imerApp

Política de Proteção de Dados

Última atualização: abril de 2026 · versão 1.0

Esta política descreve as medidas técnicas e administrativas adotadas pelo imerApp para proteger os dados pessoais tratados em nossa plataforma, em conformidade com a LGPD (Lei nº 13.709/2018).

1. Governança

  • Encarregado de Proteção de Dados (DPO) designado: dpo@imerapp.com.br.
  • Registro das operações de tratamento (ROPA) mantido e revisado a cada mudança significativa.
  • Análise de impacto (DPIA) realizada para tratamentos de alto risco (dados de crianças, idosos, saúde).
  • Programa de treinamento LGPD para toda a equipe interna com renovação anual.

2. Arquitetura de segurança

  • Multi-tenant com isolamento por Row Level Security (RLS) no Postgres (Supabase), impedindo vazamento cross-instituição mesmo em caso de bug na camada de aplicação.
  • Criptografia em trânsito (TLS 1.2+) e em repouso (AES-256).
  • Autenticação com senha forte (mínimo 10 caracteres) + JWT para APIs; revogação imediata em caso de incidente.
  • Controle granular de permissões por papel e por vínculo aluno/responsável.
  • Tokens de dispositivo (FCM) rotacionáveis e invalidáveis.

3. Ciclo de vida dos dados

  • Coleta: apenas o mínimo necessário à finalidade (princípio da necessidade).
  • Uso: restrito às finalidades informadas na Política de Privacidade.
  • Armazenamento: datacenters no Brasil (Supabase sa-east-1, Fly.io gru) com backups diários criptografados.
  • Compartilhamento: controlado por contratos com operadores (DPAs) e auditado.
  • Eliminação: automatizada por rotinas, com logs de destruição disponíveis sob demanda.

4. Resposta a incidentes

Mantemos um plano de resposta a incidentes com os seguintes passos:

  1. Detecção (monitoramento 24x7 + alertas de anomalia).
  2. Contenção (isolamento do vetor, revogação de credenciais).
  3. Erradicação e recuperação (patches, restauração de backup).
  4. Notificação à ANPD e aos titulares quando houver risco relevante, no prazo do art. 48 da LGPD.
  5. Pós-incidente: revisão de controles e documentação.

5. Terceiros e subcontratados

Todos os operadores terceirizados (hosting, banco, e-mail, push, observabilidade) são avaliados quanto à sua maturidade em segurança e assinam DPA alinhado à LGPD. A lista atualizada é disponibilizada mediante solicitação ao DPO.

6. Direitos dos titulares

Fluxo de atendimento das requisições do art. 18 da LGPD:

  1. Recebimento via dpo@imerapp.com.br ou formulário no painel.
  2. Validação de identidade em até 3 dias úteis.
  3. Resposta em até 15 dias corridos, gratuita.
  4. Em caso de negativa, apresentação de motivação técnica/legal e indicação de recurso à ANPD.

7. Retenção e descarte

  • Dados operacionais: enquanto a conta estiver ativa.
  • Logs de acesso (Marco Civil): 6 meses.
  • Registros fiscais: 5 anos.
  • Dados sensíveis de crianças, adolescentes e idosos após desligamento: 30 dias (salvo obrigação legal).

8. Avaliação periódica

Auditorias internas trimestrais e revisões de terceiros (quando aplicável) avaliam a eficácia dos controles descritos nesta política.

9. Contato

Dúvidas, sugestões e reclamações: dpo@imerapp.com.br.