1. Controlador e Encarregado de Dados (DPO)

O controlador dos dados pessoais tratados pela plataforma Porttis é Porttis Tecnologia, CNPJ 00.000.000/0001-00, com sede em .

O Encarregado pelo Tratamento de Dados Pessoais (Data Protection Officer — DPO) pode ser contatado pelo e-mail [email protected] para qualquer solicitação relativa ao exercício de direitos do titular ou esclarecimentos sobre esta Política.

2. Dados Pessoais Coletados

A plataforma coleta e trata as seguintes categorias de dados pessoais:

• Dados cadastrais: nome completo, CPF, e-mail corporativo, telefone, cargo, dados da empresa contratante (razão social, CNPJ, endereço);
• Dados de uso: registros de login, IP, user-agent, páginas acessadas, ações executadas (log de auditoria imutável);
• Dados de faturamento: instrumentos de cobrança (boleto, PIX, dados do gateway), histórico de pagamentos e inadimplência;
• Dados de conteúdo do contratante: editais, contratos, atas, notas fiscais e demais documentos enviados pelo Contratante para gestão de seus processos licitatórios;
• Cookies essenciais: sessão autenticada, preferências de interface;
• Cookies de analytics (opcionais): apenas se o visitante consentir via banner de cookies.

3. Bases Legais

O tratamento é fundamentado nas seguintes hipóteses do Art. 7º da LGPD:

• Execução de contrato (Art. 7º, V): tratamento necessário à prestação do serviço SaaS contratado;
• Cumprimento de obrigação legal ou regulatória (Art. 7º, II): retenção fiscal, contábil e de auditoria;
• Legítimo interesse (Art. 7º, IX): segurança da informação, prevenção a fraude, melhoria do serviço (com avaliação de impacto disponível mediante solicitação);
• Consentimento (Art. 7º, I): cookies de analytics e comunicações de marketing.

4. Compartilhamento de Dados

Os dados podem ser compartilhados com os seguintes operadores, sob contrato de tratamento:

• Provedor de cobrança (gateway financeiro): emissão de boleto e PIX, conciliação de pagamentos;
• Provedor de e-mail transacional: envio de notificações, recuperação de senha, alertas operacionais;
• Provedor de armazenamento em nuvem (AWS S3): guarda de arquivos anexados, com criptografia em trânsito e em repouso;
• Autoridades públicas: mediante requisição legal formal (mandado judicial, ofício de autoridade competente).

Não há venda, aluguel ou cessão comercial de dados pessoais a terceiros.

5. Direitos do Titular

Nos termos do Art. 18 da LGPD, o titular tem direito a:

• confirmação da existência de tratamento;
• acesso aos dados;
• correção de dados incompletos, inexatos ou desatualizados;
• anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade com a LGPD;
• portabilidade dos dados a outro fornecedor;
• eliminação dos dados tratados com base em consentimento, ressalvadas hipóteses legais de retenção;
• informação sobre as entidades públicas e privadas com as quais houve uso compartilhado;
• revogação do consentimento.

Para exercer qualquer destes direitos, envie solicitação ao DPO em [email protected]. O atendimento é gratuito e ocorre em até 15 (quinze) dias úteis.

6. Retenção e Descarte

Os dados pessoais são retidos pelo tempo necessário ao cumprimento das finalidades para as quais foram coletados, observados os prazos legais mínimos:

• dados fiscais e contábeis: 5 (cinco) anos, conforme legislação tributária;
• logs de auditoria: 6 (seis) meses para logs operacionais e 5 (cinco) anos para ações de impacto financeiro;
• backup criptografado: até 90 (noventa) dias após a exclusão lógica;
• dados de conta encerrada: anonimizados ou eliminados após 90 (noventa) dias do encerramento, ressalvada obrigação legal.

7. Segurança da Informação

A plataforma adota controles técnicos e administrativos compatíveis com o estado da arte:

• criptografia em trânsito (TLS 1.2+) e em repouso (AES-256 no storage S3);
• controle de acesso baseado em ACL granular por módulo e por equipe;
• autenticação por sessão com proteção CSRF e segregação multi-tenant lógica;
• log imutável de auditoria para todas as ações sensíveis;
• backup automatizado com retenção definida e testes periódicos de restauração;
• monitoramento de tentativas de acesso anômalo e bloqueio reativo.

8. Cookies

A plataforma utiliza cookies essenciais (necessários ao funcionamento da sessão autenticada e segurança CSRF) e, opcionalmente, cookies de analytics para mensuração de uso agregado. Os cookies de analytics são carregados apenas após consentimento expresso do visitante via banner de cookies, conforme art. 8º da LGPD.

9. Transferência Internacional de Dados

Determinados serviços operadores podem armazenar ou processar dados em centros de processamento fora do território brasileiro (por exemplo, AWS S3 com regiões internacionais). Nesses casos, são adotadas salvaguardas contratuais e técnicas compatíveis com os requisitos da LGPD (Art. 33), em especial cláusulas-padrão e criptografia ponta a ponta.

10. Como Exercer Seus Direitos

Para qualquer solicitação relacionada a esta Política, ou para reportar incidente de segurança envolvendo dados pessoais, contate o DPO em [email protected]. Reportes confidenciais são tratados com sigilo e priorização de resposta em até 72 (setenta e duas) horas.