Política de Privacidade

Voltar

Última atualização: 24 de abril de 2026 · Versão 2.0
Em conformidade com a Lei 13.709/2018 (LGPD) e o Marco Civil da Internet (Lei 12.965/2014)

1. Controlador dos dados

Bradata Tecnologia Ltda., inscrita no CNPJ sob nº 52.032.567/0001-09, com sede em Fortaleza/CE, é a controladora dos dados pessoais tratados na plataforma Vision, nos termos do Art. 5º, VI da Lei 13.709/2018 (LGPD).

Encarregado de Proteção de Dados (DPO): dpo@bradata.com.br

2. Dados que coletamos

Coletamos e tratamos as seguintes categorias de dados pessoais:

2.1. Dados de cadastro

Nome completo do representante
Endereço de email
Telefone (opcional)
CNPJ, razão social, nome fantasia da empresa
CNAE principal e secundários (via consulta à Receita Federal)
Capital social, porte e UF/município da empresa
Dados de sócios e natureza jurídica (obtidos via BrasilAPI/CNPJ.ws)

2.2. Dados de uso da plataforma

Watch queries configuradas (palavras-chave, UFs, filtros)
Decisões de match (GO/NO GO/GO COM RESSALVAS)
Movimentações no kanban pipeline
Histórico de buscas e filtros aplicados
Preferências de notificação (Telegram, email, webhook)
Mensagens enviadas no chat IA
Lances enviados em pregões (valores, horários, parâmetros de robô)
Documentos da empresa enviados (certidões, atestados)

2.3. Dados de autenticação e segurança

Hash da senha (Argon2id — a senha em texto nunca é armazenada)
Endereço IP e user-agent do navegador
Timestamps de login, logout e refresh de sessão
Tokens JWT (access + refresh) com validade limitada
Seed TOTP para autenticação de dois fatores (quando habilitado)

2.4. Credenciais de portais externos (opcional)

Username e senha de portais de licitação (ComprasNet, BBMNet, BLL, etc.)
Campos extras (chave organizacional, certificados digitais)
Estas credenciais são criptografadas em repouso com AES-128-CBC + HMAC-SHA256, utilizando chave derivada exclusiva por tenant (DEK). A master key (KEK) é armazenada em variável de ambiente, nunca no banco de dados.

2.5. Dados de billing

CPF/CNPJ do responsável financeiro
Endereço de cobrança (para emissão de boleto/NF)
Histórico de pagamentos (valores, datas, status)
Dados de cartão de crédito nunca passam pelos nossos servidores — são processados diretamente pela Asaas Gestão Financeira S.A. (certificada PCI DSS Level 1)

2.6. Dados públicos do PNCP

Editais, contratos, atas e dados de órgãos públicos são dados abertos reprocessados pela Bradata. Estes não são dados pessoais do Usuário e seu tratamento independe de consentimento.

3. Bases legais (Art. 7º LGPD)

Finalidade	Base legal
Cadastro e autenticação	Execução do contrato (Art. 7º, V)
Monitoramento de editais e matching	Execução do contrato (Art. 7º, V)
Processamento de pagamento	Execução do contrato (Art. 7º, V)
Envio de lances em portais	Consentimento explícito (Art. 7º, I)
Credenciais de portais externos	Consentimento explícito (Art. 7º, I)
Notificações operacionais	Execução do contrato (Art. 7º, V)
Analytics agregados (sem identificação)	Legítimo interesse (Art. 7º, IX)
Logs de auditoria e segurança	Obrigação legal (Art. 7º, II)
Comunicações sobre produto/serviço	Legítimo interesse (Art. 7º, IX)
Resposta a autoridades judiciais	Obrigação legal (Art. 7º, II)

4. Como usamos seus dados

Operar a plataforma e fornecer as funcionalidades contratadas
Enviar notificações operacionais conforme suas preferências
Processar cobranças e manter o histórico de pagamentos
Enviar lances em pregões usando suas credenciais (quando autorizado)
Personalizar a análise IA com base no perfil da sua empresa
Gerar memórias de aprendizado IA com base no histórico do kanban
Melhorar o serviço via análise agregada anonimizada
Cumprir obrigações legais e regulatórias
Prevenir fraude e abusos

Não vendemos, alugamos ou compartilhamos seus dados pessoais com terceiros para fins de marketing, publicidade ou qualquer finalidade não descrita nesta política.

5. Operadores e subprocessadores (Art. 5º, VII)

Operador	Finalidade	País
Asaas	Processamento de pagamentos	Brasil
Contabo / Hetzner	Infraestrutura de servidor	Alemanha
DeepSeek	Inferência LLM (análise IA)	China
OpenAI	Inferência LLM (fallback)	EUA
Groq	Inferência LLM (fallback)	EUA
Anthropic	Inferência LLM (fallback)	EUA
BrasilAPI / CNPJ.ws	Consulta de CNPJ	Brasil
Gmail SMTP	Envio de emails transacionais	EUA
Telegram	Notificações via bot	Emirados Árabes

Todos os operadores são contratados com cláusulas de proteção de dados e confidencialidade. A lista é atualizada periodicamente.

6. Segurança dos dados

Implementamos medidas técnicas e organizacionais adequadas:

Senhas: hash Argon2id com salt único por usuário
Credenciais sensíveis: criptografia AES-128-CBC + HMAC-SHA256 em repouso
Conexões: TLS 1.3 em todas as comunicações
Isolamento: Row Level Security (RLS) no PostgreSQL entre tenants
Auditoria: logs imutáveis com hash chain (SHA-256) anti-tampering
Autenticação: JWT RS256 com tokens de curta duração + refresh httpOnly
2FA: autenticação de dois fatores via TOTP (opcional)
Rate limiting: proteção contra brute force e abuso de API
Advisory locks: controle de concorrência para quotas (anti-burst)
Backup: backup diário automatizado com retenção de 30 dias
Revisão: revisão de código e testes de segurança periódicos

7. Seus direitos (Art. 18 LGPD)

Você pode exercer os seguintes direitos a qualquer momento, via Configurações → Privacidade ou pelo email dpo@bradata.com.br:

Confirmação do tratamento (Art. 18, I): saber se tratamos seus dados
Acesso (Art. 18, II): obter cópia dos dados que temos sobre você
Correção (Art. 18, III): corrigir dados incompletos ou desatualizados
Anonimização ou bloqueio (Art. 18, IV): de dados desnecessários
Portabilidade (Art. 18, V): download em formato estruturado (JSON/CSV)
Eliminação (Art. 18, VI): exclusão dos dados pessoais, com período de carência de 30 dias
Informação sobre compartilhamento (Art. 18, VII): saber com quem compartilhamos
Revogação do consentimento (Art. 18, IX): a qualquer momento, sem custo
Oposição (Art. 18, §2º): opor-se ao tratamento por legítimo interesse

Prazo de atendimento: até 15 (quinze) dias úteis, conforme Art. 18, §5º da LGPD.

8. Retenção de dados

Categoria	Período de retenção
Dados da conta	Enquanto durar a relação contratual
Logs de auditoria	5 anos (obrigação fiscal/legal)
Dados de billing	5 anos (Art. 173, CTN + regulação Asaas)
Lances enviados	5 anos (evidência de participação em licitação)
Mensagens do chat IA	Enquanto durar a conta (excluível pelo usuário)
Credenciais de portais	Até revogação pelo usuário
Pós-exclusão da conta	Apenas dados estritamente legais (Art. 16, LGPD)

9. Cookies e tecnologias similares

Utilizamos apenas cookies estritamente necessários para o funcionamento da plataforma:

Cookie de sessão (httpOnly, Secure, SameSite=Lax): refresh token para manter a autenticação
LocalStorage: preferências de tema (dark/light) e estado do sidebar

Não utilizamos cookies de terceiros para publicidade, tracking ou analytics. Não utilizamos Google Analytics, Facebook Pixel ou ferramentas similares.

10. Transferência internacional de dados

10.1. Nossa infraestrutura principal está localizada na Europa (Alemanha). O banco de dados PostgreSQL e os arquivos ficam em servidores europeus.

10.2. LLMs de terceiros podem processar textos em servidores nos EUA (OpenAI, Groq, Anthropic) ou China (DeepSeek). Quando possível, anonimizamos dados pessoais antes do envio — enviamos apenas o texto do edital e o perfil agregado da empresa, sem CPF, email ou telefone.

10.3. A transferência é fundamentada no Art. 33, II da LGPD (cláusulas contratuais específicas) e Art. 33, IX (necessidade para execução do contrato).

11. Dados de menores

O Vision não é destinado a menores de 18 anos. Não coletamos intencionalmente dados de menores. Caso identifiquemos que um menor criou conta, esta será encerrada imediatamente e os dados excluídos.

12. Incidentes de segurança

12.1. Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a Bradata comunicará à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados no prazo razoável, conforme Art. 48 da LGPD.

12.2. A comunicação incluirá: natureza dos dados afetados, titulares envolvidos, medidas técnicas adotadas e medidas para reverter ou mitigar os efeitos.

13. Alterações desta política

Podemos atualizar esta política periodicamente. Alterações relevantes serão comunicadas por email com 30 (trinta) dias de antecedência. A versão vigente estará sempre disponível em /privacidade.

14. Contato e reclamações

Encarregado de Dados (DPO): dpo@bradata.com.br

Suporte técnico: suporte@bradata.com.br

Jurídico: juridico@bradata.com.br

Se considerar que o tratamento de seus dados infringe a LGPD, você pode apresentar reclamação diretamente à ANPD (Autoridade Nacional de Proteção de Dados), conforme Art. 55-J, V da LGPD.