ProcFlow
Documentos jurídicos

Segurança, privacidade e termos

Os documentos que regem o uso do ProcFlow e o cuidado com os seus dados.

Política de Privacidade (MVP)

1. Objetivo desta Política

Esta Política de Privacidade descreve, de forma objetiva, como o ProcFlow trata dados no contexto de sua operação.

O objetivo do ProcFlow é atuar como uma ferramenta de apoio à organização, acompanhamento, memória executiva, controle operacional e inteligência sobre processos administrativos eletrônicos, com foco inicial em contextos relacionados ao SEI.

O ProcFlow busca operar com lógica de minimização, necessidade, segurança e rastreabilidade, evitando tratamento excessivo de dados sem justificativa funcional real.

2. Quem somos

O ProcFlow é uma solução digital voltada ao apoio operacional sobre fluxos processuais administrativos.

Para fins desta Política, “ProcFlow” refere-se à estrutura responsável pela operação do produto, cujos dados formais poderão ser detalhados futuramente na versão institucional definitiva desta Política.

3. Que tipos de dados podem ser tratados

O ProcFlow poderá tratar diferentes categorias de dados, conforme a forma de uso da plataforma.

3.1. Dados cadastrais e de conta

Podem incluir:

  • nome;
  • e-mail;
  • identificadores de conta;
  • credenciais autenticadas;
  • informações básicas de acesso e perfil.

O ProcFlow não coleta CPF do usuário. Quando necessário para fins de pagamento e emissão fiscal, o CPF é coletado e processado diretamente pelo provedor de pagamentos (Asaas), sem transitar ou ser armazenado pelo ProcFlow.

3.2. Dados operacionais inseridos ou estruturados pelo usuário

Podem incluir:

  • número de processo;
  • número do protocolo;
  • assunto;
  • etiquetas;
  • classificações;
  • observações internas;
  • resumos;
  • memória executiva;
  • registros de acompanhamento;
  • responsáveis, prazos, status e pendências.

3.3. Dados oriundos de integração, importação ou sincronização

Dependendo do modelo adotado, o ProcFlow poderá tratar metadados ou informações oriundas de sistemas de origem, exportações ou integrações controladas, como por exemplo:

  • identificadores processuais;
  • movimentações;
  • tramitações;
  • metadados de documentos;
  • unidades envolvidas;
  • datas e eventos relevantes.

3.5. Dados de pagamento e transações

O ProcFlow não armazena dados de cartão de crédito, CVV, dados bancários ou qualquer informação financeira sensível do usuário. Todo o processamento de pagamentos é realizado pelo Asaas, provedor de pagamentos terceirizado.

O ProcFlow armazena apenas:

  • referências de identificação no Asaas (`asaas_customer_id`, `asaas_subscription_id`) para vinculação da conta ao provedor de pagamentos;
  • metadados de eventos de pagamento recebidos via webhook (tipo de evento, data de processamento, identificador do evento);
  • payload técnico do webhook (`raw_payload`) para fins de auditoria fiscal e conciliação.

Esses dados não incluem números de cartão, senhas, CVV ou dados bancários do usuário.

3.4. Dados técnicos e de uso

Podem incluir:

  • logs de acesso;
  • data e hora de uso;
  • identificadores de sessão;
  • eventos técnicos;
  • dados básicos de navegação e segurança;
  • registros necessários à auditoria e integridade do serviço.

4. O que o ProcFlow procura evitar

O ProcFlow busca evitar, especialmente no MVP:

  • ingestão massiva e indiscriminada de conteúdo documental completo;
  • armazenamento desnecessário de anexos;
  • persistência excessiva de dados pessoais sem necessidade operacional clara;
  • retenção prolongada sem justificativa.

Sempre que possível, a diretriz será:

tratar apenas o mínimo necessário para que o produto funcione de forma útil e segura.

5. Para que os dados são tratados

Os dados podem ser tratados para finalidades como:

  • permitir autenticação e uso da conta;
  • organizar carteiras de processos;
  • estruturar contexto e memória executiva;
  • registrar observações e pendências;
  • monitorar movimentações e eventos relevantes;
  • gerar alertas, lembretes e visões operacionais;
  • permitir busca, recuperação e visualização estruturada de contexto;
  • melhorar segurança, estabilidade e funcionamento da plataforma;
  • cumprir obrigações legais, regulatórias ou de proteção da própria operação.

O ProcFlow não tem como finalidade principal explorar dados para fins estranhos à sua proposta de valor operacional.

5b. Cookies de análise (Google Analytics 4)

O ProcFlow usa o Google Analytics 4 (GA4) apenas nas páginas públicas do site (landing, produto, planos, plugin, contato, páginas legais). A área autenticada (dashboard) não utiliza GA4, em alinhamento com o princípio de minimização adotado pelo produto.

Base legal: consentimento (LGPD, art. 7º, I). O carregamento ativo de cookies de análise depende de aceite explícito via banner de consentimento exibido na primeira visita.

Antes do aceite (Consent Mode v2): mesmo antes de você decidir, o Google pode receber sinais agregados sem identificadores persistentes (chamados cookieless pings). Esses sinais não permitem identificá-lo individualmente; servem apenas para contagem agregada de visitantes. Após o aceite, o GA4 passa a operar de forma completa (com cookies próprios do Google para medir audiência).

Dados coletados após o aceite:

  • URL da página visitada, página de origem (referrer interno), idioma do navegador.
  • User-Agent (tipo de dispositivo, sistema operacional, browser).
  • Endereço IP é usado pelo Google apenas para inferir localização geográfica aproximada (cidade/região); o IP não fica persistido nos relatórios do GA4 (é descartado após o lookup de geolocalização).
  • Eventos básicos de navegação (page view). Não são coletados eventos personalizados nesta fase.

Identificadores próprios do navegador: o Google atribui um identificador (`client_id`) ao seu navegador via cookie `_ga`. Esse identificador não é vinculado à sua conta no ProcFlow, mas permite ao Google contar visitas únicas e medir audiência.

Finalidade: medir audiência, entender quais páginas são mais visitadas, ajustar conteúdo. Não há perfilamento individual nem cruzamento com sua conta no ProcFlow.

Compartilhamento: os dados são processados pelo Google LLC, nos Estados Unidos, sob o "Google Ads Data Processing Terms". O Google é operador segundo a LGPD.

Retenção: 14 meses (configuração padrão do GA4).

Direitos do titular:

  • Revogar o consentimento a qualquer momento via link "Preferências de cookies" no rodapé do site.
  • Solicitar exclusão dos dados via Google: https://support.google.com/analytics/answer/9870158
  • Demais direitos LGPD: ver seção 11 desta Política.

Cookie próprio do ProcFlow para registro do consentimento:

Para registrar a sua decisão sobre os cookies de análise, o ProcFlow grava um cookie próprio no seu navegador. Esse cookie:

  • Nome técnico: `__Host-procflow_consent`.
  • Finalidade: armazenar a decisão de consentimento (aceite ou recusa) para que o banner não reapareça em cada visita.
  • Retenção: 180 dias contados a partir da decisão original. Decorrido esse prazo, o banner reaparece pedindo nova decisão.
  • Escopo: first-party (apenas para o domínio do ProcFlow); não é compartilhado com terceiros nem usado para rastreamento entre sites.
  • Revogação: clique em "Preferências de cookies" no rodapé do site para reabrir o banner e mudar sua escolha. A nova decisão substitui a anterior imediatamente.

Este cookie tecnicamente não é um cookie de análise: ele apenas registra a sua escolha. Nenhum dado de navegação é enviado a terceiros por meio dele.

Sinais não utilizados: ProcFlow não usa publicidade direcionada (Google Ads). Os sinais `ad_storage`, `ad_user_data` e `ad_personalization` permanecem desabilitados mesmo após aceite, conforme política interna.

Esta seção foi acrescentada em 2026-04-30 para refletir a integração com GA4. Pendente revisão jurídica externa pelo escritório João de Senzi antes da publicação em produção. Rastreado em TODO-LEGAL-PRIVACY-POLICY-GA4-REVIEW.

5c. Verificação de segurança (reCAPTCHA Enterprise)

O ProcFlow utiliza o serviço Google reCAPTCHA Enterprise nos formulários públicos do site para distinguir tráfego humano de tráfego automatizado, com o objetivo legítimo de prevenir abuso e proteger nossos sistemas e usuários contra criação massiva de contas, ataques de força bruta e envio automatizado de mensagens.

Onde é usado

  • Página `/contato` (envio de mensagens públicas).
  • Página `/login` (autenticação de usuários cadastrados).
  • Página `/cadastro` (criação de conta).
  • Página `/recuperar-senha` (solicitação de redefinição de senha).

A área autenticada do produto (dashboard) não utiliza reCAPTCHA.

Como funciona

O reCAPTCHA Enterprise opera em modo invisível (versão score-based v3). Não há desafio visual, caixa de seleção, imagens para identificar ou qualquer interação adicional para o usuário legítimo.

Quando você submete um dos formulários acima, o navegador gera um token de verificação que é enviado ao nosso backend e, de lá, à API do Google para análise de risco. O Google retorna um score (0,0 a 1,0) que indica a probabilidade de o tráfego ser automatizado. O ProcFlow rejeita submissões com score abaixo do limite definido internamente. Os campos do formulário (e-mail, senha, nome) não são enviados ao Google. O reCAPTCHA processa apenas sinais comportamentais e identificadores técnicos do navegador, conforme item a seguir.

Dados processados pelo Google nesta verificação

Para gerar o score, o Google reCAPTCHA Enterprise coleta e processa, segundo sua documentação pública:

  • endereço IP do dispositivo;
  • identificadores de navegador (cookies próprios do Google);
  • sinais de comportamento do navegador (movimento de mouse, padrões de digitação, propriedades técnicas do dispositivo).

Esses dados são processados pelo Google LLC, nos Estados Unidos, na qualidade de operador segundo a LGPD, sob os termos do "Google Cloud Platform Terms of Service" e da política de privacidade do Google.

Base legal

Tratamento fundamentado em legítimo interesse do controlador (art. 7º, IX da LGPD) na proteção dos sistemas e usuários contra abuso, e na execução de contrato (art. 7º, V) quando aplicável aos formulários de autenticação.

Seus direitos

Você pode consultar o que o Google armazena, solicitar acesso, correção, oposição ou exclusão diretamente:

  • Política de Privacidade do Google: https://policies.google.com/privacy
  • Termos de Serviço do Google: https://policies.google.com/terms
  • Centro de Privacidade do Google: https://myaccount.google.com/privacycheckup

Para exercer direitos perante o ProcFlow, consulte a seção 14 desta política.

Esta seção foi acrescentada em 2026-05-01 para refletir a extensão do reCAPTCHA Enterprise aos fluxos de autenticação. Pendente revisão jurídica externa pelo escritório João de Senzi antes da publicação em produção. Rastreado em TODO-LEGAL-PRIVACY-POLICY-RECAPTCHA-REVIEW.

6. Bases e fundamentos de tratamento

O tratamento de dados pelo ProcFlow observará a legislação aplicável, especialmente a LGPD.

Conforme o caso concreto, o tratamento poderá se apoiar em fundamentos juridicamente adequados, tais como:

  • execução de relação contratual;
  • exercício regular de direitos;
  • cumprimento de obrigação legal ou regulatória, quando aplicável;
  • legítimo interesse, quando cabível e compatível com a natureza do tratamento;
  • outras bases juridicamente válidas conforme o contexto.

A base específica pode variar conforme:

  • o tipo de dado;
  • a forma de uso;
  • o perfil do usuário;
  • o contexto operacional da funcionalidade utilizada.

7. Compartilhamento de dados

O ProcFlow poderá compartilhar dados apenas quando isso for necessário e justificável, por exemplo com:

  • provedores de infraestrutura e hospedagem;
  • serviços de autenticação;
  • Asaas (provedor de pagamentos): para processamento de cobranças, o ProcFlow compartilha com o Asaas o nome e o e-mail do usuário, que são o mínimo necessário para criação do cadastro de cliente no gateway de pagamentos. O Asaas atua como subprocessador de dados para fins de cobrança e emissão fiscal;
  • ferramentas técnicas indispensáveis ao funcionamento do produto;
  • prestadores de suporte, segurança, monitoramento ou continuidade operacional;
  • autoridades públicas ou órgãos competentes, quando houver obrigação legal.

O ProcFlow buscará, sempre que possível, restringir o compartilhamento ao mínimo necessário.

O ProcFlow não adota como premissa comercial a venda indiscriminada de dados de usuários.

8. Armazenamento e retenção

Os dados serão armazenados pelo tempo necessário para:

  • viabilizar o uso regular da plataforma;
  • preservar integridade operacional;
  • manter histórico funcional mínimo;
  • cumprir exigências legais, regulatórias, contratuais ou de segurança;
  • proteger a própria operação do serviço.

O ProcFlow buscará amadurecer política de retenção progressivamente mais clara, especialmente para:

  • registros operacionais;
  • logs;
  • caches;
  • dados excluídos;
  • backups.

Em relação a dados de billing e pagamentos:

  • `PaymentEvent.raw_payload` (metadados de eventos de pagamento recebidos do Asaas) é retido pelo tempo necessário para fins de auditoria fiscal e conciliação financeira, conforme legislação tributária aplicável;
  • `asaas_customer_id` (identificador do cliente no Asaas) é preservado mesmo em caso de exclusão de conta pelo usuário, como referência fiscal mínima para conciliação de transações passadas. Demais dados pessoais da conta são anonimizados ou excluídos conforme solicitação do titular.

9. Segurança da informação

O ProcFlow adota e pretende evoluir medidas técnicas e organizacionais compatíveis com seu estágio e com a natureza dos dados tratados.

Essas medidas podem incluir, conforme o caso:

  • autenticação;
  • controle de acesso;
  • segregação de dados;
  • registros de auditoria;
  • proteção de credenciais;
  • proteção contra acessos não autorizados;
  • práticas de segurança compatíveis com ambiente SaaS.

Embora o ProcFlow busque operar com segurança, nenhum sistema é absolutamente imune a falhas, incidentes ou ataques. Por isso, o compromisso é com segurança responsável, melhoria contínua e redução prudente de risco.

10. Acesso por equipes e segregação de dados

Quando aplicável, o ProcFlow poderá operar com lógica de:

  • usuários individuais;
  • equipes;
  • agrupamentos operacionais;
  • ambientes segregados.

O acesso aos dados deverá observar critérios mínimos de:

  • autenticação;
  • autorização;
  • perfil de acesso;
  • necessidade funcional;
  • menor privilégio possível.

11. Direitos do titular

Nos termos da legislação aplicável, titulares de dados pessoais poderão exercer direitos legalmente previstos, conforme cabível ao contexto do tratamento.

Esses direitos podem incluir, quando aplicáveis:

  • confirmação de tratamento;
  • acesso;
  • correção;
  • anonimização, bloqueio ou eliminação, nos casos cabíveis;
  • informações sobre compartilhamento;
  • revisão ou esclarecimento sobre tratamento, conforme a legislação permitir.

Alguns pedidos poderão depender de análise técnica, jurídica ou de compatibilidade com a natureza do serviço e com obrigações legais aplicáveis.

12. Responsabilidade do usuário

O usuário também possui responsabilidade no contexto da proteção de dados.

Ao utilizar o ProcFlow, o usuário declara que:

  • possui legitimidade para tratar as informações que insere ou sincroniza;
  • não utilizará a plataforma para tratamento indevido de dados;
  • observará deveres funcionais, legais e institucionais aplicáveis ao seu contexto de uso;
  • utilizará o sistema com prudência em relação a dados pessoais, sensíveis, sigilosos ou restritos.

13. Limites importantes

O ProcFlow é uma ferramenta complementar de apoio operacional.

Ele não substitui:

  • o sistema oficial de origem;
  • o controle institucional primário;
  • a governança interna do órgão ou entidade;
  • o dever do usuário de validar informações críticas quando necessário.

O uso da plataforma não elimina a necessidade de prudência no tratamento de dados.

14. Atualizações desta Política

Esta Política poderá ser atualizada periodicamente para refletir:

  • evolução do produto;
  • amadurecimento das funcionalidades;
  • ajustes técnicos;
  • mudanças legais ou regulatórias;
  • aprimoramentos de governança e segurança.

A versão vigente será a disponibilizada no ambiente oficial do ProcFlow.

15. Contato

Solicitações relacionadas a privacidade, dados pessoais ou esta Política poderão ser encaminhadas pelos canais oficiais do ProcFlow.

Informações institucionais mais completas poderão ser incluídas em versão posterior, conforme amadurecimento formal do produto.