Ultima atualizacao: maio de 2026
Conformidade com a LGPD
Como o IA2S Guardian trata dados pessoais em conformidade com a Lei 13.709/2018
A Lei Geral de Protecao de Dados Pessoais (LGPD — Lei 13.709/2018) regula o tratamento de dados pessoais no Brasil. Esta pagina explica de forma objetiva como a IA2S Guardian aplica os principios e obrigacoes da LGPD em cada aspecto da plataforma. Para detalhes sobre coleta e uso de dados, consulte tambem nossa Politica de Privacidade.
1. Papel da IA2S no Tratamento de Dados
A LGPD distingue entre controlador (quem decide sobre o tratamento) e operador (quem trata em nome do controlador). O IA2S Guardian ocupa ambos os papeis, dependendo do contexto:
- Controladora dos dados da conta: para os dados dos Clientes (empresas e escritorios contratantes) e seus usuarios finais, a IA2S e controladora. Ela define as finalidades e meios do tratamento, conforme descrito nesta pagina e na Politica de Privacidade.
- Operadora para conteudo gerado pelo Cliente: documentos assinados, certificados digitais inseridos pelo Cliente e quaisquer dados produzidos no uso da plataforma sao de responsabilidade do proprio Cliente (controlador). A IA2S apenas processa esses dados em nome e por instrucao do Cliente.
2. Principios da LGPD Aplicados
O art. 6° da LGPD estabelece dez principios que regem o tratamento de dados pessoais. Veja como cada um e aplicado na plataforma:
3. Bases Legais para o Tratamento
Todo tratamento de dados pessoais realizado pela IA2S Guardian possui base legal prevista no art. 7° da LGPD. As principais bases utilizadas sao:
- Consentimento (art. 7°, I): obtido de forma livre, informada e inequivoca para o armazenamento de certificados digitais e dados sensiveis relacionados;
- Execucao de contrato (art. 7°, V): tratamento necessario para a prestacao dos servicos contratados, incluindo autenticacao, delegacao e auditoria;
- Obrigacao legal (art. 7°, II): retencao de dados fiscais, logs de auditoria e comunicacoes com autoridades;
- Legitimo interesse (art. 7°, IX): para fins de segurança da plataforma, prevencao a fraudes e melhoria dos servicos, respeitados os direitos e expectativas dos titulares.
4. Dados Sensiveis e Certificados Digitais
Os certificados digitais A1 (e-CPF/e-CNPJ) constituem dados pessoais de natureza sensivel, pois podem conter informacoes biometricas (foto, no caso de certificados emitidos com biometria) e dados de identificacao fiscal protegidos.
A plataforma adota as seguintes medidas especificas para dados sensiveis:
- Armazenamento do arquivo .pfx exclusivamente cifrado, em tabela segregada de acesso restrito a nivel de banco de dados (inacessivel via interface ou API por qualquer usuario);
- O numero do CPF/CNPJ contido nos metadados do certificado e mascarado por padrao, sendo exibido de forma completa apenas ao gestor responsavel pela conta, com log de acesso registrado;
- O tratamento de dados sensiveis e condicionado ao consentimento especifico e destacado do titular, nos termos do art. 11, I da LGPD;
- Nenhum colaborador delegado tem acesso ao dado bruto do certificado — o sistema opera por intermedio sem expor a credencial.
5. Direitos dos Titulares de Dados
Os titulares podem exercer os seguintes direitos previstos nos arts. 17 a 22 da LGPD, mediante solicitacao a comercial@ia2s.com.br:
Confirmacao de tratamento
Saber se seus dados sao tratados pela IA2S.
Acesso aos dados
Obter copia dos dados pessoais tratados.
Correcao
Solicitar correcao de dados incompletos, inexatos ou desatualizados.
Anonimizacao ou eliminacao
Solicitar eliminacao de dados desnecessarios ou tratados sem base legal.
Portabilidade
Receber seus dados em formato estruturado e interoperavel.
Informacao sobre compartilhamento
Saber com quem seus dados foram compartilhados.
Revogacao do consentimento
Retirar o consentimento a qualquer momento, sem penalidade.
Revisao de decisoes automatizadas
Solicitar revisao de decisoes tomadas exclusivamente por meios automatizados.
As solicitacoes serao respondidas em ate 15 dias uteis. O titular pode, ainda, peticionar a Autoridade Nacional de Protecao de Dados (ANPD) caso considere que seus direitos nao foram atendidos adequadamente.
6. Medidas Tecnicas de Conformidade
A IA2S implementou as seguintes medidas tecnicas para garantir a conformidade com a LGPD:
Coleta apenas dos dados estritamente necessarios para cada funcionalidade. Campos opcionais claramente identificados.
AES-256-GCM para dados em repouso. TLS 1.2+ para dados em transito. Chaves de criptografia gerenciadas separadamente dos dados.
RBAC com quatro niveis (super_admin, admin, gestor, user). Row-Level Security no banco de dados com isolamento por tenant. Principio do minimo privilegio.
Certificados digitais armazenados em tabela separada (certificate_secrets) inacessivel a qualquer role de usuario — acesso exclusivo via service_role da aplicacao.
Logs imutaveis de todas as operacoes sobre certificados, delegacoes e dados de usuarios. Retencao conforme obrigacoes legais.
Sessao unica por usuario. Timeout de inatividade em 10 horas. Novo login invalida sessao anterior.
Protecao de privacidade incorporada no desenho da arquitetura, nao como adicao posterior. Mascaramento de CPF por padrao na interface.
Procedimento documentado de resposta a incidentes com notificacao a ANPD e titulares dentro de 72 horas conforme art. 48 da LGPD.
7. Suboperadores e Cadeia de Responsabilidade
A IA2S utiliza os seguintes suboperadores para a prestacao dos servicos, todos contratualmente vinculados as obrigacoes de protecao de dados:
| Suboperador | Funcao | Localizacao dos dados |
|---|---|---|
| Supabase | Banco de dados, autenticacao e armazenamento | Brasil (sa-east-1 — Sao Paulo) |
| Cloudflare | CDN, protecao contra bots (Turnstile) e rate limiting | Global (dados de trafego em transito) |
Nenhum suboperador tem acesso ao conteudo dos certificados digitais em forma descifrada. Os dados sao cifrados antes de serem transmitidos a qualquer infraestrutura externa.
8. Relacao com Clientes Pessoas Juridicas (B2B)
Quando o Cliente e uma pessoa juridica (escritorio de advocacia, empresa contabil, etc.), o titular dos dados pessoais e o individuo (advogado, colaborador, cliente do escritorio) cujos dados sao tratados na plataforma.
Neste contexto, o Cliente pessoa juridica e tambem controlador dos dados de seus colaboradores e clientes que utilizam a plataforma. O Cliente e responsavel por:
- Informar seus usuarios sobre o uso da plataforma e as praticas de privacidade da IA2S;
- Obter as bases legais necessarias para o tratamento de dados de seus proprios usuarios;
- Atender as solicitacoes de direitos de titulares que sejam usuarios de sua conta;
- Garantir que os certificados digitais inseridos na plataforma tenham autorizacao do titular para seu uso.
Mediante solicitacao, a IA2S pode celebrar Acordo de Processamento de Dados (DPA — Data Processing Agreement) especifico com Clientes que necessitem de documentacao formal para conformidade regulatoria.
9. Encarregado de Protecao de Dados (DPO)
Nos termos do art. 41 da LGPD, a IA2S designou Encarregado de Protecao de Dados (DPO) responsavel por atuar como canal de comunicacao entre a empresa, os titulares de dados e a Autoridade Nacional de Protecao de Dados (ANPD). O DPO pode ser contactado pelo e-mail comercial@ia2s.com.br.
10. Atualizacoes e Vigencia
Esta pagina reflete o estado atual das praticas de conformidade da IA2S Guardian e sera atualizada sempre que houver mudancas relevantes. A data de vigencia e indicada no topo da pagina. Para duvidas adicionais, consulte nossa Politica de Privacidade e os Termos de Uso.