Documentação Legal

LGPD — Proteção de Dados Pessoais

Compliance

Termos de Uso Privacidade LGPD Seus Direitos Cookies

Última atualização: 14 de abril de 2026

v2.0.0

1. Compromisso com a Proteção de Dados

A P8W, pessoa jurídica de direito privado, inscrita no CNPJ sob o nº , com sede em , operadora da plataforma P8W ("Plataforma"), está comprometida com a proteção dos dados pessoais de seus usuários, clientes, parceiros e visitantes.

Este documento foi elaborado em conformidade com a Lei nº 13.709/2018 — Lei Geral de Proteção de Dados Pessoais (LGPD), o Regulamento Geral de Proteção de Dados da União Europeia (GDPR — Regulamento 2016/679) e demais normas aplicáveis à proteção de dados pessoais.

Recomendamos a leitura atenta deste documento em conjunto com nossa Política de Privacidade, Política de Cookies e Termos de Uso.

2. Definições Legais

Para os fins deste documento, aplicam-se as seguintes definições, conforme o Art. 5º da LGPD:

  • Dado pessoal: Informação relacionada a pessoa natural identificada ou identificável (Art. 5º, I).
  • Dado pessoal sensível: Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização, dado referente à saúde ou à vida sexual, dado genético ou biométrico (Art. 5º, II).
  • Titular: Pessoa natural a quem se referem os dados pessoais (Art. 5º, V). Neste contexto, você — o usuário da Plataforma.
  • Controlador: Pessoa natural ou jurídica a quem competem as decisões referentes ao tratamento de dados pessoais (Art. 5º, VI). Neste caso, a P8W.
  • Operador: Pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador (Art. 5º, VII).
  • Encarregado (DPO): Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD (Art. 5º, VIII).
  • Tratamento: Toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração (Art. 5º, X).
  • Consentimento: Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento (Art. 5º, XII).
  • ANPD: Autoridade Nacional de Proteção de Dados, órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD (Art. 5º, XIX).

3. Controlador de Dados e Encarregado (DPO)

3.1 Controlador

A P8W atua como controladora dos dados pessoais coletados e tratados através da Plataforma P8W, nos termos do Art. 5º, VI da LGPD.

  • Razão Social: P8W
  • CNPJ:
  • Endereço:
  • E-mail jurídico:

3.2 Encarregado de Proteção de Dados (DPO)

Em conformidade com o Art. 41 da LGPD, designamos um Encarregado de Proteção de Dados (Data Protection Officer — DPO) como ponto de contato entre a P8W, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Canal de contato do DPO:

O Encarregado é responsável por:

  • Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências
  • Receber comunicações da ANPD e adotar providências
  • Orientar os funcionários e contratados da entidade a respeito das práticas de proteção de dados pessoais
  • Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares

4. Tipos de Dados Pessoais Coletados

A Plataforma coleta e trata as seguintes categorias de dados pessoais, sempre de forma proporcional e limitada ao estritamente necessário para as finalidades informadas:

4.1 Dados Fornecidos Diretamente pelo Titular

  • Dados de identificação: Nome completo, endereço de e-mail, número de telefone/celular, CPF ou CNPJ
  • Dados de conta: Nome de usuário, senha (armazenada exclusivamente em formato de hash criptográfico irreversível), foto de perfil, biografia
  • Dados empresariais: Nome da empresa, razão social, CNPJ, endereço comercial, segmento de atuação (quando aplicável)
  • Dados de pagamento: Informações necessárias para processamento de transações financeiras, processadas integralmente por gateways de pagamento certificados PCI-DSS — a Plataforma não armazena dados completos de cartão de crédito
  • Dados de comunicação: Mensagens de suporte, avaliações, feedbacks, perguntas e respostas
  • Dados de verificação (KYC): Documentos de identificação, comprovante de endereço, selfie para verificação facial (quando exigido por regulamentação financeira)

4.2 Dados Coletados Automaticamente

  • Dados de acesso: Endereço IP, data e hora de acesso, duração da sessão, páginas visitadas
  • Dados de dispositivo: Tipo de dispositivo, sistema operacional, navegador, resolução de tela, idioma configurado
  • Dados de navegação: URLs de referência, sequência de páginas visitadas, interações com elementos da interface
  • Dados de geolocalização aproximada: Derivados do endereço IP (país, estado, cidade), nunca por GPS sem consentimento explícito
  • Cookies e tecnologias similares: Conforme detalhado em nossa Política de Cookies

4.3 Dados Obtidos de Terceiros

  • Autenticação social: Quando você opta por login via Google, Facebook, Apple ou outros provedores OAuth2, recebemos nome, e-mail e foto de perfil conforme autorizado por você no provedor
  • Gateways de pagamento: Confirmações de transação, status de pagamento e dados de faturamento
  • Provedores de verificação: Resultados de verificação de identidade (KYC/KYB) e consultas de compliance (AML/PEP)

5. Finalidades do Tratamento

Os dados pessoais são tratados para as seguintes finalidades específicas e legítimas:

  • Prestação do serviço: Criar e gerenciar sua conta, fornecer acesso às funcionalidades contratadas, processar transações
  • Comunicação: Enviar notificações transacionais, alertas de segurança, atualizações do serviço
  • Suporte ao cliente: Responder solicitações, resolver problemas técnicos, fornecer assistência
  • Segurança: Proteger contra fraudes, acessos não autorizados, ameaças cibernéticas, monitorar atividades suspeitas
  • Melhoria do serviço: Analisar padrões de uso (de forma agregada e anonimizada), desenvolver novas funcionalidades, otimizar performance
  • Marketing: Enviar comunicações promocionais e comerciais (exclusivamente mediante consentimento prévio e específico, com opção de descadastro em cada comunicação)
  • Obrigações legais: Cumprir requisitos fiscais, tributários, regulatórios e de compliance
  • Exercício regular de direitos: Produzir provas em processos judiciais, administrativos ou arbitrais

6. Bases Legais para o Tratamento

Todo tratamento de dados pessoais realizado pela Plataforma está fundamentado em pelo menos uma das hipóteses legais previstas no Art. 7º da LGPD:

  • Consentimento do titular (Art. 7º, I): Para marketing, comunicações promocionais, cookies não essenciais, compartilhamento com terceiros para fins não operacionais e coleta de dados opcionais. O consentimento é coletado de forma livre, informada, inequívoca e específica, podendo ser revogado a qualquer momento.
  • Cumprimento de obrigação legal ou regulatória (Art. 7º, II): Para retenção de registros de acesso conforme o Marco Civil da Internet (Lei nº 12.965/2014), obrigações fiscais e tributárias, normas do Banco Central e regulamentações de compliance financeiro.
  • Execução de contrato ou procedimentos preliminares (Art. 7º, V): Para criação de conta, prestação dos serviços contratados, processamento de pagamentos, gestão do relacionamento contratual e suporte técnico.
  • Exercício regular de direitos em processo judicial, administrativo ou arbitral (Art. 7º, VI): Para produção de provas, defesa em processos e proteção de direitos em disputas.
  • Proteção da vida ou incolumidade física (Art. 7º, VII): Em situações excepcionais de emergência que demandem comunicação de dados a autoridades.
  • Legítimo interesse do controlador ou de terceiro (Art. 7º, IX): Para segurança da Plataforma, prevenção a fraudes, análises agregadas de uso, melhoria dos serviços e comunicações sobre o serviço contratado. O legítimo interesse é avaliado através de teste de balanceamento (LIA — Legitimate Interest Assessment) que pondera os direitos e expectativas do titular.
  • Proteção do crédito (Art. 7º, X): Para análise de risco em transações financeiras e prevenção à inadimplência.

7. Compartilhamento de Dados

A P8W poderá compartilhar dados pessoais com as seguintes categorias de destinatários, sempre observando o princípio da necessidade e com garantias contratuais adequadas:

  • Processadores de pagamento: Gateways e instituições financeiras certificados PCI-DSS para processamento de transações (PIX, cartão, boleto)
  • Provedores de infraestrutura: Servidores de hospedagem, serviços de CDN, backup e monitoramento, vinculados por acordos de processamento de dados (DPA)
  • Serviços de comunicação: Provedores de e-mail transacional, SMS e notificações push para envio de comunicações operacionais
  • Provedores de verificação: Serviços de KYC, KYB e compliance para verificação de identidade quando exigido por regulamentação
  • Tenants e revendedores whitelabel: Quando o usuário acessa a Plataforma através de um revendedor autorizado, os dados necessários para prestação do serviço são compartilhados com o respectivo tenant, que atua como controlador conjunto ou operador, conforme o caso
  • Autoridades públicas: Quando exigido por lei, decisão judicial, regulamentação aplicável ou solicitação de autoridade competente (ANPD, Receita Federal, Banco Central, Ministério Público)
  • Assessoria jurídica e contábil: Para cumprimento de obrigações legais e defesa em processos

Garantia fundamental: A P8W não vende, não comercializa e não disponibiliza dados pessoais de seus usuários a terceiros para finalidades publicitárias ou de marketing de terceiros.

8. Armazenamento e Retenção de Dados

Os dados pessoais são armazenados em infraestrutura segura com criptografia em repouso e em trânsito, pelo período estritamente necessário ao cumprimento das finalidades para as quais foram coletados, observando os seguintes prazos mínimos:

  • Dados de conta ativa: Durante toda a vigência da conta
  • Dados de conta encerrada: Até 6 (seis) meses após o encerramento, para possibilitar reativação e responder a eventuais questionamentos
  • Dados fiscais e tributários: 5 (cinco) anos, conforme legislação fiscal brasileira (CTN, Art. 173 e Art. 174)
  • Registros de acesso (logs): 6 (seis) meses, conforme Art. 15 do Marco Civil da Internet (Lei nº 12.965/2014)
  • Dados de transações financeiras: 5 (cinco) anos, conforme regulamentação do Banco Central e legislação contábil
  • Dados para exercício regular de direitos: Até a prescrição da pretensão, conforme prazos do Código Civil
  • Dados de marketing (consentimento): Até a revogação do consentimento pelo titular
  • Dados de suporte e atendimento: 2 (dois) anos após a resolução do atendimento
  • Dados de auditoria e compliance: 5 (cinco) anos, conforme melhores práticas de governança

Após o término do período de retenção, os dados são eliminados de forma segura ou anonimizados de forma irreversível, impossibilitando a reidentificação do titular.

9. Segurança da Informação

A P8W adota medidas técnicas e administrativas de segurança aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito, conforme exigido pelo Art. 46 da LGPD.

As medidas de segurança implementadas incluem, entre outras:

  • Criptografia de dados em trânsito (TLS 1.2+) e em repouso (AES-256)
  • Hashing seguro de senhas com algoritmo Argon2id e salt individual
  • Controle de acesso baseado em funções (RBAC) com isolamento rigoroso entre tenants (multi-tenant)
  • Autenticação em dois fatores (2FA) disponível para todos os usuários
  • Monitoramento contínuo de segurança, firewall de aplicação (WAF) e sistema de detecção de intrusão (IDS)
  • Proteção contra ataques OWASP Top 10 (SQL Injection, XSS, CSRF, força bruta, entre outros)
  • Trilha de auditoria (audit trail) completa de ações sensíveis com retenção mínima de 6 meses
  • Backups criptografados com redundância geográfica e testes periódicos de restauração
  • Política de gestão de incidentes com procedimentos documentados de resposta
  • Testes periódicos de segurança e avaliação de vulnerabilidades
  • Treinamento e conscientização contínua da equipe sobre proteção de dados

Importante: Embora adotemos medidas robustas de segurança, nenhum sistema de transmissão ou armazenamento de dados é absolutamente inviolável. Em caso de incidente de segurança que possa acarretar risco ou dano relevante, comunicaremos a ANPD e os titulares afetados conforme o Art. 48 da LGPD.

10. Transferência Internacional de Dados

A Plataforma poderá utilizar provedores de infraestrutura e serviços localizados em outros países. Nestes casos, a transferência internacional de dados pessoais será realizada com fundamento no Art. 33 da LGPD, observando as seguintes garantias:

  • Transferência para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD (Art. 33, I)
  • Cláusulas contratuais padrão (SCCs) com os fornecedores internacionais, garantindo nível de proteção equivalente ao brasileiro (Art. 33, II, b)
  • Certificações e selos de conformidade reconhecidos internacionalmente (ISO 27001, SOC 2, entre outros)
  • Avaliação prévia de risco (Transfer Impact Assessment) para cada novo fornecedor internacional

Os principais provedores internacionais utilizados estão em jurisdições que possuem legislação de proteção de dados equiparável (EEA/GDPR, UK, Canadá, Japão) ou são vinculados por cláusulas contratuais que garantem proteção adequada.

11. Incidentes de Segurança

Em conformidade com o Art. 48 da LGPD, caso ocorra um incidente de segurança que possa acarretar risco ou dano relevante aos titulares de dados, a P8W se compromete a:

  • Comunicar à ANPD em prazo razoável, conforme regulamentação específica
  • Comunicar aos titulares afetados, informando:
    • A descrição da natureza dos dados pessoais afetados
    • As informações sobre os titulares envolvidos
    • A indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados
    • Os riscos relacionados ao incidente
    • Os motivos da demora, no caso de a comunicação não ter sido imediata
    • As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos do prejuízo

Mantemos um Plano de Resposta a Incidentes documentado e atualizado, com equipe designada e procedimentos definidos para contenção, investigação, comunicação e remediação.

12. Relatório de Impacto à Proteção de Dados (RIPD)

A P8W elabora e mantém atualizado o Relatório de Impacto à Proteção de Dados Pessoais (RIPD), conforme previsto no Art. 38 da LGPD, para atividades de tratamento que possam gerar riscos às liberdades civis e aos direitos fundamentais dos titulares.

O RIPD pode ser solicitado pela ANPD e contém, no mínimo: a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta, os mecanismos de mitigação de risco e as medidas, salvaguardas e mecanismos de mitigação de risco adotados.

13. Autoridade Nacional de Proteção de Dados (ANPD)

Caso entenda que o tratamento dos seus dados pessoais viola a legislação de proteção de dados, você tem o direito de apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD):

Recomendamos que, antes de acionar a ANPD, entre em contato com nosso Encarregado de Proteção de Dados (DPO) pelo e-mail , para que possamos atender sua solicitação da forma mais célere possível.

14. Atualizações deste Documento

Este documento poderá ser atualizado periodicamente para refletir alterações em nossas práticas, na legislação aplicável ou em orientações da ANPD. Alterações significativas serão comunicadas por e-mail e/ou aviso em destaque na Plataforma, com antecedência mínima de 15 (quinze) dias antes da entrada em vigor.

A versão mais atualizada estará sempre disponível em /docs/lgpd. Recomendamos a consulta periódica.

15. Legislação Aplicável e Foro

Este documento é regido pela legislação da República Federativa do Brasil, em especial pela Lei nº 13.709/2018 (LGPD), pelo Marco Civil da Internet (Lei nº 12.965/2014) e pelo Código de Defesa do Consumidor (Lei nº 8.078/1990).

Para resolução de quaisquer controvérsias, fica eleito o foro da comarca da sede da P8W, com exclusão de qualquer outro, por mais privilegiado que seja.