Política de Privacidade

Esta Política de Privacidade descreve como a Nautilos LTDA, inscrita no CNPJ sob o nº 97.469.068/0001-56, com sede na Rua Padre Silveira Lobo, 610 — São Luiz, Belo Horizonte/MG, CEP 31270-740, Brasil, atuando sob o nome fantasia Nautilos Posicionamento Digital e a marca Uttara (“Uttara”, “Nautilos”, “nós”), coleta, utiliza, armazena, compartilha e protege os dados pessoais tratados por meio do Central Authentication Service (“CAS” ou “Serviço”), uma plataforma de autenticação centralizada e federada baseada nos padrões abertos OAuth 2.1 e OpenID Connect.

O presente documento foi elaborado em conformidade com a Lei Geral de Proteção de Dados Pessoais — Lei nº 13.709/2018 (“LGPD”), com o Marco Civil da Internet (Lei nº 12.965/2014) e com as melhores práticas internacionais de privacidade e segurança da informação.

Para os fins do art. 5º, VI, da LGPD, a Uttara figura como controladora dos dados pessoais tratados no âmbito do CAS quando você cria diretamente uma conta no Serviço. Quando o CAS opera a pedido de uma aplicação cliente (por exemplo, um sistema corporativo que delega a autenticação ao CAS), tal aplicação poderá figurar como controladora ou co-controladora, conforme a finalidade do tratamento.

Para exercer direitos, esclarecer dúvidas ou comunicar incidentes de segurança, o Encarregado pelo Tratamento de Dados Pessoais (DPO), conforme art. 41 da LGPD, pode ser contatado pelo e-mail dpo@uttara.com.br. Comunicações de natureza geral podem ser enviadas a contato@uttara.com.br.

O CAS trata, exclusivamente, os dados pessoais necessários ao cumprimento das finalidades descritas nesta Política, observados os princípios da finalidade, adequação, necessidade e minimização previstos no art. 6º da LGPD.

3.1. Dados de cadastro e identificação

• Nome completo e nome de exibição;
• Endereço de e-mail (primário e alternativos);
• Número de telefone (opcional, sujeito a verificação);
• Documento de identificação (CPF, CNPJ, passaporte ou RG), quando exigido pela aplicação cliente;
• Foto de perfil (avatar);
• Idioma de preferência (locale).

3.2. Dados de autenticação e segurança

• Senha (armazenada exclusivamente em formato de hash criptográfico — Argon2id —, jamais em texto claro);
• Identidades federadas (vínculos com provedores externos como Google, Microsoft, GitHub etc.);
• Tokens de sessão, códigos de autorização e refresh tokens;
• Registros de consentimento concedidos a aplicações clientes.

3.3. Dados de navegação e registro de acesso (logs)

• Endereço IP de origem;
• User-Agent (identificação do navegador/dispositivo);
• Data, hora e tipo dos eventos de autenticação, alteração de credenciais, vinculação de identidades e consentimento;
• Identificador da aplicação cliente que iniciou o fluxo de autenticação.

A coleta dos registros de acesso a aplicações de internet é obrigação legal imposta pelo art. 15 do Marco Civil da Internet, com guarda mínima de 6 (seis) meses.

O tratamento de dados pessoais pelo CAS observa as hipóteses autorizativas previstas no art. 7º da LGPD, conforme tabela a seguir:

No padrão OAuth 2.1 / OpenID Connect, cada aplicação cliente declara os escopos (conjuntos de atributos) que deseja acessar. Antes da liberação dos dados, o usuário visualiza, na tela de consentimento do CAS, exatamente quais informações serão compartilhadas com aquela aplicação.

O consentimento concedido pode ser revogado a qualquer tempo, de forma simplificada, pela área “Minhas autorizações” em sua conta. A revogação não retroage sobre tratamentos já realizados, mas impede acessos futuros e provoca a invalidação imediata dos tokens de atualização (refresh tokens) emitidos para a aplicação revogada.

O CAS, por padrão, não coleta dados pessoais sensíveis na acepção do art. 5º, II, da LGPD (origem racial, convicção religiosa, opinião política, dados referentes à saúde, vida sexual, dados genéticos ou biométricos).

Caso uma aplicação cliente, integrada ao CAS, requeira tais dados, o tratamento ocorrerá sob responsabilidade exclusiva dessa aplicação, mediante consentimento específico e destacado ou em outra hipótese autorizativa do art. 11 da LGPD.

Os dados pessoais poderão ser compartilhados nas seguintes hipóteses:

• Aplicações clientes autorizadas: apenas os atributos correspondentes aos escopos consentidos, por meio dos tokens previstos no protocolo OpenID Connect (id_token, userinfo);
• Provedores de identidade federada: exclusivamente no fluxo de vinculação ou login social iniciado pelo próprio titular;
• Operadores (sub-contratados): infraestrutura de hospedagem (Supabase, Cloudflare), serviços de e-mail transacional e armazenamento de objetos, vinculados por contrato a obrigações de confidencialidade e segurança compatíveis com esta Política;
• Autoridades públicas: mediante requisição legal, ordem judicial ou para apuração de ilícitos, observados o devido processo legal e o sigilo aplicável.

A Uttara não comercializa dados pessoais e não os utiliza para a formação de perfis publicitários para terceiros.

Embora a infraestrutura primária utilizada para a operação do CAS esteja preponderantemente localizada no Brasil (em datacenters da região de São Paulo), determinados serviços auxiliares — especialmente provedores globais de borda (CDN), proteção anti-DDoS e e-mail transacional — podem processar ou transitar dados pessoais por servidores localizados em outras jurisdições, notadamente nos Estados Unidos da América e em outros países onde tais provedores mantenham presença.

Toda transferência internacional observará o disposto nos arts. 33 a 36 da LGPD, sendo realizada apenas para países que ofereçam grau de proteção adequado ou mediante garantias contratuais específicas (cláusulas-padrão contratuais, normas corporativas globais ou outras garantias previstas em regulamentação da ANPD).

O titular pode, a qualquer tempo, solicitar ao Encarregado informações detalhadas sobre os países de destino e as garantias específicas adotadas.

A Uttara adota medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, conforme art. 46 da LGPD. Entre as medidas implementadas destacam-se:

• Criptografia em trânsito (TLS 1.2+) e em repouso para dados sensíveis;
• Armazenamento de senhas com algoritmo Argon2id e de tokens com hash SHA-256;
• Assinatura de tokens JWT com chaves RS256 com rotação periódica;
• PKCE obrigatório para clientes públicos e validação estrita de redirect_uri;
• Rotação automática e detecção de reuso de refresh tokens, com revogação em cadeia;
• Cifragem de documento (CPF) com chave gerenciada e pepper para deduplicação sem exposição;
• Trilha de auditoria imutável de eventos críticos de autenticação;
• Segregação de papéis (RBAC) e princípio do menor privilégio em acessos administrativos.

Apesar dos esforços empregados, nenhum sistema é integralmente imune a falhas. Em caso de incidente que possa acarretar risco relevante aos titulares, comunicaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os afetados em prazo razoável, conforme art. 48 da LGPD.

Os dados pessoais são mantidos pelo tempo necessário ao cumprimento das finalidades para as quais foram coletados, ou pelos prazos legais aplicáveis. Após esse período, os dados são eliminados, anonimizados ou bloqueados, observado o seguinte:

• Conta ativa: dados mantidos enquanto durar a relação com o titular;
• Registros de acesso: mínimo de 6 meses (Marco Civil) e até 5 anos para fins de defesa em processos administrativos ou judiciais;
• Tokens e códigos de autorização: expurgados automaticamente após sua expiração técnica (TTL curtos — geralmente em minutos);
• Conta excluída a pedido do titular: dados pessoais identificáveis são eliminados em até 30 dias, preservados apenas registros estritamente necessários ao cumprimento de obrigações legais.

Nos termos do art. 18 da LGPD, você poderá exercer, a qualquer tempo e mediante requisição ao Encarregado, os seguintes direitos:

• Confirmação da existência de tratamento;
• Acesso aos dados;
• Correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
• Portabilidade dos dados;
• Eliminação dos dados pessoais tratados com base no consentimento;
• Informação sobre entidades públicas e privadas com as quais houve compartilhamento;
• Informação sobre a possibilidade de não fornecer consentimento e suas consequências;
• Revogação do consentimento;
• Oposição a tratamento realizado com fundamento em hipótese de dispensa do consentimento, em caso de descumprimento da LGPD;
• Petição em face do controlador perante a ANPD (art. 18, § 1º).

Boa parte desses direitos pode ser exercida de forma autônoma em Minha Conta. Os demais devem ser solicitados pelo e-mail dpo@uttara.com.br, com resposta no prazo legal.

Atualmente, o CAS utiliza apenas cookies estritamente necessários à manutenção da sessão autenticada (cookie cas_session, httpOnly, secure, sameSite=lax) e à proteção contra ataques (CSRF, fixação de sessão). Tais cookies são indispensáveis ao funcionamento do Serviço e dispensam consentimento prévio nos termos do entendimento da ANPD.

A Uttara poderá, futuramente, implementar cookies de medição de audiência e analytics (por exemplo, Google Analytics, Google Tag Manager e ferramentas equivalentes) de forma unificada para todo o ecossistema multi-domínios. Quando isso ocorrer, será apresentado ao titular um banner de consentimento permitindo aceitar, recusar ou configurar individualmente cada categoria de cookie não essencial, em conformidade com o art. 7º, I, da LGPD e com as orientações da ANPD sobre o tema. Esta Política será atualizada previamente à ativação de tais tecnologias.

O Serviço destina-se prioritariamente a maiores de 18 (dezoito) anos. Excepcionalmente, é admitido o cadastro de adolescentes a partir de 16 (dezesseis) anos, idade mínima constitucionalmente admitida para o trabalho na condição de menor aprendiz, estagiário ou em primeiro emprego (art. 7º, XXXIII, da Constituição Federal), quando a utilização do CAS decorrer de vínculo profissional, educacional ou contratual com uma aplicação cliente integrada à plataforma.

O tratamento de dados de adolescentes observará o seu melhor interesse, nos termos do art. 14 da LGPD e do Estatuto da Criança e do Adolescente (Lei nº 8.069/1990). O CAS não se destina a crianças (menores de 12 anos). Eventual tratamento de dados de crianças, quando estritamente necessário no contexto de uma aplicação cliente, dependerá de consentimento específico e em destaque fornecido por ao menos um dos pais ou pelo responsável legal.

Esta Política poderá ser atualizada a qualquer tempo para refletir alterações legais, regulatórias ou em nossas práticas. A versão vigente estará sempre disponível nesta URL, com indicação da data de última atualização. Alterações materiais serão comunicadas por e-mail ou aviso destacado no Serviço.

Esta Política rege-se pelas leis da República Federativa do Brasil. Fica eleito o foro da comarca de Belo Horizonte/MG para dirimir quaisquer controvérsias dela decorrentes, com renúncia a qualquer outro, por mais privilegiado que seja, ressalvada a competência absoluta do foro do domicílio do consumidor, quando aplicável.