Política de Privacidade

Palanque Tecnologia Ltda. é uma empresa brasileira desenvolvedora e operadora da plataforma SaaS Palanque, voltada à gestão político-administrativa de gabinetes de vereadores, prefeitos, deputados e demais mandatários. Para fins desta Política, a Palanque é o Operador dos dados pessoais dos eleitores, tratando-os exclusivamente sob instrução do Controlador (o gabinete contratante).

Em relação aos dados dos próprios Usuários da Plataforma (membros da equipe do gabinete), a Palanque atua como Controladora, responsável pelas decisões de tratamento.

2.1. Dados dos Usuários da Plataforma (equipe do gabinete):

• Nome completo, endereço de e-mail e senha (hashada);
• Cargo/função dentro do gabinete;
• Logs de acesso: IP, user agent, data/hora de login e aceite de termos;
• Atividades realizadas na plataforma (audit log interno).

2.2. Dados de Eleitores / Cidadãos (inseridos pelo Contratante):

• Nome, telefone (WhatsApp), e-mail, endereço, bairro, cidade;
• Demandas, solicitações e histórico de atendimento;
• Mensagens de WhatsApp (texto e transcrições de áudio);
• Imagens e documentos compartilhados via WhatsApp (quando aplicável);
• Data de nascimento (para automação de parabéns, quando informada);
• Categoria de apoiador, observações e notas do gabinete.

2.3. Dados Técnicos e de Uso:

• Endereço IP, tipo de navegador, sistema operacional;
• Logs de requisições à API;
• Consumo de tokens de inteligência artificial (sem conteúdo das mensagens);
• Cookies de sessão e autenticação.

A Palanque utiliza serviços de terceiros sediados nos Estados Unidos da América para a prestação de seus serviços. Isso implica transferência internacional de dados pessoais, nos termos do Art. 33 da LGPD. As garantias aplicadas são:

• Supabase Inc.: Banco de dados e autenticação. Dados armazenados em servidores AWS com certificações SOC 2 Type II e ISO 27001. Cláusulas contratuais padrão aplicadas.
• OpenAI Inc.: Processamento de mensagens pelo agente de IA e transcrição de áudios. OpenAI possui DPA específico com cláusulas contratuais padrão da UE (SCCs). Os dados são usados exclusivamente para geração de resposta e NÃO são utilizados para treino de modelos.
• Vercel Inc.: Hospedagem da aplicação web. SOC 2 Type II certificado.
• Google LLC (quando integração ativada): Dados de eventos da agenda compartilhados com o Google Calendar. Sujeitos à Política de Privacidade do Google e ao DPA Enterprise.
• ElevenLabs Inc. (quando ativado): Síntese de voz a partir de textos. DPA disponível em elevenlabs.io.

O Contratante, ao utilizar estas funcionalidades, reconhece e consente com as transferências internacionais descritas acima, conforme Art. 33, VIII da LGPD.

Os dados são retidos pelos seguintes prazos:

Os titulares de dados pessoais têm os seguintes direitos, exercíveis mediante solicitação ao DPO:

• Confirmação e Acesso (Art. 18, I e II): saber se seus dados são tratados e obter cópia deles;
• Correção (Art. 18, III): solicitar a correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, Bloqueio ou Eliminação (Art. 18, IV): de dados desnecessários, excessivos ou tratados em desconformidade;
• Portabilidade (Art. 18, V): receber seus dados em formato estruturado e interoperável;
• Eliminação (Art. 18, VI): de dados tratados com base em consentimento, ressalvadas hipóteses legais de retenção;
• Informação sobre compartilhamento (Art. 18, VII): saber com quais entidades públicas e privadas seus dados são compartilhados;
• Informação sobre não consentimento (Art. 18, VIII): ser informado sobre a possibilidade de não fornecer consentimento e as consequências;
• Revogação do consentimento (Art. 18, IX): revogar o consentimento a qualquer momento.

Para exercer qualquer desses direitos, o titular deve entrar em contato pelo e-mail dpo@palanque.co, com identificação e especificação clara do direito que deseja exercer. O prazo de resposta é de até 15 dias úteis.

Importante: Os dados dos eleitores são geridos pelo Contratante (gabinete político). Solicitações de eleitores referentes a seus dados devem ser direcionadas primeiramente ao gabinete responsável pelo tratamento. A Palanque auxiliará o Contratante no atendimento dessas solicitações.

A Palanque adota as seguintes medidas técnicas e organizacionais de segurança:

• Criptografia em trânsito (TLS 1.3) para todas as comunicações;
• Senhas armazenadas com hash bcrypt — a Palanque nunca tem acesso às senhas em texto claro;
• Autenticação via Supabase Auth com suporte a 2FA;
• Isolamento de dados por tenant (Row Level Security no banco de dados PostgreSQL);
• Acesso ao banco de dados restrito por lista de IPs e credenciais de serviço rotacionadas;
• Logs de acesso monitorados com alertas para comportamentos anômalos;
• Backups automáticos diários com retenção de 30 dias;
• Política de acesso mínimo necessário (least privilege) para colaboradores internos.

Em caso de incidente de segurança que possa resultar em risco ou dano relevante aos titulares, a Palanque notificará a ANPD e o Contratante no prazo de 72 horas a partir da ciência do incidente, conforme Art. 48 da LGPD.

A Plataforma utiliza os seguintes tipos de cookies:

• Cookies de sessão / autenticação (essenciais): necessários para manter o Usuário autenticado na Plataforma. Sem eles, o login não é possível. Não requerem consentimento (base: execução de contrato — Art. 7º, V, LGPD).
• Cookies de preferência: armazenam preferências de uso (ex: "permanecer conectado"). Expiram em 30 dias quando a opção é ativada pelo Usuário.

A Palanque não utiliza cookies de rastreamento de terceiros nem pixels de publicidade dentro da área autenticada da Plataforma.

Para fins de conformidade legal e capacidade de resposta a eventuais litígios ou investigações regulatórias, a Palanque registra, de forma permanente e inalterável, o aceite destes Termos por cada Usuário, contendo:

• Identificador único do Usuário e e-mail cadastrado;
• Identificador do gabinete (tenant);
• Versão dos Termos de Uso e da Política de Privacidade aceitas;
• Data e hora exata do aceite (UTC);
• Endereço IP do dispositivo no momento do aceite;
• User Agent do navegador/dispositivo utilizado.

Esses registros são base legal para a atividade de tratamento (Art. 7º, V — execução de contrato) e constituem prova documental nos termos do Art. 38 da LGPD. Não são utilizados para nenhuma outra finalidade.

A Plataforma não é destinada a menores de 18 anos e não coleta dados pessoais de crianças ou adolescentes de forma intencional. Caso o Contratante cadastre inadvertidamente dados de menores, deve notificar imediatamente a Palanque pelo e-mail dpo@palanque.co para remoção dos dados.

A Palanque reserva-se o direito de alterar esta Política de Privacidade a qualquer momento. Alterações relevantes serão comunicadas com antecedência mínima de 15 dias via e-mail ou notificação na Plataforma. A versão atualizada entrará em vigor na data indicada no cabeçalho. O uso continuado da Plataforma após essa data constituirá aceite da nova versão.

Para exercício de direitos, dúvidas, denúncias de incidentes ou solicitações relacionadas a esta Política, entre em contato com o Encarregado de Proteção de Dados da Palanque:

Caso não esteja satisfeito com nossa resposta, você tem o direito de apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) — www.gov.br/anpd.