Política de Privacidade — Bateu!
Versão 1.0 · Vigência a partir da publicação · Última atualização: pendente PO + revisão jurídica Operado por [RAZÃO SOCIAL], CNPJ [CNPJ], com sede em Salvador/BA. Encarregado de Dados (DPO): Andre Luiz Bahia —
dpo@sistemabateu.com.br
1. Quem somos e qual nosso papel
O Bateu! é um sistema web de controle de jornada de trabalho. Esta Política descreve como tratamos dados pessoais em conformidade com a Lei Geral de Proteção de Dados (Lei 13.709/2018 — LGPD).
Dois papéis distintos:
| Quem | Papel LGPD | O que isso significa |
|---|---|---|
| Empresa Cliente (contratante) | Controladora | Decide quais colaboradores cadastrar, quais dados coletar, como configurar jornadas. Responde pelas decisões de tratamento |
| Bateu! | Operador | Trata os dados exclusivamente conforme as instruções da Cliente e o necessário para prestação do serviço (LGPD Art. 5º, VII) |
Para visitantes do site, dados deixados em formulários ou via cookies, o Bateu! atua como Controlador.
2. Dados que tratamos
2.1 Dados do visitante do site (sistemabateu.com.br)
- Endereço IP (anonimizado em métricas agregadas)
- Tipo de dispositivo, navegador, sistema operacional
- Páginas visitadas e tempo de permanência (analytics)
- Dados que você nos envia voluntariamente (e-mail, telefone, nome em formulários de contato)
Base legal: legítimo interesse (LGPD Art. 7º, IX) para analytics, e consentimento para comunicações de marketing.
2.2 Dados da Cliente contratante
- Razão social, nome fantasia, CNPJ, endereço, telefone
- Dados do responsável (nome, e-mail, CPF se aplicável)
- Dados de pagamento (processados pela operadora parceira — não armazenamos número de cartão)
Base legal: execução de contrato (LGPD Art. 7º, V).
2.3 Dados dos colaboradores (Usuários) cadastrados pela Cliente
- Nome, CPF, e-mail, telefone, cargo, data de admissão
- Registros de ponto (data, hora, localização geográfica aproximada, dispositivo)
- Banco de horas, horas extras, ausências, justificativas
- Dispositivos autorizados (fingerprint, IP, modelo do aparelho)
- Comunicações dentro do sistema (mural, recados)
- Aceites e assinaturas digitais (hash SHA-256, IP, data/hora)
Base legal: execução de contrato de trabalho entre Cliente e Usuário (LGPD Art. 7º, V) e cumprimento de obrigação legal trabalhista (Art. 7º, II).
3. Como e por que tratamos
| Finalidade | Dados envolvidos | Base legal |
|---|---|---|
| Prestar o serviço (registro de ponto, cálculos, relatórios) | Todos os dados da Cliente e Usuários | Execução de contrato |
| Atender obrigações legais trabalhistas (registro auditável) | Dados de jornada + assinaturas digitais | Obrigação legal |
| Comunicação operacional (boas-vindas, reset de senha, avisos de cobrança) | E-mail, nome | Execução de contrato |
| Marketing e comunicação institucional | E-mail de visitantes que se inscreveram | Consentimento (opt-in) |
| Segurança (detecção de fraude, prevenção de acesso indevido) | IP, fingerprint de dispositivo, logs de acesso | Legítimo interesse |
| Analytics agregado (Plausible, sem cookies) | Dados anônimos de navegação | Legítimo interesse |
| Cumprir solicitações de autoridades | Conforme escopo da requisição | Cumprimento de obrigação legal |
4. Compartilhamento de dados
Compartilhamos dados apenas com:
- Provedores de infraestrutura técnica (Vercel, Supabase) — para hospedar o sistema, sob acordos de tratamento de dados (DPA)
- Operadoras de pagamento (Asaas ou equivalente) — para processar cobranças
- Provedores de e-mail transacional (Resend) — para entregar comunicações
- Autoridades quando legalmente requerido
Não vendemos, alugamos ou cedemos dados a terceiros para fins comerciais. Não enviamos seus dados para fora do Brasil sem garantias adequadas (LGPD Art. 33).
5. Tempo de retenção
| Dado | Retenção |
|---|---|
| Cadastro ativo da Cliente | Enquanto durar o contrato |
| Registros de ponto e jornada | 5 anos após o fim do vínculo do colaborador (CLT Art. 11) — mantidos mesmo após o encerramento do acesso da Cliente |
| Acesso da Cliente (após cancelamento ou inadimplência) | 90 dias em modalidade reduzida; depois, acesso encerrado |
| Dados de Cliente após o prazo de 90 dias | Anonimização ou exclusão, ressalvada a retenção legal trabalhista acima |
| Dados de visitante anônimo (analytics) | 24 meses agregados |
| Logs de segurança (acesso, IP) | 6 meses (Marco Civil da Internet) |
| Backups | Sobrescritos em ciclos de até 90 dias |
6. Seus direitos como titular (LGPD Art. 18)
Você pode, gratuitamente, a qualquer tempo:
- Confirmar se tratamos seus dados
- Acessar os dados que temos sobre você
- Corrigir dados incompletos, inexatos ou desatualizados
- Solicitar anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade
- Solicitar portabilidade dos seus dados (formato estruturado)
- Eliminar dados tratados com base em consentimento (com efeito ao fim das obrigações legais aplicáveis)
- Revogar consentimento a qualquer tempo
- Informação sobre entidades com as quais compartilhamos seus dados
- Oposição a tratamento feito com fundamento em hipóteses dispensadas de consentimento
Como exercer: envie e-mail ao DPO em dpo@sistemabateu.com.br. Respondemos no prazo legal de 15 (quinze) dias (LGPD Art. 19).
Para colaboradores cadastrados por uma empresa Cliente: a primeira via para exercício de direitos é o Controlador (sua empresa). Se a Cliente não responder, você pode acionar diretamente o DPO do Bateu!.
7. Segurança
Adotamos medidas técnicas e administrativas para proteger seus dados:
- Isolamento por tenant (cada empresa só enxerga os próprios dados — enforcement em código + RLS no banco)
- Criptografia em trânsito (HTTPS/TLS)
- Hashing de senhas (Supabase Auth — bcrypt)
- Autenticação multi-fator opcional
- Logs de acesso e tentativa de login
- Backup diário com retenção controlada
- Auditoria de dispositivos por usuário
Em caso de incidente de segurança que possa acarretar risco ou dano relevante (LGPD Art. 48), comunicaremos a ANPD e os titulares afetados em prazo razoável.
8. Cookies e tecnologias similares
Usamos analytics sem cookies (Plausible). Cookies essenciais (sessão de login, preferências) são usados sob legítimo interesse — sem cookies de marketing ou rastreamento de terceiros.
Detalhes na Política de Cookies.
9. Crianças e adolescentes
O Bateu! não se destina a menores de 16 anos. Não coletamos intencionalmente dados de menores. Se identificar tratamento indevido, contate o DPO.
10. Alterações desta Política
A versão vigente é a publicada em sistemabateu.com.br/privacidade. Alterações materiais são comunicadas por e-mail com antecedência de 30 dias.
11. Como falar com a gente
- DPO (Encarregado):
dpo@sistemabateu.com.br(resposta em até 15 dias) - Contato geral:
contato@sistemabateu.com.br - Endereço: Salvador/BA — endereço completo a pedido
- Autoridade Nacional de Proteção de Dados (ANPD): gov.br/anpd
Versão: 1.0 · Hash: [gerar no publish] · Publicada em: [data]
⚠️ Aviso ao PO: este rascunho cobre os requisitos centrais da LGPD (Arts. 5º, 7º, 18, 19, 33, 48). Não substitui revisão jurídica. Pontos críticos: (1) nomear DPO real — pode ser pessoa interna ou terceirizado; (2) confirmar lista de subprocessadores (Vercel/Supabase/Resend/Asaas — atualizar conforme realidade); (3) retenção de 5 anos pra dados trabalhistas segue CLT Art. 11 mas há entendimentos diferentes (alguns advogados defendem 10 anos para certas hipóteses); (4) crianças/adolescentes — verificar se algum cliente tem menor aprendiz na base.