Política de Privacidade

1. Quem é o controlador e quem é o operador

O cartório que utiliza o Tabullarium é o controlador dos dados pessoais dos seus colaboradores (LGPD art. 5º, VI). O Tabullarium é operador (art. 5º, VII): processa os dados nos limites contratuais e segundo as instruções do cartório.

2. Dados tratados

• Dados de identificação: nome, CPF, RG, PIS, CTPS, data de nascimento, endereço, contato.
• Dados de vínculo: cargo, datas de admissão e desligamento, salário (via histórico de aditivos), férias, faltas.
• Dados de saúde: ASOs e exames anexados pelo cartório (categoria especial LGPD, tratamento restrito).
• Dados de operadores: e-mail e nome dos usuários do cartório que acessam o sistema, registros de sessão e ações executadas.

3. Como protegemos esses dados

• Criptografia em repouso: CPF, RG e PIS são armazenados cifrados (AES-256-GCM com chave por instalação). Quem acessa o banco diretamente não consegue ler.
• Integridade verificável: cada documento subido gera um hash SHA-256 recalculado pelo servidor; alterações pós- upload são detectáveis.
• URLs assinadas: downloads usam links temporários (expiração ≤ 5 minutos). Não há URL pública para documentos.
• Trilha de auditoria imutável: toda ação relevante (criação, edição, exportação, login) é registrada em tabela append-only protegida por triggers Postgres.
• Redação de PII em logs: dados pessoais são sanitizados antes de qualquer log ou telemetria. Sentry roda com `sendDefaultPii: false`.
• Rate limit em endpoints sensíveis: exportação LGPD tem freio composto (por usuário e por colaborador-alvo) contra exfiltração em massa.

4. Acesso a dados sensíveis

Cada visualização ou download de documento classificado como health (ASO, exames) ou confidential gera registro adicional em sensitive_access_log. Permite ao cartório responder “quem leu o ASO de quem nos últimos N meses”.

5. Retenção e descarte

Documentos trabalhistas têm prazos legais de retenção (5 a 30+ anos pós-desligamento, dependendo do tipo). O sistema nunca apaga automaticamente; apenas sinaliza candidatos a anonimização ao final desses prazos.

Operações disponíveis:

• Anonimização (irreversível): apaga PII mas preserva o dossiê funcional para auditoria.
• Destruição de binário: apenas sob ordem judicial documentada, mediante registro de certidão.
• Soft delete: registros “removidos” continuam no banco com `deletedAt` marcado, sem aparecer na UI. Recuperáveis até cumprir prazo de retenção.

6. Direitos do titular (colaborador)

O colaborador, enquanto titular dos dados, pode pedir ao cartório:

• Confirmação e acesso: cartório gera relatório “Dossiê PDF”.
• Portabilidade (LGPD art. 18, V): cartório gera “Export LGPD” — ZIP com todos os dados em formato estruturado.
• Correção: cartório edita e o sistema versiona metadados.
• Anonimização: cartório executa após cumprido o prazo legal de retenção.

O Tabullarium não atende esses pedidos diretamente — o cartório (controlador) decide e executa via interface.

7. Compartilhamento

Os dados não são compartilhados com terceiros, exceto:

• Sub-operadores de infraestrutura (Supabase para banco, Cloudflare R2 para storage, Resend para envio de e-mails, Upstash para rate limit, Sentry para observabilidade) — todos com contratos compatíveis com LGPD.
• Autoridades, mediante ordem judicial fundamentada.

8. Cookies e sessão

Usamos cookies HTTP-only e Secure para manter sessão autenticada. Não há cookies de marketing, de tracking de terceiros ou de publicidade.

9. Contato

Dúvidas sobre esta política ou exercício de direitos podem ser encaminhadas ao cartório (controlador). Para questões técnicas da plataforma, ao suporte do Tabullarium.