LGPD e Proteção de Dados

A LGPD diferencia controlador, que toma decisões sobre o tratamento, e operador, que trata dados em nome do controlador. No Lumo, esses papéis podem variar conforme o tipo de dado e o uso feito pelo tenant.

[Razão social da empresa] normalmente atua como controladora para dados de conta, autenticação, cobrança, suporte, segurança, marketing próprio e administração da plataforma. Para dados que o tenant insere sobre seus clientes, equipes, fornecedores, freelancers, talentos e projetos, o tenant geralmente define as finalidades e pode atuar como controlador.

O tratamento de dados pode se apoiar em execução de contrato, cumprimento de obrigação legal ou regulatória, exercício regular de direitos, legítimo interesse, proteção do crédito, prevenção a fraude, consentimento ou outras bases previstas na LGPD, sempre conforme o contexto.

Exemplos práticos: autenticação e entrega do workspace se relacionam à execução do contrato; registros de auditoria e segurança podem se apoiar em legítimo interesse e exercício regular de direitos; documentos fiscais e cobrança podem decorrer de obrigação legal ou execução contratual.

Titulares de dados pessoais podem solicitar confirmação de tratamento, acesso, correção, anonimização, bloqueio, eliminação, portabilidade, informação sobre compartilhamento, revisão de decisões automatizadas quando aplicável e revogação do consentimento.

Alguns pedidos podem depender do tenant controlador, especialmente quando os dados foram inseridos por uma empresa cliente no próprio workspace. Nesses casos, poderemos orientar o titular, encaminhar a solicitação ao tenant ou apoiar tecnicamente a resposta, conforme o papel do Lumo no tratamento.

Solicitações de privacidade devem ser enviadas para [e-mail do encarregado/DPO ou canal de privacidade]. O pedido deve informar nome, e-mail usado no Lumo, relação com o tenant, descrição objetiva do direito solicitado e, quando necessário, elementos que permitam validar identidade e localizar os dados.

Responderemos dentro dos prazos aplicáveis e poderemos solicitar informações adicionais para evitar entrega de dados a pessoa não autorizada. Quando o pedido envolver dados sob controle direto de um tenant, a resposta final pode depender da análise desse tenant.

Buscamos manter dados pelo tempo necessário para as finalidades informadas. Dados podem ser excluídos, anonimizados ou bloqueados quando não forem mais necessários, quando houver solicitação válida ou quando a lei exigir.

Certos registros podem permanecer armazenados por período adicional para obrigações legais, fiscais, contábeis, segurança, auditoria, prevenção a fraude, exercício regular de direitos e preservação de evidências em disputas.

Adotamos medidas razoáveis de segurança para proteger dados pessoais em ambientes de aplicação, banco de dados, uploads, autenticação e integrações. A segurança depende também de boas práticas do tenant e de seus usuários.

Em caso de incidente de segurança com risco relevante a titulares, avaliaremos as medidas técnicas e legais cabíveis, incluindo comunicação ao tenant, titulares e Autoridade Nacional de Proteção de Dados quando exigido pela legislação vigente.