Política de Privacidade

A definição do papel LGPD depende da finalidade do tratamento. Para dados cadastrais, comerciais, financeiros, segurança, suporte, autenticação, cookies, observabilidade e relação com usuários, a MASHI tende a atuar como controladora.

Para dados jurídicos, processuais, documentos, dados de clientes do escritório, partes, advogados, testemunhas, peritos, movimentações, petições e instruções inseridas pelo contratante, a MASHI normalmente atua como operadora, tratando dados conforme instruções do cliente controlador.

Encarregado de Dados da MASHI Tecnologia Ltda. atua como canal de comunicação para titulares, clientes e ANPD. O contato oficial é privacidade@mashi.com.br. O contrato ou DPA pode detalhar responsabilidades, instruções documentadas e fluxos de cooperação.

Podemos tratar dados de identificação, contato, credenciais, permissões, vínculo com tenant, preferências, dados financeiros, dados de pagamento, registros de aceite, consentimentos, IP ou identificadores técnicos minimizados, logs de segurança e eventos de produto.

No contexto jurídico, podem ser tratados nomes, CPF/CNPJ, OAB, e-mails, telefones, endereços, vínculos processuais, documentos, provas, peças, dados de audiências, perícias, prazos, movimentações, histórico de atendimento, tarefas e comunicações.

Documentos e textos livres podem conter dados pessoais sensíveis ou informações de contexto sensível, como saúde, dados trabalhistas, situação econômica, filiação sindical, dados de menores, segredo de justiça, estratégia jurídica ou outras informações protegidas.

Os dados podem ser fornecidos diretamente por usuários, administradores do tenant, clientes contratantes, importações de CSV, upload de documentos, integrações autorizadas, APIs jurídicas, fontes públicas, provedores de pagamento, e-mail transacional e registros gerados pelo uso da plataforma.

Quando o cliente importa ou conecta dados de terceiros, ele deve garantir que possui autorização, base legal ou dever profissional compatível com o tratamento.

Tratamos dados para criar e administrar contas, autenticar usuários, controlar permissões, prestar a plataforma, organizar processos e documentos, gerar relatórios, automatizar rotinas, enviar notificações, prestar suporte, faturar, prevenir fraude, manter segurança, investigar incidentes e cumprir obrigações legais.

Também tratamos dados para melhorar estabilidade e experiência do produto, desde que com minimização, redaction, controles de acesso e retenção compatível com a finalidade.

Recursos de IA podem tratar prompts, documentos, contexto operacional, respostas e histórico de interação para auxiliar extração, resumo, classificação, redação e revisão, sempre sujeitos à revisão humana pelo usuário.

As bases legais podem incluir execução de contrato, procedimentos preliminares, cumprimento de obrigação legal ou regulatória, exercício regular de direitos, legítimo interesse, prevenção a fraude, proteção do crédito e consentimento quando aplicável.

Para dados jurídicos tratados por instrução do cliente, o cliente controlador deve definir a base legal adequada. Em muitos casos, pode haver execução de contrato, exercício regular de direitos, obrigação legal ou outra base definida pelo controlador.

Cookies não essenciais, comunicações promocionais e finalidades não indispensáveis podem depender de consentimento ou outro fundamento validado juridicamente.

Quando recursos de IA forem usados, dados necessários à execução da tarefa podem ser enviados a provedores de modelo, roteamento ou infraestrutura. O envio deve ser limitado ao necessário e sujeito a avaliação contratual, segurança, retenção e transferência internacional.

O usuário não deve enviar à IA informações desnecessárias, segredos profissionais sem necessidade, dados excessivos ou conteúdos proibidos por contrato, política interna do cliente ou ordem judicial.

A MASHI deve manter inventário dos provedores de IA utilizados, suas finalidades, países relevantes, categorias de dados, políticas de retenção e garantias contratuais disponíveis.

Dados podem ser compartilhados com provedores de hospedagem/VPS, banco de dados, armazenamento, Redis/cache, e-mail transacional, pagamentos, IA, APIs jurídicas, consulta de CNPJ, observabilidade, suporte técnico e outros operadores necessários à prestação do serviço.

Cada suboperador deve ter finalidade definida, categorias de dados, país ou região, mecanismo de transferência internacional quando aplicável, regra de retenção, medidas de segurança e situação contratual/DPA registrada.

Não vendemos dados pessoais. Compartilhamentos comerciais ou de marketing, se existirem, devem respeitar a lei, a finalidade informada e as preferências de consentimento.

Alguns provedores podem estar localizados fora do Brasil ou permitir acesso remoto internacional. Isso pode ocorrer em serviços de infraestrutura, armazenamento, IA, e-mail, pagamento, analytics ou suporte.

Transferências internacionais devem observar a LGPD, regulamentos da ANPD e mecanismos adequados, como cláusulas-padrão contratuais, decisões de adequação ou outras garantias aplicáveis.

O inventário de suboperadores deve ser revisado antes de habilitar novo provedor que trate dados pessoais relevantes.

O ALMA aplica controles como autenticação, cookies httpOnly, separação por tenant, RLS no banco, permissões por escopo, criptografia em repouso para campos sensíveis, blind indexes para busca exata, redaction de logs, rate limiting e trilhas operacionais.

Nenhum sistema é absolutamente imune a falhas. Por isso, mantemos processo de resposta a incidentes, registro de eventos, contenção, avaliação de risco e comunicação quando aplicável.

Os prazos de retenção variam conforme categoria de dado, contrato, finalidade, obrigação legal, faturamento, suporte, segurança, auditoria, exercício regular de direitos e instruções do cliente controlador.

Logs operacionais, eventos de produto, payloads temporários, uploads transitórios e dados técnicos devem ter retenção curta sempre que possível. Documentos jurídicos, processos, contratos e faturamento podem exigir prazos maiores.

Backups e snapshots podem manter dados por prazo técnico próprio. A eliminação definitiva pode depender do ciclo de retenção de backup, preservação de evidências, legal hold ou obrigação legal.

Titulares podem solicitar confirmação de tratamento, acesso, correção, anonimização, bloqueio, eliminação quando aplicável, portabilidade, informação sobre compartilhamento, revisão de decisões automatizadas quando cabível, revogação de consentimento e oposição.

Pedidos devem ser enviados pelo Canal LGPD ou pelo e-mail privacidade@mashi.com.br. Podemos solicitar confirmação de identidade e informações adicionais para evitar entrega indevida de dados.

Quando o cliente contratante for controlador, a MASHI poderá encaminhar ou coordenar o pedido com o cliente, pois algumas respostas dependem de validação, instrução ou base legal definida pelo controlador.

O ALMA não é direcionado a crianças ou adolescentes. Porém, dados de menores ou dados sensíveis podem aparecer em documentos jurídicos, processos, perícias, anexos ou narrativas fornecidas pelo cliente.

Nesses casos, o cliente deve avaliar necessidade, base legal, minimização, sigilo e eventuais restrições processuais antes de inserir ou compartilhar os dados na plataforma.

Esta Política pode ser atualizada para refletir mudanças legais, operacionais, técnicas, contratuais ou de fornecedores. Alterações relevantes serão versionadas e poderão exigir novo aceite.

A versão vigente ficará disponível nesta página, com data de atualização.