{"id":"legal-ptbr-privacy-policy-2026041","type":"PRIVACY_POLICY","version":"2026.05.1","locale":"pt-BR","title":"Política de Privacidade Aria","content":"# Política de Privacidade Aria\n\n**Versão 2026.05.1 — pt-BR**\n\n> **Minuta para revisão jurídica.** Este documento foi preparado como base operacional para a Aria e deve ser revisado por advogado habilitado antes de publicação ao público, clientes, colaboradores ou prestadores.\n\n## 1. Quem somos, papéis e âmbito\n\nEsta Política descreve como Aria Tecnologia Ltda., suas afiliadas, sucessoras ou entidades operacionais indicadas no contrato aplicável realiza o tratamento de dados pessoais no âmbito de site, painel administrativo, APIs, app mobile, módulos de campo, integrações, comunicações transacionais e serviços correlatos da plataforma Aria.\n\nEm relações **B2B**, em regra o **Cliente (tenant)** é o **controlador** dos dados relativos aos seus usuários, colaboradores, prestadores de campo e clientes finais cadastrados ou monitorados na plataforma. A **Aria** atua predominantemente como **operadora**, executando tratamentos necessários à prestação do serviço contratado, com base em instruções compatíveis com a legislação e nas configurações do painel.\n\nA Aria poderá atuar como **controladora** quando tratar dados para finalidades **próprias**, como faturamento, prevenção a fraudes, segurança da informação, cumprimento de obrigações legais, relacionamento comercial, melhoria de produto de forma agregada ou anonimizada quando possível, e resposta a autoridades.\n\n## 2. Categorias de dados pessoais\n\nConforme os módulos contratados e o uso da plataforma, poderão ser tratadas, entre outras, as seguintes categorias:\n- **Identificação e cadastro:** nome, e-mail, telefone, documentos, empresa, função, identificadores de conta e de tenant.\n- **Identificação fiscal (prestador — app):** CPF quando exigido no cadastro pelo aplicativo, tratado de forma normalizada e **único** na plataforma para evitar duplicidade de contas de prestador, salvo hipóteses legais ou contratuais específicas.\n- **Documentos de identificação (envio opcional no fluxo):** imagens de documento, OCR, metadados e dados extraídos quando o prestador optar por enviar; o não envio não dispensa o fornecimento de identificadores exigidos pelo produto (ex.: CPF válido).\n- **Autenticação e segurança:** credenciais, tokens de sessão, registros de login, IP, tipo de dispositivo e eventos de segurança.\n- **Operação de campo e ativos:** ordens de serviço, checklists, assinaturas, fotos, vídeos curtos, áudio ou notas de voz, leituras de código, geolocalização (incluindo em segundo plano quando habilitado), geofences, jornada e marcações de ponto.\n- **Biometria (facial):** templates ou medições biométricas **somente** quando o Cliente ativar a funcionalidade e houver suporte legal e transparência para os titulares.\n- **Dados financeiros de assinatura:** dados necessários à cobrança, emissão de notas e gestão de planos (via processadores de pagamento quando aplicável).\n- **Comunicações:** notificações transacionais, in-app, e-mail e push.\n- **Telemetria e diagnóstico:** logs técnicos, falhas, desempenho e métricas de uso para confiabilidade e suporte.\n- **IA e relatórios:** entradas enviadas a recursos de IA configurados pelo Cliente e resultados exibidos na plataforma, nos limites do produto.\n\n## 2.1. Dados faciais e reconhecimento facial (aplicativo)\n\nQuando o Cliente habilitar biometria, ponto com selfie, checklists com validação facial ou KYC de prestador, o app pode tratar **dados faciais** assim:\n- **Coleta:** fotografias com o rosto (selfies de matrícula, ponto e tarefas); **templates biométricos** (embeddings) gerados por **CompreFace (FaceMatch)** a partir das fotos de referência; metadados de verificação (similaridade, data/hora, motor, auditoria).\n- **Não coletamos:** templates do **Face ID** / **Touch ID** do dispositivo — autenticação nativa permanece no SO. Detecção facial em tempo real no aparelho (ML Kit) serve só ao enquadramento e **não** grava templates locais.\n- **Finalidades:** confirmar identidade no ponto e jornada; validar presença em OS/checklists; KYC de prestador; prevenção a fraude e auditoria. **Sem** publicidade ou venda de dados.\n- **Compartilhamento:** empresa contratante (tenant); servidores Lansolver (`/uploads/face-enrollment/` e evidências operacionais); suboperador **CompreFace** (templates segregados por tenant/usuário); **OpenAI Vision** opcional só para qualidade de selfie no cadastro.\n- **Retenção:** referências biométricas enquanto a conta estiver ativa; exclusão/anonimização após encerramento; evidências de ponto conforme obrigações do Cliente e lei. Titular: **dpo@lansolver.com** ou exclusão de conta no app.\n- **Base legal e aviso:** dado sensível (LGPD art. 11); consentimento e/ou contrato/legítimo interesse conforme contexto. Aviso in-app **BIOMETRIC_NOTICE** quando exigido.\n\n## 3. Dados sensíveis e saúde ocupacional\n\nDeterminados formulários ou fluxos podem capturar **dados sensíveis** (incluindo, em certos cenários, dados de saúde ou segurança ocupacional) **por decisão e configuração do Cliente**. Nesses casos, o Cliente é responsável por informar os titulares, obter bases legais aplicáveis (incluindo hipóteses do art. 11 da LGPD), aplicar minimização e definir prazos de retenção compatíveis. A Aria limita o acesso interno ao estritamente necessário e exige segregação lógica entre tenants.\n\n## 4. Finalidades do tratamento\n\nTratamos dados para: provisionar e operar a plataforma; autenticar utilizadores; registar e validar prestadores no aplicativo (incluindo unicidade de CPF e fluxos de onboarding); sincronizar dados offline; comprovar execução de serviços; prevenir fraudes e abusos; enviar comunicações operacionais; prestar suporte; cumprir contratos; faturar; cumprir ordens legais ou regulatórias; realizar auditoria e defesa de direitos; melhorar desempenho, estabilidade e segurança; e, quando aplicável, viabilizar recursos de localização, biometria, IA e integrações autorizadas pelo Cliente.\n\n## 5. Bases legais (LGPD e correspondências)\n\nDependendo do papel (controlador/operadora) e do contexto, poderão aplicar-se, entre outras, as hipóteses do art. 7º da LGPD: execução de contrato; obrigação legal; exercício regular de direitos; proteção da vida; tutela da saúde; legítimo interesse (com avaliação de balanceamento); proteção ao crédito; e consentimento quando exigido. Para **dados sensíveis**, observar o art. 11º da LGPD. Em cenários com titulares na União Europeia, poderão aplicar-se bases do GDPR de forma complementar, sem prejuízo das normas brasileiras aplicáveis ao contrato.\n\n## 6. Cookies e tecnologias similares\n\nSites e aplicações web podem usar cookies, armazenamento local e tecnologias similares conforme a **Política de Cookies** publicada separadamente. O uso de cookies não estritamente necessários observará as configurações de consentimento aplicáveis na interface pública ou no fluxo de onboarding, conforme implementado.\n\n## 7. Compartilhamento, suboperadores e destinários\n\nPodemos compartilhar dados com **suboperadores** e fornecedores que nos auxiliam na infraestrutura (nuvem, banco de dados, CDN), mapas, notificações push, e-mail, armazenamento de objetos, pagamentos, assinatura eletrônica, biometria (quando ativada), IA, observabilidade e suporte. Exigimos cláusulas contratuais de proteção de dados e segregação. **Não comercializamos** dados pessoais no sentido de venda onerosa a terceiros para marketing independente. Poderemos divulgar dados a **autoridades** mediante ordem legal válida ou para defesa de direitos em processo.\n\n## 8. Transferência internacional\n\nParte da infraestrutura ou de suboperadores pode estar localizada **fora do Brasil**. Quando houver transferência internacional, adotamos instrumentos e medidas compatíveis com a LGPD (incluindo cláusulas-tipo, avaliação de risco e garantias técnicas). Quando aplicável o GDPR, observaremos requisitos equivalentes de transferência.\n\n## 9. Retenção e eliminação\n\nConservamos dados pelo tempo necessário às finalidades descritas, ao cumprimento de obrigações legais, à resolução de litígios e à defesa de direitos. Prazos específicos por categoria (por exemplo, telemetria bruta de localização vs. evidências legais) constam da **Política de Retenção de Dados**. Ao encerrar a relação contratual, procederemos à exclusão, anonimização ou devolução, conforme contrato e instruções documentadas do Cliente, ressalvadas exceções legais.\n\n## 10. Direitos dos titulares e canal de atendimento\n\nNos termos da LGPD, os titulares podem solicitar confirmação de tratamento, acesso, correção, anonimização, bloqueio ou eliminação, portabilidade (quando aplicável), informação sobre compartilhamentos, informação sobre a possibilidade de não fornecer consentimento e suas consequências, revogação de consentimento e revisão de decisões automatizadas (quando couber). Em contexto **B2B**, muitas solicitações devem ser tratadas pelo **Cliente controlador**; a Aria prestará apoio razoável ao Cliente para resposta dentro dos prazos legais. Canal da Aria: **dpo@lansolver.com**. O titular também poderá contatar a **Autoridade Nacional de Proteção de Dados (ANPD)** nos termos da legislação.\n\n## 11. Segurança e incidentes\n\nAdotamos medidas técnicas e organizacionais proporcionais ao risco, incluindo segregação lógica por tenant, controles de acesso, registro de eventos, criptografia em trânsito, práticas de desenvolvimento seguro, backups e monitoramento. Ocorrido incidente relevante envolvendo dados do Cliente, notificaremos o Cliente conforme exigido por lei e contrato, com informações razoavelmente disponíveis para permitir cumprimento de obrigações do controlador para com titulares e autoridades.\n\n## 12. Decisões automatizadas, perfilagem e IA\n\nRecursos de IA ou regras automatizadas podem sugerir rotas, preencher campos, classificar risco operacional ou auxiliar na triagem de solicitações, **conforme configuração do produto**. Decisões com efeito jurídico ou equivalente significativo sobre titulares observarão as salvaguardas legais aplicáveis, incluindo transparência e, quando exigido, revisão humana ou informações sobre a lógica utilizada em alto nível. O Cliente é responsável por avaliar impactos em seus empregados, prestadores e clientes finais ao habilitar tais recursos.\n\n## 13. Crianças e adolescentes\n\nA plataforma **não se destina** a menores de 16 anos como público-alvo. O Cliente não deve cadastrar dados de menores sem base legal específica, consentimento assistido quando exigido e políticas internas adequadas.\n\n## 14. Alterações desta Política\n\nPodemos atualizar esta Política para refletir mudanças legais, de produto ou de risco. Alterações **relevantes** serão comunicadas por meios razoáveis (incluindo painel, e-mail institucional ou fluxo de consentimento no aplicativo). Versões publicadas exigirão registro de aceite quando a natureza da mudança assim o exigir, conforme configuração de compliance do ambiente.\n\n---\n\n**Contato jurídico e privacidade:** dpo@lansolver.com","isActive":true,"publishedAt":"2026-05-20T11:18:52.903Z","effectiveFrom":"2026-05-06T00:00:00.000Z","reviewStatus":"PUBLISHED","reviewedBy":"compliance-script@lansolver.com","reviewedAt":"2026-05-20T11:18:52.903Z","archivedAt":null,"changeSummary":"v2026.05.2: seção dedicada a dados faciais (coleta, CompreFace, retenção, Face ID); v2026.05.1: CPF prestador; v2026.04.2 LGPD B2B.","audience":"ALL","platform":"ALL","jurisdiction":"BR","legalBasis":"LGPD","requiresAcceptance":true,"blocking":true,"createdBy":"admin@lansolver.com","tenantId":null,"sectorCode":null,"createdAt":"2026-05-07T16:28:35.262Z","updatedAt":"2026-05-20T11:18:52.904Z"}