Política de Tratamento de Dados Pessoais
Versão 1.0 · Vigência: 01 de junho de 2025
1. Princípios do Tratamento
O tratamento de dados pessoais pela Egbé Ypò Òrun observa os princípios previstos no art. 6.º da LGPD:
- Finalidade: dados coletados para fins determinados, explícitos e legítimos
- Adequação: compatibilidade com as finalidades informadas ao titular
- Necessidade: limitação ao mínimo necessário (data minimization)
- Livre acesso: facilidade de acesso aos dados pelo titular
- Qualidade dos dados: exatidão e atualização dos dados
- Transparência: informações claras sobre o tratamento
- Segurança: medidas técnicas e administrativas para proteção
- Prevenção: adoção de medidas para prevenir danos
- Não discriminação: vedação ao tratamento para fins discriminatórios
- Responsabilização: demonstração da conformidade com as normas
2. Coleta
A EYO coleta dados pessoais nas seguintes situações:
| Situação | Dados coletados | Obrigatoriedade |
|---|---|---|
| Formulário de contribuição | Nome, e-mail, telefone (opcional) | Nome e e-mail: obrigatório; telefone: opcional |
| Formulário de contato | Nome, e-mail, assunto, mensagem | Todos obrigatórios |
| Download de e-book | Nome, sobrenome, e-mail, organização (opcional) | Nome e e-mail: obrigatório |
| Canal LGPD | Nome, e-mail, tipo de solicitação, descrição | Nome, e-mail e tipo: obrigatório |
| Automaticamente | IP, user-agent, data/hora | Automático (segurança e consentimento) |
Não coletamos: dados bancários ou financeiros sensíveis, dados de saúde, origem racial ou étnica, convicções religiosas, opiniões políticas ou dados de menores de 18 anos.
3. Processamento
Os dados são processados para as seguintes finalidades:
- Processar e confirmar contribuições financeiras
- Enviar comprovantes e comunicações relacionadas às contribuições
- Responder a solicitações de contato
- Cumprir obrigações legais (registros contábeis, resposta a solicitações da ANPD)
- Garantir a segurança do site e prevenir fraudes
- Registrar e gerenciar consentimentos (obrigação LGPD)
- Enviar comunicações de marketing (somente com consentimento explícito)
4. Armazenamento
Os dados são armazenados em banco de dados MySQL hospedado no serviço Hostgator, em servidores localizados no Brasil. As senhas administrativas são armazenadas em formato hash (bcrypt). Não são criados backups em nuvens estrangeiras sem garantias adequadas de proteção.
5. Compartilhamento
Dados são compartilhados exclusivamente com:
- Hostgator: infraestrutura de hospedagem
- Autoridades competentes: quando exigido por lei
A EYO não vende, aluga ou compartilha dados com terceiros para fins comerciais ou publicitários.
6. Retenção
| Categoria | Prazo | Justificativa |
|---|---|---|
| Dados de contribuição (nome, e-mail) | 5 anos | Obrigação legal fiscal/contábil |
| Dados de contato | 2 anos após resposta | Interesse legítimo / eventual disputa |
| Registros de consentimento | 5 anos ou até revogação + 2 anos | Demonstração de conformidade LGPD |
| Logs de segurança (IP) | 6 meses | Segurança e prevenção a fraudes |
| Dados de marketing | Até revogação do consentimento | Consentimento |
| Solicitações LGPD | 5 anos | Obrigação de prestação de contas |
7. Exclusão e Anonimização
Ao término do prazo de retenção ou mediante solicitação do titular (quando não houver obrigação legal de manutenção), os dados serão:
- Excluídos: removidos permanentemente do banco de dados
- Anonimizados: quando a exclusão comprometer registros contábeis obrigatórios, os dados identificáveis serão substituídos por códigos não vinculáveis ao titular
Backups são excluídos em conformidade com a política de retenção, nos prazos previstos acima.
8. Segurança Técnica
- Comunicação via HTTPS/TLS em todas as páginas
- Validação e sanitização de todas as entradas de usuário
- Proteção contra SQL Injection, XSS e CSRF
- Autenticação administrativa com senha hasheada (bcrypt)
- Controle de acesso baseado em perfil (least privilege)
- Logs de acesso e auditoria no painel administrativo
- Cabeçalhos de segurança HTTP (CSP, HSTS, X-Frame-Options)
- Rate limiting nas APIs para prevenção de abuso
9. Incidentes de Segurança
Em caso de incidente de segurança com risco relevante ao titular, a EYO:
- Comunicará a ANPD em até 72 horas da descoberta
- Notificará os titulares afetados em prazo razoável, com informações sobre os dados comprometidos e as medidas adotadas
- Registrará formalmente o incidente e suas consequências
10. Encarregado de Proteção de Dados (DPO)
Responsável pelo tratamento de dados: Santiago Èṣùbamilarè (Responsável pela gestão da EYO).
Contato: [email protected]