PRIVACY.md

# 🔐 Política de Privacidade - Cidadão.AI Backend

## 📋 Visão Geral

Esta política de privacidade descreve como o Cidadão.AI Backend coleta, usa, armazena e protege dados pessoais em conformidade com a Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018) e melhores práticas internacionais de privacidade.

## 🎯 Responsável pelo Tratamento dos Dados

**Controlador dos Dados:**
- **Nome**: Anderson Henrique da Silva
- **E-mail**: [email protected] (ou [email protected])
- **Função**: Controlador e Desenvolvedor do Sistema
- **Instituição**: Instituto Federal do Sul de Minas Gerais

## 📊 Dados Coletados

### Dados Pessoais dos Usuários
- **Dados de Identificação**: Nome, e-mail, função
- **Dados de Autenticação**: Hash de senhas (bcrypt), tokens JWT
- **Dados de Acesso**: Logs de login, endereço IP, timestamp
- **Dados de Uso**: Interações com o sistema, investigações realizadas

### Dados Públicos Analisados
- **Contratos Governamentais**: Dados públicos do Portal da Transparência
- **Gastos Públicos**: Informações de despesas governamentais
- **Fornecedores**: Dados públicos de empresas contratadas pelo governo
- **Servidores Públicos**: Informações públicas conforme LAI

## 🎯 Finalidades do Tratamento

### Finalidades Primárias
1. **Autenticação e Autorização**: Controle de acesso ao sistema
2. **Análise de Transparência**: Detecção de anomalias em dados públicos
3. **Auditoria e Compliance**: Rastreamento de ações para segurança
4. **Melhorias do Sistema**: Análise de uso para otimizações

### Finalidades Secundárias
1. **Pesquisa Acadêmica**: Estudos sobre transparência pública (dados anonimizados)
2. **Relatórios Estatísticos**: Métricas agregadas sem identificação pessoal
3. **Segurança**: Detecção e prevenção de fraudes e abusos

## 🛡️ Base Legal (LGPD)

### Artigo 7º - Bases Legais Aplicadas
- **Inciso I**: Consentimento do titular para dados de cadastro
- **Inciso VI**: Interesse legítimo para análise de dados públicos
- **Inciso VIII**: Tutela da saúde em procedimentos realizados por profissionais de saúde
- **Inciso IX**: Interesse público para transparência governamental

### Artigo 11º - Tratamento de Dados Sensíveis
- **Não coletamos dados sensíveis** definidos no Art. 5º, II da LGPD
- Dados raciais, étnicos, religiosos, políticos não são processados
- Dados de saúde, genéticos e biométricos não são coletados

## 🔒 Medidas de Segurança

### Segurança Técnica
- **Criptografia**: AES-256 para dados em repouso, TLS 1.3 em trânsito
- **Hashing**: bcrypt para senhas, SHA-256 para integridade
- **Tokenização**: JWT com expiração de 30 minutos
- **Logs de Auditoria**: Trilha completa de acesso com integridade

### Segurança Administrativa
- **Acesso Restrito**: Princípio do menor privilégio
- **Treinamento**: Capacitação em proteção de dados
- **Políticas**: Procedimentos documentados de segurança
- **Revisões**: Auditorias trimestrais de segurança

### Segurança Física
- **Infraestrutura**: Serviços em nuvem com certificação ISO 27001
- **Backup**: Cópias seguras com criptografia
- **Disaster Recovery**: Planos de continuidade de negócio

## ⏰ Retenção de Dados

### Períodos de Retenção
| Tipo de Dado | Período de Retenção | Justificativa |
|--------------|-------------------|---------------|
| Dados de Cadastro | 5 anos após inatividade | Compliance e auditoria |
| Logs de Acesso | 1 ano | Segurança e investigação |
| Dados de Investigação | 7 anos | Interesse público histórico |
| Backups de Segurança | 3 anos | Recuperação de desastres |

### Eliminação Segura
- **Sobrescrita Segura**: Padrão DoD 5220.22-M para HDDs
- **Destruição Criptográfica**: Eliminação de chaves de criptografia
- **Certificação**: Comprovante de eliminação quando aplicável

## 👤 Direitos dos Titulares (LGPD Art. 18)

### Direitos Garantidos
1. **Confirmação e Acesso**: Informações sobre tratamento de dados
2. **Correção**: Atualização de dados incompletos ou incorretos
3. **Anonimização/Eliminação**: Remoção de dados desnecessários
4. **Portabilidade**: Transferência de dados para outro fornecedor
5. **Informação sobre Compartilhamento**: Com quem os dados são compartilhados
6. **Revogação do Consentimento**: Retirada de autorização
7. **Oposição**: Contestação ao tratamento em casos específicos

### Como Exercer os Direitos
- **E-mail**: [email protected]
- **Prazo de Resposta**: Até 15 dias úteis
- **Formulário Online**: [Em desenvolvimento]
- **Identificação**: Verificação de identidade necessária

## 🌍 Transferência Internacional

### Não Realizamos Transferências Internacionais
- Todos os dados são armazenados em território brasileiro
- Servidores localizados em data centers nacionais
- Fornecedores de nuvem com presença local

### Exceções (se aplicáveis)
- Serviços de monitoramento com anonimização prévia
- Backups georeplicados dentro do território nacional

## 🤝 Compartilhamento de Dados

### Não Compartilhamos Dados Pessoais
- Dados pessoais nunca são vendidos ou comercializados
- Compartilhamento apenas para cumprimento legal
- Pesquisa acadêmica apenas com dados anonimizados

### Dados Públicos Processados
- Dados já públicos do Portal da Transparência
- Informações de domínio público conforme LAI
- Análises e relatórios com dados agregados/anonimizados

## 📞 Canal de Comunicação

### Encarregado de Dados (DPO)
- **Nome**: Anderson Henrique da Silva
- **E-mail**: [email protected]
- **Telefone**: [A ser disponibilizado]
- **Horário**: Segunda a sexta, 8h às 17h

### Autoridade Nacional de Proteção de Dados (ANPD)
- **Website**: https://www.gov.br/anpd/pt-br
- **E-mail**: [email protected]

## 🔄 Atualizações desta Política

### Controle de Versões
- **Versão Atual**: 1.0
- **Data**: Janeiro de 2025
- **Última Atualização**: 24/01/2025

### Comunicação de Mudanças
- Mudanças substanciais comunicadas por e-mail
- Histórico de versões disponível no GitHub
- Período de adaptação de 30 dias para mudanças materiais

## 📚 Conformidade Legal

### Legislação Aplicável
- **LGPD** (Lei nº 13.709/2018): Lei Geral de Proteção de Dados
- **LAI** (Lei nº 12.527/2011): Lei de Acesso à Informação
- **Marco Civil da Internet** (Lei nº 12.965/2014)
- **Código de Defesa do Consumidor** (Lei nº 8.078/1990)

### Certificações e Auditorias
- Auditoria anual de conformidade LGPD
- Revisão trimestral de medidas de segurança
- Certificações de segurança da informação (em andamento)

## 🚨 Incidentes de Segurança

### Procedimento de Notificação
1. **Detecção**: Sistemas automatizados + monitoramento manual
2. **Avaliação**: Impacto e gravidade do incidente
3. **Contenção**: Medidas imediatas para minimizar danos
4. **Notificação**: ANPD (72h) e titulares (prazo razoável)
5. **Investigação**: Causa raiz e medidas corretivas
6. **Relatório**: Documentação completa do incidente

### Histórico de Incidentes
- **2025**: Nenhum incidente reportado até a data
- Relatórios anuais de segurança disponíveis sob demanda

## 🎯 Uso de Cookies e Tecnologias Similares

### Cookies Utilizados
- **Essenciais**: Autenticação e funcionamento do sistema
- **Funcionais**: Preferências de idioma e tema
- **Não utilizamos**: Cookies de publicidade ou rastreamento

### Gestão de Cookies
- Controle pelo usuário via configurações do navegador
- Opção de desabilitar cookies não essenciais
- Informações claras sobre finalidade de cada cookie

## 📊 Transparência e Governança

### Relatórios de Transparência
- Relatório anual de atividades de proteção de dados
- Estatísticas de exercício de direitos dos titulares
- Métricas de segurança (dados agregados)

### Programa de Governança
- **Privacy by Design**: Privacidade desde a concepção
- **Privacy by Default**: Configurações padrão de máxima privacidade
- **Avaliação de Impacto**: DPIA para novas funcionalidades
- **Treinamento**: Capacitação contínua da equipe

---

**Importante**: Esta política de privacidade é um documento vivo e pode ser atualizada conforme necessário. Recomendamos revisões periódicas para se manter informado sobre como protegemos seus dados.

**Última atualização**: 24 de janeiro de 2025  
**Próxima revisão**: 24 de abril de 2025

Para dúvidas sobre esta política, entre em contato: **[email protected]**