LGPD · Lei 13.709/2018
Privacidade & LGPD
Última atualização: 16 de maio de 2026.
1. Quem somos (controlador)
Agro360 ("nós"), com sede em Londrina/PR — Brasil. Encarregado de Dados (DPO): Mateus Furrier. Contato: dpo@agro360.demo.
2. Quais dados tratamos
Dados de cadastro: razão social, CNPJ, nome do administrador, e-mail, telefone comercial.
Dados operacionais: talhões com geometria GeoJSON, visitas técnicas, anexos (fotos/PDF), CAR, atestados, certificados de retirada.
Dados de uso: logs de acesso, audit log de chamadas B2B (rota, tenant, IP, status, bytes), preferências de tema, templates de notificação.
PII potencial: CPF de produtores rurais cadastrados (campo opcional). NUNCA enviado a APIs externas. Mascarado automaticamente em logs.
3. Base legal (LGPD Art. 7º)
Execução do contrato (Art. 7º V): tratamento necessário para entregar a Plataforma e cumprir o serviço contratado.
Cumprimento de obrigação legal (Art. 7º II): emissão de NFS-e, retenção fiscal, atendimento a requisições da Receita Federal e CARF.
Legítimo interesse (Art. 7º IX): audit log, segurança, prevenção de fraude — sempre minimizado.
Consentimento (Art. 7º I): newsletter, cookies não-essenciais, marketing.
4. Compartilhamento
Operadores: provedores de infraestrutura (AWS/Hetzner), gateway de pagamento, serviço de e-mail transacional. Todos sob DPA assinado.
Integrações opcionais: OpenAI (Whisper para transcrição WhatsApp) — áudio é processado e descartado, NÃO armazenado. Evolution API (WhatsApp self-hosted no seu próprio servidor).
Bases públicas (PRODES, MapBiomas, SICAR, FUNAI, ICMBio): só consumimos dados públicos delas; nunca enviamos dados pessoais.
Nunca vendemos dados pessoais.
5. Páginas públicas /verify-*
A plataforma expõe páginas públicas (/verify, /verify-carbono, /verify-retirement) para auditoria de hash. Estas páginas exibem APENAS dados não-pessoais: nome do talhão, município/UF, área, status, hash SHA-256.
NÃO exibimos nome do produtor, CPF, contato ou qualquer PII nessas páginas. PII só é acessível via API B2B autenticada (X-API-Key com escopo).
6. Direitos do titular (LGPD Art. 18)
Você tem direito a: confirmação de tratamento, acesso, correção, anonimização/bloqueio/eliminação, portabilidade, eliminação após consentimento, informação sobre compartilhamento, revogação de consentimento.
Para exercer, escreva para dpo@agro360.demo. Respondemos em até 15 dias corridos.
7. Retenção
Dados operacionais ativos: enquanto a conta estiver ativa.
Após cancelamento: 90 dias para reativação, depois anonimização.
Audit log: Free 7 dias · Pro 90 dias · Enterprise 5 anos (compliance EUDR/Verra exige).
Dados fiscais (NFS-e): 5 anos por exigência legal.
Backups: 30 dias rolling em cold storage criptografado.
8. Segurança técnica
Criptografia em trânsito (TLS 1.3) e em repouso (AES-256 no banco e backups).
JWT com chave ≥ 32 chars validada em runtime. Webhooks assinados HMAC-SHA256.
Container hardened: read-only, cap_drop ALL, USER non-root, pids_limit.
Audit log de cada chamada B2B. PII masking automático em logs via wrapper de logger.
Pen-test anual + bug bounty em estudo.
9. Cookies
Essenciais: agro360_session (marker para middleware de auth), agro360_token (em localStorage, não cookie). Sempre ativos — necessários para o funcionamento da plataforma.
Analíticos: usamos Google Analytics 4 apenas na página inicial pública para medir acessos e cliques. Só é ativado após consentimento explícito no banner de cookies (LGPD Art. 7º I) — sem aceite, nenhum script do Google é carregado. Não enviamos dados pessoais (CPF/CNPJ nunca trafegam para o GA).
Para revogar o consentimento, limpe os cookies/armazenamento do site no navegador — o banner reaparece e você pode recusar. Sem Meta Pixel ou outros trackers de marketing.
10. Incidentes
Em caso de incidente de segurança com risco a titulares, comunicamos ANPD e titulares afetados em até 72h, conforme Art. 48 LGPD.