LGPD · Lei 13.709/2018

Privacidade & LGPD

Última atualização: 16 de maio de 2026.

1. Quem somos (controlador)

Agro360 ("nós"), com sede em Londrina/PR — Brasil. Encarregado de Dados (DPO): Mateus Furrier. Contato: dpo@agro360.demo.

2. Quais dados tratamos

Dados de cadastro: razão social, CNPJ, nome do administrador, e-mail, telefone comercial.

Dados operacionais: talhões com geometria GeoJSON, visitas técnicas, anexos (fotos/PDF), CAR, atestados, certificados de retirada.

Dados de uso: logs de acesso, audit log de chamadas B2B (rota, tenant, IP, status, bytes), preferências de tema, templates de notificação.

PII potencial: CPF de produtores rurais cadastrados (campo opcional). NUNCA enviado a APIs externas. Mascarado automaticamente em logs.

3. Base legal (LGPD Art. 7º)

Execução do contrato (Art. 7º V): tratamento necessário para entregar a Plataforma e cumprir o serviço contratado.

Cumprimento de obrigação legal (Art. 7º II): emissão de NFS-e, retenção fiscal, atendimento a requisições da Receita Federal e CARF.

Legítimo interesse (Art. 7º IX): audit log, segurança, prevenção de fraude — sempre minimizado.

Consentimento (Art. 7º I): newsletter, cookies não-essenciais, marketing.

4. Compartilhamento

Operadores: provedores de infraestrutura (AWS/Hetzner), gateway de pagamento, serviço de e-mail transacional. Todos sob DPA assinado.

Integrações opcionais: OpenAI (Whisper para transcrição WhatsApp) — áudio é processado e descartado, NÃO armazenado. Evolution API (WhatsApp self-hosted no seu próprio servidor).

Bases públicas (PRODES, MapBiomas, SICAR, FUNAI, ICMBio): só consumimos dados públicos delas; nunca enviamos dados pessoais.

Nunca vendemos dados pessoais.

5. Páginas públicas /verify-*

A plataforma expõe páginas públicas (/verify, /verify-carbono, /verify-retirement) para auditoria de hash. Estas páginas exibem APENAS dados não-pessoais: nome do talhão, município/UF, área, status, hash SHA-256.

NÃO exibimos nome do produtor, CPF, contato ou qualquer PII nessas páginas. PII só é acessível via API B2B autenticada (X-API-Key com escopo).

6. Direitos do titular (LGPD Art. 18)

Você tem direito a: confirmação de tratamento, acesso, correção, anonimização/bloqueio/eliminação, portabilidade, eliminação após consentimento, informação sobre compartilhamento, revogação de consentimento.

Para exercer, escreva para dpo@agro360.demo. Respondemos em até 15 dias corridos.

7. Retenção

Dados operacionais ativos: enquanto a conta estiver ativa.

Após cancelamento: 90 dias para reativação, depois anonimização.

Audit log: Free 7 dias · Pro 90 dias · Enterprise 5 anos (compliance EUDR/Verra exige).

Dados fiscais (NFS-e): 5 anos por exigência legal.

Backups: 30 dias rolling em cold storage criptografado.

8. Segurança técnica

Criptografia em trânsito (TLS 1.3) e em repouso (AES-256 no banco e backups).

JWT com chave ≥ 32 chars validada em runtime. Webhooks assinados HMAC-SHA256.

Container hardened: read-only, cap_drop ALL, USER non-root, pids_limit.

Audit log de cada chamada B2B. PII masking automático em logs via wrapper de logger.

Pen-test anual + bug bounty em estudo.

9. Cookies

Essenciais: agro360_session (marker para middleware de auth), agro360_token (em localStorage, não cookie). Sempre ativos — necessários para o funcionamento da plataforma.

Analíticos: usamos Google Analytics 4 apenas na página inicial pública para medir acessos e cliques. Só é ativado após consentimento explícito no banner de cookies (LGPD Art. 7º I) — sem aceite, nenhum script do Google é carregado. Não enviamos dados pessoais (CPF/CNPJ nunca trafegam para o GA).

Para revogar o consentimento, limpe os cookies/armazenamento do site no navegador — o banner reaparece e você pode recusar. Sem Meta Pixel ou outros trackers de marketing.

10. Incidentes

Em caso de incidente de segurança com risco a titulares, comunicamos ANPD e titulares afetados em até 72h, conforme Art. 48 LGPD.

Contato do Encarregado (DPO)

Mateus Furrier · IT Manager / DPO

dpo@agro360.demo