Ultima atualizacao: maio de 2026

Conformidade com a LGPD

Como o IA2S Guardian trata dados pessoais em conformidade com a Lei 13.709/2018

A Lei Geral de Protecao de Dados Pessoais (LGPD — Lei 13.709/2018) regula o tratamento de dados pessoais no Brasil. Esta pagina explica de forma objetiva como a IA2S Guardian aplica os principios e obrigacoes da LGPD em cada aspecto da plataforma. Para detalhes sobre coleta e uso de dados, consulte tambem nossa Politica de Privacidade.

1. Papel da IA2S no Tratamento de Dados

A LGPD distingue entre controlador (quem decide sobre o tratamento) e operador (quem trata em nome do controlador). O IA2S Guardian ocupa ambos os papeis, dependendo do contexto:

  • Controladora dos dados da conta: para os dados dos Clientes (empresas e escritorios contratantes) e seus usuarios finais, a IA2S e controladora. Ela define as finalidades e meios do tratamento, conforme descrito nesta pagina e na Politica de Privacidade.
  • Operadora para conteudo gerado pelo Cliente: documentos assinados, certificados digitais inseridos pelo Cliente e quaisquer dados produzidos no uso da plataforma sao de responsabilidade do proprio Cliente (controlador). A IA2S apenas processa esses dados em nome e por instrucao do Cliente.

2. Principios da LGPD Aplicados

O art. 6° da LGPD estabelece dez principios que regem o tratamento de dados pessoais. Veja como cada um e aplicado na plataforma:

Finalidade: Os dados sao coletados para propositos legitimos, especificos e informados ao titular. Nao realizamos tratamentos incompativeis com as finalidades declaradas.
Adequacao: O tratamento e compativel com as finalidades informadas ao titular, considerado o contexto do tratamento e as expectativas razoaveis dos titulares.
Necessidade: Coletamos apenas os dados estritamente necessarios para atingir as finalidades declaradas. Nao ha coleta excessiva ou desnecessaria.
Livre acesso: Os titulares podem consultar, a qualquer momento, de forma gratuita, a integralidade de seus dados tratados pela IA2S, mediante solicitacao a [email protected].
Qualidade dos dados: Garantimos a exatidao, clareza e atualizacao dos dados. Os titulares podem solicitar a correcao de dados incorretos ou desatualizados.
Transparencia: Fornecemos informacoes claras e acessiveis sobre o tratamento, incluindo esta pagina, a Politica de Privacidade e os Termos de Uso.
Segurança: Adotamos medidas tecnicas e administrativas adequadas para proteger os dados de acessos nao autorizados, destruicao, perda, alteracao ou comunicacao indevida. Veja secao 6.
Prevencao: Adotamos medidas preventivas para evitar a ocorrencia de danos ao titular em decorrencia do tratamento de dados pessoais.
Nao discriminacao: Os dados pessoais nao sao utilizados para fins discriminatorios, ilicitos ou abusivos.
Responsabilizacao e prestacao de contas: A IA2S adota medidas eficazes e demonstra a conformidade com as normas de protecao de dados, incluindo a designacao de encarregado (DPO) e a manutencao de registro das atividades de tratamento.

3. Bases Legais para o Tratamento

Todo tratamento de dados pessoais realizado pela IA2S Guardian possui base legal prevista no art. 7° da LGPD. As principais bases utilizadas sao:

  • Consentimento (art. 7°, I): obtido de forma livre, informada e inequivoca para o armazenamento de certificados digitais e dados sensiveis relacionados;
  • Execucao de contrato (art. 7°, V): tratamento necessario para a prestacao dos servicos contratados, incluindo autenticacao, delegacao e auditoria;
  • Obrigacao legal (art. 7°, II): retencao de dados fiscais, logs de auditoria e comunicacoes com autoridades;
  • Legitimo interesse (art. 7°, IX): para fins de segurança da plataforma, prevencao a fraudes e melhoria dos servicos, respeitados os direitos e expectativas dos titulares.

4. Dados Sensiveis e Certificados Digitais

Os certificados digitais A1 (e-CPF/e-CNPJ) constituem dados pessoais de natureza sensivel, pois podem conter informacoes biometricas (foto, no caso de certificados emitidos com biometria) e dados de identificacao fiscal protegidos.

A plataforma adota as seguintes medidas especificas para dados sensiveis:

  • Armazenamento do arquivo .pfx exclusivamente cifrado, em tabela segregada de acesso restrito a nivel de banco de dados (inacessivel via interface ou API por qualquer usuario);
  • O numero do CPF/CNPJ contido nos metadados do certificado e mascarado por padrao, sendo exibido de forma completa apenas ao gestor responsavel pela conta, com log de acesso registrado;
  • O tratamento de dados sensiveis e condicionado ao consentimento especifico e destacado do titular, nos termos do art. 11, I da LGPD;
  • Nenhum colaborador delegado tem acesso ao dado bruto do certificado — o sistema opera por intermedio sem expor a credencial.

5. Direitos dos Titulares de Dados

Os titulares podem exercer os seguintes direitos previstos nos arts. 17 a 22 da LGPD, mediante solicitacao a [email protected]:

Confirmacao de tratamento

Saber se seus dados sao tratados pela IA2S.

Acesso aos dados

Obter copia dos dados pessoais tratados.

Correcao

Solicitar correcao de dados incompletos, inexatos ou desatualizados.

Anonimizacao ou eliminacao

Solicitar eliminacao de dados desnecessarios ou tratados sem base legal.

Portabilidade

Receber seus dados em formato estruturado e interoperavel.

Informacao sobre compartilhamento

Saber com quem seus dados foram compartilhados.

Revogacao do consentimento

Retirar o consentimento a qualquer momento, sem penalidade.

Revisao de decisoes automatizadas

Solicitar revisao de decisoes tomadas exclusivamente por meios automatizados.

As solicitacoes serao respondidas em ate 15 dias uteis. O titular pode, ainda, peticionar a Autoridade Nacional de Protecao de Dados (ANPD) caso considere que seus direitos nao foram atendidos adequadamente.

6. Medidas Tecnicas de Conformidade

A IA2S implementou as seguintes medidas tecnicas para garantir a conformidade com a LGPD:

Minimizacao de dados

Coleta apenas dos dados estritamente necessarios para cada funcionalidade. Campos opcionais claramente identificados.

Criptografia

AES-256-GCM para dados em repouso. TLS 1.2+ para dados em transito. Chaves de criptografia gerenciadas separadamente dos dados.

Controle de acesso

RBAC com quatro niveis (super_admin, admin, gestor, user). Row-Level Security no banco de dados com isolamento por tenant. Principio do minimo privilegio.

Segregacao de dados sensiveis

Certificados digitais armazenados em tabela separada (certificate_secrets) inacessivel a qualquer role de usuario — acesso exclusivo via service_role da aplicacao.

Auditoria e rastreabilidade

Logs imutaveis de todas as operacoes sobre certificados, delegacoes e dados de usuarios. Retencao conforme obrigacoes legais.

Gestao de sessoes

Sessao unica por usuario. Timeout de inatividade em 10 horas. Novo login invalida sessao anterior.

Privacidade desde a concepcao (Privacy by Design)

Protecao de privacidade incorporada no desenho da arquitetura, nao como adicao posterior. Mascaramento de CPF por padrao na interface.

Gestao de incidentes

Procedimento documentado de resposta a incidentes com notificacao a ANPD e titulares dentro de 72 horas conforme art. 48 da LGPD.

7. Suboperadores e Cadeia de Responsabilidade

A IA2S utiliza os seguintes suboperadores para a prestacao dos servicos, todos contratualmente vinculados as obrigacoes de protecao de dados:

SuboperadorFuncaoLocalizacao dos dados
SupabaseBanco de dados, autenticacao e armazenamentoBrasil (sa-east-1 — Sao Paulo)
CloudflareCDN, protecao contra bots (Turnstile) e rate limitingGlobal (dados de trafego em transito)

Nenhum suboperador tem acesso ao conteudo dos certificados digitais em forma descifrada. Os dados sao cifrados antes de serem transmitidos a qualquer infraestrutura externa.

8. Relacao com Clientes Pessoas Juridicas (B2B)

Quando o Cliente e uma pessoa juridica (escritorio de advocacia, empresa contabil, etc.), o titular dos dados pessoais e o individuo (advogado, colaborador, cliente do escritorio) cujos dados sao tratados na plataforma.

Neste contexto, o Cliente pessoa juridica e tambem controlador dos dados de seus colaboradores e clientes que utilizam a plataforma. O Cliente e responsavel por:

  • Informar seus usuarios sobre o uso da plataforma e as praticas de privacidade da IA2S;
  • Obter as bases legais necessarias para o tratamento de dados de seus proprios usuarios;
  • Atender as solicitacoes de direitos de titulares que sejam usuarios de sua conta;
  • Garantir que os certificados digitais inseridos na plataforma tenham autorizacao do titular para seu uso.

Mediante solicitacao, a IA2S pode celebrar Acordo de Processamento de Dados (DPA — Data Processing Agreement) especifico com Clientes que necessitem de documentacao formal para conformidade regulatoria.

9. Encarregado de Protecao de Dados (DPO)

Nos termos do art. 41 da LGPD, a IA2S designou Encarregado de Protecao de Dados (DPO) responsavel por atuar como canal de comunicacao entre a empresa, os titulares de dados e a Autoridade Nacional de Protecao de Dados (ANPD). O DPO pode ser contactado pelo e-mail [email protected].

10. Atualizacoes e Vigencia

Esta pagina reflete o estado atual das praticas de conformidade da IA2S Guardian e sera atualizada sempre que houver mudancas relevantes. A data de vigencia e indicada no topo da pagina. Para duvidas adicionais, consulte nossa Politica de Privacidade e os Termos de Uso.