Política de Privacidade
Última atualização: 14 de junho de 2026 · Em conformidade com a LGPD (Lei nº 13.709/2018)
1. Quem somos
A Al Qantara é a controladora dos dados pessoais tratados pela plataforma IdôneAI. Para fins de LGPD, somos responsáveis pela definição das finalidades e meios do tratamento de dados realizados neste serviço.
Encarregado de Dados (DPO): privacidade@idonea.com.br
2. Dados que coletamos
Dividimos os dados em três categorias:
2.1 Dados do Usuário (conta)
Coletados via autenticação Google OAuth: nome completo, endereço de e-mail e foto de perfil. Esses dados identificam o Usuário dentro da plataforma e não são compartilhados com terceiros para fins publicitários.
2.2 Dados da Organização
Nome da empresa, CNPJ da organização contratante, setor de atuação e nome de exibição personalizado — fornecidos voluntariamente durante o onboarding. Usados para personalizar a interface e para faturamento.
2.3 Dados de fornecedores monitorados
CNPJs cadastrados pela Organização para triagem. Esses dados pertencem à Organização e são tratados pelo IdôneAI exclusivamente na condição de operador, conforme instrução da Organização (controladora desses dados). Não acessamos, comercializamos nem cruzamos a base de fornecedores de uma Organização com a de outra.
2.4 Dados de uso e telemetria
Logs de acesso (IP, navegador, horário), páginas visitadas e ações realizadas dentro da plataforma. Usados exclusivamente para segurança operacional, diagnóstico de erros e melhoria do serviço. Retidos por 90 dias.
3. Dados de terceiros consultados (fornecedores triados)
A triagem de CNPJs envolve consulta a fontes oficiais públicas do governo brasileiro. Os dados retornados — sanções, processos, situação cadastral — referem-se a pessoas jurídicas (CNPJs) e são de natureza pública, disponibilizados pelo próprio Estado.
Quando esses registros contêm dados de sócios ou administradores (pessoas físicas), o tratamento é realizado sob a base legal do legítimo interesse (art. 7º, IX, LGPD), para fins de due diligence empresarial e prevenção à corrupção — finalidade reconhecida pela ANPD como compatível com o propósito da legislação.
Os achados são exibidos com a fonte, data e link original, possibilitando verificação independente e contestação diretamente ao órgão emissor.
4. Finalidades e bases legais
| Finalidade | Base legal (LGPD) |
|---|---|
| Autenticação e controle de acesso | Execução de contrato — art. 7º, V |
| Prestação do serviço de triagem | Execução de contrato — art. 7º, V |
| Faturamento e gestão da conta | Execução de contrato — art. 7º, V |
| Segurança e prevenção a fraudes | Legítimo interesse — art. 7º, IX |
| Melhoria do produto (telemetria anonimizada) | Legítimo interesse — art. 7º, IX |
| Dados de sócios em achados públicos | Legítimo interesse — art. 7º, IX |
| Comunicações sobre o serviço | Execução de contrato — art. 7º, V |
5. Compartilhamento de dados
Não vendemos dados. Compartilhamos apenas com subprocessadores essenciais à operação:
| Subprocessador | Finalidade | Localização |
|---|---|---|
| Google (OAuth, Cloud SQL, Cloud Run) | Autenticação, banco de dados, hospedagem | EUA / Brasil (multi-região) |
| Fontes governamentais (CGU, TCU, RF, CNJ, etc.) | Consulta de dados públicos em tempo real | Brasil |
Transferências internacionais para servidores Google nos EUA ocorrem sob as Cláusulas Contratuais Padrão da Comissão Europeia, adotadas como salvaguarda adequada pela ANPD.
6. Retenção de dados
| Dado | Retenção |
|---|---|
| Conta do usuário (nome, e-mail) | Enquanto a conta estiver ativa + 12 meses |
| Dados da organização | Enquanto o contrato estiver ativo + 24 meses |
| Base de fornecedores e achados | Enquanto o contrato estiver ativo + 12 meses |
| Logs de acesso | 90 dias |
| Dados de faturamento | 5 anos (obrigação legal) |
Após os prazos acima, os dados são anonimizados ou excluídos de forma irreversível. A exclusão pode ser solicitada antecipadamente conforme a seção 7.
7. Seus direitos (LGPD, art. 18)
Como titular de dados, você tem os seguintes direitos, exercíveis a qualquer tempo pelo e-mail privacidade@idonea.com.br:
- Confirmação e acesso — saber quais dados tratamos e receber uma cópia;
- Correção — atualizar dados incompletos, inexatos ou desatualizados;
- Exclusão — solicitar a remoção de dados desnecessários ou tratados em desconformidade;
- Portabilidade — receber seus dados em formato estruturado e interoperável;
- Revogação do consentimento — quando o tratamento se basear nessa base legal;
- Oposição — contestar tratamentos baseados em legítimo interesse;
- Reclamação à ANPD — levar qualquer questão à Autoridade Nacional de Proteção de Dados.
Respondemos a todas as solicitações em até 15 dias corridos.
8. Segurança
Adotamos as seguintes medidas técnicas e organizacionais para proteger seus dados:
- Tráfego criptografado com TLS 1.3 em todas as comunicações;
- Banco de dados com criptografia em repouso (Google Cloud SQL);
- Acesso à base de dados restrito por autenticação de certificado mútuo (Cloud SQL Auth Proxy);
- Autenticação exclusivamente via OAuth 2.0 — não armazenamos senhas;
- Revisões periódicas de controle de acesso e privilégio mínimo.
Em caso de incidente de segurança com potencial impacto a titulares, notificaremos a ANPD e os afetados no prazo de 72 horas após a ciência do evento.
9. Cookies e rastreamento
Utilizamos apenas cookies de sessão estritamente necessários para manter o Usuário autenticado. Não utilizamos cookies de rastreamento, publicidade ou análise comportamental de terceiros.
10. Alterações a esta Política
Alterações que reduzam direitos dos titulares serão comunicadas por e-mail com antecedência mínima de 15 dias. A versão em vigor é sempre a disponível nesta URL.
Encarregado de Dados (DPO)
Para exercer seus direitos ou tirar dúvidas sobre privacidade, entre em contato com nosso DPO pelo e-mail privacidade@idonea.com.br. Prazo de resposta: até 15 dias corridos.