Política de privacidade

1. Controlador e escopo desta política

Esta Política de Privacidade descreve como a RGE Social trata dados pessoais no contexto da plataforma de software como serviço (SaaS) oferecida a instituições e seus usuários autorizados. O controlador das operações de tratamento realizadas pela RGE Social na condição de fornecedor da plataforma é a pessoa jurídica responsável pela operação do serviço RGE Social, conforme identificada nos contratos e canais oficiais. As instituições clientes podem atuar como controladores autônomos em relação aos dados que inserem e às finalidades próprias de seus programas; nestes casos, a RGE Social pode operar na figura de operador ou co-controlador conforme o caso concreto e instrumentos contratuais.

2. A quem se aplica e definições

Esta política aplica-se a titulares que interajam com os sites, aplicativos e serviços da RGE Social, incluindo representantes de instituições, colaboradores, voluntários, responsáveis legais e demais usuários autorizados. Referências a “dados pessoais”, “tratamento”, “titular”, “controlador” e “operador” seguem a LGPD. Dados anonimizados, quando de fato irreversíveis, não são considerados dados pessoais.

3. Dados coletados

Coletamos e tratamos dados necessários à prestação do serviço, tais como: dados de cadastro e conta (nome, e-mail, telefone, documentos quando exigidos); dados de instituição (razão social, CNPJ, endereço); dados operacionais inseridos pelas instituições (beneficiários, voluntariados, atendimentos, projetos, campanhas, eventos e registros correlatos); dados de uso e técnica (logs, IP, dispositivo, navegador, cookies e identificadores); dados de pagamento e faturamento processados por gateways (podendo incluir tokens e metadados de transação, sem armazenar integralmente dados de cartão quando o processamento é delegado ao provedor de pagamento); e comunicações enviadas aos canais oficiais. A coleta pode ocorrer por fornecimento direto, uso da plataforma ou integrações autorizadas.

4. Finalidades e bases legais

Tratamos dados pessoais para: execução de contrato e provimento da plataforma; cumprimento de obrigações legais e regulatórias; legítimo interesse, quando compatível com expectativas dos titulares e com salvaguardas (segurança, melhoria do serviço, prevenção a fraudes); proteção da vida ou tutela da saúde, quando aplicável; e consentimento, quando exigido ou voluntariamente manifestado para finalidades específicas. Finalidades adicionais podem ser informadas em termos específicos, telas de consentimento ou comunicações pontuais.

5. Tratamento, armazenamento e localização

Os dados são tratados em infraestrutura de nuvem e serviços com padrões de mercado, podendo ser armazenados em servidores no Brasil ou no exterior, observados requisitos da LGPD para transferência internacional quando aplicável. Adotamos segregação lógica entre instituições (multi-tenant), controles de acesso e políticas de backup. Prazos de retenção seguem a seção 11 e obrigações legais.

6. Segurança e criptografia

Aplicamos medidas técnicas e organizacionais compatíveis com riscos envolvidos, incluindo comunicação criptografada em trânsito (TLS), controles de autenticação e autorização, monitoramento e endurecimento de ambientes. Dados em repouso podem ser protegidos por criptografia e mecanismos equivalentes adotados pelos provedores de infraestrutura. Nenhum sistema é absolutamente invulnerável; em incidentes relevantes, adotaremos resposta coordenada e comunicações exigidas pela lei.

7. Cookies, autenticação e multi-instituição

Utilizamos cookies e tecnologias similares conforme nossa Política de Cookies, para sessão, preferências, desempenho e segurança. A autenticação pode incluir senha e, quando disponível, fatores adicionais (MFA). O acesso é segregado por instituição e perfil de permissão; credenciais não devem ser compartilhadas.

8. Pagamentos, gateways e dados financeiros

Pagamentos podem ser processados por provedores certificados (incluindo, quando habilitado, integrações como Asaas, Stripe, PayPal ou outros gateways configurados na conta). Dados sensíveis de cartão são tratados preferencialmente diretamente pelo gateway; a RGE Social pode receber status de transação, identificadores e metadados necessários à cobrança, assinatura e conciliação. Webhooks e notificações de pagamento são validados com segredos e controles de acesso para reduzir risco de fraude.

9. Funcionalidades institucionais (voluntariado, doações, eventos e correlatas)

Funcionalidades como voluntariado, doações, campanhas, eventos, rifas, leilões, bazares ou vaquinhas envolvem dados de participantes e beneficiários inseridos pelas instituições. A instituição é responsável pela licitude da coleta, pela transparência com titulares e por bases legais aplicáveis. Certificados e documentos emitidos pela plataforma dependem dos dados fornecidos pelos controladores institucionais.

10. Compartilhamento e suboperadores

Não vendemos dados pessoais. Podemos compartilhar dados com: prestadores que nos auxiliam na operação (hospedagem, e-mail transacional, pagamentos, suporte), mediante contratos e cláusulas de confidencialidade; autoridades quando exigido por lei; e terceiros com fundamento legal ou consentimento. A lista de categorias de suboperadores pode ser detalhada mediante solicitação pelos canais desta política.

11. Retenção e exclusão

Mantemos dados pelo tempo necessário para cumprir finalidades descritas, obrigações legais, resolução de litígios e exercício regular de direitos. Critérios incluem natureza dos dados, prazos legais e necessidade operacional. Solicitações de exclusão serão atendidas conforme a LGPD, ressalvadas hipóteses de guarda obrigatória. Contas institucionais podem ter procedimentos específicos de encerramento previstos em contrato.

12. Direitos dos titulares (LGPD)

• Confirmação da existência de tratamento;
• Acesso aos dados;
• Correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
• Portabilidade dos dados a outro fornecedor de serviço ou produto, observados segredos comercial e industrial;
• Eliminação dos dados pessoais tratados com consentimento, quando aplicável;
• Informação sobre entidades públicas e privadas com as quais compartilhamos dados;
• Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
• Revogação do consentimento, quando essa for a base legal.

Para exercer seus direitos ou esclarecimentos sobre privacidade, contate: contato@rgesocial.com.br

13. Crianças e adolescentes

O tratamento de dados de crianças e adolescentes observa a LGPD e exige base legal adequada, incluindo consentimento do responsável legal quando necessário. Instituições devem garantir que inserções na plataforma estejam alinhadas a essas exigências e a políticas internas de proteção.

14. Logs, auditoria e integrações

Podemos registrar logs técnicos e de auditoria para segurança, diagnóstico, conformidade e melhoria do serviço. Integrações via API ou webhooks exigem credenciais e devem ser configuradas pelos responsáveis autorizados; recomendamos boas práticas de rotação de chaves e princípio do menor privilégio.

15. Transferências internacionais

Quando dados forem armazenados ou processados fora do Brasil, adotaremos salvaguardas previstas na LGPD, como cláusulas contratuais, certificações ou decisões de adequação, conforme aplicável e documentado em relação com fornecedores.

16. Alterações desta política

Podemos atualizar esta política para refletir mudanças legais, técnicas ou operacionais. Publicaremos a versão revisada com data de vigência e, quando exigido, notificaremos titulares ou instituições por meios adequados.

17. Contato e encarregado (DPO)

Para questões relacionadas a dados pessoais, privacidade ou exercício de direitos, utilize o canal abaixo. Quando indicado, o encarregado (DPO) poderá ser contatado pelo mesmo endereço ou pelo especificado em comunicações institucionais. contato@rgesocial.com.br