# 🔐 Política de Privacidade - Cidadão.AI Backend ## 📋 Visão Geral Esta política de privacidade descreve como o Cidadão.AI Backend coleta, usa, armazena e protege dados pessoais em conformidade com a Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018) e melhores práticas internacionais de privacidade. ## 🎯 Responsável pelo Tratamento dos Dados **Controlador dos Dados:** - **Nome**: Anderson Henrique da Silva - **E-mail**: privacy@cidadao.ai (ou andersonhs27@gmail.com) - **Função**: Controlador e Desenvolvedor do Sistema - **Instituição**: Instituto Federal do Sul de Minas Gerais ## 📊 Dados Coletados ### Dados Pessoais dos Usuários - **Dados de Identificação**: Nome, e-mail, função - **Dados de Autenticação**: Hash de senhas (bcrypt), tokens JWT - **Dados de Acesso**: Logs de login, endereço IP, timestamp - **Dados de Uso**: Interações com o sistema, investigações realizadas ### Dados Públicos Analisados - **Contratos Governamentais**: Dados públicos do Portal da Transparência - **Gastos Públicos**: Informações de despesas governamentais - **Fornecedores**: Dados públicos de empresas contratadas pelo governo - **Servidores Públicos**: Informações públicas conforme LAI ## 🎯 Finalidades do Tratamento ### Finalidades Primárias 1. **Autenticação e Autorização**: Controle de acesso ao sistema 2. **Análise de Transparência**: Detecção de anomalias em dados públicos 3. **Auditoria e Compliance**: Rastreamento de ações para segurança 4. **Melhorias do Sistema**: Análise de uso para otimizações ### Finalidades Secundárias 1. **Pesquisa Acadêmica**: Estudos sobre transparência pública (dados anonimizados) 2. **Relatórios Estatísticos**: Métricas agregadas sem identificação pessoal 3. **Segurança**: Detecção e prevenção de fraudes e abusos ## 🛡️ Base Legal (LGPD) ### Artigo 7º - Bases Legais Aplicadas - **Inciso I**: Consentimento do titular para dados de cadastro - **Inciso VI**: Interesse legítimo para análise de dados públicos - **Inciso VIII**: Tutela da saúde em procedimentos realizados por profissionais de saúde - **Inciso IX**: Interesse público para transparência governamental ### Artigo 11º - Tratamento de Dados Sensíveis - **Não coletamos dados sensíveis** definidos no Art. 5º, II da LGPD - Dados raciais, étnicos, religiosos, políticos não são processados - Dados de saúde, genéticos e biométricos não são coletados ## 🔒 Medidas de Segurança ### Segurança Técnica - **Criptografia**: AES-256 para dados em repouso, TLS 1.3 em trânsito - **Hashing**: bcrypt para senhas, SHA-256 para integridade - **Tokenização**: JWT com expiração de 30 minutos - **Logs de Auditoria**: Trilha completa de acesso com integridade ### Segurança Administrativa - **Acesso Restrito**: Princípio do menor privilégio - **Treinamento**: Capacitação em proteção de dados - **Políticas**: Procedimentos documentados de segurança - **Revisões**: Auditorias trimestrais de segurança ### Segurança Física - **Infraestrutura**: Serviços em nuvem com certificação ISO 27001 - **Backup**: Cópias seguras com criptografia - **Disaster Recovery**: Planos de continuidade de negócio ## ⏰ Retenção de Dados ### Períodos de Retenção | Tipo de Dado | Período de Retenção | Justificativa | |--------------|-------------------|---------------| | Dados de Cadastro | 5 anos após inatividade | Compliance e auditoria | | Logs de Acesso | 1 ano | Segurança e investigação | | Dados de Investigação | 7 anos | Interesse público histórico | | Backups de Segurança | 3 anos | Recuperação de desastres | ### Eliminação Segura - **Sobrescrita Segura**: Padrão DoD 5220.22-M para HDDs - **Destruição Criptográfica**: Eliminação de chaves de criptografia - **Certificação**: Comprovante de eliminação quando aplicável ## 👤 Direitos dos Titulares (LGPD Art. 18) ### Direitos Garantidos 1. **Confirmação e Acesso**: Informações sobre tratamento de dados 2. **Correção**: Atualização de dados incompletos ou incorretos 3. **Anonimização/Eliminação**: Remoção de dados desnecessários 4. **Portabilidade**: Transferência de dados para outro fornecedor 5. **Informação sobre Compartilhamento**: Com quem os dados são compartilhados 6. **Revogação do Consentimento**: Retirada de autorização 7. **Oposição**: Contestação ao tratamento em casos específicos ### Como Exercer os Direitos - **E-mail**: privacy@cidadao.ai - **Prazo de Resposta**: Até 15 dias úteis - **Formulário Online**: [Em desenvolvimento] - **Identificação**: Verificação de identidade necessária ## 🌍 Transferência Internacional ### Não Realizamos Transferências Internacionais - Todos os dados são armazenados em território brasileiro - Servidores localizados em data centers nacionais - Fornecedores de nuvem com presença local ### Exceções (se aplicáveis) - Serviços de monitoramento com anonimização prévia - Backups georeplicados dentro do território nacional ## 🤝 Compartilhamento de Dados ### Não Compartilhamos Dados Pessoais - Dados pessoais nunca são vendidos ou comercializados - Compartilhamento apenas para cumprimento legal - Pesquisa acadêmica apenas com dados anonimizados ### Dados Públicos Processados - Dados já públicos do Portal da Transparência - Informações de domínio público conforme LAI - Análises e relatórios com dados agregados/anonimizados ## 📞 Canal de Comunicação ### Encarregado de Dados (DPO) - **Nome**: Anderson Henrique da Silva - **E-mail**: privacy@cidadao.ai - **Telefone**: [A ser disponibilizado] - **Horário**: Segunda a sexta, 8h às 17h ### Autoridade Nacional de Proteção de Dados (ANPD) - **Website**: https://www.gov.br/anpd/pt-br - **E-mail**: atendimento@anpd.gov.br ## 🔄 Atualizações desta Política ### Controle de Versões - **Versão Atual**: 1.0 - **Data**: Janeiro de 2025 - **Última Atualização**: 24/01/2025 ### Comunicação de Mudanças - Mudanças substanciais comunicadas por e-mail - Histórico de versões disponível no GitHub - Período de adaptação de 30 dias para mudanças materiais ## 📚 Conformidade Legal ### Legislação Aplicável - **LGPD** (Lei nº 13.709/2018): Lei Geral de Proteção de Dados - **LAI** (Lei nº 12.527/2011): Lei de Acesso à Informação - **Marco Civil da Internet** (Lei nº 12.965/2014) - **Código de Defesa do Consumidor** (Lei nº 8.078/1990) ### Certificações e Auditorias - Auditoria anual de conformidade LGPD - Revisão trimestral de medidas de segurança - Certificações de segurança da informação (em andamento) ## 🚨 Incidentes de Segurança ### Procedimento de Notificação 1. **Detecção**: Sistemas automatizados + monitoramento manual 2. **Avaliação**: Impacto e gravidade do incidente 3. **Contenção**: Medidas imediatas para minimizar danos 4. **Notificação**: ANPD (72h) e titulares (prazo razoável) 5. **Investigação**: Causa raiz e medidas corretivas 6. **Relatório**: Documentação completa do incidente ### Histórico de Incidentes - **2025**: Nenhum incidente reportado até a data - Relatórios anuais de segurança disponíveis sob demanda ## 🎯 Uso de Cookies e Tecnologias Similares ### Cookies Utilizados - **Essenciais**: Autenticação e funcionamento do sistema - **Funcionais**: Preferências de idioma e tema - **Não utilizamos**: Cookies de publicidade ou rastreamento ### Gestão de Cookies - Controle pelo usuário via configurações do navegador - Opção de desabilitar cookies não essenciais - Informações claras sobre finalidade de cada cookie ## 📊 Transparência e Governança ### Relatórios de Transparência - Relatório anual de atividades de proteção de dados - Estatísticas de exercício de direitos dos titulares - Métricas de segurança (dados agregados) ### Programa de Governança - **Privacy by Design**: Privacidade desde a concepção - **Privacy by Default**: Configurações padrão de máxima privacidade - **Avaliação de Impacto**: DPIA para novas funcionalidades - **Treinamento**: Capacitação contínua da equipe --- **Importante**: Esta política de privacidade é um documento vivo e pode ser atualizada conforme necessário. Recomendamos revisões periódicas para se manter informado sobre como protegemos seus dados. **Última atualização**: 24 de janeiro de 2025 **Próxima revisão**: 24 de abril de 2025 Para dúvidas sobre esta política, entre em contato: **privacy@cidadao.ai**