LGPD & Proteção de Dados

1. Papéis no tratamento

Cenário	CentralizePRO atua como
Dados de clientes (cadastro, faturamento, contato)	Controladora
Dados tratados pelo cliente dentro da plataforma (mensagens de usuários finais, contatos de CRM, listas de campanhas)	Operadora, conforme instruções do cliente.
Dados de marketing institucional	Controladora, com base em consentimento ou legítimo interesse.

2. Programa de governança

• Encarregado de Dados (DPO) formalmente designado e canal de atendimento exclusivo.
• Mapeamento de tratamentos (RoPA) revisado semestralmente.
• Avaliação de Impacto à Proteção de Dados (RIPD) para atividades de alto risco.
• Programa de treinamento obrigatório para todos os colaboradores, com reciclagem anual.
• Política interna de retenção, classificação da informação e privacy by design.
• Auditorias periódicas internas e revisão por terceiros independentes.

3. Acordo de Operador (DPA)

Todos os contratos de uso da plataforma incluem o Acordo de Operador como anexo. Pelo Acordo, comprometemo-nos a:

• Tratar dados pessoais exclusivamente conforme as instruções documentadas do cliente controlador.
• Manter sigilo sobre os dados durante e após a vigência do contrato.
• Disponibilizar relatório de conformidade e logs de acesso quando solicitado.
• Eliminar ou devolver os dados em até 30 dias após o encerramento do contrato, salvo retenção legal.
• Cooperar com requisições de titulares e autoridades.

4. Medidas técnicas e organizacionais

• Criptografia em trânsito (TLS 1.2+) e em repouso (AES-256).
• Isolamento multi-tenant com chaves e contextos de banco separados por cliente.
• Controle de acesso baseado em papéis (RBAC) e autenticação multifator para administradores.
• Logs imutáveis de acesso, alterações de configuração e exportações.
• Backups diários criptografados, com testes de restauração trimestrais.
• Hardening de servidores, firewalls de aplicação (WAF) e proteção contra DDoS.
• Pentests anuais e processo de bug bounty privado.

5. Suboperadores

Para entregar o serviço, contratamos suboperadores com cláusulas contratuais alinhadas à LGPD:

Suboperador	Finalidade	Localidade
Provedor de Cloud	Infraestrutura e armazenamento	Brasil / EUA
Meta Platforms	WhatsApp Business API, Instagram, Facebook	EUA / Irlanda
Provedor de e-mail transacional	Envio de notificações	EUA
Subadquirente de pagamentos	Processamento de cobrança	Brasil

6. Resposta a incidentes

Mantemos plano formal de resposta a incidentes de segurança com classificação de severidade, tempos-alvo de contenção e comunicação. Em caso de incidente que possa acarretar risco ou dano relevante aos titulares, comunicamos os clientes controladores em até 48 horas a partir da ciência, com as informações exigidas pelo art. 48 da LGPD, para que possam comunicar a ANPD e os titulares afetados.

7. Direitos dos titulares

Quando o cliente é o controlador, ele é a porta de entrada das solicitações dos titulares. A CentralizePRO oferece ferramentas dentro da plataforma para apoiar o atendimento de:

• Confirmação e acesso a dados pessoais.
• Correção, anonimização, bloqueio ou eliminação.
• Portabilidade em formato estruturado e interoperável.
• Exportação completa do histórico de conversas.

Solicitações enviadas diretamente à CentralizePRO são repassadas ao cliente controlador em até 5 dias úteis.

8. Transferências internacionais

Quando há transferência internacional, exigimos cláusulas contratuais padrão, certificações reconhecidas (ISO 27001, SOC 2) e avaliação de adequação do país de destino, em consonância com os arts. 33 a 36 da LGPD.

9. Contato

Encarregado pelo Tratamento de Dados Pessoais (DPO)
E-mail: dpo@centralizepro.com.br
Atendimento: dias úteis, 9h às 18h.

Em caso de não solução do pedido, o titular pode acionar a Autoridade Nacional de Proteção de Dados (ANPD) em gov.br/anpd.