Voltar para a home

Conformidade LGPD

Como tratamos dados em conformidade com a Lei 13.709/2018.

Esta página detalha o programa de conformidade do TricERP com a Lei Geral de Proteção de Dados (LGPD). Complementa a Política de Privacidade com foco em medidas técnicas, papéis de operador e controlador, e processos de resposta.

Última atualização: 21 de maio de 2026

1. Visão geral

O TricERP é construído com privacidade desde a concepção (privacy by design) e por padrão (privacy by default). Cada módulo, cada feature de IA e cada integração passa por avaliação de impacto a dados pessoais antes de chegar à produção.

2. Operador vs controlador — papéis

O papel da TricERP varia conforme o dado tratado:

  • Como controlador: dados de leads do site, contatos comerciais, cadastro de usuários do sistema, dados de navegação anonimizados.
  • Como operador: dados pessoais de terceiros que o cliente insere no sistema (clientes finais, colaboradores, fornecedores). Aqui, o cliente é o controlador e define finalidade e tempo de retenção.

Os contratos de fornecimento explicitam estes papéis e estabelecem o acordo de tratamento de dados (DPA — Data Processing Agreement) anexo.

3. Princípios aplicados

Em conformidade com o Art. 6º da LGPD:

  • Finalidade: cada coleta tem propósito explícito e legítimo, comunicado ao titular.
  • Adequação: os dados são compatíveis com a finalidade declarada.
  • Necessidade: coletamos o mínimo necessário — sem campos opcionais inflados.
  • Livre acesso: o titular pode consultar seus dados a qualquer momento.
  • Qualidade: mecanismos de correção e atualização disponíveis.
  • Transparência: políticas públicas e claras sobre tratamento.
  • Segurança: medidas técnicas e administrativas para proteção (detalhadas abaixo).
  • Prevenção: revisões periódicas para prevenir danos.
  • Não discriminação: tratamento não usado para fins discriminatórios.
  • Responsabilização: demonstração efetiva das medidas adotadas.

4. Medidas técnicas e organizacionais

Medidas técnicas

  • Isolamento multi-tenant fail-closed: cada consulta ao banco filtra por empresa_id via middleware; falha de configuração nega acesso (não permite). Validado por testes automatizados.
  • Criptografia: TLS 1.2+ em trânsito, AES-256 em repouso, certificados gerenciados pela AWS.
  • Autenticação: JWT com expiração de 15 minutos em produção, rotação de refresh tokens e blacklist após revogação. Sem armazenamento em localStorage.
  • Auditoria: trilha de acesso e alteração registrada por movimento — quem fez, quando, qual o estado anterior e posterior.
  • IA com guardrails: assistentes de IA não disparam INSERT/UPDATE/DELETE — apenas leitura. Filtro de PII (CPF, CNPJ, e-mail, telefone) aplicado antes de qualquer prompt sair do servidor.
  • Backups: diários, retenção de 30 dias, criptografados, testados mensalmente para restauração.

Medidas organizacionais

  • Treinamento obrigatório de LGPD para toda a equipe.
  • Política interna de segurança da informação revisada anualmente.
  • Acesso à produção restrito por função e MFA obrigatório.
  • Contratos de confidencialidade com toda a equipe e prestadores.

5. Encarregado de Proteção de Dados (DPO)

O DPO do TricERP é responsável por orientar a equipe, atender titulares de dados e interagir com a ANPD. O contato é dpo@tricerp.com, com prazo de resposta de até 15 dias úteis para solicitações de titulares.

6. Resposta a incidentes de segurança

Em caso de incidente de segurança que possa afetar dados pessoais:

  • 0–4h: contenção técnica do incidente, isolamento de vetores.
  • 4–24h: investigação interna, identificação dos dados afetados, avaliação de impacto.
  • 24–72h: notificação à ANPD (Art. 48 da LGPD) e aos titulares afetados.
  • Pós-evento: análise de causa raiz, correção e revisão das medidas preventivas.

7. Direitos do titular

Os direitos previstos no Art. 18 da LGPD podem ser exercidos por qualquer titular cujos dados sejam tratados pelo TricERP. O canal preferencial é /exclusao-dados ou, alternativamente, o e-mail dpo@tricerp.com.

Quando o TricERP atua como operador (dados de terceiros inseridos pelo cliente), encaminhamos a solicitação ao cliente controlador e auxiliamos na resposta dentro do prazo legal.

8. Subprocessadores

Para prestar o serviço, contratamos subprocessadores avaliados quanto à conformidade com a LGPD:

  • Amazon Web Services (AWS) — região São Paulo: hospedagem e infraestrutura.
  • Google LLC: Google Analytics 4 (com IP anonimizado e consent mode v2).
  • Provedores de e-mail transacional: notificações operacionais do sistema.
  • Provedores de modelos de IA: processamento de prompts com filtro de PII aplicado antes do envio.

A lista completa e atualizada de subprocessadores está disponível mediante solicitação ao DPO. Mudanças relevantes são comunicadas com 30 dias de antecedência.

Dúvidas, exercício de direitos ou notificações

Fale com nosso Encarregado de Proteção de Dados (DPO): dpo@tricerp.com