1.Quais dados coletamos
Dados de conta (remetentes e equipes): nome, e-mail, senha (armazenada apenas como hash criptográfico), organização, papel na equipe e registros de acesso e auditoria (data, hora, endereço IP e identificação do navegador).
Dados de signatários: para produzir a trilha de evidências que sustenta cada assinatura, coletamos do signatário:
- nome e endereço de e-mail (informados pelo remetente);
- CPF, quando o remetente o exigir para o envelope (opcional);
- endereço IP e identificação do dispositivo/navegador (user-agent) em cada evento relevante — abertura do link, validação do código, aceite e assinatura;
- a representação visual da assinatura (desenhada, digitada ou carimbo) e, quando o nível avançado estiver disponível, o nível da conta gov.br utilizado.
Conteúdo dos documentos: os arquivos enviados podem conter dados pessoais definidos pelo próprio remetente. Em relação a esse conteúdo, o remetente atua como controlador e a Safio como operadora: não lemos, não classificamos nem usamos o conteúdo dos documentos para nenhuma finalidade além da prestação do serviço.
Dados de navegação no site: registros técnicos mínimos necessários à segurança (como logs de requisição e proteção anti-bot). Não utilizamos os dados dos usuários para publicidade.
2.Para que usamos e com que base legal
- Prestar o serviço de assinatura (criar envelopes, notificar signatários, coletar assinaturas, selar e entregar documentos) — base legal: execução de contrato (art. 7º, V, da LGPD).
- Produzir e conservar a trilha de evidências (IP, user-agent, datas, hashes), essencial para comprovar autoria e integridade das assinaturas — bases legais: execução de contrato e legítimo interesse (art. 7º, V e IX), este último no interesse comum das partes de dispor de prova idônea.
- Segurança e prevenção a fraudes (rate-limit, anti-bot, auditoria de acessos) — base legal: legítimo interesse.
- Comunicações transacionais (convites, códigos de verificação, lembretes, avisos de conclusão) — base legal: execução de contrato.
- Cumprimento de obrigações legais e regulatórias — base legal: obrigação legal (art. 7º, II).
Não vendemos dados pessoais e não os utilizamos para finalidades incompatíveis com as descritas acima.
3.Com quem compartilhamos
Compartilhamos dados apenas com fornecedores de infraestrutura estritamente necessários à operação — hospedagem da aplicação, banco de dados, armazenamento cifrado de arquivos e envio de e-mail transacional —, sempre sob contrato e limitados à finalidade do serviço. Alguns desses fornecedores podem processar dados fora do Brasil; nesses casos, a transferência internacional observa os requisitos da LGPD.
Também podemos compartilhar dados quando exigido por lei ou por ordem de autoridade competente. Os signatários de um envelope têm acesso aos dados uns dos outros na exata medida em que constam do documento final e do Manifesto de Assinaturas — isso é inerente ao ato de assinar um documento em conjunto.
4.Por quanto tempo guardamos (retenção e expurgo)
- Documentos e trilhas de evidência: mantidos enquanto a conta do remetente existir, pois são a prova das assinaturas realizadas.
- Exclusão de conta: após a exclusão, documentos e dados associados são definitivamente expurgados do armazenamento em até 30 (trinta) dias, ressalvados registros cuja conservação seja exigida por lei.
- Logs de segurança: mantidos pelo período necessário à finalidade de segurança e pelos prazos legais aplicáveis (como o art. 15 do Marco Civil da Internet).
Recomendamos que remetentes e signatários baixem e conservem suas vias dos documentos assinados: após o expurgo, a Safio não tem como recuperá-los.
5.Como protegemos os dados
Adotamos medidas técnicas e organizacionais adequadas: criptografia em trânsito (TLS) e em repouso, documentos acessíveis somente por URLs assinadas e temporárias (nunca públicos), isolamento rigoroso por organização em todas as consultas, controle de acesso por papéis, autenticação em duas etapas opcional, limitação de taxa nas rotas públicas e registro de auditoria das ações administrativas. A trilha de evidências usa encadeamento de hashes, de modo que alterações posteriores sejam detectáveis.
6.Seus direitos como titular
Nos termos do art. 18 da LGPD, você pode solicitar a qualquer momento:
- confirmação da existência de tratamento e acesso aos dados;
- correção de dados incompletos, inexatos ou desatualizados;
- anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos;
- portabilidade, nos termos da regulamentação;
- informação sobre compartilhamentos e sobre a possibilidade de não consentir, quando o tratamento se basear em consentimento;
- revisão de decisões automatizadas, quando houver.
Atenção: a eliminação de dados que compõem a trilha de evidências de um documento já assinado pode ser recusada na medida em que esses dados sejam necessários ao exercício regular de direitos das partes (art. 16, I e III, da LGPD) — explicaremos caso a caso.
7.Encarregado (DPO) e contato
O canal do encarregado pelo tratamento de dados pessoais da Safio é o e-mail privacidade@safio.com.br. Responderemos às solicitações de titulares nos prazos da LGPD. Caso não fique satisfeito, você pode ainda peticionar à Autoridade Nacional de Proteção de Dados (ANPD).
8.Alterações desta Política
Podemos atualizar esta Política para refletir mudanças no serviço ou na legislação. Alterações relevantes serão comunicadas por e-mail ou aviso na plataforma. A versão vigente, com data de vigência, estará sempre disponível nesta página.