controlador

Razão Social

Belasis Tecnologia Ltda.

Site

www.belasis.com.br

E-mail de Privacidade

privacidade@belasis.com.br

A Belasis atua como Controladora dos dados pessoais que coleta diretamente de seus usuários e clientes, sendo responsável pelas decisões sobre as finalidades e os meios do tratamento desses dados, conforme definição do art. 5º, VI da LGPD.

2.2 Encarregado pelo Tratamento de Dados (DPO)

Em atendimento ao art. 41 da LGPD, a Belasis designou um Encarregado de Proteção de Dados (Data Protection Officer — DPO), cujas atribuições incluem:

  • Aceitar reclamações e comunicações dos titulares e prestar esclarecimentos;

  • Receber comunicações da Autoridade Nacional de Proteção de Dados (ANPD);

  • Orientar os colaboradores e contratados sobre as práticas de proteção de dados;

  • Executar as demais atribuições determinadas pelo Controlador ou estabelecidas em normas complementares.

Contato com o DPO: dpo@belasis.com.br

3. Dados Pessoais Coletados

3.1 Categorias de Dados

A Belasis coleta apenas os dados estritamente necessários para as finalidades declaradas (princípio da minimização). As categorias de dados tratados são:

Categoria

Exemplos de Dados

Identificação

Nome completo, CPF/CNPJ, RG, data de nascimento, gênero, foto de perfil

Contato

E-mail, telefone, endereço completo, CEP

Acesso e Autenticação

Login, senha criptografada (hash), tokens de sessão, MFA, histórico de acessos

Uso da Plataforma

Páginas visitadas, funcionalidades utilizadas, logs de atividade, tempo de sessão

Dispositivo

Endereço IP, tipo de navegador, sistema operacional, identificador de dispositivo

Financeiros

Dados de cartão de crédito/débito (tokenizados via gateway), histórico de transações

Comunicação

Mensagens trocadas com o suporte, e-mails, chat, registros de atendimento

Localização

Geolocalização aproximada (somente quando autorizado expressamente)

Profissionais

Cargo, empresa, área de atuação (para usuários corporativos)

3.2 Dados Sensíveis

A Belasis, via de regra, não solicita dados pessoais sensíveis (conforme definição do art. 5º, II da LGPD). Caso, em serviços específicos, seja necessário o tratamento de tais dados, obteremos consentimento específico e destacado do titular, conforme exigido pelo art. 11 da LGPD.

3.3 Dados de Menores

A Belasis não coleta intencionalmente dados de crianças (menores de 12 anos). Quando houver coleta de dados de adolescentes (12 a 18 anos), isso ocorrerá mediante consentimento de pelo menos um dos pais ou responsável legal, conforme art. 14 da LGPD, e sempre no melhor interesse do menor.

4. Finalidades e Bases Legais do Tratamento

Todo tratamento de dados realizado pela Belasis possui finalidade legítima, específica e informada ao titular, sustentada por ao menos uma das bases legais previstas nos arts. 7º e 11 da LGPD:

Finalidade

Base Legal (LGPD)

Criação e gestão de conta de usuário

Execução de contrato (art. 7º, V)

Prestação dos serviços contratados

Execução de contrato (art. 7º, V)

Comunicações transacionais (fatura, recibo, alertas)

Execução de contrato (art. 7º, V)

Suporte ao cliente e atendimento

Contrato / Legítimo interesse (art. 7º, V e IX)

Envio de comunicações de marketing e novidades

Consentimento (art. 7º, I)

Análise de uso, UX e melhoria de produto

Legítimo interesse (art. 7º, IX)

Prevenção a fraudes e segurança da plataforma

Legítimo interesse / Obrigação legal (art. 7º, VI e IX)

Cumprimento de obrigações fiscais e contábeis

Obrigação legal ou regulatória (art. 7º, II)

Exercício regular de direito em processo judicial

Exercício regular de direitos (art. 7º, VI)

Pesquisa de satisfação e NPS

Consentimento / Legítimo interesse

Personalização de experiência e recomendações

Consentimento / Legítimo interesse (art. 7º, I e IX)

5. Como Coletamos os Dados

Os dados pessoais são coletados pelos seguintes meios:

  • Diretamente pelo titular: cadastro, formulários, checkout, contato com suporte, pesquisas;

  • Automaticamente: cookies, pixels de rastreamento, logs de servidor e SDKs de análise;

  • Por terceiros: integrações autorizadas pelo próprio titular (login social, APIs de parceiros);

  • Fontes públicas: dados disponíveis em cadastros públicos, quando necessário para verificação de identidade ou compliance.

5.1 Cookies e Tecnologias de Rastreamento

A Belasis utiliza cookies e tecnologias similares para garantir o funcionamento da plataforma, personalizar a experiência do usuário e coletar métricas de desempenho. Os cookies são classificados em:

  • Estritamente necessários: indispensáveis para o funcionamento básico da plataforma. Não podem ser desativados.

  • Funcionais: memorizam preferências do usuário (idioma, layout). Podem ser desativados sem impacto crítico.

  • Analíticos / de desempenho: coletam dados sobre uso. Requerem consentimento.

  • De marketing e publicidade: utilizados para exibir conteúdo relevante. Sempre mediante consentimento explícito.

O usuário pode gerenciar suas preferências de cookies a qualquer momento pelo Painel de Privacidade disponível em nosso site ou pelas configurações do navegador.

6. Compartilhamento de Dados com Terceiros

A Belasis não vende dados pessoais. O compartilhamento ocorre exclusivamente nas situações abaixo, sempre com garantias contratuais de proteção equivalentes às desta Política.

Destinatário / Categoria

Finalidade e Condições

Processadores de pagamento (ex.: Stripe, PagSeguro, Mercado Pago)

Processamento seguro de transações financeiras. Apenas dados tokenizados.

Provedores de infraestrutura em nuvem (AWS, Google Cloud, Azure)

Hospedagem, processamento e armazenamento. Sujeitos a DPA (Data Processing Agreement).

Ferramentas de análise (ex.: Google Analytics, Mixpanel)

Análise de comportamento e desempenho. Dados pseudoanonimizados.

Plataformas de CRM e suporte (ex.: HubSpot, Zendesk, Intercom)

Gestão de relacionamento com clientes. Acesso restrito e controlado.

Provedores de e-mail transacional (ex.: SendGrid, Amazon SES)

Envio de notificações e comunicações.

Parceiros de integração autorizados

Quando o titular autorizar expressamente a integração via OAuth ou similar.

Autoridades públicas e reguladores

Cumprimento de ordens judiciais ou obrigações legais. Mínimo necessário.

Escritórios de advocacia e auditores

Exercício regular de direitos em processos legais, mediante NDA.

Transferência Internacional de Dados

Quando dados pessoais são transferidos para países ou organizações internacionais, a Belasis adota as salvaguardas exigidas pelo art. 33 da LGPD e pelo art. 46 do GDPR:

cláusulas contratuais padrão (SCCs)

, adesão a programas de adequação reconhecidos pela ANPD/Comissão Europeia, ou obtenção de consentimento específico do titular. Todos os nossos provedores internacionais são avaliados quanto à adequação de suas práticas de proteção de dados antes da contratação.

7. Segurança: DA Nuvem vs. NA Nuvem

A proteção dos dados hospedados em ambientes de computação em nuvem requer a compreensão de um conceito fundamental adotado por todos os grandes provedores globais — Amazon Web Services (AWS), Microsoft Azure e Google Cloud Platform: o Modelo de Responsabilidade Compartilhada (Shared Responsibility Model).

7.1 O Modelo de Responsabilidade Compartilhada

Conforme amplamente documentado pela AWS em seu Security Center e reconhecido pela indústria, existe uma distinção crítica e frequentemente mal compreendida entre dois domínios de segurança:

Segurança DA Nuvem — Responsabilidade do Provedor

Cabe ao provedor (AWS, Azure, GCP) proteger a infraestrutura física que executa todos os serviços: data centers, rede, hardware, virtualização e hipervisores.

O provedor garante que o data center não seja invadido fisicamente e que os servidores não falhem por causas externas.

Segurança NA Nuvem — Responsabilidade da Belasis

Cabe à Belasis proteger tudo aquilo que coloca e executa na nuvem: dados dos usuários, aplicações, identidade e acesso, configurações de rede e criptografia.

A Belasis garante que os dados estejam criptografados, acessíveis só por autorizados e protegidos contra ameaças lógicas.

7.2 Medidas Técnicas e Organizacionais da Belasis

No âmbito da segurança NA nuvem — responsabilidade direta da Belasis —, adotamos as seguintes medidas, alinhadas às melhores práticas internacionais (NIST CSF, ISO 27001, CIS Controls, SOC 2 Type II):

Criptografia

  • Criptografia em repouso (at-rest): todos os dados pessoais armazenados são criptografados com AES-256;

  • Criptografia em trânsito (in-transit): toda comunicação entre cliente e servidor utiliza TLS 1.2 ou superior (HTTPS obrigatório);

  • Senhas armazenadas exclusivamente como hash irreversível (bcrypt ou Argon2) com salt único por usuário;

  • Chaves criptográficas gerenciadas em serviços dedicados de KMS (Key Management Service) com rotação automática periódica.

Controle de Acesso

  • Princípio do menor privilégio (Least Privilege): colaboradores e sistemas acessam apenas o estritamente necessário para suas funções;

  • Autenticação multifator (MFA) obrigatória para todos os acessos administrativos e a sistemas críticos;

  • Revisão periódica de permissões e acesso (Access Review trimestral);

  • Segregação rigorosa de ambientes: produção, homologação e desenvolvimento estão completamente isolados.

Monitoramento e Detecção

  • Logs de acesso e eventos armazenados por no mínimo 03 meses e monitorados em tempo real;

  • Sistema de detecção de intrusão (IDS/IPS) e SIEM para correlação de eventos de segurança;

  • Alertas automáticos para acessos atípicos, tentativas de força bruta e possível exfiltração de dados;

  • Programa de Bug Bounty para reporte responsável de vulnerabilidades por pesquisadores de segurança.

Continuidade e Resiliência

  • Backups diários automáticos com retenção de 30 dias;

  • Arquitetura multi-região para garantir disponibilidade;

  • Plano de Recuperação de Desastres (DRP) e Plano de Continuidade de Negócios (BCP) revisados anualmente;

Segurança no Desenvolvimento (DevSecOps)

  • Práticas de Secure Software Development Lifecycle (SSDLC): revisão de código, análise estática (SAST) e dinâmica (DAST);

  • Política de gestão de vulnerabilidades com SLAs de remediação baseados na criticidade (CVSS Score);

  • Gerenciamento de dependências de terceiros e verificação contínua de CVEs em bibliotecas utilizadas.

7.3 Sua Responsabilidade como Usuário

O Modelo de Responsabilidade Compartilhada não se encerra na relação entre a Belasis e seus provedores de infraestrutura. Ele se estende até você, titular dos dados e usuário da plataforma. A segurança da sua conta depende, em parte significativa, das práticas que você adota no seu dia a dia digital.

Por mais robusta que seja a segurança que implementamos na nossa infraestrutura, nenhuma medida técnica é capaz de proteger uma conta cujo acesso foi comprometido por descuido do próprio usuário. As principais ameaças que afetam contas em plataformas SaaS — phishing, credential stuffing, sequestro de sessão — exploram o comportamento humano, não falhas de sistema.

Abaixo estão as práticas que recomendamos fortemente a todos os usuários da Belasis:

Credenciais e Autenticação

  • Nunca compartilhe sua senha com outras pessoas, incluindo colegas de trabalho, familiares ou qualquer pessoa que se identifique como equipe de suporte da Belasis. Nossa equipe jamais solicitará sua senha.

  • Use senhas fortes e únicas: ao menos 12 caracteres, combinando letras maiúsculas, minúsculas, números e símbolos. Evite datas de nascimento, nomes próprios ou sequências previsíveis.

  • Não reutilize senhas entre serviços diferentes. Se uma plataforma terceira sofrer um vazamento, credenciais reutilizadas colocam todas as suas outras contas em risco.

  • Utilize um gerenciador de senhas (ex.: Bitwarden, 1Password, Dashlane) para criar e armazenar senhas únicas e complexas sem precisar memorizá-las.

  • Troque sua senha imediatamente caso suspeite que ela foi exposta, que outra conta com a mesma senha foi comprometida, ou que alguém teve acesso indevido ao seu dispositivo.

Dispositivos e Ambientes de Acesso

  • Evite acessar sua conta em computadores públicos — lan houses, bibliotecas, lobbies de hotel, terminais de aeroporto. Esses ambientes frequentemente possuem keyloggers, malware instalado ou configurações que retêm dados de sessão.

  • Evite redes Wi-Fi públicas abertas sem proteção (shoppings, aeroportos, cafeterias). Se for necessário, utilize uma VPN confiável para criptografar o tráfego antes de acessar a plataforma.

  • Mantenha seus dispositivos atualizados: sistemas operacionais, navegadores e aplicativos com atualizações pendentes são vetores frequentes de exploração. Aplique patches de segurança regularmente.

  • Instale apenas softwares de fontes confiáveis e mantenha um antivírus/antimalware ativo em seus dispositivos pessoais e profissionais.

  • Bloqueie seu dispositivo com senha, PIN ou biometria. Em caso de perda ou roubo, encerre sua sessão remotamente pelo painel da conta e entre em contato com nosso suporte imediatamente.

Gerenciamento de Sessão

  • Sempre faça logout ao terminar de usar a plataforma, especialmente em dispositivos compartilhados ou de terceiros.

  • Revise os dispositivos conectados à sua conta periodicamente e encerre sessões desconhecidas ou inativas pelo painel de configurações.

  • Não permaneça logado indefinidamente em dispositivos que outras pessoas possam acessar fisicamente.

Atenção a Golpes e Engenharia Social

  • Desconfie de e-mails, SMS ou mensagens que solicitem suas credenciais, peçam para clicar em links urgentes ou simulem comunicações oficiais da Belasis. Sempre verifique o remetente e acesse a plataforma digitando o endereço diretamente no navegador.

  • A Belasis nunca solicitará sua senha por e-mail, chat ou telefone. Qualquer mensagem com esse teor deve ser tratada como tentativa de phishing e reportada para privacidade@belasis.com.br.

  • Verifique sempre o endereço (URL) da página antes de inserir suas credenciais. Certifique-se de que o endereço é exatamente belasis.com.br e que a conexão é segura (cadeado HTTPS).

  • Cuidado com extensões de navegador que solicitam acesso amplo a páginas visitadas. Extensões maliciosas podem capturar campos de formulário, incluindo senhas.

Acesso Corporativo e Equipes

  • Cada colaborador deve ter seu próprio acesso individual. O compartilhamento de contas entre funcionários compromete a rastreabilidade de ações e viola o princípio de responsabilização.

  • Revogue acessos imediatamente quando um colaborador deixar a empresa ou mudar de função. O administrador da conta é responsável por manter as permissões sempre atualizadas.

  • Aplique o princípio do menor privilégio: conceda a cada usuário apenas as permissões estritamente necessárias para suas tarefas. Acesso administrativo deve ser restrito ao mínimo indispensável.

Reporte qualquer suspeita

Se você identificar atividade suspeita na sua conta, receber uma comunicação que pareça fraudulenta ou suspeitar que suas credenciais foram comprometidas, entre em contato imediatamente com nossa equipe de segurança pelo e-mail privacidade@belasis.com.br. Quanto mais rápido o reporte, maior a capacidade de mitigar o impacto.

8. Direitos dos Titulares

A Belasis respeita e garante o exercício pleno de todos os direitos dos titulares previstos no art. 18 da LGPD:

Direito (art. 18, LGPD)

Descrição e Prazo

Correção (III)

Solicitar a atualização de dados incompletos, inexatos ou desatualizados.

Anonimização, Bloqueio ou Eliminação (IV)

Solicitar a anonimização ou eliminação de dados desnecessários ou tratados em desconformidade com a LGPD.

Portabilidade (V)

Receber seus dados em formato estruturado e interoperável (JSON, CSV, XLS), exceto dados já anonimizados.

Eliminação com base no consentimento (VI)

Solicitar a eliminação dos dados tratados com base no consentimento, ressalvadas as hipóteses legais de retenção.

Revogação do consentimento (IX)

Revogar consentimentos dados, sem prejuízo do tratamento realizado antes da revogação.

Reclamação à ANPD (§1º)

Peticionar à Autoridade Nacional de Proteção de Dados em caso de violação desta Lei.

Como exercer seus direitos

Envie sua solicitação para privacidade@belasis.com.br ou utilize o formulário disponível em belasis.com.br/privacidade. Verificaremos sua identidade antes de processar pedidos sensíveis. O prazo padrão de resposta é de 15 dias úteis, podendo ser prorrogado mediante justificativa fundamentada.

9. Retenção e Descarte de Dados

Os dados pessoais são mantidos apenas pelo tempo necessário para cumprir as finalidades para as quais foram coletados, observados os prazos legais mínimos de guarda. Após o término do período de retenção, os dados são eliminados com segurança (sobrescrita segura / deleção criptográfica) ou anonimizados de forma irreversível.

Tipo de Dado

Prazo de Retenção

Dados de conta ativa

Durante a vigência da conta + 5 anos após o encerramento

Dados fiscais e de faturamento

10 anos (art. 195 do CTN)

Logs de acesso (Marco Civil da Internet)

6 meses (art. 15 da Lei nº 12.965/2014)

Registros de atividade na plataforma

12 meses para fins de segurança e suporte

Dados de consentimento e preferências

Enquanto o consentimento for válido + 5 anos para comprovação

Gravações de suporte e atendimento

90 dias, salvo uso em procedimento judicial/administrativo

Dados de marketing e comunicação

Até revogação do consentimento ou opt-out

 

9.1 Retenção de Dados Após o Encerramento da Assinatura

Ao encerrar sua assinatura com a Belasis — seja por cancelamento voluntário, não renovação ou término contratual —, aplicam-se as regras descritas abaixo sobre a guarda, o acesso e a eliminação dos seus dados. Recomendamos a leitura atenta antes de confirmar qualquer cancelamento.

Exporte seus dados antes de cancelar

Durante o período de assinatura ativa, você tem à disposição ferramentas de exportação que permitem baixar todos os seus dados em formatos estruturados e portáteis. É de sua responsabilidade realizar a exportação de qualquer informação que deseje guardar antes de confirmar o cancelamento. A Belasis disponibiliza a funcionalidade de exportação e recomenda que essa etapa seja concluída com antecedência, sem aguardar os últimos dias da assinatura.

Atenção antes de cancelar: após o encerramento da assinatura, o acesso à interface da plataforma é suspenso. Dados não exportados previamente só poderão ser acessados mediante reativação da assinatura, conforme descrito abaixo.

Período de congelamento da conta (90 dias)

Após o encerramento da assinatura, sua conta entra em estado de congelamento por um prazo de 90 (noventa) dias corridos, contados a partir da data de término da vigência contratual. Durante esse período:

  • O acesso à plataforma e a todos os dados armazenados fica suspenso;

  • Os dados permanecem armazenados com os mesmos padrões de segurança aplicados a contas ativas;

  • Nenhuma operação de tratamento é realizada sobre os dados além da guarda segura;

  • Não há cobrança pela manutenção da conta em estado congelado durante esse prazo.

Acesso aos dados durante o congelamento

Caso você deseje acessar seus dados durante o período de congelamento, será necessário reativar a assinatura. O simples congelamento da conta não garante acesso à interface ou às funcionalidades da plataforma. A reativação pode ser solicitada a qualquer momento dentro dos 90 dias pelo portal de autoatendimento.

A Belasis permanece responsável pela segurança e integridade dos dados armazenados durante todo o período de congelamento, independentemente do status da assinatura. A guarda temporária não implica qualquer uso dos dados para finalidades distintas das previstas nesta Política.

Eliminação dos dados ao término do período de congelamento

Decorridos os 90 dias de congelamento sem que haja reativação da assinatura, os dados da conta serão eliminados de forma definitiva e irreversível de todos os sistemas da Belasis, incluindo backups operacionais, dentro do prazo técnico de até 30 dias adicionais após o fim do período de congelamento.

Após a eliminação, não será possível recuperar qualquer informação associada à conta, independentemente de reativação posterior ou solicitação judicial, salvo nas hipóteses em que a Belasis seja obrigada por lei a manter registros específicos (ver tabela de retenção na Seção 9).

Hipóteses de extensão do prazo de retenção

O prazo padrão de 90 dias poderá ser estendido pela Belasis exclusivamente nas seguintes situações, todas com fundamento legal expresso:

  • Obrigação legal ou regulatória: quando a legislação aplicável (fiscal, trabalhista, contábil ou setorial) exigir a manutenção de registros por prazo superior;

  • Processo judicial, administrativo ou arbitral em curso: quando os dados forem relevantes para defesa de direito em litígio envolvendo a Belasis ou o próprio titular;

  • Investigação de fraude ou incidente de segurança: quando houver indício de uso indevido da conta ou atividade suspeita que justifique a preservação temporária de evidências;

  • Solicitação expressa do titular: quando o próprio usuário solicitar formalmente a extensão do prazo de guarda por razões justificadas.

Em nenhuma hipótese os dados serão retidos além do estritamente necessário para a finalidade que justificou a extensão. O titular será informado sobre a extensão e sua motivação sempre que possível.

Aviso prévio antes da eliminação

A Belasis enviará um aviso por e-mail com 15 dias de antecedência antes da eliminação definitiva dos dados, para o endereço cadastrado na conta. Caso não haja interesse em reativar a assinatura, nenhuma ação é necessária. Caso deseje recuperar o acesso, o aviso servirá como última oportunidade para reativação antes da exclusão irreversível.

 

10. Incidentes de Segurança e Resposta a Violações

A Belasis mantém um Plano de Resposta a Incidentes (Incident Response Plan — IRP) estruturado, inspirado nas melhores práticas do NIST SP 800-61 e alinhado às obrigações do art. 48 da LGPD e do art. 33 do GDPR. Em caso de incidente que possa acarretar risco ou dano relevante aos titulares, adotaremos os seguintes passos:

  • Detecção e análise: Identificação do escopo, natureza dos dados afetados e potencial de risco para os titulares.

  • Contenção imediata: Isolamento do vetor de ataque e mitigação para evitar propagação e agravamento.

  • Notificação à ANPD: Em prazo de até 72 horas a partir do conhecimento do incidente, quando houver risco ou dano relevante (art. 48, §1º da LGPD).

  • Comunicação aos titulares afetados: Em prazo razoável, com informações claras sobre a natureza do incidente, dados afetados, medidas adotadas e orientações de autoproteção.

  • Pós-incidente: Análise de causa-raiz, lições aprendidas e implementação de melhorias preventivas documentadas.

A Belasis documenta todos os incidentes em registro interno, incluindo os avaliados como não reportáveis, para fins de demonstração de conformidade (accountability).

11. Política de Cookies Detalhada

Ferramenta / Cookie

Finalidade e Controle

Google Analytics (_ga, _gid)

Análise de audiência e comportamento. Dados anonimizados. Pode ser desativado via opt-out.

Hotjar (hjid, hjsv)

Mapas de calor e gravação de sessões. Sem dados de identificação direta. Opt-out disponível.

Crisp.chat (crisp_id)

Chat de suporte ao cliente em tempo real. Dados de conversa armazenados nos servidores da Crisp. Opt-out possível sem perda de funcionalidade crítica.

Asaas (_asaas_tracking)

Processamento de cobranças, assinaturas e antifraude financeiro. Estritamente necessário para transações. Não pode ser desativado.

Sessão autenticada (belasis_session)

Manter o usuário logado. Estritamente necessário. Expira após inatividade.

12. Transferência Internacional de Dados

Alguns de nossos fornecedores de tecnologia possuem operações fora do Brasil. Nesses casos, adotamos as seguintes salvaguardas:

  • Cláusulas Contratuais Padrão (SCCs): contratos com cláusulas específicas de proteção de dados aprovadas pelas autoridades competentes (ANPD/CE);

  • Adequacy Decisions: preferência por países reconhecidos como adequados pela ANPD ou pela Comissão Europeia;

  • Data Processing Agreements (DPAs): acordos bilaterais com todos os operadores internacionais, estabelecendo obrigações, direito de auditoria e sanções;

  • Binding Corporate Rules (BCR): adoção de BCRs quando aplicável a grupos empresariais multinacionais.

Os principais países envolvidos incluem Estados Unidos (AWS, Google, Stripe), União Europeia (servidores de failover) e Brasil (sede e processamento principal). Todos os acordos de transferência estão disponíveis para consulta mediante solicitação ao DPO.

13. Privacy by Design e Privacy by Default

A Belasis adota os princípios de Privacy by Design e Privacy by Default como filosofia fundamental no desenvolvimento de produtos e serviços:

13.1 Privacy by Design — 7 Princípios Fundantes

  • Proativo, não reativo: antecipar e prevenir riscos à privacidade antes que ocorram;

  • Privacidade como configuração padrão: as configurações mais restritivas são aplicadas automaticamente;

  • Privacidade incorporada ao design: integrada desde o início, não adicionada como camada posterior;

  • Funcionalidade plena: privacidade sem comprometer funcionalidade (sem falsa dicotomia);

  • Segurança end-to-end: proteção durante todo o ciclo de vida do dado;

  • Visibilidade e transparência: operações auditáveis e abertas à verificação;

  • Respeito pelo usuário: mantendo a privacidade centrada no titular.

13.2 Privacy by Default na Prática

  • Campos opcionais de perfil desabilitados por padrão;

  • Notificações de marketing desativadas na criação de conta (requerem opt-in ativo);

  • Compartilhamento com terceiros analíticos exige consentimento explícito;

  • Sessões expiram automaticamente após período de inatividade;

  • Visibilidade do perfil definida como privada por padrão.

14. Programa de Conformidade e Governança

A Belasis mantém um programa contínuo de conformidade com a LGPD, estruturado nos seguintes pilares:

  • Mapeamento de dados (Data Mapping): inventário atualizado de todos os fluxos de tratamento, operadores envolvidos e bases legais aplicáveis;

  • RIPD — Relatório de Impacto à Proteção de Dados: elaborado para tratamentos de alto risco, conforme art. 38 da LGPD e orientações da ANPD;

  • Treinamentos regulares: programa de capacitação contínua para todos os colaboradores que tratam dados pessoais;

  • Due Diligence de fornecedores: avaliação de privacidade e segurança de todos os operadores antes da contratação e periodicamente;

  • Auditorias internas e externas: revisões anuais de conformidade com LGPD, GDPR e demais regulações aplicáveis;

  • Canal de Denúncias: canal confidencial para reporte de violações à política de privacidade por colaboradores ou terceiros.

15. Disposições Gerais

15.1 Alterações desta Política

Esta Política pode ser atualizada periodicamente para refletir mudanças legais, regulatórias, tecnológicas ou operacionais. Notificaremos os titulares sobre alterações relevantes por e-mail (para usuários cadastrados). A versão vigente estará sempre disponível em belasis.com.br/legal/lgpd.

15.2 Lei Aplicável e Foro

Esta Política é regida pelas leis da República Federativa do Brasil. Em caso de litígios relativos à proteção de dados pessoais, as partes elegem o Foro da Comarca de Chapecó/SC, salvo disposição legal em contrário. As partes também poderão recorrer à Autoridade Nacional de Proteção de Dados (ANPD) para resolução de questões relativas à conformidade com a LGPD.

15.3 Glossário

Termo

Definição

Dado Pessoal

Informação relacionada a pessoa natural identificada ou identificável (art. 5º, I, LGPD)

Dado Sensível

Dado sobre origem racial/étnica, convicção religiosa, saúde, vida sexual, dado genético etc. (art. 5º, II)

Controlador

Pessoa que decide as finalidades e os meios do tratamento de dados (art. 5º, VI)

Operador

Pessoa que realiza o tratamento de dados em nome do controlador (art. 5º, VII)

Titular

Pessoa natural a quem se referem os dados pessoais tratados (art. 5º, V)

Tratamento

Toda operação realizada com dados pessoais: coleta, produção, acesso, transmissão, eliminação etc.

Consentimento

Manifestação livre, informada e inequívoca do titular (art. 5º, XII)

Anonimização

Processo pelo qual o dado perde a possibilidade de associação ao indivíduo, direta ou indiretamente

ANPD

Autoridade Nacional de Proteção de Dados — órgão regulador e fiscalizador da LGPD no Brasil

DPO

Data Protection Officer — Encarregado pelo tratamento de dados pessoais (art. 41 da LGPD)

GDPR

Regulamento Geral de Proteção de Dados da União Europeia — Regulamento (UE) 2016/679

KMS

Key Management Service — Serviço de gerenciamento centralizado de chaves criptográficas

SCC

Standard Contractual Clauses — Cláusulas Contratuais Padrão para transferência internacional de dados

DPA

Data Processing Agreement — Acordo de Processamento de Dados firmado com operadores

15.4 Canais de Contato

Belasis — Canal de Privacidade

E-mail geral de privacidade: privacidade@belasis.com.br

E-mail do DPO: dpo@belasis.com.br

Portal de Privacidade: belasis.com.br/legal/lgpd

Autoridade Nacional de Proteção de Dados (ANPD): gov.br/anpd

Este documento foi elaborado com base na Lei nº 13.709/2018 (LGPD), no GDPR e nas melhores práticas do mercado SaaS global.

Fale com a Belasis