Orakulo e LGPD

1. O que é a LGPD

A Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018) é a norma brasileira que regula o tratamento de dados pessoais por pessoas físicas e jurídicas, públicas ou privadas. Inspirada no GDPR europeu, ela entrou em vigor em setembro de 2020 e passou a ter sanções aplicáveis a partir de agosto de 2021. A fiscalização é exercida pela Autoridade Nacional de Proteção de Dados (ANPD), com competência para aplicar multas que podem chegar a 2% do faturamento do grupo econômico, limitadas a R$ 50 milhões por infração.

Na prática, a LGPD obriga toda operação que toca dados de pessoas físicas a responder perguntas como: “para que você usa esses dados?”, “quem autorizou?”, “por quanto tempo vai guardar?”, “como vai proteger?” e “o que acontece se vazar?”. A Orakulo foi desenhada, desde o primeiro dia, para ter essas respostas sem improviso.

---

2. Como a Orakulo trata a LGPD

Seguimos à risca os dez princípios do artigo 6º da LGPD. Não como discurso, mas como critério operacional no produto e no dia a dia do time:

• Finalidade: cada campo coletado tem um propósito declarado; nada entra no banco “para caso precise um dia”.
• Adequação: o tratamento é compatível com a finalidade declarada ao titular.
• Necessidade: só coletamos o mínimo indispensável para operar o serviço (data minimization).
• Livre acesso: o cliente tem acesso contínuo aos seus próprios dados no painel; titulares podem requisitar seus dados via canais oficiais.
• Qualidade dos dados: mecanismos de correção, deduplicação e atualização estão disponíveis no painel para manter a base íntegra.
• Transparência: políticas, subprocessadores e mudanças relevantes são publicados e atualizados abertamente.
• Segurança: medidas técnicas descritas na cláusula 4 abaixo.
• Prevenção: monitoramento contínuo, revisão trimestral de acessos e testes de segurança agendados.
• Não discriminação: nenhum dado pessoal é usado para fins discriminatórios abusivos ou ilícitos.
• Responsabilização e prestação de contas: documentamos decisões de tratamento, mantemos registro de operações e respondemos por elas.

---

3. Nossa posição na cadeia de tratamento

A LGPD distingue dois papéis centrais: controlador (quem decide sobre o tratamento) e operador (quem executa o tratamento em nome do controlador). Um mesmo SaaS pode atuar em papéis diferentes conforme o contexto. No caso da Orakulo, a divisão é clara:

Orakulo como CONTROLADORA

Sobre os dados dos nossos próprios clientes (ou seja, quem contrata a plataforma), somos controladores. Nós decidimos o que coletar, por quanto tempo manter, com quem compartilhar, com qual base legal. Exemplos: seu CNPJ na fatura, seu email de login, os dados de uso do painel, as comunicações trocadas com nosso time.

Orakulo como OPERADORA

Sobre os dados que os clientes da Orakulo coletam dos seus próprios clientes (a base de contatos de uma loja, o histórico de conversas de uma clínica, o funil comercial de uma agência), atuamos como operadores. Os clientes da Orakulo são os controladores desses dados e nos instruem sobre como tratá-los. Nós apenas executamos o que é contratado e não utilizamos esses dados para qualquer finalidade própria.

Essa distinção tem consequências práticas relevantes: se um titular final (o cliente do nosso cliente) quiser exercer um direito LGPD, o interlocutor correto é o controlador, ou seja, a empresa que o cadastrou na base. Podemos (e devemos) colaborar com o controlador para atender a solicitação, e é exatamente o que fazemos.

---

4. Medidas técnicas de segurança

Segurança é camada, não caixa marcada. As principais medidas técnicas aplicadas hoje:

• Criptografia em trânsito: TLS 1.3 em todas as conexões com a plataforma e o site, com HSTS habilitado.
• Criptografia em repouso: bancos de dados e armazenamento de arquivos com AES-256.
• Autenticação multi-fator (MFA): obrigatória para todo acesso do time interno e disponível para clientes em todos os planos.
• Segregação por sub-conta: cada cliente opera em ambiente isolado dentro da infraestrutura GoHighLevel, com RLS garantindo que dados de uma conta nunca são acessíveis por outra.
• Logs de auditoria: cada ação relevante (login, export, alteração de integração, disparo em massa) é registrada com timestamp, usuário e IP.
• Backups criptografados: rotina diária em AWS S3 com versionamento e retenção de 30 dias; backup mensal mantido por 12 meses para DR.
• Rate-limit e WAF: proteção em endpoints de API e do painel contra abuso e ataques de força bruta.
• Monitoramento 24/7: observabilidade de métricas de segurança com alertas para eventos anômalos (pico de falhas de login, exports incomuns, acessos fora de padrão geográfico).
• Atualizações automáticas: patches de segurança aplicados sem janela de vulnerabilidade prolongada.

---

5. Medidas organizacionais

Segurança técnica sem disciplina de processo é frágil. Por isso, complementamos as medidas técnicas com governança de time:

• Princípio do menor privilégio: cada colaborador só tem acesso aos dados estritamente necessários para sua função.
• Treinamento: capacitação anual em LGPD, segurança da informação e engenharia social para toda a equipe.
• NDA com fornecedores: contratos com todos os subprocessadores incluem cláusulas de confidencialidade e de proteção de dados alinhadas à LGPD.
• Revisão trimestral de acessos: listas de usuários internos e externos revisadas a cada 3 meses, com remoção imediata de acessos inativos.
• Processo de onboarding e offboarding: concessão e revogação de acessos documentadas, com checklist obrigatório para desligamentos.
• Registro das operações de tratamento (RoPA): mantemos o inventário exigido pelo art. 37 da LGPD, atualizado a cada mudança relevante.

---

6. Encarregado de Proteção de Dados (DPO)

Conforme exigido pelo art. 41 da LGPD, a Analytikos mantém um encarregado formalmente designado como ponto de contato entre a operação, os titulares e a ANPD.

Encarregado: Gabriel Vitor Bueno da Luz
Email: dpo@orakulo.io
Responsabilidades: receber solicitações de titulares, orientar o time sobre boas práticas, conduzir investigações internas em caso de incidente, interlocuir com a ANPD e autoridades competentes.

---

7. Como exercer direitos de titular

Os direitos previstos no art. 18 da LGPD podem ser exercidos gratuitamente através dos canais oficiais. O fluxo prático é:

• Envie um email para privacidade@orakulo.io descrevendo o direito que deseja exercer (confirmação de tratamento, acesso, correção, exclusão, portabilidade etc.).
• Anexe documento oficial com foto para comprovação de identidade (RG, CNH). Sem essa verificação, não conseguimos responder com segurança — é uma medida de proteção ao próprio titular.
• Em até 15 dias corridos enviaremos resposta com a confirmação da ação executada ou justificativa formal, conforme art. 19 da LGPD.
• Em casos de complexidade operacional comprovada, o prazo pode ser estendido para até 30 dias, com comunicação prévia ao titular.
• Se for titular de dados tratados por um cliente Orakulo (destinatário de mensagem disparada via plataforma), podemos redirecionar a solicitação ao controlador correto.

---

8. Incidentes de segurança

O art. 48 da LGPD obriga o controlador a comunicar à ANPD e aos titulares afetados a ocorrência de incidente de segurança que possa acarretar risco ou dano relevante. Nosso protocolo interno em caso de suspeita de incidente:

• Detecção e contenção — acionamento imediato do time de engenharia para isolar o vetor e interromper o dano em curso.
• Investigação — coleta de evidências, análise de logs, determinação de escopo (quais dados, quantos titulares, qual janela temporal).
• Avaliação de risco — classificação do incidente quanto a risco/dano relevante aos titulares.
• Comunicação — notificação à ANPD e aos titulares (ou aos controladores que os representam) em tempo razoável, em conformidade com as diretrizes vigentes da ANPD, contendo descrição do incidente, dados afetados, medidas aplicadas e orientações ao titular.
• Pós-incidente — análise de causa-raiz e implementação de medidas para evitar recorrência.

---

9. Transferência internacional

Parte da infraestrutura da Orakulo (especialmente a plataforma GoHighLevel, o canal Meta/WhatsApp, os serviços Google e o gateway Stripe) opera em data centers fora do território nacional, majoritariamente nos Estados Unidos e secundariamente na Irlanda. Essa transferência é reconhecida pelo art. 33 da LGPD, e adotamos mecanismos específicos:

• Cláusulas contratuais específicas (art. 33, II): firmadas com cada subprocessador, alinhando obrigações ao padrão LGPD.
• Avaliação de padrão adequado de proteção: análise periódica do nível de proteção oferecido pelo provedor internacional.
• Execução contratual (art. 33, V): quando a transferência é indispensável para o cumprimento do contrato com o cliente.
• Consentimento específico: nas hipóteses em que o titular precisa consentir de forma destacada.

---

10. Consentimento granular de cookies

O site orakulo.io opera com banner de consentimento que permite ao visitante aceitar ou recusar categorias específicas (analytics, marketing) de forma independente. O consentimento é registrado, versionado e pode ser revisado a qualquer momento pelo link “Gerenciar cookies” no rodapé. Detalhamento das categorias e dos cookies aplicados está disponível na nossa Política de Privacidade.

---

11. DPA para clientes enterprise

Clientes que atuam como controladores de bases relevantes e precisam formalizar a relação de tratamento com a Orakulo (operadora) podem solicitar nosso Data Processing Addendum (DPA): contrato acessório com cláusulas padronizadas de LGPD, incluindo escopo do tratamento, categorias de dados, medidas de segurança, subprocessadores autorizados, prazo de retenção, suporte em solicitações de titulares e obrigações em caso de incidente.

O DPA é disponibilizado para assinatura eletrônica mediante solicitação em dpo@orakulo.io. Atendemos também a demandas de due diligence de segurança (questionários de fornecedor, certificações, evidências de controles) para clientes corporativos em processo de contratação.

---

12. Canais oficiais

Solicitações de titulares: privacidade@orakulo.io
Encarregado (DPO): dpo@orakulo.io
Incidentes de segurança: dpo@orakulo.io (urgente)
Contato comercial e suporte: contato@orakulo.io

Caso não esteja satisfeito com o tratamento de uma solicitação, o titular pode recorrer diretamente à ANPD em gov.br/anpd.