Política de Privacidade e de Proteção de Dados Pessoais

A presente Política de Privacidade e de Proteção de Dados Pessoais ("Política") estabelece, de forma transparente e institucional, as diretrizes, princípios e práticas observadas pela empresa fornecedora do sistema Effluex (doravante denominada "Effluex" ou "Operadora") quanto ao tratamento de dados pessoais e à segurança da informação no âmbito da prestação de seus serviços a prefeituras, empresas concessionárias, órgãos ambientais e demais entidades usuárias (doravante "Controladoras" ou "Clientes").

O Effluex é uma solução SaaS (Software as a Service) multi-tenant, hospedada em infraestrutura de nuvem da Amazon Web Services (AWS), destinada ao monitoramento operacional de Estações de Tratamento de Efluentes (ETEs), ao registro de dados técnicos e ambientais, ao acompanhamento de conformidade regulatória, à geração de relatórios e indicadores, bem como à integração com órgãos reguladores. O sistema pode empregar recursos de Inteligência Artificial (IA) e de aprendizado de máquina para análise preditiva, detecção de anomalias operacionais e otimização de indicadores ambientais.

Esta Política foi elaborada em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais — LGPD), o Marco Civil da Internet (Lei nº 12.965/2014), a Lei de Acesso à Informação (Lei nº 12.527/2011) e, subsidiariamente, com as melhores práticas e referenciais internacionais de segurança da informação e cibersegurança, tais como ABNT NBR ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27017, ISO/IEC 27018, ISO/IEC 27701, NIST Cybersecurity Framework (CSF) 2.0 e OWASP ASVS/Top 10.

Ao acessar, cadastrar-se ou utilizar o Effluex, o usuário declara ter lido, compreendido e concordado com os termos desta Política.

Para os fins desta Política, aplicam-se as seguintes definições, em conformidade com o artigo 5º da LGPD e com referenciais técnicos de segurança da informação:

Dado Pessoal:

informação relacionada a pessoa natural identificada ou identificável.

Dado Pessoal Sensível:

dado relativo a origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico. O Effluex, via de regra, não trata dados pessoais sensíveis.

Dado Anonimizado:

dado relativo a titular que não possa ser identificado, considerando a utilização de meios técnicos razoáveis e disponíveis na ocasião de seu tratamento.

Pseudonimização:

tratamento pelo qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo, senão pelo uso de informação adicional mantida separadamente pelo controlador em ambiente controlado e seguro.

Titular:

pessoa natural a quem se referem os dados pessoais objeto de tratamento.

Tratamento:

toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, modificação, comunicação, transferência, difusão ou extração.

Controlador:

pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. No contexto do Effluex, o Controlador é, em regra, a entidade contratante (prefeitura, empresa ou órgão ambiental).

Operador:

pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador. A empresa mantenedora do Effluex atua, em regra, como Operadora de Dados.

Suboperador:

terceiro contratado pela Operadora para auxiliar na prestação dos serviços, estando sujeito a obrigações contratuais compatíveis com esta Política e com a LGPD.

Encarregado (DPO):

pessoa indicada para atuar como canal de comunicação entre o Controlador, os titulares e a Autoridade Nacional de Proteção de Dados (ANPD).

ANPD:

Autoridade Nacional de Proteção de Dados, responsável por zelar, implementar e fiscalizar o cumprimento da LGPD.

Incidente de Segurança:

evento adverso, confirmado ou sob suspeita, relacionado à violação da confidencialidade, integridade, disponibilidade ou autenticidade de dados ou sistemas.

Dados Operacionais:

informações técnicas relativas ao funcionamento das ETEs, tais como volumes tratados, parâmetros físico-químicos, análises laboratoriais e indicadores de conformidade ambiental. Tais dados não são, em regra, dados pessoais, mas podem estar associados a pessoas naturais identificáveis.

O Effluex coleta e trata dados de forma minimizada, observando o princípio da necessidade (art. 6º, III, da LGPD), estritamente na medida exigida pela finalidade da prestação contratada.

3.1. Dados Cadastrais

Dados fornecidos no cadastro de usuários — operadores, responsáveis técnicos (engenheiros ambientais, químicos, técnicos), gestores públicos e administradores de conta —, incluindo:

• Nome completo;
• CPF, quando exigido por norma contratual, regulatória ou de auditoria;
• Endereço de e-mail corporativo ou institucional;
• Telefone de contato profissional;
• Cargo, função ou vínculo profissional;
• Número de registro em conselho profissional (CREA, CRQ ou equivalente), quando aplicável, na condição de dado profissional vinculado ao exercício de responsabilidade técnica;
• Matrícula funcional ou número de identificação interna do órgão/empresa contratante;
• Organização, órgão ou unidade a que o usuário está vinculado.

3.2. Dados de Uso do Sistema

Dados gerados a partir da interação do usuário com a plataforma, incluindo:

• Registros operacionais inseridos (volumes, parâmetros químicos, resultados laboratoriais, observações técnicas);
• Relatórios e indicadores ambientais gerados ou consultados;
• Ações executadas (criação, edição, exclusão e aprovação de registros);
• Histórico de navegação interna e funcionalidades acessadas;
• Preferências de configuração e parametrização da conta.

3.3. Dados Técnicos e de Acesso

Dados coletados automaticamente para fins de segurança, auditoria e continuidade operacional, incluindo:

• Endereço IP de origem;
• Identificação do dispositivo, sistema operacional e navegador;
• Data, hora e duração dos acessos (logs de autenticação);
• Logs de auditoria e trilhas de eventos críticos;
• Identificadores de sessão e cookies, conforme detalhado na Seção 11;
• Eventos de segurança, tentativas de acesso malsucedidas e alertas de detecção de anomalias.

3.4. Dados Operacionais e Geoespaciais das ETEs

O Effluex trata dados técnicos, operacionais e de localização relacionados à infraestrutura das ETEs, tais como:

• Identificação e localização georreferenciada das ETEs, pontos de coleta e pontos de lançamento;
• Parâmetros físico-químicos e biológicos do efluente (pH, DBO, DQO, sólidos, coliformes, metais, entre outros);
• Volumes tratados, vazões e indicadores de eficiência;
• Registros de não conformidade, planos de ação e comunicações a órgãos reguladores;
• Documentos técnicos, licenças ambientais e relatórios vinculados.

Em razão do caráter potencialmente sensível das informações sobre localização de infraestrutura crítica ambiental, os dados geoespaciais são objeto de controles de acesso reforçados, com segregação por perfil e registro de trilhas de auditoria.

3.5. Dados que o Effluex NÃO Coleta

O Effluex não tem por finalidade coletar ou tratar dados pessoais sensíveis, como informações de saúde, dados biométricos, dados genéticos, origem racial ou étnica, convicções religiosas ou filosóficas, opiniões políticas, filiação sindical ou dados relativos à vida sexual. Caso, excepcionalmente, tais informações sejam inseridas pelo usuário, caberá ao Controlador avaliar a licitude e a pertinência do tratamento.

Os dados são tratados para finalidades legítimas, específicas e explícitas, informadas ao titular, em observância ao princípio da finalidade (art. 6º, I, da LGPD):

• Viabilizar o cadastro, a autenticação e a gestão de usuários da plataforma;
• Permitir a operação, o monitoramento e a gestão das Estações de Tratamento de Efluentes;
• Registrar e armazenar dados operacionais, análises laboratoriais e indicadores ambientais;
• Gerar relatórios, painéis e documentos de conformidade ambiental;
• Viabilizar a integração e o envio de informações a órgãos reguladores, quando aplicável e conforme determinação do Controlador;
• Garantir a rastreabilidade, a auditoria e a segurança das operações do sistema;
• Aplicar recursos de Inteligência Artificial e aprendizado de máquina para análise preditiva, detecção de anomalias, sugestões de otimização e automação de relatórios, operando, sempre que possível, sobre dados agregados, pseudonimizados ou anonimizados;
• Cumprir obrigações legais, regulatórias e contratuais;
• Atender a requisições de autoridades competentes;
• Prevenir fraudes, usos indevidos, ataques cibernéticos e incidentes de segurança;
• Aprimorar funcionalidades, desempenho, usabilidade e segurança do sistema.

A Operadora não realiza tratamento de dados pessoais para finalidades incompatíveis com as descritas nesta Política ou previstas nos contratos firmados com o Controlador.

O tratamento de dados pessoais observa as hipóteses previstas nos artigos 7º e 11 da LGPD, destacando-se:

• Execução de contrato ou procedimentos preliminares (art. 7º, V): para viabilizar a prestação do serviço SaaS ao Controlador, incluindo cadastro, autenticação e operação do sistema.
• Cumprimento de obrigação legal ou regulatória (art. 7º, II): para atendimento de exigências ambientais, trabalhistas, tributárias e de transparência aplicáveis ao Controlador e/ou à Operadora.
• Execução de políticas públicas (art. 7º, III): quando o Controlador for ente público e o tratamento estiver vinculado à execução de competências legais no saneamento e meio ambiente.
• Exercício regular de direitos em processo judicial, administrativo ou arbitral (art. 7º, VI): para defesa em procedimentos regulatórios, fiscalizatórios ou litigiosos.
• Legítimo interesse (art. 7º, IX): para fins de segurança da informação, prevenção a fraudes, detecção e resposta a incidentes cibernéticos, auditoria e aprimoramento do serviço, respeitados os direitos fundamentais do titular.
• Consentimento (art. 7º, I): utilizado subsidiariamente, apenas quando não for aplicável outra base legal, sendo fornecido de forma livre, informada e inequívoca.

A base legal aplicável a cada operação é definida em conjunto pelo Controlador e pela Operadora, observadas as finalidades contratuais e regulatórias.

O Effluex não comercializa dados pessoais. O compartilhamento ocorre apenas nas hipóteses descritas a seguir, sempre sob cláusulas contratuais adequadas e com controles técnicos de proteção de dados:

6.1. Com o Controlador

Todos os dados tratados no sistema permanecem sob titularidade e controle do Cliente contratante (Controlador), que possui acesso, controle e faculdade de exportação de seus dados nos termos do contrato firmado.

6.2. Com Órgãos Públicos e Reguladores

Mediante determinação do Controlador ou por exigência legal, os dados podem ser compartilhados com:

• Órgãos ambientais nas esferas federal, estadual e municipal (ex.: IBAMA, órgãos estaduais de meio ambiente, secretarias municipais);
• Agências reguladoras de saneamento (ex.: ANA, agências estaduais e municipais);
• Ministério Público, Poder Judiciário e autoridades policiais, mediante requisição formal e fundamentada;
• Órgãos de controle externo e interno (Tribunais de Contas, Controladoria-Geral).

6.3. Com Parceiros, Fornecedores e Suboperadores

A Operadora poderá compartilhar dados com prestadores de serviços que atuam como suboperadores, sempre mediante contrato com cláusulas de proteção de dados, due diligence prévia e nível equivalente de segurança, incluindo:

• Provedor de infraestrutura em nuvem Amazon Web Services (AWS), para hospedagem, armazenamento, processamento, backup e recursos de IA;
• Serviços de banco de dados gerenciados (como Amazon RDS, Amazon Aurora, Amazon DynamoDB) e de armazenamento (como Amazon S3);
• Serviços de IA e aprendizado de máquina (como Amazon Bedrock, Amazon SageMaker ou equivalentes), com restrição ao estritamente necessário e, sempre que possível, sobre dados pseudonimizados ou agregados;
• Serviços de envio de e-mails transacionais e notificações;
• Serviços de monitoramento, observabilidade, gestão de logs e segurança (SIEM, WAF, antivírus, EDR, CSPM);
• Empresas de auditoria, consultoria jurídica e contábil, quando necessário.

A Operadora manterá registro atualizado dos suboperadores, disponibilizando-o ao Controlador mediante solicitação, nos termos do princípio da transparência.

6.4. Em Operações Societárias

Em caso de fusão, aquisição, reorganização societária ou alienação de ativos, os dados poderão ser transferidos ao sucessor, mantendo-se as mesmas obrigações de proteção previstas nesta Política.

A Operadora adota programa de segurança da informação e cibersegurança estruturado em camadas (defense-in-depth), orientado pelos princípios de confidencialidade, integridade, disponibilidade, autenticidade, rastreabilidade e resiliência, com base nos referenciais ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27701, ISO/IEC 27017, ISO/IEC 27018, NIST CSF 2.0 e OWASP ASVS/Top 10.

7.1. Infraestrutura em Nuvem (AWS)

O Effluex opera sobre infraestrutura da Amazon Web Services (AWS), referência mundial em segurança e disponibilidade, com certificações tais como ISO/IEC 27001, 27017, 27018, SOC 1, SOC 2 e SOC 3, entre outras. O armazenamento primário ocorre, preferencialmente, em regiões AWS localizadas no Brasil (Região São Paulo — sa-east-1), podendo ser utilizadas regiões adicionais para redundância, backup e continuidade de negócios.

A arquitetura segue o modelo de responsabilidade compartilhada: a AWS é responsável pela segurança DA nuvem (infraestrutura física, rede, virtualização); a Operadora é responsável pela segurança NA nuvem (configuração segura, controle de acesso, criptografia, hardening, monitoramento).

7.2. Arquitetura Multi-tenant e Segregação Lógica

O Effluex é construído em arquitetura multi-tenant, com rigorosa segregação lógica dos dados de cada Controlador, de modo que os dados de um Cliente não sejam acessíveis a outro. A segregação é assegurada por meio de:

• Identificadores únicos de tenant aplicados em todas as consultas;
• Políticas de isolamento no banco de dados e em armazenamento de objetos;
• Controles de acesso baseados em função e em tenant (RBAC);
• Testes automatizados para prevenir vazamento lateral entre tenants.

7.3. Banco de Dados

Os dados são armazenados em serviços de banco de dados gerenciados, relacionais e/ou não relacionais, com replicação automática, snapshots periódicos, políticas de retenção configuráveis e mecanismos de recuperação pontual (point-in-time recovery). Documentos, anexos e arquivos são armazenados em serviços de objetos com controle de acesso granular e versionamento.

7.4. Criptografia

A criptografia é adotada como controle essencial e permanente:

• Em trânsito: todas as comunicações entre usuário e sistema, bem como entre componentes internos, ocorrem sob protocolos TLS 1.2 ou superior, com suites criptográficas modernas e certificados digitais válidos.
• Em repouso: bancos de dados, volumes, backups e objetos armazenados são criptografados com algoritmos padrão de mercado (AES-256 ou equivalente), com gerenciamento de chaves por meio de serviço dedicado (AWS KMS) e rotação periódica das chaves.
• Segredos e credenciais: tokens, chaves de API e credenciais de sistema são geridos em cofres seguros (ex.: AWS Secrets Manager), nunca armazenados em repositórios de código ou em texto puro.
• Senhas de usuários: armazenadas em formato hash, com funções criptográficas robustas e fator de trabalho adequado, impossibilitando recuperação em texto puro.

7.5. Controles de Acesso, Identidade e Autenticação

Os controles de acesso seguem os princípios de necessidade de conhecer (need-to-know) e de menor privilégio (least privilege), abrangendo:

• Perfis segmentados por função (operador, responsável técnico, gestor, administrador);
• Credenciais individuais, nominais e intransferíveis;
• Política de senhas robustas e bloqueio automático após tentativas sucessivas de falha;
• Autenticação multifator (MFA), obrigatória para perfis administrativos e disponibilizada aos demais usuários;
• Sessões com tempo máximo de inatividade e invalidação em logout;
• Revisão periódica de permissões (recertificação de acessos);
• Controles administrativos reforçados para ambientes de produção, com acessos just-in-time e registros irretratáveis.

7.6. Segurança de Rede e Perímetro

A proteção de perímetro e rede inclui:

• Segmentação de redes virtuais privadas (VPCs), com separação entre ambientes de desenvolvimento, homologação e produção;
• Firewalls de rede, grupos de segurança e listas de controle de acesso (ACLs) com regras mínimas e explícitas;
• Web Application Firewall (WAF) para mitigação de ataques à camada de aplicação, incluindo OWASP Top 10;
• Proteção contra ataques de negação de serviço (DDoS);
• Política de denied-by-default para acessos administrativos e uso obrigatório de acessos cifrados.

7.7. Desenvolvimento Seguro e Gestão de Vulnerabilidades

A Operadora adota práticas de desenvolvimento seguro (SDLC seguro), incluindo:

• Revisão de código e políticas de aprovação para alterações relevantes;
• Análise estática (SAST) e de composição de software (SCA) para bibliotecas de terceiros;
• Análise dinâmica (DAST) e testes de segurança em ambientes pré-produtivos;
• Testes de intrusão (pentests) periódicos, realizados por equipes independentes;
• Gestão contínua de vulnerabilidades, com priorização baseada em criticidade (CVSS) e em impacto para o negócio;
• Atualizações e correções de segurança (patch management) em janelas planejadas;
• Hardening de sistemas operacionais, imagens, contêineres e serviços gerenciados.

7.8. Monitoramento, Logs e Detecção

A Operadora mantém monitoramento contínuo (24x7) dos ambientes críticos, com:

• Coleta e centralização de logs de aplicação, infraestrutura, banco de dados e segurança;
• Correlação de eventos por meio de solução de SIEM (Security Information and Event Management);
• Monitoramento de integridade, disponibilidade e desempenho;
• Detecção de anomalias, acessos suspeitos e comportamentos fora do padrão;
• Alertas automatizados e procedimentos de triagem documentados.

Os registros de acesso à aplicação são preservados, no mínimo, pelos prazos exigidos pelo Marco Civil da Internet e por normas aplicáveis, mantida a integridade e rastreabilidade.

7.9. Gestão de Incidentes de Segurança

A Operadora mantém Plano de Resposta a Incidentes (PRI) estruturado, com papéis, responsabilidades e fluxos definidos, compreendendo as fases de preparação, detecção, contenção, erradicação, recuperação e lições aprendidas.

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a Operadora comunicará o Controlador em prazo razoável, fornecendo as informações mínimas necessárias — natureza do incidente, dados afetados, titulares envolvidos, medidas técnicas e administrativas adotadas e riscos decorrentes —, a fim de que o Controlador cumpra suas obrigações perante a ANPD e os titulares, nos termos do artigo 48 da LGPD e das normativas complementares da ANPD.

7.10. Continuidade de Negócios e Recuperação de Desastres

Para assegurar a disponibilidade e a resiliência, a Operadora mantém:

• Plano de Continuidade de Negócios (PCN) e Plano de Recuperação de Desastres (PRD) documentados e testados periodicamente;
• Backups regulares, com redundância geográfica e testes de restauração;
• Objetivos de tempo (RTO) e ponto (RPO) de recuperação definidos contratualmente, conforme o nível de serviço pactuado;
• Arquitetura de alta disponibilidade, com redundância de componentes críticos.

7.11. Governança, Pessoas e Processos

A segurança depende de pessoas e processos, razão pela qual a Operadora adota:

• Programa de Privacidade e Segurança da Informação, com políticas internas, papéis e responsabilidades definidos;
• Treinamento periódico e campanhas de conscientização (awareness) em proteção de dados e cibersegurança;
• Cláusulas contratuais de confidencialidade com colaboradores e prestadores;
• Processo de gestão de fornecedores, com avaliação prévia e monitoramento contínuo;
• Privacy by Design e Security by Design na concepção de novas funcionalidades;
• Registro das Operações de Tratamento (ROPA) e elaboração de Relatórios de Impacto à Proteção de Dados (RIPD), quando cabíveis.

7.12. Uso Responsável de Inteligência Artificial

Os recursos de IA empregados no Effluex seguem princípios de responsabilidade e transparência:

• Finalidade restrita a análise operacional (preditiva, detecção de anomalias, otimização, automação de relatórios);
• Preferência por dados agregados, pseudonimizados ou anonimizados;
• Não utilização de dados pessoais dos Controladores para treinamento de modelos de uso geral ou para beneficiar terceiros, salvo autorização contratual específica;
• Mecanismos de supervisão humana sobre decisões relevantes;
• Atendimento ao direito de revisão de decisões automatizadas, nos termos do art. 20 da LGPD.

Os dados pessoais são conservados pelo tempo necessário ao cumprimento das finalidades informadas e enquanto vigente o contrato com o Controlador, observando-se ainda:

• Prazos de guarda previstos em legislação ambiental, administrativa, trabalhista, fiscal e sanitária aplicáveis ao setor de saneamento;
• Obrigação de guarda de registros de acesso por, no mínimo, 6 (seis) meses, nos termos do Marco Civil da Internet;
• Prazos prescricionais aplicáveis a eventuais pretensões jurídicas;
• Políticas internas de retenção baseadas em classificação da informação.

Encerrado o contrato, e observados os prazos legais de retenção, os dados serão eliminados de forma segura ou devolvidos ao Controlador, conforme previsto em contrato, mediante procedimentos que assegurem a impossibilidade razoável de recuperação, inclusive em backups, respeitados os ciclos técnicos de rotação das cópias de segurança.

Dados anonimizados poderão ser mantidos, sem restrição, para fins estatísticos, de melhoria do serviço e de desenvolvimento de modelos analíticos, nos termos do artigo 12 da LGPD.

Nos termos do artigo 18 da LGPD, o titular tem direito a obter, mediante requisição:

• Confirmação da existência de tratamento de seus dados pessoais;
• Acesso aos dados pessoais tratados;
• Correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
• Portabilidade dos dados a outro fornecedor de serviço ou produto, observados os regulamentos da ANPD e o segredo comercial e industrial;
• Eliminação dos dados pessoais tratados com base em consentimento, ressalvadas as hipóteses de guarda legal;
• Informação sobre entidades públicas e privadas com as quais o Controlador realizou compartilhamento de dados;
• Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
• Revogação do consentimento, quando esta for a base legal aplicável;
• Oposição a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento da LGPD;
• Revisão de decisões tomadas unicamente com base em tratamento automatizado, inclusive em decisões baseadas em Inteligência Artificial, que afetem seus interesses.

Considerando que a Operadora atua, em regra, como Operadora de Dados, as solicitações do titular deverão ser direcionadas prioritariamente ao Controlador (Cliente contratante), responsável primário pelo atendimento dos direitos. A Operadora prestará cooperação técnica necessária para viabilizar o atendimento das solicitações.

O titular poderá exercer seus direitos encaminhando solicitação formal aos canais indicados na Seção 15 desta Política, contendo:

• Identificação do titular (nome completo e documento de identificação);
• Indicação clara do direito que deseja exercer;
• Descrição objetiva da solicitação e, quando aplicável, dos dados envolvidos;
• Meios de contato para resposta.

A Operadora responderá às solicitações em prazo razoável, observados os limites legais e técnicos, e poderá solicitar informações adicionais para confirmar a identidade do requerente e evitar acessos indevidos. Caso a solicitação se refira a dados sob responsabilidade de um Controlador específico, a requisição será encaminhada a este, com comunicação ao titular.

O Effluex utiliza cookies e tecnologias similares com finalidades estritamente necessárias ao funcionamento do sistema:

• Cookies estritamente necessários: essenciais para autenticação, manutenção de sessão e segurança do acesso.
• Cookies de desempenho e analíticos: utilizados para monitorar desempenho, estabilidade e usabilidade, em caráter agregado e, sempre que possível, anonimizado.
• Cookies de preferências: destinados a armazenar configurações do usuário, como idioma e preferências de interface.

O Effluex não utiliza cookies para fins publicitários ou para rastreamento intersite. O usuário pode gerenciar cookies por meio das configurações do navegador, ciente de que a desativação de cookies essenciais pode comprometer o funcionamento do sistema.

Em razão do uso de infraestrutura da Amazon Web Services (AWS) e de serviços de Inteligência Artificial, pode haver, em caráter complementar, transferência internacional de dados pessoais para países onde se localizem data centers, serviços de redundância, serviços de IA ou centros de suporte técnico.

Toda transferência internacional observará estritamente os artigos 33 a 36 da LGPD, sendo realizada exclusivamente quando:

• O país de destino proporcionar grau de proteção de dados adequado ao previsto na LGPD; ou
• O controlador oferecer e comprovar garantias de cumprimento dos princípios, dos direitos do titular e do regime de proteção de dados, por meio de cláusulas contratuais específicas, cláusulas-padrão, normas corporativas globais, selos, certificados ou códigos de conduta; ou
• A transferência for necessária para a execução de contrato, cumprimento de obrigação legal, proteção da vida, tutela da saúde ou exercício regular de direitos em processos.

O armazenamento primário e preferencial dos dados ocorre em infraestrutura localizada no Brasil (Região AWS São Paulo).

O usuário do Effluex compromete-se a:

• Manter a confidencialidade de suas credenciais, não as compartilhando com terceiros;
• Habilitar e utilizar, sempre que disponível, a autenticação multifator (MFA);
• Utilizar o sistema de forma lícita, ética e em conformidade com a LGPD;
• Fornecer informações verídicas, atualizadas e completas;
• Não inserir no sistema dados pessoais de terceiros sem base legal adequada;
• Não inserir dados pessoais sensíveis, salvo quando estritamente necessário, autorizado pelo Controlador e com base legal específica;
• Utilizar dispositivos com medidas mínimas de segurança (sistema operacional atualizado, antivírus quando aplicável, bloqueio de tela e redes confiáveis);
• Comunicar imediatamente à Operadora e ao Controlador qualquer suspeita de incidente de segurança, uso indevido ou acesso não autorizado;
• Respeitar os perfis de acesso e as competências atribuídas pelo Controlador;
• Não tentar burlar mecanismos de segurança, realizar engenharia reversa, executar testes de intrusão não autorizados ou utilizar o sistema para finalidades diversas das contratadas.

O descumprimento destas obrigações poderá ensejar suspensão de acesso, rescisão contratual e responsabilização nos termos da legislação aplicável.

Esta Política poderá ser atualizada, a qualquer tempo, em razão de alterações legais, regulatórias, tecnológicas, contratuais ou operacionais. A versão vigente estará sempre disponível no sítio eletrônico oficial do Effluex e/ou na área autenticada do sistema, com indicação da data da última atualização.

Alterações substanciais serão comunicadas previamente ao Controlador e, quando aplicável, aos titulares, pelos canais de comunicação cadastrados. O uso continuado do sistema após a vigência da nova versão importará concordância com os termos atualizados, ressalvados os direitos legais do titular.

Para exercer seus direitos, esclarecer dúvidas sobre esta Política, reportar incidentes ou tratar de assuntos de proteção de dados, o titular pode contatar o Encarregado pelo Tratamento de Dados Pessoais (DPO) da Operadora do Effluex pelos seguintes canais:

Encarregado:

A definir

E-mail:

dpo@effluex.com.br

Telefone:

A definir

Endereço:

A definir

Em caso de não atendimento satisfatório, o titular poderá apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD), por meio dos canais oficiais disponibilizados em seu sítio eletrônico (www.gov.br/anpd).