POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS

Plataforma HiveBuzz - Embaixadores da Marca

Versão: 1.1 Última Atualização: 12 de março de 2026 Base Legal: Lei Geral de Proteção de Dados (LGPD - Lei 13.709/2018)

INFORMAÇÕES SOBRE ESTE DOCUMENTO

Esta Política de Privacidade explica como a HiveBuzz coleta, usa, armazena, compartilha e protege seus dados pessoais quando você utiliza a plataforma HiveBuzz (hivebuzz.app).

Por que ler este documento?

Você tem direito de saber como seus dados são tratados
A LGPD garante diversos direitos sobre seus dados pessoais
Este documento é transparente sobre nossas práticas

Tempo estimado de leitura: 15 minutos

ÍNDICE

Identificação do Controlador e DPO
Definições Importantes
Princípios da LGPD que Seguimos
Dados Pessoais que Coletamos
Como Coletamos seus Dados
Finalidades do Tratamento
Bases Legais do Tratamento
Compartilhamento de Dados
Transferência Internacional de Dados
Retenção e Eliminação de Dados
Seus Direitos (Titular de Dados)
Segurança da Informação
Cookies e Tecnologias de Rastreamento
Dados de Menores de Idade
Acesso da Organização Empregadora
Modificações nesta Política
Legislação Aplicável
Contato e Canal de Comunicação

1. IDENTIFICAÇÃO DO CONTROLADOR E DPO

1.1. Controlador de Dados

Nome: HiveBuzz - Plataforma Digital E-mail: [email protected] Site: hivebuzz.app

A HiveBuzz é o CONTROLADOR dos dados pessoais coletados através da plataforma, sendo responsável pelas decisões sobre o tratamento destes dados (LGPD Art. 5º, VI).

1.2. Encarregado de Proteção de Dados (DPO)

E-mail: [email protected]

O DPO é o canal de comunicação entre a HiveBuzz, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Quando contatar o DPO:

Exercer direitos sobre seus dados pessoais
Reportar incidentes de segurança
Esclarecer dúvidas sobre esta Política
Apresentar reclamações sobre tratamento de dados

2. DEFINIÇÕES IMPORTANTES

Conforme LGPD Art. 5º:

Dado Pessoal: Informação relacionada a pessoa natural identificada ou identificável (ex: nome, CPF, e-mail);
Dado Pessoal Sensível: Dado sobre origem racial/étnica, convicção religiosa, opinião política, filiação sindical, saúde, vida sexual, genético ou biométrico;
Titular: Pessoa natural a quem se referem os dados pessoais (VOCÊ);
Controlador: HiveBuzz - quem decide sobre o tratamento;
Operador: Terceiros que tratam dados em nome da HiveBuzz (ex: AWS);
Tratamento: Qualquer operação com dados (coleta, uso, armazenamento, eliminação, etc.);
Anonimização: Processo que torna impossível identificar o titular;
Consentimento: Manifestação livre, informada e inequívoca pela qual o titular autoriza o tratamento;
Encarregado (DPO): Pessoa responsável pela comunicação entre controlador, titulares e ANPD.

3. PRINCÍPIOS DA LGPD QUE SEGUIMOS

Conforme LGPD Art. 6º, a HiveBuzz segue os seguintes princípios:

Princípio	Como Aplicamos
Finalidade	Tratamos dados para propósitos legítimos, específicos e informados ao titular
Adequação	O tratamento é compatível com as finalidades informadas
Necessidade	Coletamos apenas dados estritamente necessários
Livre Acesso	Você pode consultar seus dados gratuitamente e de forma facilitada
Qualidade dos Dados	Garantimos exatidão, clareza e atualização dos dados
Transparência	Informamos de forma clara como tratamos seus dados
Segurança	Utilizamos medidas técnicas para proteger os dados
Prevenção	Adotamos medidas preventivas contra incidentes
Não Discriminação	Não tratamos dados para fins discriminatórios ilícitos
Responsabilização	Demonstramos conformidade com as normas de proteção de dados

4. DADOS PESSOAIS QUE COLETAMOS

4.1. Dados de Cadastro e Identificação

Coletados durante o registro:

Nome completo
E-mail corporativo
Senha (armazenada com criptografia bcrypt)
CPF (quando necessário para validação fiscal de prêmios)
Telefone (opcional - para recuperação de conta)
Foto de perfil (opcional - upload voluntário)
Cargo/Função na Organização (fornecido pela Organização)
Departamento/Área (fornecido pela Organização)

Base Legal: Execução de contrato (LGPD Art. 7º, V)

4.2. Dados de Uso da Plataforma

Coletados automaticamente durante o uso:

Campanhas que você participa
Conteúdos compartilhados (URLs, textos, imagens anexadas)
Datas e horários de compartilhamentos
Plataformas sociais utilizadas (LinkedIn, Facebook, Instagram, Twitter/X)
Pontos acumulados e histórico de transações
Prêmios resgatados
Verificações recebidas de outros usuários
Nível de engajamento (ranking interno)
Interações com notificações
Pesquisas de satisfação respondidas

Base Legal: Legítimo interesse + execução de contrato (LGPD Art. 7º, V e IX)

4.3. Dados Técnicos e de Navegação

Coletados automaticamente:

Endereço IP
User-Agent (navegador e sistema operacional)
Tipo de dispositivo (desktop/mobile)
Resolução de tela
Idioma do navegador
Referrer (página de origem)
Timestamps de acesso
Logs de erro (quando ocorrem falhas)
Geolocalização aproximada (baseada em IP - cidade/estado)

Base Legal: Legítimo interesse para segurança e melhoria do serviço (LGPD Art. 7º, IX)

4.4. Dados de Comunicação

Quando você nos contata:

E-mails enviados ao suporte/DPO
Mensagens via chat da plataforma
Conteúdo de tickets de suporte
Feedbacks e sugestões

Base Legal: Legítimo interesse + execução de contrato (LGPD Art. 7º, V e IX)

4.5. Dados de Terceiros (OAuth)

Quando você conecta redes sociais:

Dados públicos do perfil (LinkedIn, Google, etc.)
E-mail associado à conta social
Foto de perfil da rede social
Token de acesso (armazenado criptografado)

Base Legal: Consentimento explícito ao autorizar OAuth (LGPD Art. 7º, I)

4.6. Dados que NÃO Coletamos

A HiveBuzz NÃO coleta:

Dados pessoais sensíveis (raça, religião, saúde, orientação sexual, etc.) - LGPD Art. 5º, II
Dados bancários completos (apenas últimos 4 dígitos de cartão, se aplicável)
Conversas privadas fora da plataforma
Conteúdo de e-mails pessoais
Dados de geolocalização precisa (GPS)
Dados biométricos

5. COMO COLETAMOS SEUS DADOS

5.1. Coleta Direta

Você nos fornece diretamente quando:

Cria sua conta na plataforma
Preenche seu perfil
Compartilha conteúdo de campanhas
Participa de pesquisas/quizzes
Entra em contato com o suporte
Conecta suas redes sociais (OAuth)
Resgata prêmios

5.2. Coleta Automática

Coletamos automaticamente quando:

Você acessa a plataforma (logs, IP, user-agent)
Navega entre páginas (analytics)
Interage com notificações
Ocorrem erros técnicos (logs de erro)

5.3. Coleta de Terceiros

Recebemos dados de:

Sua Organização empregadora: Nome, e-mail corporativo, cargo, departamento, status de vínculo empregatício
Provedores OAuth: Dados públicos do perfil (LinkedIn, Google, Facebook)
Plataformas de pagamento: Confirmação de resgate de prêmios (sem dados bancários completos)

6. FINALIDADES DO TRATAMENTO

6.1. Finalidades Primárias (essenciais ao serviço)

Utilizamos seus dados para:

a) Fornecer a plataforma:

Criar e gerenciar sua conta
Autenticar e autorizar acesso
Exibir campanhas relevantes da sua Organização
Calcular pontos e rankings
Processar resgates de prêmios
Enviar notificações sobre atividades

b) Comunicação:

Enviar e-mails transacionais (verificação, recuperação de senha)
Notificar sobre verificações recebidas
Informar sobre novos prêmios disponíveis
Comunicar alterações nos Termos/Política

c) Segurança e prevenção de fraude:

Detectar padrões suspeitos de compartilhamento
Prevenir múltiplas contas (same-device detection)
Registrar aceites de termos (audit log)
Investigar violações de Termos de Uso

6.2. Finalidades Secundárias (melhorias e analytics)

Com seu consentimento ou legítimo interesse:

a) Melhoria do serviço:

Analisar como você usa a plataforma (analytics)
Identificar funcionalidades mais/menos usadas
Detectar bugs e problemas técnicos
Otimizar performance

b) Pesquisa e desenvolvimento:

Desenvolver novos recursos
Testar hipóteses de UX/UI
Criar benchmarks agregados (sem identificação individual)

c) Marketing (apenas com consentimento explícito):

Enviar newsletters sobre novidades da plataforma
Comunicar webinars e eventos
VOCÊ PODE OPTAR POR NÃO RECEBER (opt-out) a qualquer momento

6.3. Finalidades Legais e Regulatórias

Por obrigação legal:

Atender ordens judiciais e requisições de autoridades
Cumprir obrigações fiscais (emissão de notas fiscais para prêmios acima de R$ 10.000/ano)
Responder a auditorias e fiscalizações
Preservar direitos em processos judiciais

7. BASES LEGAIS DO TRATAMENTO

Conforme LGPD Art. 7º, tratamos seus dados com base em:

Dado	Base Legal (LGPD Art. 7º)	Justificativa
Cadastro (nome, e-mail, senha)	V - Execução de contrato	Necessário para prestar o serviço
Uso da plataforma (pontos, compartilhamentos)	V - Execução de contrato	Funcionalidade core da plataforma
Dados técnicos (IP, logs)	IX - Legítimo interesse	Segurança, prevenção de fraude, melhoria do serviço
CPF para prêmios	II - Obrigação legal/regulatória	Emissão de NF quando prêmios > R$ 10k/ano
OAuth (redes sociais)	I - Consentimento	Você autoriza ao conectar a conta
Marketing (newsletters)	I - Consentimento	Opt-in explícito, pode revogar a qualquer momento
Comunicação com suporte	V - Execução de contrato	Atendimento necessário ao serviço
Ordens judiciais	II - Obrigação legal	Cumprimento de determinação judicial
Defesa em processos	VI - Exercício regular de direitos	Proteção dos direitos da HiveBuzz

Importante:

Onde a base é consentimento, você pode REVOGAR a qualquer momento (LGPD Art. 8º, §5º)
A revogação não afeta a licitude do tratamento anterior ao pedido

8. COMPARTILHAMENTO DE DADOS

8.1. Com Quem Compartilhamos

A HiveBuzz compartilha seus dados com:

a) Sua Organização Empregadora (controlador conjunto)

Dados compartilhados:

Nome, e-mail, cargo, departamento
Pontos acumulados e histórico de participação
Ranking e nível de engajamento
Campanhas que você participou
Histórico de verificações realizadas

Finalidade: Permitir que a Organização gerencie o programa de incentivo e analise engajamento

Base Legal: Execução de contrato (você aceita ao usar a plataforma da sua Organização)

Importante:

A Organização é CONTROLADORA CONJUNTA destes dados (LGPD Art. 42, §1º)
A Organização deve ter sua própria Política de Privacidade
Questões sobre como a Organização usa estes dados devem ser direcionadas ao DPO da Organização

b) Provedores de Infraestrutura (operadores)

Provedor	Serviço	Dados Tratados	Localização
Amazon Web Services (AWS)	Hospedagem (EC2, RDS)	Todos os dados da plataforma	us-east-1 (EUA)
Supabase	Banco de dados PostgreSQL	Todos os dados estruturados	us-east-1 (EUA)
Vercel	CDN e edge functions	Dados de navegação, cache	Global (multi-região)

Proteções:

Contratos de DPA (Data Processing Agreement)
Cláusulas contratuais-padrão da Comissão Europeia
Certificação ISO 27001, SOC 2 Type II
Criptografia em trânsito (TLS 1.3) e em repouso (AES-256)

c) Provedores de Pagamento (quando aplicável)

Quando você resgata prêmios:

Fornecemos nome e e-mail para processamento
NÃO compartilhamos dados bancários completos
Provedor pode solicitar dados adicionais diretamente a você

d) Autoridades Públicas e Judiciais

Apenas quando legalmente obrigados:

Ordens judiciais
Requisições de autoridades (Polícia, MP, ANPD)
Investigações criminais

Garantia: Avaliamos a legalidade da requisição antes de atender

8.2. Dados que NÃO Compartilhamos

NUNCA compartilhamos:

Sua senha (armazenada apenas como hash bcrypt)
Dados com terceiros para marketing sem seu consentimento
Dados agregados que permitam identificação individual
Dados com outras Organizações (isolamento tenant-level)

8.3. Isolamento Multi-Tenant

Garantia de Segregação:

Cada Organização tem acesso APENAS aos dados de seus próprios usuários
Filtros obrigatórios por tenant_id em todas as queries (ver Política de User Isolation)
Auditoria de acessos cross-tenant
Testes automatizados de isolamento

9. TRANSFERÊNCIA INTERNACIONAL DE DADOS

9.1. Transferências Realizadas

Seus dados são transferidos para:

Destino	Finalidade	Proteções
Estados Unidos (AWS us-east-1)	Hospedagem da plataforma e banco de dados	DPA + Cláusulas Contratuais Padrão + Certificações
União Europeia (AWS eu-west-1)	Backup redundante (opcional)	Adequação GDPR + Decisão de Adequação

9.2. Base Legal da Transferência

Conforme LGPD Art. 33:

Inciso VIII: Cláusulas contratuais-padrão aprovadas pela ANPD (quando disponíveis) ou conformes às da Comissão Europeia
Inciso VII: Garantias adequadas de proteção (certificações, DPAs, auditorias)

9.3. Proteções Aplicadas

a) Contratuais:

Data Processing Agreement (DPA) com AWS e Supabase
Cláusulas de responsabilidade e conformidade com LGPD/GDPR
Direito de auditoria

b) Técnicas:

Criptografia em trânsito (TLS 1.3)
Criptografia em repouso (AES-256)
Controles de acesso rigorosos (IAM, least privilege)

c) Organizacionais:

Certificações: AWS ISO 27001, SOC 2 Type II
Auditorias independentes periódicas
Notificação de incidentes em 72h

9.4. Seus Direitos na Transferência

Você tem direito de:

Obter informações sobre as garantias de proteção (solicite ao DPO)
Revogar consentimento (quando esta for a base legal da transferência)
Solicitar cópia dos mecanismos de proteção aplicados

10. RETENÇÃO E ELIMINAÇÃO DE DADOS

10.1. Prazos de Retenção

Categoria de Dados	Prazo de Retenção	Justificativa
Dados de cadastro (conta ativa)	Enquanto a conta existir	Execução do contrato
Dados de cadastro (conta deletada)	15 dias para anonimização	Período de arrependimento + segurança
Histórico de pontos/prêmios	5 anos após o último resgate	Obrigação fiscal (NF)
Logs de acesso e auditoria	6 meses	Segurança e investigação de fraudes
Logs de aceite de termos	5 anos	Defesa de direitos em processos
E-mails de suporte	2 anos	Atendimento e histórico
Dados anonimizados	Indefinido	Não há titular identificável
Backups	30 dias (rolling)	Recuperação de desastres

10.2. Processo de Eliminação

Quando você solicita exclusão (LGPD Art. 18, VI):

Análise (até 5 dias úteis):
- Verificamos se há obrigação legal de retenção
- Informamos prazos e dados que serão mantidos
Exclusão/Anonimização (até 15 dias):
- Dados pessoais são anonimizados (substituídos por hash irreversível)
- Dados que devem ser retidos são dissociados de você (sem identificação)
- Confirmação enviada por e-mail
Backups:
- Dados em backups são sobrescritos no próximo ciclo (até 30 dias)
- Impossibilidade técnica de exclusão imediata de backups é justificável (LGPD Art. 16)

10.3. Dados Retidos Após Exclusão

Mantemos apenas quando há:

Obrigação legal: Ex: histórico fiscal de prêmios (5 anos)
Exercício de direitos: Ex: logs de aceite de termos para defesa judicial
Anonimização: Dados agregados sem identificação pessoal

Você será informado sobre quais dados serão mantidos e por qual motivo.

11. SEUS DIREITOS (TITULAR DE DADOS)

Conforme LGPD Art. 18, você tem os seguintes direitos:

11.1. Direito de Confirmação e Acesso (Art. 18, I e II)

Você pode:

Confirmar se tratamos seus dados
Acessar todos os seus dados pessoais
Obter cópia em formato estruturado (JSON, CSV)

Como exercer: Acessar "Meus Dados" na plataforma ou solicitar ao DPO

Prazo: Resposta em até 15 dias

Custo: GRATUITO (primeira solicitação); solicitações excessivas podem ter custo operacional

11.2. Direito de Correção (Art. 18, III)

Você pode:

Corrigir dados incompletos, inexatos ou desatualizados

Como exercer: Editar diretamente no perfil ou solicitar ao DPO

Prazo: Atualização imediata (via plataforma) ou até 10 dias (via DPO)

11.3. Direito de Anonimização, Bloqueio ou Eliminação (Art. 18, IV)

Você pode:

Solicitar anonimização de dados desnecessários ou excessivos
Solicitar bloqueio temporário de dados
Solicitar eliminação de dados tratados com base em consentimento

Como exercer: Solicitar ao DPO ([email protected])

Prazo: Até 15 dias

Limitações: Dados retidos por obrigação legal não podem ser eliminados

11.4. Direito de Portabilidade (Art. 18, V)

Você pode:

Obter seus dados em formato estruturado e interoperável (JSON, CSV)
Transferir dados para outro provedor de serviço

Como exercer: Acessar "Exportar Dados" na plataforma ou solicitar ao DPO

Prazo: Geração imediata (via plataforma) ou até 15 dias (via DPO)

Formato: JSON (padrão) ou CSV

11.5. Direito de Eliminação (Art. 18, VI)

Você pode:

Solicitar exclusão de dados tratados com base em consentimento
Deletar sua conta permanentemente

Como exercer:

Via plataforma: Configurações > Meus Dados > Solicitar Exclusão
Via DPO: [email protected]

Prazo: Até 15 dias

Consequências:

Perda de acesso à plataforma
Perda de todos os pontos acumulados
Impossibilidade de recuperação de dados

11.6. Direito de Informação sobre Compartilhamento (Art. 18, VII)

Você pode:

Saber com quais entidades públicas e privadas compartilhamos seus dados

Como exercer: Consultar esta Política (seção 8) ou solicitar informações atualizadas ao DPO

Prazo: Até 15 dias

11.7. Direito de Não Consentir e de Revogar Consentimento (Art. 18, VIII e IX)

Você pode:

Recusar fornecer consentimento (quando esta for a base legal)
Revogar consentimento previamente dado

Como exercer:

Marketing: Clicar em "Descadastrar" nos e-mails
OAuth: Desconectar redes sociais nas Configurações
Outros: Solicitar ao DPO

Prazo: Imediato (revogação)

Consequências: Revogação pode impedir uso de funcionalidades que dependem do consentimento

11.8. Direito de Revisão de Decisões Automatizadas (Art. 18, §2º)

Você pode:

Solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado
Exemplo: Suspensão de conta por detecção automática de fraude

Como exercer: Contestar via plataforma (ícone de recurso) ou solicitar ao DPO

Prazo: Revisão humana em até 7 dias

11.9. Direito de Oposição (Art. 18, §2º)

Você pode:

Opor-se a tratamento baseado em legítimo interesse quando violar seus direitos e liberdades fundamentais

Como exercer: Solicitar ao DPO com justificativa

Prazo: Análise em até 15 dias

11.10. Como Exercer Seus Direitos

Canais disponíveis:

Via Plataforma (autoatendimento):
- Acessar: Configurações > Privacidade e Dados
- Disponível 24/7
- Resposta imediata para a maioria das solicitações
Via DPO:
- E-mail: [email protected]
- E-mail: [email protected]
- Prazo de resposta: Até 15 dias
Via Suporte:
- E-mail: [email protected]
- Chat na plataforma
- Será encaminhado ao DPO se necessário

Documentação necessária:

Identificação (para confirmar identidade)
Descrição clara do direito que deseja exercer

Importante:

Todas as solicitações são GRATUITAS (primeira vez)
Você receberá CONFIRMAÇÃO de recebimento em até 2 dias úteis
Solicitações manifestamente infundadas ou excessivas podem ter custo administrativo (LGPD Art. 18, §3º)

12. SEGURANÇA DA INFORMAÇÃO

12.1. Medidas Técnicas Implementadas

A HiveBuzz adota as seguintes medidas de segurança:

a) Criptografia

Em trânsito: TLS 1.3 (conexões HTTPS)
Em repouso: AES-256 (banco de dados)
Senhas: Bcrypt (hash unidirecional, sal individual, cost factor 12)
Tokens OAuth: Criptografia AES-256 antes de armazenar

b) Controle de Acesso

Autenticação: Multi-fator (MFA) para administradores
Autorização: Role-Based Access Control (RBAC)
Princípio do Menor Privilégio: Acessos restritos ao mínimo necessário
Isolamento Multi-Tenant: Queries obrigatórias com tenant_id

c) Auditoria e Monitoramento

Logs de acesso: Registro de todas as operações sensíveis
Detecção de anomalias: Alertas automáticos para padrões suspeitos
SIEM: Monitoramento de eventos de segurança em tempo real
Auditoria periódica: Revisão trimestral de acessos

d) Proteção de Infraestrutura

Firewall: WAF (Web Application Firewall) na Vercel
Anti-DDoS: Proteção CloudFlare/AWS Shield
Patching: Atualizações de segurança semanais
Backup: Backups diários automáticos com retenção de 30 dias

e) Desenvolvimento Seguro

Code Review: Revisão de segurança em todo PR
SAST/DAST: Análise estática e dinâmica de código
Dependency Scanning: Verificação de vulnerabilidades em bibliotecas
Penetration Testing: Testes de intrusão anuais

12.2. Medidas Organizacionais

a) Governança

Política de Segurança: Documentada e revisada anualmente
Comitê de Privacidade: Reuniões trimestrais
DPO: Dedicado à proteção de dados

b) Treinamento

Equipe: Treinamento anual em LGPD e segurança da informação
Desenvolvedores: Treinamento em OWASP Top 10, secure coding
Conscientização: Campanhas mensais sobre phishing, engenharia social

c) Gestão de Incidentes

Plano de Resposta: Procedimentos documentados para vazamentos
Notificação: ANPD e titulares em até 72h (se houver risco)
Investigação: Análise de causa raiz e ações corretivas

12.3. Limitações de Segurança

A HiveBuzz se esforça para proteger seus dados, mas:

Nenhum sistema é 100% seguro: Sempre há risco residual
Terceiros: Dependemos da segurança de provedores (AWS, Supabase)
Engenharia Social: Não podemos proteger contra phishing direcionado a você
Dispositivos pessoais: Não controlamos a segurança do seu computador/celular

Sua responsabilidade:

Manter sua senha segura e confidencial
Não compartilhar credenciais
Usar autenticação multi-fator quando disponível
Reportar acessos suspeitos imediatamente

12.4. Notificação de Incidentes

Em caso de vazamento de dados que possa causar risco ou dano relevante:

Notificação à ANPD: Até 72 horas (conforme regulamentação futura)
Notificação aos Titulares: Até 72 horas, contendo:
- Descrição do incidente
- Dados afetados
- Medidas tomadas para mitigar danos
- Medidas preventivas futuras
- Canal de comunicação com o DPO
Comunicação Pública: Se o incidente afetar grande número de titulares

Você será notificado por:

E-mail registrado na plataforma
Notificação in-app (ao fazer login)
Aviso no site hivebuzz.app

13. COOKIES E TECNOLOGIAS DE RASTREAMENTO

13.1. O Que São Cookies

Cookies são pequenos arquivos de texto armazenados no seu navegador quando você acessa a plataforma. Eles permitem que o site "lembre" de você em acessos futuros.

13.2. Cookies que Utilizamos

a) Cookies Essenciais (Não Requerem Consentimento)

Necessários para o funcionamento básico:

Cookie	Finalidade	Duração
`session_token`	Manter você autenticado	Sessão (até logout)
`csrf_token`	Proteção contra ataques CSRF	Sessão
`locale`	Lembrar idioma escolhido	1 ano

Base Legal: Legítimo interesse (segurança e funcionalidade essencial)

b) Cookies de Funcionalidade (Requerem Consentimento)

Melhoram sua experiência:

Cookie	Finalidade	Duração
`theme_preference`	Lembrar modo claro/escuro	1 ano
`notifications_enabled`	Preferências de notificações	1 ano
`tour_completed`	Não mostrar tutorial novamente	Permanente

Base Legal: Consentimento via banner de cookies

c) Cookies de Analytics (Requerem Consentimento)

Nos ajudam a entender como você usa a plataforma:

Cookie	Provedor	Finalidade	Duração
`_ga`	Google Analytics	Identificar visitantes únicos	2 anos
`_gid`	Google Analytics	Identificar sessões	24 horas
`_gat`	Google Analytics	Limitação de taxa de requisições	1 minuto

Base Legal: Consentimento via banner de cookies

Dados coletados: Páginas visitadas, tempo de permanência, dispositivo, navegador (SEM identificação pessoal direta)

d) Cookies de Marketing (Requerem Consentimento)

Atualmente NÃO utilizamos cookies de marketing, retargeting ou publicidade de terceiros.

13.3. Gerenciamento de Cookies

Você pode:

Aceitar/Rejeitar via Banner:
- Ao acessar pela primeira vez, um banner permite escolher categorias
- Cookies essenciais não podem ser desabilitados (funcionamento básico)
Alterar Preferências:
- Acessar: Configurações > Privacidade > Gerenciar Cookies
- Disponível a qualquer momento
Bloquear via Navegador:
- Chrome: Configurações > Privacidade > Cookies
- Firefox: Preferências > Privacidade > Cookies
- Safari: Preferências > Privacidade > Cookies
Atenção: Bloquear todos os cookies pode afetar funcionalidades da plataforma
Limpar Cookies:
- Todos os navegadores permitem deletar cookies armazenados
- Isso fará logout da plataforma

13.4. Outras Tecnologias de Rastreamento

a) Local Storage / Session Storage

Finalidade: Armazenar preferências localmente (mais rápido que cookies)
Dados: Configurações de UI, cache temporário
Acesso: Apenas pelo domínio hivebuzz.app

b) Web Beacons / Pixels

Uso: Rastreamento de abertura de e-mails (notificações)
Dados coletados: Confirmação de recebimento, horário de abertura
Opt-out: Desabilitar imagens em e-mails no seu cliente

c) Fingerprinting

NÃO utilizamos técnicas avançadas de fingerprinting (canvas, WebGL, etc.)
Coletamos apenas user-agent básico para compatibilidade

13.5. Terceiros e Cookies

Provedores que podem definir cookies:

Google Analytics: Analytics de uso (se você consentiu)
Vercel: CDN e otimização de entrega
Supabase: Autenticação e sessão

Não temos controle sobre cookies de terceiros. Consulte as políticas de privacidade dos respectivos provedores.

14. DADOS DE MENORES DE IDADE

14.1. Restrição de Idade

A plataforma HiveBuzz é destinada a:

Pessoas com 18 anos ou mais
Empregados com vínculo formal de trabalho (CLT)

14.2. Proibição de Coleta

NÃO coletamos intencionalmente dados de menores de 18 anos.

14.3. Procedimento em Caso de Coleta Acidental

Se identificarmos que um menor de 18 anos criou conta:

Suspensão imediata da conta
Notificação ao responsável legal (se identificável)
Exclusão de todos os dados pessoais em até 15 dias
Comunicação à Organização empregadora (violação de política)

14.4. Responsabilidade das Organizações

As Organizações contratantes devem:

Validar idade de seus empregados antes de conceder acesso
Não cadastrar menores de 18 anos na plataforma
Implementar controles para prevenir acessos indevidos

15. ACESSO DA ORGANIZAÇÃO EMPREGADORA

15.1. Controladores Conjuntos

A HiveBuzz e sua Organização empregadora são CONTROLADORES CONJUNTOS (LGPD Art. 42, §1º) dos dados coletados através da plataforma.

Isso significa:

Ambos decidem sobre finalidades e meios de tratamento
Ambos são responsáveis pela proteção dos dados
Cada um responde por suas próprias violações

15.2. Dados Acessíveis pela Organização

Sua Organização tem acesso a:

Dado	Finalidade	Limitações
Nome, e-mail, cargo	Identificação do empregado	Fornecidos pela própria Organização
Pontos acumulados	Gestão do programa de incentivo	Apenas dados agregados podem ser exportados
Histórico de participação	Análise de engajamento	Sem acesso a conteúdos compartilhados publicamente
Ranking interno	Comparação de performance	Anonimizado se menos de 10 participantes
Histórico de verificações	Análise de engajamento	Dados agregados de participação

Sua Organização NÃO tem acesso a:

Sua senha
Tokens OAuth de redes sociais pessoais
Mensagens de suporte técnico à HiveBuzz
Dados de outras Organizações (isolamento tenant)

15.3. Responsabilidades da Organização

Sua Organização deve:

Ter sua própria Política de Privacidade
Designar um DPO ou encarregado
Obter consentimento quando necessário (LGPD)
Implementar medidas de segurança adequadas
Respeitar direitos dos titulares (você)

15.4. Seus Direitos em Relação à Organização

Você pode:

Solicitar à Organização cópia dos dados que ela detém sobre você
Questionar como a Organização usa os dados da plataforma
Reclamar ao DPO da Organização sobre uso indevido

Importante:

Questões sobre uso de dados pela Organização devem ser direcionadas ao DPO da Organização
A HiveBuzz não responde por violações cometidas exclusivamente pela Organização

15.5. Término do Contrato com a Organização

Quando você deixa a Organização (demissão, pedido de demissão, etc.):

A Organização deve:
- Notificar a HiveBuzz do desligamento
- Definir status do seu acesso (bloquear, manter por período, excluir)
Você pode:
- Solicitar manutenção da conta por até 90 dias (período de transição)
- Solicitar exclusão imediata
- Transferir pontos para nova Organização (se aplicável)
Pontos acumulados:
- Ver "Termos de Uso" seção 6.7 para tratamento em cada cenário

16. MODIFICAÇÕES NESTA POLÍTICA

16.1. Direito de Modificar

A HiveBuzz se reserva o direito de modificar esta Política de Privacidade para:

Adequar-se a mudanças na legislação (LGPD, regulamentações da ANPD)
Incorporar novas funcionalidades da plataforma
Melhorar clareza e transparência
Corrigir erros ou imprecisões

16.2. Notificação de Mudanças

Você será notificado sobre modificações por:

E-mail enviado ao endereço cadastrado (30 dias de antecedência para mudanças materiais)
Aviso destacado ao fazer login na plataforma
Banner no site hivebuzz.app

16.3. Tipos de Modificações

a) Mudanças Materiais (Afetam Direitos)

Exemplos:

Nova finalidade de tratamento
Compartilhamento com novos terceiros
Transferência para novos países
Redução de prazos de retenção

Procedimento:

Notificação com 30 dias de antecedência
Destaque claro das alterações
Solicitação de novo consentimento (quando aplicável)
Direito de recusar e encerrar conta sem penalidade

b) Mudanças Não Materiais (Sem Impacto em Direitos)

Exemplos:

Correções de erros de digitação
Esclarecimentos de redação
Atualização de dados de contato
Reorganização de seções (sem alterar conteúdo)

Procedimento:

Notificação simples (e-mail, aviso na plataforma)
Sem necessidade de novo consentimento

16.4. Histórico de Versões

Você pode acessar:

Versões anteriores desta Política mediante solicitação ao DPO ([email protected])
Data de cada modificação

16.5. Aceitação de Modificações

Ao continuar usando a plataforma após o período de notificação (30 dias):

Você aceita tacitamente as modificações
Para mudanças baseadas em consentimento, será solicitada aceitação expressa

Se você não concordar:

Pode encerrar sua conta sem qualquer penalidade
Dados serão tratados conforme a versão da Política vigente no momento do encerramento

17. LEGISLAÇÃO APLICÁVEL

Esta Política de Privacidade é regida pela legislação brasileira, em especial:

Lei 13.709/2018 - Lei Geral de Proteção de Dados (LGPD)
Lei 12.965/2014 - Marco Civil da Internet
Lei 8.078/1990 - Código de Defesa do Consumidor (CDC)
Decreto 8.771/2016 - Regulamentação do Marco Civil
Resoluções da ANPD (Autoridade Nacional de Proteção de Dados)

Autoridade Supervisora:

ANPD - Autoridade Nacional de Proteção de Dados
Site: gov.br/anpd
Ouvidoria: [email protected]

Direito de Reclamação:

Você tem o direito de apresentar reclamação à ANPD sobre o tratamento de seus dados
Isso não impede o exercício de outros direitos administrativos ou judiciais

18. CONTATO E CANAL DE COMUNICAÇÃO

18.1. Encarregado de Proteção de Dados (DPO)

E-mail: [email protected] Horário de Atendimento: Segunda a sexta, 9h às 18h (horário de Brasília)

O DPO atende solicitações sobre:

Exercício de direitos (acesso, correção, exclusão, etc.)
Dúvidas sobre tratamento de dados
Incidentes de segurança
Reclamações sobre violações de privacidade

18.2. Outros Canais

Suporte Técnico:

E-mail: [email protected]
Chat: Disponível na plataforma (ícone no canto inferior direito)

Jurídico:

E-mail: [email protected]
Para questões contratuais e legais

Denúncias de Coerção:

E-mail: [email protected]
Formulário: hivebuzz.app/denunciar
Confidencialidade garantida

18.3. Prazo de Resposta

Compromisso de atendimento:

Confirmação de recebimento: Até 2 dias úteis
Resposta substantiva: Até 15 dias corridos
Urgências (incidentes de segurança): Até 24 horas

Se precisarmos de mais tempo:

Você será notificado com justificativa
Prazo máximo adicional: 15 dias

DECLARAÇÃO DE CONFORMIDADE

A HiveBuzz declara que:

✓ Esta Política de Privacidade está em conformidade com a Lei 13.709/2018 (LGPD)

✓ Implementamos medidas técnicas e organizacionais adequadas para proteger dados pessoais

✓ Respeitamos os princípios da LGPD (finalidade, adequação, necessidade, transparência, etc.)

✓ Garantimos o exercício dos direitos dos titulares conforme LGPD Art. 18

✓ Mantemos registros de operações de tratamento conforme LGPD Art. 37

✓ Possuímos Encarregado (DPO) designado conforme LGPD Art. 41

✓ Notificaremos a ANPD e titulares em caso de incidentes de segurança conforme LGPD Art. 48

ACEITE DESTA POLÍTICA

☐ Li e compreendi integralmente esta Política de Privacidade

☐ Estou ciente de como meus dados serão coletados, usados e protegidos

☐ Conheço meus direitos como titular de dados (LGPD Art. 18)

☐ Sei como exercer meus direitos através do DPO

[ CONFIRMAR ACEITE ]

Registro do Aceite:

Data/Hora: [TIMESTAMP AUTOMÁTICO]
IP: [IP AUTOMÁTICO]
User-Agent: [USER-AGENT AUTOMÁTICO]
Versão da Política: 1.1

HiveBuzz - Plataforma Digital DPO: [email protected] Contato: [email protected]

Versão: 1.1 Data de Publicação: 12 de março de 2026 Próxima Revisão: 12 de março de 2027