Conformidade com a LGPD.

Esta página complementa a Política de Privacidade com os elementos exigidos pela Lei Geral de Proteção de Dados (Lei nº 13.709/2018).

1. Controlador

• Nome: Marcos Antônio de Albuquerque Filho
• Endereço operacional: São Paulo, SP, Brasil
• Contato: WhatsApp +55 81 8296-0491
• Email do encarregado (DPO): dpo@forgem.dev

2. Bases legais.

Cada tratamento de dados pessoais é fundamentado em uma das bases do art. 7º da LGPD:

• Execução de contrato (art. 7º, V) · operar a plataforma e prestar o serviço contratado
• Legítimo interesse (art. 7º, IX) · prevenir fraude, manter segurança, melhorar o serviço
• Cumprimento de obrigação legal (art. 7º, II) · retenção fiscal (notas fiscais, comprovantes de pagamento)
• Consentimento (art. 7º, I) · para envio de comunicações opcionais (WhatsApp, novidades)

3. Categorias de dados.

• Identificação: email, nome (opcional)
• Contato: WhatsApp (opcional)
• Comportamentais: mensagens enviadas aos agentes, tokens consumidos, endpoints chamados
• Técnicos: IP, user agent, timestamps

Não tratamos dados sensíveis (origem racial, opinião política, saúde, dados biométricos) nem dados de menores de idade. Se você é menor de 18 anos, não use a plataforma.

4. Direitos do titular.

Os direitos do art. 18 da LGPD podem ser exercidos a qualquer tempo:

1. Confirmação da existência de tratamento
2. Acesso aos dados
3. Correção de dados incompletos, inexatos ou desatualizados
4. Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade
5. Portabilidade dos dados em formato estruturado (JSON)
6. Eliminação dos dados tratados com base em consentimento
7. Informação sobre compartilhamento com entidades públicas e privadas
8. Informação sobre não fornecer consentimento e suas consequências
9. Revogação do consentimento

Como exercer: WhatsApp +55 81 8296-0491 ou email dpo@forgem.dev. Prazo de resposta: até 15 dias.

5. Transferência internacional.

Atualmente os dados são armazenados em infraestrutura Cloudflare na região ENAM (Miami, EUA). Cloudflare possui certificações SOC 2 Type II, ISO 27001 e adere ao Data Protection Framework EU-US. A transferência se baseia em cláusulas contratuais padrão e nas garantias de adequação previstas no art. 33 da LGPD.

Migração pra região SAM (São Paulo) está prevista assim que a Cloudflare promover D1 na região para GA — o que vai eliminar a necessidade de transferência internacional pra usuários brasileiros.

6. Compartilhamento

Dados são compartilhados estritamente com operadores necessários ao serviço:

• Cloudflare · processamento de requisições, armazenamento (D1, Workers AI)
• Resend · envio de magic links e notificações transacionais

Não vendemos dados, não compartilhamos com terceiros para marketing, não fazemos profiling pra fins publicitários.

7. Segurança

• HTTPS obrigatório em todas as conexões (HSTS habilitado)
• Magic link com uso único, expiração em 15 minutos, comparação constant-time
• Rate limiting por IP e por email pra prevenir brute force
• Cookies de sessão HTTP-only, Secure, SameSite=Lax
• Logs de autenticação preservados por 90 dias pra auditoria
• Constant-time compare em todo token sensível

8. Incidente de segurança.

Em caso de incidente que possa acarretar risco ou dano relevante aos titulares, comunicamos a ANPD e os titulares afetados em até 48h após a descoberta, conforme art. 48 da LGPD. O comunicado incluirá natureza do incidente, dados afetados, medidas tomadas e recomendações ao titular.

9. Reclamações

Antes de levar à ANPD, tente o canal direto: WhatsApp ou dpo@forgem.dev. Se a resposta não for satisfatória, você pode acionar a Autoridade Nacional de Proteção de Dados (ANPD) em gov.br/anpd.