Política de Privacidade & LGPD

1. Identificação do Controlador

O controlador dos dados pessoais tratados por meio do sistema AG é:

Informação	Dado
Razão Social	ADRIANO GABRIEL DE LIMA SERVICOS LTDA
CNPJ	65.069.355/0001-82
Natureza Jurídica	206-2 — Sociedade Empresária Limitada
Endereço	R. João Maria Alves, 230, Sala 03 — Jardim Morumbi, Três Lagoas/MS — CEP 79.645-032
Site	https://agrofaz.com/ag/publico
E-mail / WhatsApp	adriano@agrofaz.com \| (67) 99629-8008

O AG é um sistema ERP (Enterprise Resource Planning) voltado ao agronegócio, disponibilizado como Software as a Service (SaaS) para empresas rurais, fazendas, cooperativas e negócios do setor agrícola e pecuário.

2. Encarregado pelo Tratamento de Dados (DPO)

Em cumprimento ao art. 41 da LGPD, indicamos o seguinte Encarregado pelo Tratamento de Dados Pessoais (Data Protection Officer — DPO):

Cargo Encarregado de Dados (DPO)

E-mail adriano@agrofaz.com

Prazo de resposta Até 15 dias úteis

O encarregado é responsável por receber comunicações dos titulares e da Autoridade Nacional de Proteção de Dados (ANPD), prestar esclarecimentos e adotar providências.

3. Dados Pessoais Tratados

O sistema AG trata dados pessoais em diferentes contextos, conforme descrito abaixo:

3.1 Usuários do sistema (operadores)

Dado	Descrição
Nome completo	Identificação do usuário no sistema
Login e senha (hash bcrypt)	Autenticação — senha nunca armazenada em texto claro
E-mail	Recuperação de senha, notificações do sistema
Foto de perfil	Opcional, exibida na interface
Endereço IP	Segurança, controle de sessões, auditoria
Data e hora de acessos	Log de auditoria, sessões ativas
Perfil e permissões	Controle de acesso aos módulos

3.2 Funcionários (módulo RH)

Dado	Classificação LGPD
Nome, CPF, RG, data de nascimento	Dados pessoais comuns
Endereço, telefone, e-mail pessoal	Dados pessoais comuns
PIS/PASEP, CTPS, CNH	Dados pessoais comuns
Cargo, salário, banco, conta corrente	Dados pessoais comuns
Dependentes (nome, CPF, parentesco)	Dados pessoais comuns de terceiros
Laudos de ASO, histórico de saúde ocupacional	Dados pessoais sensíveis (art. 5º, II)
Histórico de férias, afastamentos, advertências	Dados pessoais comuns

3.3 Dados operacionais do agronegócio

O sistema também processa dados relacionados à atividade produtiva do cliente, que podem conter dados pessoais de forma indireta:

Financeiro: contas bancárias, lançamentos, CPF/CNPJ de fornecedores e clientes
Compras: dados de fornecedores, responsáveis por aprovação de pedidos
Seguros: dados do tomador e do bem segurado
SST: programas de saúde, exames, acidentes de trabalho
Agenda/Tarefas: dados de responsáveis, participantes e compromissos

Dado sensível de saúde: os dados de ASO e saúde ocupacional no módulo SST são tratados com base no art. 11, I (consentimento) e art. 11, II, "a" (cumprimento de obrigação legal), com acesso restrito a usuários autorizados pelo controlador.

4. Finalidades e Bases Legais

Todo tratamento de dados realizado pelo AG possui finalidade determinada e base legal prevista na LGPD (art. 7º para dados comuns; art. 11 para dados sensíveis):

Finalidade	Base Legal (LGPD)
Autenticação e controle de acesso ao sistema	Execução de contrato — art. 7º, V
Gerenciamento de recursos humanos (folha, férias, admissões)	Cumprimento de obrigação legal — art. 7º, II (CLT, eSocial)
Gestão de saúde e segurança no trabalho (SST/ASO)	Cumprimento de obrigação legal — art. 7º, II; art. 11, II, "a"
Controle financeiro, fiscal e contábil	Cumprimento de obrigação legal — art. 7º, II (Fisco, SPED)
Gestão de compras, fornecedores e estoque	Execução de contrato / legítimo interesse — art. 7º, V e IX
Auditoria e segurança da informação (logs de acesso)	Legítimo interesse do controlador — art. 7º, IX
Envio de notificações e alertas do sistema	Execução de contrato / legítimo interesse — art. 7º, V e IX
Geração de relatórios operacionais e analíticos	Execução de contrato — art. 7º, V
Aprovação externa de pedidos de compra (link tokenizado)	Execução de contrato / consentimento — art. 7º, I e V

O AG não realiza marketing direto, perfilamento para publicidade nem venda de dados pessoais a terceiros. Os dados são utilizados exclusivamente para as finalidades acima descritas.

5. Compartilhamento de Dados

Os dados são compartilhados apenas nas seguintes hipóteses:

Destinatário	Motivo	Garantia
Hostinger International Ltd.	Hospedagem de servidores e banco de dados (infraestrutura SaaS)	Contrato de processamento de dados (DPA) e adequação ao GDPR
Autoridades públicas	Cumprimento de ordem judicial, regulatória ou fiscal (eSocial, SPED)	Obrigação legal — art. 7º, II; art. 11, II, "a"
Empresas do grupo controlador	Apenas se autorizado expressamente pelo cliente contratante	Acordo de confidencialidade

Não compartilhamos dados com anunciantes, parceiros de marketing, corretoras de dados ou qualquer terceiro não listado acima.

6. Transferência Internacional de Dados

A infraestrutura de hospedagem (Hostinger) pode utilizar servidores localizados em diferentes países. A Hostinger é certificada conforme o Regulamento Geral de Proteção de Dados da União Europeia (GDPR — Regulamento (UE) 2016/679) e possui cláusulas contratuais padrão para transferências internacionais.

Quando possível, os dados são mantidos em servidores localizados no Brasil. Em caso de uso de servidores internacionais, aplicam-se as salvaguardas previstas no art. 33 da LGPD.

7. Retenção e Exclusão de Dados

Os dados pessoais são retidos pelo tempo necessário para cumprir as finalidades descritas nesta política ou obrigações legais:

Categoria de dado	Prazo de retenção	Fundamento
Dados de acesso (logs, IP, sessões)	12 meses	Segurança / legítimo interesse
Dados de funcionários (RH)	5 anos após desligamento	Prescrição trabalhista — CLT
Dados contábeis e fiscais	5 anos após encerramento do exercício	Código Tributário Nacional
Dados de saúde ocupacional (ASO/PCMSO)	20 anos	NR-7 / Portaria MTE 3.214/78
Dados financeiros e contratos	5 anos	Código Civil — art. 206
Dados operacionais (compras, estoque, produção)	Conforme contrato de SaaS	Execução contratual
Backups automáticos	Até 90 dias (rotação automática)	Integridade do serviço

Após o encerramento do contrato de uso, os dados operacionais serão eliminados ou anonimizados no prazo de 90 dias, ressalvadas as obrigações legais de retenção acima.

O titular pode solicitar a eliminação de seus dados a qualquer momento, observado o disposto no art. 16 da LGPD (dados que não podem ser eliminados por obrigação legal continuarão retidos pelo prazo exigido).

8. Direitos dos Titulares

Nos termos do art. 18 da LGPD, você tem os seguintes direitos em relação aos seus dados pessoais:

Confirmação e Acesso

Confirmar a existência de tratamento e obter cópia dos dados tratados.

Correção

Solicitar a correção de dados incompletos, inexatos ou desatualizados.

Anonimização

Solicitar anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos.

Eliminação

Requerer a eliminação dos dados tratados com base em consentimento (art. 18, VI).

Portabilidade

Obter os seus dados em formato estruturado e legível por máquina.

Oposição

Opor-se ao tratamento realizado com base em legítimo interesse (art. 18, IX).

Revogação do Consentimento

Retirar consentimento a qualquer momento, quando este for a base legal utilizada.

Petição à ANPD

Peticionar perante a Autoridade Nacional de Proteção de Dados (gov.br/anpd).

Para exercer seus direitos, envie solicitação para adriano@agrofaz.com identificando-se (nome, CPF, e-mail cadastrado). Responderemos em até 15 dias úteis.

9. Segurança da Informação

Adotamos medidas técnicas e organizacionais proporcionais aos riscos (art. 46 da LGPD):

Medidas técnicas implementadas

Senhas: armazenadas exclusivamente como hash bcrypt (cost 12) — nunca em texto claro
Autenticação: proteção contra força bruta (bloqueio após 5 tentativas incorretas por 15 minutos)
CSRF: tokens por formulário validados com hash_equals() em todas as operações de escrita
Sessões: regeneração de ID após login (session_regenerate_id(true)); expiração automática por inatividade
Dados em trânsito: comunicação via HTTPS (TLS 1.2+)
Links externos: aprovações por link tokenizado com token de 64 caracteres hexadecimais gerados por random_bytes()
Multi-tenant: isolamento completo por banco de dados — dados de cada cliente são segregados
Auditoria: log de todas as operações críticas com usuário, IP e data/hora
Backups: realizados periodicamente com rotação automática
Controle de acesso: sistema de perfis e permissões granulares por módulo e ação

Medidas organizacionais

Acesso ao banco de dados restrito a colaboradores autorizados com necessidade de conhecimento
Política de senhas fortes e troca periódica para contas administrativas
Monitoramento de sessões ativas com possibilidade de revogação remota

Incidentes de segurança: em caso de incidente com potencial impacto relevante, notificaremos a ANPD e os titulares afetados no prazo legal (art. 48 da LGPD), com descrição da natureza dos dados afetados e medidas adotadas.

10. Cookies e Sessões

O AG utiliza apenas cookies de sessão estritamente necessários para o funcionamento do sistema, sem cookies de rastreamento ou publicidade:

Cookie	Finalidade	Duração
`PHPSESSID`	Sessão autenticada do usuário (identificação, permissões, empresa ativa)	Sessão do navegador / inatividade

Não utilizamos cookies de terceiros, pixels de rastreamento, Google Analytics ou qualquer ferramenta de análise comportamental de visitantes.

As preferências de tema e fonte do usuário são armazenadas no banco de dados, vinculadas à conta autenticada, não em cookies.

11. Menores de Idade

O AG é um sistema destinado exclusivamente a empresas e profissionais maiores de 18 anos. Não coletamos intencionalmente dados de menores de idade como usuários do sistema.

No módulo RH, podem ser tratados dados de dependentes menores (para fins de plano de saúde, IR, etc.), com base em obrigação legal e consentimento do responsável legal.

Caso identifiquemos o tratamento indevido de dados de menores, adotaremos as providências necessárias para sua eliminação imediata.

12. Alterações desta Política

Esta Política de Privacidade pode ser atualizada periodicamente para refletir mudanças no sistema, na legislação aplicável ou em nossas práticas de tratamento de dados.

Alterações relevantes serão comunicadas por meio de:

Aviso na tela de login do sistema com pelo menos 15 dias de antecedência
Notificação por e-mail ao administrador da conta
Atualização da data de vigência e número de versão no cabeçalho deste documento

O uso continuado do sistema após a entrada em vigor da nova versão implica aceitação das alterações.

13. Contato e Canal de Atendimento

Para exercer seus direitos, esclarecer dúvidas ou reportar incidentes relacionados à privacidade:

DPO / Privacidade adriano@agrofaz.com

WhatsApp (67) 99629-8008

ANPD (Órgão Regulador) www.gov.br/anpd