Segurança e LGPD.

A Datacake leva a sério a proteção dos dados que tratamos em nome dos nossos clientes e dos usuários finais deles. Esta página descreve nossas práticas, compromissos e como exercer direitos. Para a política de privacidade do site institucional (navegação, cookies e formulários), consulte politica-de-privacidade.

1. Quem somos e papéis na LGPD

A Lei Geral de Proteção de Dados (LGPD, Lei 13.709/2018) distingue dois papéis: Controlador (quem decide finalidades) e Operador (quem trata em nome do Controlador).

2. Quando atuamos como Operadora

O que tratamos

Dependendo dos produtos contratados pelo provedor, podemos tratar dos assinantes finais:

• Dados cadastrais: nome, CPF, RG, endereço, telefone, e-mail
• Dados de pagamento: dados bancários, dados de cartão (tokenizados), histórico de pagamento
• Dados de uso do serviço de internet: planos, consumo, status, chamados técnicos
• Dados de equipamento (CPE, MAC address, IP atribuído)
• Dados de localização (se habilitados pelo provedor e consentidos pelo assinante)
• Dados de interação no aplicativo (logs de uso, eventos de navegação)

Para quê

Exclusivamente para operar os Serviços contratados pelo provedor:

• Autenticação, fatura, pagamento, notificações, suporte ao assinante
• Cumprir obrigações legais e regulatórias
• Garantir a segurança dos próprios Serviços (logs, antifraude)
• Atender requisições de autoridades quando exigido por lei
• Exercer direitos próprios em processos judiciais ou administrativos

O que NÃO fazemos

• Não usamos para nossa própria comunicação comercial direta ao assinante
• Não comercializamos ou cedemos a terceiros para marketing
• Não enriquecemos base própria com esses dados
• Não treinamos modelos próprios fora do escopo dos Serviços sem autorização do provedor

Dados sensíveis

Nosso escopo padrão não envolve dados pessoais sensíveis (saúde, biometria, origem racial, opinião política — definidos no art. 5º, II da LGPD). Caso um provedor deseje habilitar tratamento que envolva dados sensíveis, há protocolo específico documentado.

3. Subcontratação (suboperadores)

Para operar os Serviços, contamos com terceiros confiáveis. Provedores autorizam, ao contratar, as seguintes categorias de suboperadores:

• Provedores de infraestrutura em nuvem — com certificações ISO 27001, SOC 2 ou equivalentes (exemplos: Google Cloud Platform, Amazon Web Services, Microsoft Azure)
• Operadoras de pagamento — adquirentes, gateways, processadoras de PIX, cartão e boleto
• Prestadores de mensageria — SMS, e-mail transacional, push notifications
• Bureaus de crédito — quando contratados pelo provedor
• Provedores de assinatura eletrônica — quando habilitada
• Operadoras de telecom — conectividade de hardwares (Totens, CPEs)

A lista detalhada dos fornecedores em uso será publicada nesta seção antes da comunicação formal aos clientes ativos. Para a relação atualizada, contate dpo@datacake.com.br.

Localizações geográficas: os suboperadores podem processar dados no Brasil ou exterior. Adotamos base legal adequada para transferência internacional (art. 33 da LGPD).

Inclusão de novos suboperadores fora das categorias autorizadas é comunicada com antecedência mínima de 15 dias. O Contratante pode se opor.

4. Medidas técnicas e organizacionais de segurança

Controle de acesso

• Autenticação multifator para acessos administrativos
• Princípio do menor privilégio
• Revogação imediata em desligamentos
• Revisões periódicas da matriz de acessos
• Senhas com complexidade exigida e rotação
• Trilhas de auditoria

Criptografia

• Em trânsito: TLS 1.2 ou superior em toda comunicação
• Em repouso: criptografia de banco de dados e backups

Segurança de aplicação

• Práticas de desenvolvimento seguro (OWASP Top 10 e equivalentes)
• Revisão de código com foco em segurança nas alterações relevantes
• Análise periódica de vulnerabilidades
• Atualização tempestiva de dependências críticas
• Hardening dos servidores
• Segregação de ambientes (produção, homologação, desenvolvimento)

Backup e restauração

• Backup automático diário dos bancos de produção
• Retenção: 30 dias rolantes
• Backup em região geográfica distinta da produção primária
• Testes periódicos de restauração
• RTO (Tempo Objetivo de Recuperação) e RPO (Ponto Objetivo de Recuperação) são documentados internamente em nossa política de continuidade operacional. Valores específicos podem ser fornecidos sob solicitação documental em sede de due diligence.

Monitoramento

• Monitoramento contínuo de disponibilidade e performance
• Alertas automatizados
• Logs centralizados
• Plantão técnico para incidentes P1

Pessoal

• Termo de confidencialidade e proteção de dados assinado por todos os colaboradores
• Treinamento periódico em LGPD e segurança
• Revogação imediata de acessos no desligamento

5. Incidentes de Segurança

Comunicamos o provedor (Controlador) sobre Incidente de Segurança confirmado em no máximo 48 horas úteis após a confirmação interna.

A notificação contém, no mínimo: natureza do incidente, categorias e número aproximado de titulares e registros afetados, consequências prováveis, medidas adotadas para mitigar e medidas recomendadas.

Cooperamos com o provedor (Controlador) no atendimento das suas obrigações para com a ANPD, titulares e demais autoridades. A comunicação aos titulares é responsabilidade do provedor (Controlador); apoiamos tecnicamente, se solicitado.

Após resolução, emitimos post-mortem em até 10 dias úteis com causa raiz, ações executadas e ações preventivas planejadas.

6. Direitos dos titulares (assinantes)

Como Operadora, atendemos os direitos dos assinantes em cooperação com o provedor (Controlador), que é o canal principal para o titular. Os direitos do art. 18 da LGPD são:

1. Confirmação da existência de tratamento
2. Acesso aos dados
3. Correção de dados incompletos, inexatos ou desatualizados
4. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade
5. Portabilidade para outro fornecedor
6. Eliminação dos dados pessoais tratados com consentimento
7. Informação sobre entidades com as quais o controlador compartilhou dados
8. Informação sobre a possibilidade de não fornecer consentimento e suas consequências
9. Revogação do consentimento

Se você é assinante de um provedor que usa Datacake: entre em contato com o seu provedor. Ele é o Controlador dos seus dados.
Se você está em contato direto conosco: escreva para dpo@datacake.com.br.

7. Retenção e eliminação

Mantemos dados pelo tempo necessário às finalidades:

• Dados de operação dos Serviços — durante a vigência do Contrato + 180 dias para devolução/eliminação
• Dados fiscais e contábeis — pelo prazo legal (5 anos como regra, podendo ser maior)
• Dados para defesa em processos — pelo prazo prescricional aplicável
• Backups operacionais — rotatividade conforme política (30 dias rolantes)

8. Encarregado pelo Tratamento de Dados (DPO)

A Datacake mantém Encarregado pelo Tratamento de Dados Pessoais. Canal institucional: dpo@datacake.com.br.

O canal institucional é estável e independente de mudanças do profissional que ocupa a função. O nome atual pode ser fornecido sob solicitação.

9. Atualizações desta página

Podemos atualizar esta página periodicamente. Garantia anti-degradação: mudanças não podem reduzir materialmente as garantias contratadas durante a vigência do Contrato. Mudanças significativas serão comunicadas com antecedência mínima de 15 dias.

10. Contato

Encarregado / LGPD: dpo@datacake.com.br
Comercial: contato@datacake.com.br | (14) 3042-2597
Suporte técnico: suporte@datacake.com.br

Datacake Serviços em Tecnologia Ltda — CNPJ 30.273.146/0001-71
R. Geraldo Pereira de Barros, 571 — Centro, Lençóis Paulista — SP, CEP 18680-020