Lei Geral de Proteção de Dados
Controlador de dados
O controlador é a pessoa ou empresa que toma as decisões sobre o tratamento de dados pessoais. No caso do Egeris:
Bela Vista, São Paulo – SP
CEP 01.310-914
Encarregado de Proteção de Dados (DPO)
Conforme o art. 41 da LGPD, o Egeris designou um Encarregado de Proteção de Dados responsável por atuar como canal de comunicação entre o controlador, os titulares de dados e a ANPD.
O DPO é responsável por: receber e responder solicitações de titulares, orientar colaboradores sobre práticas de proteção de dados, comunicar-se com a ANPD quando necessário e zelar pelo cumprimento desta lei.
Finalidades e bases legais do tratamento
Toda operação de tratamento de dados realizada pelo Egeris está fundamentada em pelo menos uma das bases legais previstas no art. 7º da LGPD. A tabela abaixo descreve cada finalidade e sua respectiva base legal.
| Finalidade do tratamento | Dados tratados | Base legal | Art. LGPD |
|---|---|---|---|
| Criação e manutenção de conta de usuário | Nome, e-mail, senha (hash), telefone | Execução de contrato | Art. 7º, V |
| Operação dos agentes de IA (processamento de perguntas e geração de respostas) | Conteúdo de conversas, Documento Mestre, biblioteca de documentos | Execução de contrato | Art. 7º, V |
| Faturamento, emissão de NF-e e cobrança recorrente | Nome, e-mail, dados de pagamento (processados pela Asaas), endereço para NF | Execução de contrato | Art. 7º, V |
| Envio de comunicações transacionais (confirmação de cadastro, alertas de uso, avisos de manutenção) | E-mail, nome | Execução de contrato | Art. 7º, V |
| Segurança, prevenção de fraude e auditoria de acesso | Logs de autenticação, metadados de uso, IP de acesso | Legítimo interesse | Art. 7º, IX |
| Melhoria do serviço com base em dados agregados e anonimizados | Métricas de uso sem identificação individual | Legítimo interesse | Art. 7º, IX |
| Cumprimento de obrigação legal ou regulatória (ex.: retenção de NF-e, atendimento a ordens judiciais) | Dados contábeis, fiscais e de identificação | Obrigação legal | Art. 7º, II |
| Comunicação de incidentes à ANPD e aos titulares afetados | Dados afetados pelo incidente | Obrigação legal | Art. 7º, II · Art. 48 |
O Egeris não usa dados pessoais para treinamento de modelos de IA e não realiza tratamento com base em consentimento — o que significa que não existe consentimento a ser revogado para as finalidades acima. O tratamento cessa somente com o encerramento do contrato.
Suboperadores e transferência internacional
O Egeris contrata suboperadores para a operação técnica do serviço. Todos estão contratualmente obrigados a tratar os dados exclusivamente conforme as instruções do Egeris e a manter medidas de segurança adequadas.
| Suboperador | Função | País dos servidores | Dados transferidos |
|---|---|---|---|
| Supabase | Banco de dados, autenticação, armazenamento de arquivos | EUA / AWS us-east-1 | Todos os dados de conta e workspace |
| Vercel | Hospedagem da aplicação web (egeris.com.br) | EUA / borda global | Requisições web, cookies de sessão |
| Railway | Processamento de workers e filas | EUA | Conteúdo de conversas para processamento |
| Upstash | Cache e filas de mensagens | EUA | Metadados temporários de sessão |
| Anthropic | Geração de respostas dos agentes de IA | EUA | Perguntas dos usuários e contexto do agente |
| OpenAI | Geração de embeddings para busca semântica | EUA | Fragmentos de documentos da biblioteca |
| Asaas | Processamento de cobranças e emissão de NF-e | Brasil | Nome, e-mail, dados de faturamento |
| Resend | Envio de e-mails transacionais | EUA | Nome e endereço de e-mail |
As transferências internacionais para os EUA são realizadas com base no art. 33, II da LGPD (garantias adequadas por cláusulas contratuais) e, quando aplicável, no art. 33, V (necessidade para execução do contrato). A lista de suboperadores pode ser atualizada — alterações serão comunicadas com antecedência de 30 dias para operadores críticos.
Direitos do titular (art. 18 da LGPD)
Você tem os seguintes direitos em relação aos seus dados pessoais tratados pelo Egeris:
Como exercer seus direitos
O canal exclusivo para exercício de direitos de titulares é o e-mail do DPO. Veja o fluxo:
Prazos de resposta e retenção
Prazos de atendimento a titulares
Prazos de retenção de dados
| Tipo de dado | Período de retenção | Fundamento |
|---|---|---|
| Conteúdo de conversas | 30 dias a partir de cada mensagem (padrão) | Execução do contrato |
| Dados de conta | Enquanto ativa + 12 meses após inatividade | Execução do contrato |
| Dados fiscais (NF-e) | 5 anos | Obrigação legal — Lei nº 9.430/96 |
| Logs de auditoria geral | 2 anos | Legítimo interesse — segurança |
| Logs de acesso da equipe Egeris | 5 anos | Legítimo interesse — accountability |
| Registros de solicitações de titulares | 5 anos | Obrigação legal — LGPD art. 37 |
Incidentes de segurança
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, o Egeris:
- Comunicará a ANPD em prazo razoável, conforme o art. 48 da LGPD;
- Notificará os titulares afetados com a descrição da natureza dos dados afetados, os riscos relacionados ao incidente e as medidas tomadas;
- Registrará o incidente com data, natureza, dados afetados, causa provável, medidas de contenção e de mitigação adotadas;
- Manterá o registro por prazo mínimo de 5 anos.
Para relatar um incidente ou vulnerabilidade de segurança: privacidade@egeris.com.br
Reclamação à ANPD
Se você não estiver satisfeito com a resposta do Egeris a uma solicitação de exercício de direitos, ou se acreditar que seus dados pessoais estão sendo tratados em desconformidade com a LGPD, você pode peticionar diretamente à Autoridade Nacional de Proteção de Dados.
Site oficial: gov.br/anpd
Canal de petições e denúncias: disponível no portal da ANPD em gov.br/anpd/canais_atendimento
A ANPD é a autoridade responsável por zelar pela proteção de dados pessoais no Brasil, fiscalizar o cumprimento da LGPD e apurar infrações.