Política LGPD — Programa de Conformidade
Versão 1.0 · Última atualização: pendente PO + revisão jurídica Esta página complementa a Política de Privacidade. Foco aqui: programa de governança, papéis, contratos e como a Cliente exerce o controle sobre os dados que cadastra.
1. Por que esta página existe
A LGPD distingue Controlador de Operador (Art. 5º, VI e VII) e atribui responsabilidades distintas a cada um. Como o Bateu! trata dados de colaboradores cadastrados por empresas Cliente, temos uma cadeia de tratamento que precisa ser explícita.
Esta página descreve:
- A divisão de papéis entre Cliente e Bateu!
- Os termos do Acordo de Tratamento de Dados (DPA) que regem a relação
- O programa interno de governança que mantemos
- Como a Cliente exerce seus direitos como Controlador
2. Papéis na cadeia
Colaborador (Titular)
↓ tem vínculo com
Empresa Cliente (Controlador) — decide o que tratar, por quê, e com qual base
↓ contrata
Bateu! (Operador) — trata estritamente conforme instruções da Cliente
↓ usa subprocessadores
Vercel / Supabase / Resend / Asaas (Suboperadores) — sob DPA
Implicações práticas:
- O Titular (colaborador) exerce direitos primeiro com a Cliente. Se a Cliente não responder, pode acionar o Bateu! ou a ANPD.
- A Cliente é responsável por ter base legal para tratar dados dos colaboradores (geralmente: execução de contrato de trabalho + obrigação legal trabalhista).
- O Bateu! NÃO trata os dados pra finalidade própria — só pra prestar o serviço. Não vende, não analisa pra fins comerciais.
3. Acordo de Tratamento de Dados (DPA)
Ao contratar o Bateu!, a Cliente celebra automaticamente o seguinte DPA, parte integrante dos Termos de Uso:
3.1 Objeto
O Bateu! atua como Operador dos dados pessoais que a Cliente carrega no sistema (dados de colaboradores, registros de jornada, configurações). Trata os dados estritamente para prestação do serviço.
3.2 Instruções da Cliente
O tratamento é limitado às instruções documentadas da Cliente — entende-se como instruções:
- A configuração feita pela Cliente nas telas do sistema
- O escopo descrito nos Termos de Uso
- Instruções específicas enviadas por escrito ao DPO
3.3 Confidencialidade
O Bateu! garante que pessoas autorizadas a tratar dados estão obrigadas a confidencialidade contratual ou estatutária.
3.4 Segurança
O Bateu! implementa medidas técnicas e administrativas para proteger os dados (ver Política de Privacidade §7).
3.5 Subprocessadores
O Bateu! pode contratar subprocessadores listados abaixo (§4). Mudanças materiais na lista são comunicadas com antecedência razoável; a Cliente pode se opor por escrito, e em caso de não acordo, pode rescindir o contrato.
3.6 Apoio à Cliente
O Bateu! apoia a Cliente no cumprimento de:
- Atendimento de direitos do Titular (LGPD Art. 18)
- Avaliações de impacto à proteção de dados (RIPD)
- Comunicação de incidentes à ANPD e Titulares
Suporte de DPO via dpo@sistemabateu.com.br.
3.7 Devolução ou eliminação ao fim do contrato
Ao fim do contrato, a Cliente pode solicitar exportação completa dos dados (ZIP em formato estruturado) por até 90 (noventa) dias. Após esse prazo, dados são eliminados ou anonimizados, salvo retenção exigida por lei (CLT Art. 11 — 5 anos para registros trabalhistas).
3.8 Auditoria
A Cliente pode solicitar relatório de conformidade do Bateu! uma vez por ano, ou em frequência maior em caso de incidente. Auditorias presenciais por amostragem podem ser combinadas mediante NDA.
4. Subprocessadores
Lista atualizada em [link público]. Versão atual:
| Subprocessador | Função | Localização | Garantias |
|---|---|---|---|
| Vercel Inc. | Hospedagem do app web | EUA + edge global | DPA Vercel + cláusulas-padrão de transferência internacional |
| Supabase Inc. | Banco de dados + autenticação + storage | EUA (região AWS US-East) | DPA Supabase + cláusulas-padrão |
| Resend Inc. | E-mail transacional | EUA | DPA Resend |
| Asaas Gestão Financeira | Processamento de pagamentos | Brasil | DPA Asaas (a confirmar — pendente V34) |
| Cloudflare Inc. | DNS + Turnstile (anti-bot) | EUA + edge global | DPA Cloudflare |
Transferência internacional: todas as transferências para fora do Brasil são amparadas por cláusulas-padrão contratuais (LGPD Art. 33, II) ou decisão de adequação quando disponível.
5. Programa interno de governança
Transparência: o Bateu! está em fase inicial de operação (em produção desde mai/2026). Alguns pilares abaixo estão em implantação — descrevemos abaixo o estado atual e o que está em construção. Compromisso de honestidade: não dizemos que fazemos o que ainda não fazemos.
| Pilar | Estado atual |
|---|---|
| Política interna | Esta Política + Política de Privacidade + Termos publicados. Compromisso de revisão anual. |
| DPO nomeado | Andre Luiz Bahia atua como Encarregado de Dados — dpo@sistemabateu.com.br. Avaliação de terceirização do papel em momento posterior. |
| Controles técnicos | Em produção: isolamento por tenant (RLS + enforcement em código), criptografia em trânsito (TLS), hashing de senhas (Supabase Auth), logs de acesso. |
| Atendimento ao Titular | Em produção: canal dpo@sistemabateu.com.br ativo, compromisso de resposta em 15 dias (LGPD Art. 19). |
| Subprocessadores | Em produção: lista pública mantida atualizada (§4 desta política). DPAs com cada subprocessador formalizados conforme aplicável. |
| Mapeamento de dados | Em implantação: inventário detalhado por finalidade/base legal/retenção em construção. |
| Treinamento | Em implantação: orientação de segurança e LGPD para pessoas com acesso a dados de produção em formalização. Hoje o acesso é restrito ao próprio operador. |
| Backups e DR | Em produção: backup automático diário (Supabase). Em implantação: rotina de teste de restauração formalizada. |
| Gestão de incidentes | Em implantação: runbook formal de identificação/contenção/notificação ANPD em até 2 dias úteis (quando aplicável). Compromisso de honestidade: caso ocorra incidente antes do runbook formalizado, comunicaremos pelos meios disponíveis. |
| Revisão de subprocessadores | Compromisso: avaliação de cada novo subprocessador antes da contratação. Revisão anual da lista. |
6. Direitos da Cliente como Controladora
Como Controladora, a Cliente pode:
- Exportar todos os dados que cadastrou, em formato estruturado, a qualquer tempo
- Excluir dados específicos pelo painel administrativo
- Solicitar exclusão total da conta e dos dados ao fim do contrato
- Solicitar relatório de conformidade anual
- Receber suporte do DPO para casos de exercício de direitos por seus colaboradores
- Auditar o Bateu! mediante NDA
7. Direitos do Titular (colaborador cadastrado)
O Titular exerce direitos primeiro com sua empresa empregadora (Controladora). Se a empresa não responder em prazo razoável, o Titular pode:
- Escrever ao DPO do Bateu! em
dpo@sistemabateu.com.br— apoiaremos no atendimento - Acionar a ANPD em gov.br/anpd
Direitos garantidos:
- Confirmar tratamento · Acessar dados · Corrigir · Anonimizar/Bloquear/Eliminar · Portabilidade · Revogar consentimento · Informação sobre compartilhamento · Oposição
Detalhes em Política de Privacidade §6.
8. Como falar com a gente
- DPO:
dpo@sistemabateu.com.br(resposta em 15 dias) - Contato:
contato@sistemabateu.com.br - ANPD: gov.br/anpd
Versão: 1.0 · Última revisão: [data]
⚠️ Aviso interno ao PO: revisão pós-C3 (01/06/2026) substituiu o "presente afirmativo" do estado-alvo por "em produção" / "em implantação" / "compromisso" — separando o que de fato roda hoje do que está em construção. Reduz risco de leitura como informação enganosa (CDC + sanção ANPD) em incidente. Pendências reais para virar 100% verdade: (1) runbook formal de incidentes + ANPD em 2 dias úteis, (2) data mapping detalhado, (3) teste de restauração trimestral, (4) materializar DPAs com cada subprocessador. Não substitui revisão jurídica antes do launch público.