Política de Privacidade
Seu dado é seu. Explicamos aqui como coletamos, usamos e protegemos suas informações.
Índice
1Controlador de Dados
O controlador dos dados pessoais tratados na plataforma EscribaSign é a Escriba Tecnologia e Gestão em Documentos LTDA, inscrita no CNPJ sob o nº 57.310.830/0001-32, com sede em Vitória/ES.
2Dados que Coletamos
Coletamos apenas os dados estritamente necessários para a prestação do serviço:
- Identificação: nome completo, CPF, e-mail, telefone
- Biométricos (signatários): selfie facial, liveness detection — coletados apenas com consentimento expresso
- Localização: coordenadas GPS no momento da assinatura (opcional, com consentimento)
- Dispositivo: IP, user agent, timestamp — para fins de auditoria
- Documentos: PDFs enviados para assinatura, armazenados com criptografia AES-256
Não coletamos dados de menores de 18 anos. Não coletamos dados sensíveis além dos biométricos necessários para verificação de identidade.
2Finalidade do Tratamento
Seus dados são utilizados exclusivamente para:
- Prestação do serviço de assinatura eletrônica
- Verificação de identidade e prevenção a fraudes
- Geração de trilha de auditoria com validade jurídica
- Comunicações transacionais (confirmações, alertas de assinatura)
- Cumprimento de obrigações legais e regulatórias
Não utilizamos seus dados para publicidade de terceiros, nem vendemos ou cedemos sua base de dados a parceiros comerciais.
4Base Legal (LGPD)
O tratamento de dados é fundamentado nas seguintes bases legais da Lei 13.709/2018 (LGPD):
- Consentimento (Art. 7º, I): para coleta de dados biométricos e localização GPS
- Execução de contrato (Art. 7º, V): para dados necessários à prestação do serviço
- Obrigação legal (Art. 7º, II): para guarda de registros exigida pela legislação
- Legítimo interesse (Art. 7º, IX): para segurança e prevenção a fraudes
5Compartilhamento de Dados
Compartilhamos dados apenas com os seguintes parceiros essenciais para a prestação do serviço:
- Serpro: validação de carimbo de tempo ICP-Brasil e biometria Datavalid
- Supabase (Supabase Inc.): banco de dados e autenticação, hospedado no Brasil (região São Paulo)
- Resend: envio de e-mails transacionais
Todos os parceiros possuem políticas de privacidade compatíveis com a LGPD e contratos de processamento de dados firmados.
6Retenção dos Dados
- Documentos e trilha de auditoria: 5 anos após a conclusão do envelope
- Dados biométricos: excluídos após a conclusão do processo de assinatura
- Dados de conta: mantidos enquanto a conta estiver ativa + 2 anos após encerramento
- Logs de acesso: 6 meses, conforme Marco Civil da Internet
7Seus Direitos
Nos termos da LGPD, você tem direito a:
- Confirmar a existência de tratamento de seus dados
- Acessar seus dados pessoais
- Corrigir dados incompletos, inexatos ou desatualizados
- Solicitar anonimização, bloqueio ou eliminação de dados desnecessários
- Portabilidade dos dados a outro fornecedor
- Revogar o consentimento a qualquer momento
- Peticionar à Autoridade Nacional de Proteção de Dados (ANPD)
Para exercer seus direitos, entre em contato com nosso DPO em [email protected]. Responderemos em até 15 dias úteis.
8Segurança
Adotamos medidas técnicas e organizacionais para proteger seus dados:
- Criptografia em trânsito (TLS 1.3) e em repouso (AES-256)
- Trilha de auditoria imutável com hash SHA-256 encadeado
- Autenticação com JWT de uso único para cada signatário
- Dados armazenados exclusivamente em servidores no Brasil
- Acesso restrito por controle de privilégios mínimos
9Contato do DPO
Para exercício de direitos, dúvidas ou reclamações relacionadas à privacidade:
- E-mail: [email protected]
- WhatsApp: (27) 99869-7380
- Encarregado: Rafael Fernandes de Souza — OAB/ES 35.857
Privacidade é um direito seu.
Estamos comprometidos com a transparência e proteção dos seus dados.
Falar com o DPO →