LGPD — Lei Geral de Proteção de Dados

Última atualização · 10 de maio de 2026

Aviso: este documento é um modelo de referência. Recomendamos revisão por advogado antes de operação comercial.

1. Bases legais para tratamento (Art. 7º LGPD)

Tratamos dados pessoais com fundamento nas seguintes bases legais:

  • Execução de contrato (Art. 7º, V) — para prestar o Serviço contratado pelo Cliente.
  • Cumprimento de obrigação legal (Art. 7º, II) — para emissão de NFS-e, retenção fiscal e respostas a autoridades.
  • Interesse legítimo (Art. 7º, IX) — para segurança, prevenção a fraude, suporte e melhoria do Serviço, sempre balanceado com os direitos do titular.
  • Consentimento (Art. 7º, I) — quando aplicável, para comunicações que extrapolem o estritamente necessário.

2. Finalidades específicas

  • Autenticação e gestão de conta.
  • Armazenamento e processamento de contratos e BMs do Cliente.
  • Geração de PDFs white-label e exposição via portal de aprovação.
  • Sugestão automatizada de items via IA.
  • Faturamento, cobrança e emissão fiscal.
  • Segurança, auditoria e conformidade.

3. Categorias de dados

  • Dados de identificação: nome, email, telefone, CNPJ.
  • Dados de uso: logs, IP, agente do navegador, ações.
  • Conteúdo do Cliente: contratos (PDF), itens, valores, dados de clientes finais incluídos pelo Cliente. Esses dados podem conter informações pessoais de terceiros sob controle do Cliente, que atua como controlador no contexto da LGPD.

4. Operadores e compartilhamento

A Médidy compartilha dados com sub-processadores estritamente necessários à prestação do Serviço:

  • Supabase (banco, autenticação, storage) — Estados Unidos.
  • OpenRouter (IA para extração e sugestão) — Estados Unidos.
  • Coolify (VPS Hostinger) (hospedagem) — Brasil.

Não vendemos dados pessoais, não compartilhamos para fins de marketing de terceiros, nem cruzamos dados entre tenants.

5. Transferência internacional (Art. 33-36)

Parte dos dados é processada em servidores localizados nos Estados Unidos (Supabase e OpenRouter). Esta transferência se enquadra nas hipóteses do Art. 33 da LGPD por ser necessária para a execução de contrato com o titular e por contar com cláusulas contratuais com os sub-processadores que asseguram nível de proteção compatível com a LGPD.

O Cliente pode solicitar mais informações sobre as cláusulas em vigor com cada operador via medidycontato@gmail.com.

6. Direitos do titular (Art. 18)

Você tem direito a:

  • Confirmação da existência de tratamento.
  • Acesso aos dados.
  • Correção de dados incompletos, inexatos ou desatualizados.
  • Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade.
  • Portabilidade dos dados a outro fornecedor de serviço, observados segredo comercial e industrial.
  • Eliminação dos dados tratados com consentimento, salvo hipóteses legais de retenção.
  • Informação sobre entidades públicas e privadas com as quais a Médidy compartilhe os dados.
  • Informação sobre a possibilidade de não fornecer consentimento e suas consequências.
  • Revogação do consentimento.

Para exercer qualquer direito, envie email a medidycontato@gmail.com. Responderemos em até 15 dias.

7. Retenção e descarte

Dados de cadastro: enquanto a conta estiver ativa e por 5 anos após o encerramento, para fins fiscais e de auditoria.

Conteúdo do Cliente: 30 dias após encerramento para exportação, então eliminado de todos os sistemas, incluindo backups, no ciclo seguinte de rotação de backup.

Logs de segurança: até 12 meses para fins de investigação e auditoria.

8. Encarregado pelo Tratamento de Dados (DPO)

Canal oficial: medidycontato@gmail.com.

Toda comunicação relacionada à LGPD, incluindo exercício de direitos do titular, incidentes e dúvidas, deve ser direcionada a este endereço.