1. Introducao e Compromisso com a Privacidade
A TodoSign Tecnologia LTDA ("TodoSign", "nós", "nosso" ou "Plataforma"), inscrita no CNPJ sob o nº XX.XXX.XXX/0001-XX, com sede na cidade de São Paulo, Estado de São Paulo, é a controladora dos dados pessoais tratados através da plataforma de assinatura digital TodoSign.
Esta Política de Privacidade tem como objetivo informar você, usuário de nossos serviços, sobre como coletamos, utilizamos, armazenamos, compartilhamos e protegemos seus dados pessoais quando você acessa ou utiliza nossa plataforma de assinatura digital de documentos.
Conformidade Legal
A TodoSign opera em total conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD - Lei nº 13.709/2018), o Marco Civil da Internet (Lei nº 12.965/2014), a Medida Provisória nº 2.200-2/2001 (ICP-Brasil) e demais legislações aplicáveis à proteção de dados pessoais e assinaturas eletrônicas no Brasil.
Ao utilizar a Plataforma TodoSign, você declara ter lido, compreendido e concordado com os termos desta Política de Privacidade. Caso não concorde com qualquer disposição aqui estabelecida, solicitamos que não utilize nossos serviços.
1.1 Nossos Princípios de Privacidade
Nosso tratamento de dados é guiado pelos seguintes princípios fundamentais:
- Finalidade: Coletamos dados apenas para propósitos legítimos, específicos e informados ao titular.
- Adequação: O tratamento é compatível com as finalidades informadas.
- Necessidade: Limitamos a coleta ao mínimo necessário para atingir as finalidades.
- Transparência: Garantimos informações claras, precisas e acessíveis sobre o tratamento.
- Segurança: Utilizamos medidas técnicas e administrativas para proteger os dados.
- Prevenção: Adotamos medidas para prevenir danos aos titulares.
- Não discriminação: Não realizamos tratamento para fins discriminatórios ilícitos ou abusivos.
- Responsabilização: Demonstramos a adoção de medidas eficazes de conformidade.
2. Definicoes Importantes
Para melhor compreensão desta Política, apresentamos as definições dos principais termos utilizados:
| Termo | Definição |
|---|---|
| Dados Pessoais | Informação relacionada a pessoa natural identificada ou identificável, como nome, e-mail, CPF, endereço IP, entre outros. |
| Dados Pessoais Sensíveis | Dados sobre origem racial ou étnica, convicção religiosa, opinião política, dado referente à saúde ou à vida sexual, dado genético ou biométrico. |
| Titular | Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento. |
| Controlador | Pessoa natural ou jurídica a quem competem as decisões referentes ao tratamento de dados pessoais. No caso, a TodoSign. |
| Operador | Pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador. |
| Tratamento | Toda operação realizada com dados pessoais: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração. |
| Consentimento | Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. |
| Encarregado (DPO) | Pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD. |
| ANPD | Autoridade Nacional de Proteção de Dados - órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD. |
| Assinatura Eletrônica | Dados em formato eletrônico que se ligam ou estão logicamente associados a outros dados em formato eletrônico e que são utilizados pelo signatário para assinar. |
3. Dados que Coletamos
A TodoSign coleta diferentes categorias de dados pessoais, dependendo de como você interage com nossa plataforma. Abaixo detalhamos cada categoria:
3.1 Dados de Cadastro e Identificação
Quando você cria uma conta na TodoSign, coletamos os seguintes dados:
- Nome completo: Para identificação do usuário e personalização do serviço.
- Endereço de e-mail: Para autenticação, comunicações e recuperação de conta.
- Número de telefone: Para autenticação de dois fatores e comunicações urgentes (opcional).
- CPF ou CNPJ: Para emissão de documentos fiscais e identificação legal.
- Senha: Armazenada de forma criptografada utilizando algoritmo bcrypt.
- Foto de perfil: Para personalização da conta (opcional).
3.2 Dados Empresariais
Para contas empresariais, coletamos adicionalmente:
- Razão social e nome fantasia da empresa
- CNPJ e inscrição estadual
- Endereço comercial completo
- Dados do representante legal
- Setor de atuação e porte da empresa
3.3 Dados de Documentos
Durante a utilização da plataforma para assinatura de documentos:
- Conteúdo dos documentos: Arquivos PDF, imagens e outros formatos enviados para assinatura.
- Metadados dos documentos: Nome do arquivo, data de criação, tamanho, tipo MIME.
- Histórico de versões: Registro de alterações realizadas nos documentos.
- Informações dos signatários: Nome, e-mail, ordem de assinatura, papel no documento.
3.4 Dados de Assinatura e Autenticação
Para garantir a validade jurídica e segurança das assinaturas eletrônicas:
- Assinatura manuscrita digitalizada: Imagem da assinatura desenhada pelo usuário.
- Registro fotográfico: Selfie do signatário quando exigido como método de autenticação.
- Endereço IP: Endereço de protocolo de internet no momento da assinatura.
- Geolocalização: Coordenadas geográficas aproximadas (quando autorizado pelo usuário).
- Data e hora (timestamp): Momento exato da assinatura com selo temporal.
- Hash criptográfico: Impressão digital única do documento (SHA-256).
- Token de autenticação: Código de verificação enviado por e-mail ou SMS.
3.5 Dados de Dispositivo e Navegação
Coletamos automaticamente informações técnicas:
- Tipo de dispositivo: Desktop, tablet ou smartphone.
- Sistema operacional: Windows, macOS, iOS, Android, Linux.
- Navegador: Chrome, Firefox, Safari, Edge, entre outros.
- Resolução de tela: Para otimização da interface.
- Idioma preferido: Configuração de idioma do navegador.
- Páginas acessadas: Histórico de navegação dentro da plataforma.
- Tempo de sessão: Duração das visitas à plataforma.
- Ações realizadas: Cliques, uploads, downloads, buscas.
- Origem do acesso: Referrer URL, campanhas de marketing.
3.6 Dados de Pagamento
Para processamento de assinaturas e pagamentos:
- Dados do cartão: Processados diretamente por nossos parceiros de pagamento (Stripe/Asaas). Não armazenamos números completos de cartão.
- Endereço de cobrança: Para emissão de notas fiscais.
- Histórico de transações: Registro de pagamentos realizados.
- Dados de boleto/PIX: Informações necessárias para processamento.
Dados Sensíveis
A TodoSign não solicita ativamente dados pessoais sensíveis. No entanto, documentos enviados para assinatura podem conter tais informações. O usuário é responsável por garantir que possui base legal adequada para o tratamento de dados sensíveis contidos em seus documentos.
4. Finalidades do Tratamento
Os dados pessoais coletados são utilizados para as seguintes finalidades específicas:
4.1 Prestação do Serviço Principal
- Permitir a criação, edição e gerenciamento de documentos eletrônicos.
- Possibilitar o envio de documentos para assinatura digital.
- Coletar assinaturas eletrônicas de múltiplos signatários.
- Armazenar documentos assinados de forma segura e acessível.
- Gerar certificados de autenticidade e trilhas de auditoria.
- Permitir a verificação da autenticidade de documentos assinados.
4.2 Autenticação e Segurança
- Verificar a identidade dos usuários no cadastro e login.
- Implementar autenticação de dois fatores (2FA).
- Prevenir e detectar fraudes, acessos não autorizados e atividades suspeitas.
- Garantir a integridade e não-repúdio das assinaturas eletrônicas.
- Proteger a segurança da plataforma e dos dados dos usuários.
4.3 Validade Jurídica
- Gerar evidências de assinatura com valor probatório.
- Criar selos temporais (timestamps) certificados.
- Manter trilhas de auditoria completas para cada documento.
- Preservar logs de acesso e ações para fins legais.
- Emitir certificados de conclusão e verificação.
4.4 Comunicações
- Enviar notificações sobre documentos pendentes de assinatura.
- Informar sobre o status e conclusão de documentos.
- Comunicar atualizações importantes do serviço.
- Enviar alertas de segurança e atividades suspeitas.
- Responder a solicitações de suporte e atendimento.
- Enviar comunicações de marketing (mediante consentimento).
4.5 Melhoria do Serviço
- Analisar o uso da plataforma para identificar melhorias.
- Desenvolver novos recursos e funcionalidades.
- Personalizar a experiência do usuário.
- Realizar pesquisas de satisfação.
- Otimizar a performance e usabilidade da plataforma.
4.6 Obrigações Legais e Regulatórias
- Cumprir obrigações fiscais e tributárias.
- Atender requisições de autoridades competentes.
- Preservar registros conforme exigências legais.
- Cooperar com investigações quando legalmente obrigados.
- Exercer direitos em processos judiciais, administrativos ou arbitrais.
4.7 Inteligência Artificial (Signa AI)
- Auxiliar na criação e sugestão de cláusulas contratuais.
- Gerar insights sobre atividades e pendências.
- Automatizar tarefas repetitivas de gestão documental.
- Fornecer assistência contextual ao usuário.
Minimização de Dados
Seguimos o princípio da minimização de dados, coletando apenas as informações estritamente necessárias para cada finalidade específica. Dados não mais necessários são eliminados ou anonimizados.
5. Base Legal para Tratamento (Art. 7, LGPD)
O tratamento de dados pessoais pela TodoSign é fundamentado nas seguintes bases legais previstas na LGPD:
| Base Legal | Aplicação | Exemplos |
|---|---|---|
| Execução de Contrato (Art. 7º, V) |
Tratamento necessário para a prestação dos serviços contratados. | Processamento de documentos, coleta de assinaturas, armazenamento de arquivos, emissão de certificados. |
| Consentimento (Art. 7º, I) |
Tratamento mediante manifestação livre e informada do titular. | Comunicações de marketing, coleta de geolocalização, cookies não essenciais, registro fotográfico. |
| Legítimo Interesse (Art. 7º, IX) |
Tratamento para atender interesses legítimos do controlador ou terceiro, respeitados os direitos do titular. | Prevenção de fraudes, melhoria da plataforma, análise de uso, segurança da informação. |
| Cumprimento de Obrigação Legal (Art. 7º, II) |
Tratamento necessário para cumprir obrigação legal ou regulatória. | Emissão de notas fiscais, atendimento a requisições judiciais, preservação de logs de auditoria. |
| Exercício Regular de Direitos (Art. 7º, VI) |
Tratamento para exercício regular de direitos em processo judicial, administrativo ou arbitral. | Defesa em processos, comprovação de transações, evidências de assinatura. |
5.1 Consentimento Específico
Quando o tratamento for baseado em consentimento, você será informado de forma clara e destacada sobre:
- A finalidade específica do tratamento;
- A forma e duração do tratamento;
- A identificação do controlador;
- Os direitos do titular;
- As consequências da negativa do consentimento.
O consentimento pode ser revogado a qualquer momento, mediante manifestação expressa, por meio das configurações da conta ou contato com nosso Encarregado de Proteção de Dados.
5.2 Legítimo Interesse
Quando o tratamento for baseado em legítimo interesse, realizamos a avaliação de impacto (LIA - Legitimate Interest Assessment) considerando:
- A expectativa razoável do titular;
- O equilíbrio entre os interesses do controlador e os direitos do titular;
- As salvaguardas adotadas para minimizar impactos;
- A transparência sobre o tratamento realizado.
6. Compartilhamento de Dados
A TodoSign pode compartilhar seus dados pessoais com terceiros nas seguintes situações:
6.1 Destinatários de Documentos
Quando você envia um documento para assinatura, compartilhamos com os signatários designados:
- Seu nome e e-mail (como remetente do documento);
- O documento a ser assinado;
- Instruções e mensagens personalizadas;
- Status das assinaturas dos demais participantes.
6.2 Provedores de Serviços (Operadores)
Contratamos empresas especializadas para auxiliar na operação da plataforma:
- Infraestrutura em nuvem: Armazenamento seguro de dados e documentos.
- Processadores de pagamento: Stripe e Asaas para transações financeiras.
- Serviços de e-mail: Envio de notificações transacionais.
- Serviços de SMS: Autenticação de dois fatores.
- Ferramentas de análise: Monitoramento de performance e uso.
- Suporte ao cliente: Plataformas de atendimento.
Contratos de Proteção de Dados
Todos os nossos fornecedores são contratados mediante acordos de processamento de dados (DPA - Data Processing Agreement) que garantem o mesmo nível de proteção exigido pela LGPD, incluindo cláusulas de confidencialidade, segurança e limitação de uso.
6.3 Autoridades Públicas
Podemos compartilhar dados com autoridades quando:
- Houver ordem judicial ou requisição legal válida;
- For necessário para proteger direitos, propriedade ou segurança;
- For exigido por órgãos reguladores competentes;
- For necessário para prevenir fraudes ou atividades ilegais.
6.4 Empresas do Grupo
Podemos compartilhar dados com empresas controladas, controladoras ou coligadas para fins de gestão administrativa e melhoria dos serviços, sempre respeitando esta Política.
6.5 Transações Corporativas
Em caso de fusão, aquisição, reorganização societária ou venda de ativos, seus dados podem ser transferidos para a entidade sucessora, que estará obrigada a cumprir esta Política de Privacidade.
O Que NÃO Fazemos
A TodoSign NUNCA vende, aluga ou comercializa seus dados pessoais para terceiros. O compartilhamento ocorre apenas quando estritamente necessário para a prestação do serviço ou cumprimento de obrigações legais.
7. Transferencia Internacional de Dados
A TodoSign utiliza infraestrutura de tecnologia que pode envolver a transferência de dados para servidores localizados em outros países. Nesses casos, garantimos que:
7.1 Salvaguardas Adotadas
- Países adequados: Transferências para países ou organismos internacionais que proporcionem grau de proteção adequado ao previsto na LGPD.
- Cláusulas-padrão contratuais: Utilização de cláusulas contratuais que garantem a proteção dos dados conforme exigido pela ANPD.
- Certificações internacionais: Parceria com provedores que possuem certificações como ISO 27001, SOC 2 Type II e compliance com GDPR.
- Consentimento específico: Quando necessário, solicitamos consentimento expresso e informado para transferências internacionais.
7.2 Localização dos Dados
Prioritariamente, seus dados são armazenados em data centers localizados no Brasil. Quando houver transferência internacional, você será informado sobre o país de destino e as salvaguardas aplicadas.
8. Seguranca dos Dados
A TodoSign implementa um conjunto abrangente de medidas técnicas e organizacionais para proteger seus dados pessoais contra acesso não autorizado, alteração, divulgação ou destruição.
8.1 Medidas Técnicas
- Criptografia em trânsito: Todas as comunicações utilizam protocolo TLS 1.3 (HTTPS).
- Criptografia em repouso: Dados armazenados são criptografados com AES-256.
- Hash de senhas: Senhas são processadas com bcrypt (fator de custo 12).
- Hash de documentos: Integridade verificada com SHA-256.
- Tokens JWT: Autenticação stateless com expiração configurável.
- Autenticação de dois fatores (2FA): Camada adicional de segurança.
- Rate limiting: Proteção contra ataques de força bruta.
- WAF (Web Application Firewall): Proteção contra ataques web comuns.
- Monitoramento 24/7: Detecção de intrusões e anomalias.
- Backups automatizados: Redundância e recuperação de desastres.
8.2 Medidas Organizacionais
- Política de acesso mínimo: Funcionários acessam apenas dados necessários para suas funções.
- Treinamento de segurança: Capacitação regular da equipe em proteção de dados.
- Contratos de confidencialidade: Todos os colaboradores assinam NDA.
- Gestão de incidentes: Procedimentos documentados para resposta a incidentes.
- Auditorias periódicas: Avaliações internas e externas de segurança.
- Testes de penetração: Avaliações regulares de vulnerabilidades.
- Plano de continuidade: Procedimentos para garantir disponibilidade do serviço.
8.3 Certificações e Conformidade
Nossa infraestrutura segue padrões internacionais de segurança, incluindo:
- ISO 27001 (Gestão de Segurança da Informação)
- SOC 2 Type II (Controles de Segurança e Disponibilidade)
- PCI-DSS (para processamento de pagamentos)
- OWASP Top 10 (proteção contra vulnerabilidades web)
Sua Responsabilidade
A segurança também depende de você. Recomendamos que você: utilize senhas fortes e únicas, ative a autenticação de dois fatores, não compartilhe suas credenciais, mantenha seus dispositivos atualizados e desconfie de e-mails ou links suspeitos.
9. Periodo de Retencao dos Dados
Mantemos seus dados pessoais apenas pelo tempo necessário para cumprir as finalidades para as quais foram coletados, observando obrigações legais e regulatórias.
| Categoria de Dados | Período de Retenção | Justificativa |
|---|---|---|
| Dados de conta ativa | Enquanto a conta estiver ativa | Necessário para prestação do serviço. |
| Documentos assinados | 5 anos após a assinatura ou prazo superior definido pelo usuário | Art. 206, §3º, Código Civil (prazo prescricional geral). Documentos podem ser mantidos por mais tempo a pedido do usuário. |
| Logs de auditoria | 5 anos | Comprovação de autenticidade e integridade das assinaturas. |
| Dados fiscais/contábeis | 5 anos | Art. 174, CTN (prescrição tributária). Art. 195, Lei 6.404/76. |
| Registros de acesso (Marco Civil) | 6 meses | Art. 15, Marco Civil da Internet (Lei 12.965/2014). |
| Dados após exclusão da conta | 30 dias para eliminação completa, exceto obrigações legais | Período para backup e verificações de segurança. |
| Dados para defesa em litígio | Até o término do processo + prazo recursal | Exercício regular de direitos em processo judicial. |
Após o término do período de retenção, os dados são eliminados de forma segura ou anonimizados, impossibilitando a identificação do titular.
10. Seus Direitos como Titular (Art. 18, LGPD)
A LGPD garante aos titulares de dados pessoais diversos direitos. Na TodoSign, você pode exercer os seguintes direitos:
10.1 Confirmação e Acesso
Você tem direito a obter confirmação da existência de tratamento e acesso aos seus dados pessoais. Você pode visualizar e exportar seus dados diretamente nas configurações da sua conta.
10.2 Correção
Você pode solicitar a correção de dados pessoais incompletos, inexatos ou desatualizados. Muitas informações podem ser corrigidas diretamente no seu perfil.
10.3 Anonimização, Bloqueio ou Eliminação
Você pode solicitar a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD. Observe que alguns dados podem ser mantidos para cumprimento de obrigações legais.
10.4 Portabilidade
Você tem direito a receber seus dados em formato estruturado, de uso comum e legível por máquina, para transferência a outro fornecedor de serviço.
10.5 Eliminação de Dados Consentidos
Quando o tratamento for baseado em consentimento, você pode solicitar a eliminação dos dados pessoais tratados com base nessa autorização.
10.6 Informação sobre Compartilhamento
Você pode obter informações sobre as entidades públicas e privadas com as quais compartilhamos seus dados.
10.7 Informação sobre Não Consentimento
Você tem direito a ser informado sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
10.8 Revogação do Consentimento
O consentimento pode ser revogado a qualquer momento, mediante manifestação expressa, por procedimento gratuito e facilitado.
10.9 Oposição
Você pode se opor ao tratamento realizado com base em hipóteses de dispensa de consentimento, em caso de descumprimento da LGPD.
10.10 Revisão de Decisões Automatizadas
Você tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses.
Como Exercer Seus Direitos
Para exercer qualquer um dos direitos acima, você pode:
• Acessar as configurações da sua conta;
• Enviar e-mail para: privacidade@todosign.com.br;
• Contatar nosso Encarregado (DPO): dpo@todosign.com.br.
Responderemos às solicitações em até 15 dias, conforme estabelecido pela LGPD.
12. Menores de Idade
A TodoSign é uma plataforma destinada exclusivamente a maiores de 18 anos, com capacidade civil plena para celebrar contratos e assinar documentos.
Não coletamos intencionalmente dados pessoais de menores de 18 anos. Se você é menor de idade, não deve utilizar nossos serviços ou fornecer quaisquer informações pessoais.
Caso tomemos conhecimento de que coletamos inadvertidamente dados de um menor de 18 anos, tomaremos medidas imediatas para:
- Excluir todos os dados pessoais do menor;
- Invalidar qualquer documento assinado pelo menor;
- Notificar os responsáveis legais, quando possível;
- Bloquear o acesso à conta.
Se você acredita que um menor tenha fornecido dados pessoais à TodoSign, por favor entre em contato imediatamente através de privacidade@todosign.com.br.
13. Alteracoes nesta Politica
Esta Política de Privacidade pode ser atualizada periodicamente para refletir mudanças em nossas práticas de tratamento de dados, novos requisitos legais ou melhorias em nossos serviços.
13.1 Notificação de Alterações
Quando realizarmos alterações significativas nesta Política, notificaremos você através de:
- E-mail enviado ao endereço cadastrado na conta;
- Aviso destacado na plataforma ao fazer login;
- Publicação da nova versão nesta página.
13.2 Prazo para Notificação
Alterações significativas serão comunicadas com antecedência mínima de 30 dias antes de entrarem em vigor, exceto quando exigido de forma diferente por lei ou regulamentação.
13.3 Histórico de Versões
Mantemos um histórico das versões anteriores desta Política, que pode ser solicitado através do e-mail privacidade@todosign.com.br.
13.4 Aceitação das Alterações
O uso continuado da plataforma após a entrada em vigor das alterações constitui sua aceitação da nova Política. Se você não concordar com as alterações, deverá cessar o uso do serviço e solicitar a exclusão de sua conta.
14. Contato e Encarregado de Protecao de Dados (DPO)
Para questões relacionadas a esta Política de Privacidade, tratamento de dados pessoais ou exercício de seus direitos, entre em contato conosco:
TodoSign Tecnologia LTDA
14.1 Autoridade Nacional de Proteção de Dados (ANPD)
Se você acredita que o tratamento de seus dados pessoais viola a legislação de proteção de dados, você tem o direito de apresentar uma reclamação à Autoridade Nacional de Proteção de Dados:
- Website: www.gov.br/anpd
- Canal de denúncias: Canais de Atendimento ANPD
Recomendamos que, antes de acionar a ANPD, você entre em contato conosco para que possamos resolver sua questão de forma mais rápida e eficiente.