Pular para o conteúdo principal

Política de Privacidade

Versão 1.0.0 · Em vigor desde 18 de maio de 2026

1. Quem somos (Controlador)

O Controlador dos dados pessoais tratados nesta plataforma é a Deu Certo Construtor, inscrita no CNPJ sob o nº 50.050.807/0001-07, com endereço em São Paulo / SP.

Em algumas situações atuamos como operador em nome da empresa contratante, especialmente quanto aos dados que ela insere para administrar obras, equipes, prestadores, fornecedores e demais terceiros. Em todas as hipóteses, qualquer dúvida, solicitação ou comunicação relacionada a privacidade deve ser endereçada ao Encarregado de Dados Pessoais (DPO) — ver seção 13.

2. Quais dados pessoais tratamos

Tratamos apenas os dados necessários para operar a plataforma, prestar suporte, cumprir obrigações legais e melhorar a experiência. As categorias abaixo refletem o inventário atual do produto.

2.1. Identificadores e cadastro

Nome, e-mail, telefone, senha protegida (hash), CPF, RG, data de nascimento, cargo, foto, endereço, idioma e fuso horário. No nível da empresa: CNPJ, razão social, nome fantasia, inscrições estaduais/municipais, endereço, representantes, sócios e membros.

2.2. Dados comportamentais e técnicos

IP mascarado quando aplicável, identificadores de sessão, cookies, user-agent, fingerprint mínimo de dispositivo/navegador, logs de autenticação, eventos de auditoria, métricas de uso, páginas acessadas, erros e preferências de interface.

2.3. Dados financeiros

Dados bancários (banco, agência, conta), chave Pix, comprovantes e histórico de pagamentos — usados para conciliação financeira, folha de obra e fluxo de adiantamentos. Dados de cartão são processados exclusivamente pelo nosso parceiro de billing (não armazenamos PAN nem CVV em nossos servidores).

2.4. Dados sensíveis (módulo de RH e segurança do trabalho)

Quando o cliente contrata os módulos de RH e segurança do trabalho, podemos tratar dados pessoais sensíveis de funcionários cadastrados pelo cliente: informações de saúde ocupacional, ASO, exames, restrições médicas, acidentes, treinamentos obrigatórios (NR-06, NR-18, NR-35), entrega de EPI e biometria usada para identificação no canteiro. Esses dados ficam restritos ao módulo, com acesso segregado e tratados sob base legal específica (ver seção 5).

2.5. Dados de terceiros inseridos pelo cliente

Dados de sócios, fornecedores cadastrados, prestadores, funcionários, clientes, compradores e demais terceiros que a empresa contratante inserir na plataforma para gerir sua operação. Nesses casos, a empresa contratante é a controladora desses dados, e o Deu Certo Construtor atua como operadora.

3. Como coletamos

Coletamos dados (i) diretamente, via formulários de cadastro, contratação, checkout, configuração de obra, importações em planilha e uploads de anexos; (ii) por integrações ativadas pelo cliente, como a ponte WhatsApp via Meu Construtor (TREE.IA); (iii) por provedores externos contratados pelo cliente (folha de pagamento, NFS-e municipal); e (iv) automaticamente, pela navegação na plataforma e pelos cookies descritos na Política de Cookies.

4. Para que usamos os dados

Operamos a plataforma com base em 12 finalidades, mantidas mínimas e específicas:

  1. Autenticação e gestão da conta do usuário.
  2. Gerenciamento de empresa, obra, equipe e papéis.
  3. Fluxo de cotação coletiva (Clube de Compras) com fornecedores.
  4. Registro de NFS-e e demais documentos fiscais relacionados à obra.
  5. Folha de obra: apontamentos, adiantamentos e fechamentos.
  6. Saúde ocupacional (ASO, exames, restrições) no módulo de RH.
  7. Segurança do trabalho, NRs, ordens de serviço e acidentes.
  8. Gestão e entrega de EPI por funcionário e por obra.
  9. Registro de treinamentos obrigatórios e certificações.
  10. Trilha de auditoria e prevenção a fraude e abuso.
  11. Notificações operacionais e transacionais (e-mail, in-app).
  12. Integração TREE.IA (assinaturas, billing e WhatsApp via Meu Construtor).

5. Bases legais de cada uso

Cada finalidade é justificada por uma base legal específica da LGPD.

  • Execução de contrato (art. 7º, V): autenticação, gestão da conta, obra e equipe, cotação, folha, EPI, treinamentos, notificações transacionais e integração TREE.IA.
  • Cumprimento de obrigação legal ou regulatória (art. 7º, II e art. 11, II, a): NFS-e e documentos fiscais (Lei nº 8.846/1994 e legislação municipal), saúde ocupacional e segurança do trabalho (CLT, NRs do Ministério do Trabalho), registro de acidentes (CAT), retenção de logs de acesso (Marco Civil da Internet, art. 15).
  • Legítimo interesse (art. 7º, IX): trilha de auditoria, prevenção a fraude e abuso, segurança da plataforma e melhoria do produto. Quando aplicável, registramos teste de balanceamento e mantemos canal para oposição (art. 18, § 2º).
  • Consentimento (art. 7º, I e art. 11, I): cookies não essenciais, comunicações de marketing facultativas e tratamentos pontuais que dependam de autorização específica e destacada. O consentimento é livre, informado, inequívoco e pode ser revogado a qualquer tempo.

6. Compartilhamento com operadores e terceiros

Não vendemos dados pessoais. Compartilhamos apenas com operadores contratados, em contratos com cláusulas de proteção e segurança (DPA), e com finalidade estritamente limitada à execução do serviço:

OperadorFinalidadePaísDPA
AWS (sa-east-1)Infraestrutura, banco e storage S3BrasilAWS DPA
ResendE-mail transacionalEstados UnidosResend DPA
Raízes API (TREE.IA)Assinaturas e billing do ecossistemaBrasilContrato TREE.IA
MercadoPagoProcessamento de pagamentos (quando contratado)BrasilMercadoPago DPA
VercelHospedagem do site institucional e telemetria de performanceEstados UnidosVercel DPA
Meu Construtor (TREE.IA)Ponte WhatsApp opcional, quando ativada pelo clienteBrasilContrato TREE.IA

Também podemos compartilhar dados com autoridades públicas, órgãos reguladores e terceiros quando necessário para cumprir obrigação legal, ordem válida, exercer direitos, investigar fraude ou preservar a segurança da plataforma.

7. Transferência internacional de dados

A infraestrutura principal (banco e storage) fica no Brasil (AWS sa-east-1). A transferência internacional ocorre apenas para o provedor de e-mail transacional Resend (Estados Unidos), para a hospedagem do site institucional na Vercel (Estados Unidos) e, eventualmente, para serviços agregados de analytics e performance. A base legal é a execução de contrato e o cumprimento de obrigação legal, na forma do art. 33, IX (c/c art. 7º V da LGPD — execução de contrato), reforçada por cláusulas contratuais específicas (DPA) com garantias equivalentes às da LGPD, conforme art. 33, II. Os destinatários tratam os dados estritamente para a finalidade contratada e estão proibidos de reutilizá-los para outros fins.

8. Tempo de guarda dos dados

Mantemos dados pelo tempo necessário para cumprir as finalidades desta Política e atender obrigações legais. Os prazos padrão são:

  • Dados operacionais da conta e da obra: 5 (cinco) anos após arquivamento da conta ou da obra, para resolução de disputas e exercício regular de direitos.
  • Documentos fiscais (NFS-e, contratos, comprovantes): no mínimo 5 (cinco) anos da emissão; em geral mantemos 7 (sete) anos ou mais, conforme legislação fiscal, tributária e municipal aplicável.
  • Logs de segurança e acesso: 6 (seis) meses, conforme o art. 15 do Marco Civil da Internet (Lei nº 12.965/2014).
  • Notificações in-app e e-mail transacional: 90 (noventa) dias.
  • Backups criptografados: rotação progressiva em até 30 (trinta) dias para a cópia ativa, com propagação posterior pela rotação de chave KMS.

Após o término do tratamento e na ausência de hipótese legal de retenção, os dados são eliminados, anonimizados ou bloqueados, conforme a natureza do registro.

9. Seus direitos como titular de dados

A LGPD assegura a você os 11 direitos previstos no art. 18, além do direito à revisão de decisões automatizadas (art. 20). Você pode exercer cada um deles a qualquer tempo, gratuitamente.

  1. Confirmação da existência de tratamento.
  2. Acesso aos dados tratados.
  3. Correção de dados incompletos, inexatos ou desatualizados.
  4. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade.
  5. Portabilidade dos dados a outro fornecedor de serviço.
  6. Eliminação dos dados tratados com base no consentimento.
  7. Informação sobre as entidades públicas e privadas com as quais compartilhamos seus dados.
  8. Informação sobre a possibilidade de não consentir e as consequências da negativa.
  9. Revogação do consentimento a qualquer tempo.
  10. Peticionar perante a ANPD (gov.br/anpd).
  11. Oposição ao tratamento baseado em legítimo interesse (art. 18, § 2º).
  12. Revisão de decisões tomadas com base em tratamento automatizado (art. 20).

Como exercer: se você é cliente, faça login em portal.deucertoconstrutor.com.br/privacidade/meus-direitos para enviar um pedido pelo próprio painel. Se você não é cliente ou prefere o canal direto, escreva para o Encarregado em henrik@tree.ia.br. Detalhamos cada direito em /lgpd/seus-direitos.

10. Segurança e incidentes

Adotamos medidas técnicas e administrativas proporcionais ao risco: TLS em trânsito, criptografia em repouso (AES-256 via KMS), controle de acesso baseado em papéis, segregação por workspace, logs de auditoria, MFA em contas privilegiadas, redação de PII em logs e práticas seguras no ciclo de desenvolvimento (SDLC).

Em caso de incidente de segurança com risco ou dano relevante aos titulares, avaliaremos os impactos e comunicaremos os titulares afetados e a ANPD em prazo razoável, conforme o art. 48 da LGPD.

11. Crianças e adolescentes

O Deu Certo Construtor não se destina a menores de 18 anos. Realizamos aferição de idade no cadastro (data de nascimento obrigatória). Caso identifiquemos uma conta cujo titular seja menor, a conta é bloqueada imediatamente e os dados pessoais são eliminados ou anonimizados, na forma do art. 14 da LGPD.

Quando uma empresa contratante inserir dados de funcionários menores aprendizes em contexto trabalhista legítimo (por exemplo, Lei do Aprendiz), ela atuará como controladora desses dados, devendo garantir base legal, autorização do responsável quando exigido e limitação do tratamento ao mínimo necessário.

12. Cookies

Usamos cookies essenciais para autenticação e segurança, e cookies não essenciais (funcionais, analytics e marketing) somente com seu consentimento. Detalhes em /politica-de-cookies. Você pode revisar suas escolhas a qualquer tempo no centro de preferências.

13. Encarregado de Dados Pessoais (DPO)

Nosso Encarregado é Henrik Rodrigues Marinho, e o canal de contato é henrik@tree.ia.br. Conheça as atribuições do Encarregado e quando contatá-lo em /encarregado.

14. Alterações nesta Política

Esta Política tem versão 1.0.0, em vigor desde 18 de maio de 2026. Mantemos versões anteriores arquivadas para consulta. Alterações materiais — mudança de finalidade, nova categoria de dados sensíveis, novo operador internacional, alteração significativa em tempos de guarda — exigem reaceite expresso quando o tratamento se baseia em consentimento, e serão comunicadas com antecedência razoável.

15. Foro e legislação aplicável

Esta Política é regida pelas leis da República Federativa do Brasil, com observância da Lei Geral de Proteção de Dados (Lei nº 13.709/2018), do Marco Civil da Internet (Lei nº 12.965/2014) e, quando aplicável, do Código de Defesa do Consumidor (Lei nº 8.078/1990). Fica eleito o foro do domicílio do titular para dirimir questões oriundas desta Política.

Para dúvidas gerais e relacionamento comercial: contato@deucertoconstrutor.com.br. Para temas de privacidade, dados pessoais e exercício de direitos LGPD, fale com o Encarregado: henrik@tree.ia.br.