Versão revisada em 27 de maio de 2026

1. Introdução

A Dharma-AI (“Nós”, “Nossa”, “Empresa”) é uma empresa fornecedora de soluções de reconhecimento óptico de caracteres (OCR), de inteligência artificial para processamento de documentos e de outras soluções baseadas em modelos de linguagem compactos e eficientes, conhecidos como Small Language Models (SLMs). Esta Política de Privacidade (“Política”) informa como coletamos, utilizamos, armazenamos, compartilhamos e protegemos dados pessoais de acordo com a Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018) e demais legislação brasileira aplicável, incluindo o Marco Civil da Internet (Lei nº 12.965/2014).

Compreendemos que a privacidade é fundamental para a confiança entre nossa empresa e você (“Titular de Dados”, “Você” ou “Usuário”). Operamos conforme os princípios LGPD de finalidade, adequação, necessidade, transparência, segurança, sigilo e responsabilidade.

Esta Política é apresentada em linguagem clara e acessível. Recomendamos leitura integral antes de utilizar nossos serviços. Caso tenha dúvidas, entre em contato com o Encarregado pela Proteção de Dados ou com o canal de privacidade da Dharma-AI pelo e-mail: privacy@dharma-ai.com.

Atualizações: Atualizamos regularmente esta Política para refletir mudanças em nossas operações, requisitos legais, tecnologia, arquitetura de subprocessadores, contratos com clientes ou documentação interna de segurança e continuidade. Comunicaremos alterações materiais por e-mail (para clientes cadastrados) ou através de aviso destacado em nosso site. A continuidade no uso dos serviços após notificação implica ciência da versão atualizada, conforme aplicável.

2. Definições Relevantes

Para melhor compreensão desta Política, definimos os seguintes termos conforme LGPD:

Dados Pessoais: Informação relacionada a pessoa natural identificada ou identificável.

Dados Pessoais Sensíveis: Dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, dados genéticos, biométricos para identificação, saúde ou vida sexual.

Titular de Dados: Pessoa natural a quem se referem os dados pessoais.

Controladora (Data Controller): Entidade que determina as finalidades e meios do tratamento de dados pessoais.

Operadora (Data Processor): Entidade que processa dados pessoais em nome da Controladora, conforme suas instruções.

Tratamento: Qualquer operação realizada com dados pessoais (coleta, armazenamento, acesso, compartilhamento, eliminação, etc.).

Encarregado (DPO): Pessoa designada para atuar como canal de comunicação entre a empresa, titulares e autoridades sobre proteção de dados.

Anonimização: Remoção de identificadores de forma irreversível, tornando impossível associar dados a uma pessoa.

Pseudonimização: Substituição de identificadores por valores artificiais, mantendo possibilidade de re-identificação.

Transferência Internacional de Dados: Movimento de dados pessoais para fora do Brasil.

Incidente de Segurança (Brecha de Dados): Evento não autorizado que compromete confidencialidade, integridade ou disponibilidade de dados pessoais.

Acordo de Proteção de Dados (DPA): Instrumento contratual celebrado entre a Dharma-AI e o cliente Controlador que estabelece as condições, obrigações e garantias aplicáveis ao tratamento de dados pessoais realizado pela Dharma-AI na qualidade de Operadora.

Documento de Uso Aceitável (DUA): Instrumento que disciplina as condições de uso aceitável das soluções e APIs da Dharma-AI, incluindo restrições de finalidade, proibições de uso e responsabilidades do cliente.

Small Language Models (SLMs): Modelos de linguagem de menor porte, otimizados para processamento eficiente de tarefas específicas, como reconhecimento óptico de caracteres (OCR) e análise de documentos, utilizados nas soluções da Dharma-AI.

3. Quais Dados Pessoais Coletamos e Processamos?

Coletamos e processamos dados pessoais em diferentes contextos, conforme descrito a seguir:

3.1. Dados de Cadastro, Contato e Recrutamento

Quando você se registra em nossos serviços, solicita informações, participa de processos seletivos ou interage conosco, coletamos:

• Nome completo e dados de identificação (CPF, RG)
• Endereço residencial ou comercial e localização geográfica
• Endereço de e-mail e número(s) de telefone/celular
• Informações profissionais (cargo, empresa, setor, LinkedIn, GitHub, perfis profissionais)
• Currículo e histórico profissional (em formatos como PDF, DOC, DOCX)
• Dados de interação (logs de comunicação, histórico de suporte, registros de atendimento)

Justificativa: Esses dados são necessários para identificá-lo, manter contato, fornecer suporte, processar solicitações comerciais e gerenciar relacionamento profissional. No contexto de contratos com clientes corporativos, esses dados também permitem gerenciar relacionamento comercial e comunicações sobre serviços prestados.

3.2. Dados de Uso de Produtos e Serviços (Processamento via API e Soluções de IA)

Quando você ou sua organização utiliza nossas APIs, plataformas, serviços de OCR, processamento de documentos ou outras soluções de IA, coletamos e processamos:

• Dados de Entrada: Documentos, imagens, arquivos, prompts, bases de dados e demais informações submetidas para processamento através de nossas interfaces (APIs, plataformas, aplicações integradas). Dados de treinamento, validação ou retreinamento somente serão tratados quando submetidos ou expressamente autorizados pelo cliente controlador, conforme contrato, DPA, DUA ou instrumento específico aplicável.
• Dados de Saída: Textos estruturados, metadados, informações extraídas, inferências, previsões, automações, outputs de modelos e demais resultados do processamento (resultado OCR, análise de conteúdo ou resposta gerada por modelos de IA)
• Dados de Operação: Metadados sobre o processamento (timestamp de submissão, horário de conclusão, versão da API, versão do modelo, parâmetros de configuração, métricas de desempenho, logs, traces e registros de auditoria)
• Dados do Ambiente de Processamento: Quando a solução é implementada em edge computing, ambiente on-premise, nuvem privada ou infraestrutura do cliente, registramos informações técnicas sobre o ambiente de execução, conforme necessário para operação, segurança, suporte e auditoria

Justificativa: Esses dados são essenciais para prestação dos serviços de OCR, processamento de documentos e IA, incluindo inferência, monitoramento, garantia de qualidade, auditoria operacional, suporte técnico e cumprimento de obrigações contratuais. Treinamento, validação, retreinamento ou melhoria de modelos com dados de clientes controladores somente ocorrerá mediante autorização prévia, expressa e formal do cliente controlador, prevista em contrato, DPA, DUA ou instrumento específico. Em regra, quando processa dados submetidos por clientes corporativos, a Dharma-AI atua como Operadora, executando instruções específicas e garantindo conformidade com proteção de dados.

3.3. Dados de Autenticação, Acesso e Logs de Segurança

Durante utilização de nossos serviços, podemos coletar:

• Endereço IP (Internet Protocol) e identificador de dispositivo
• Dados de autenticação (nome de usuário, hash de senha – nunca a senha em texto plano)
• Tokens de autenticação, sessões e chaves de API
• Registros de workflow e atividades (quem acessou, quando, que ações foram realizadas)
• Localização geográfica derivada do dispositivo ou IP
• Data, hora e duração das sessões (timestamps)
• Informações sobre navegação em nosso site (páginas visitadas, tempo de permanência, cliques)

Justificativa: Esses dados são necessários para autenticação segura, prevenção de fraude, investigação de incidentes de segurança, auditoria de conformidade e cumprimento do Marco Civil da Internet (Lei nº 12.965/2014), que exige retenção de logs por no mínimo 6 meses.

3.4. Dados em Deployments Embedded, On-Premise ou em Infraestrutura do Cliente

Quando a solução for implantada em infraestrutura do cliente, ambiente on-premise, edge computing, nuvem privada ou deployment embedded, a Dharma-AI poderá tratar dados técnicos de operação, saúde do serviço, logs, métricas, versões de modelos, configurações e evidências necessárias para suporte, auditoria, segurança, observabilidade e continuidade operacional. Nesses cenários, o cliente mantém as decisões sobre finalidade, base legal e ambiente primário de tratamento, enquanto a Dharma-AI atua como operadora e prestadora de suporte técnico, salvo disposição contratual específica em sentido diverso.

4. Para Quais Finalidades Tratamos Dados Pessoais?

Processamos dados pessoais para as seguintes finalidades legítimas:

4.1. Prestação e Operação de Serviços

• Operação, manutenção, desenvolvimento e melhoria de nossos produtos (APIs de OCR, plataformas de processamento, soluções de IA e modelos de linguagem)
• Processamento de documentos, imagens, prompts, bases de dados e demais informações conforme solicitado através de nossas interfaces
• Diagnóstico e resolução de problemas técnicos
• Geração de relatórios de uso, métricas de desempenho, logs técnicos e registros de auditoria para clientes
• Garantia de disponibilidade e conformidade com Acordos de Nível de Serviço (SLAs)

Base Legal: Execução de contrato (Art. 7º, V, LGPD) e consentimento (Art. 7º, I, LGPD), conforme aplicável.

4.2. Comunicação e Suporte

• Envio de confirmações, notificações e informações sobre serviços
• Prestação de suporte técnico, resposta a dúvidas e resolução de problemas
• Comunicação sobre atualizações, segurança, ou mudanças na política
• Personalização de comunicações e recomendações de serviços
• Coleta de feedback, avaliações de satisfação e pesquisas

Base Legal: Execução de contrato (Art. 7º, V, LGPD) e, para comunicações de marketing, consentimento (Art. 7º, I, LGPD).

4.3. Processos de Recrutamento e Seleção

• Avaliação de candidatos em processos seletivos
• Condução de entrevistas e testes
• Verificação de referências e antecedentes (quando aplicável)
• Manutenção de banco de talentos (com consentimento específico do candidato)

Base Legal: Consentimento (Art. 7º, I, LGPD) ou interesse legítimo da empresa em identificar e recrutar talentos (Art. 7º, IX, LGPD).

4.4. Faturamento, Cobrança e Gestão Contratual

• Emissão de faturas e notas fiscais
• Processamento de pagamentos e cobranças
• Gerenciamento de crédito e avaliação de risco
• Cumprimento de obrigações fiscais, tributárias e contábeis
• Administração de relacionamento comercial e renovação de contratos

Base Legal: Execução de contrato (Art. 7º, V, LGPD) e obrigação legal (Art. 7º, II, LGPD).

4.5. Segurança, Conformidade Legal e Investigação

• Prevenção, detecção e investigação de fraudes, ataques cibernéticos e abuso de serviços
• Resposta a incidentes de segurança e proteção de infraestrutura
• Cumprimento de obrigações legais, regulatórias e ordens judiciais
• Defesa de direitos legais da empresa em processos judiciais ou administrativos
• Aplicação dos Termos de Uso e demais políticas da empresa
• Investigação de violações de contrato ou políticas

Base Legal: Obrigação legal (Art. 7º, II, LGPD), exercício regular de direitos (Art. 7º, VI, LGPD) e interesse legítimo (Art. 7º, IX, LGPD).

4.6. Análise, Pesquisa e Aprimoramento de Serviços

• Análise de tendências de uso, padrões de comportamento e preferências
• Pesquisa e desenvolvimento de novos produtos, funcionalidades e modelos de IA
• Melhoria da experiência do usuário e otimização de interfaces
• Testes A/B, análises estatísticas e estudos de viabilidade
• Relatórios internos sobre desempenho, métricas e qualidade de modelos (quando anonimizados ou agregados)

Base Legal: Interesse legítimo da empresa (Art. 7º, IX, LGPD) e consentimento (Art. 7º, I, LGPD), conforme aplicável. A Dharma-AI não utiliza dados pessoais, dados de entrada, dados de saída, documentos, prompts ou bases de clientes controladores para treinamento, retreinamento, validação ou melhoria de modelos para fins próprios, salvo mediante autorização prévia, expressa e formal do cliente controlador, prevista em contrato, DPA, DUA ou instrumento específico de uso de dados, observadas as bases legais aplicáveis e medidas de anonimização ou pseudonimização quando cabíveis.

5. Nosso Papel no Tratamento de Dados: Controladora vs. Operadora

É crucial compreender nosso duplo papel, que varia conforme o contexto:

5.1. Quando Atuamos como Controladora (Data Controller)

A Dharma-AI determina as finalidades e meios de processamento quando:

• Você se cadastra em nosso site, solicita informações ou entra em contato conosco
• Você participa de processos seletivos para trabalhar conosco
• Você é registrado para fins de marketing, newsletter ou comunicações comerciais
• Você utiliza nossos serviços de suporte ou atendimento
• Realizamos análises internas, pesquisa e desenvolvimento, e otimização de plataformas, quando definimos as finalidades e meios do tratamento

Nessas situações, a Dharma-AI decide o que fazer com seus dados, conforme descrito nesta Política. Você tem direitos plenos conforme a Seção 10 (Direitos dos Titulares).

5.2. Quando Atuamos como Operadora (Data Processor)

A Dharma-AI executa instruções de terceiros (seus clientes corporativos) quando:

• Você ou sua organização submete documentos, imagens, dados, prompts ou bases através de nossas APIs, plataformas ou soluções de IA para OCR, avaliação, inferência, monitoramento, suporte ou treinamento/retreinamento autorizado por instrumento específico
• Os dados são processados conforme configuração e instruções fornecidas pelo cliente (Controlador)
• Você é titular de dados cuja informação foi incluída em um documento submetido por um cliente

Nessas situações, o cliente (não a Dharma-AI) decide por que e como os dados são processados. A Dharma-AI executa as instruções do cliente, sob contrato, DPA ou instrumento equivalente, e é responsável por aplicar as medidas técnicas e organizacionais de segurança, confidencialidade, suporte e conformidade compatíveis com o escopo contratado.

Implicação Prática: Se seus dados foram processados através de uma API, plataforma, solução de IA ou deployment embedded da Dharma-AI por uma terceira empresa, solicite ao cliente (Controlador) originário para exercer direitos como acesso, correção, portabilidade ou exclusão. Caso a Dharma-AI receba diretamente uma solicitação relacionada a dados tratados como Operadora, poderá encaminhá-la ao Controlador ou apoiá-lo conforme contrato e legislação aplicável.

Em projetos de inovação conjunta ou parcerias tecnológicas complexas, caso haja decisões conjuntas sobre finalidades e meios do tratamento, as responsabilidades serão definidas em instrumento próprio, como DPA ou acordo de co-controladoria.

5.3. Deployments Embedded e Responsabilidade Operacional do Cliente

Em deployments embedded, on-premise, nuvem privada ou infraestrutura do cliente, a infraestrutura primária, regras de acesso, disponibilidade do ambiente e bases legais do tratamento permanecem sob responsabilidade do cliente controlador, salvo obrigação contratual específica assumida pela Dharma-AI. A Dharma-AI poderá apoiar a recuperação e continuidade fornecendo artefatos, versões de modelos, configurações, evidências técnicas, observabilidade e suporte, sem operar failover ou recuperação primária da infraestrutura do cliente em nome do cliente, salvo previsão contratual expressa.

6. Compartilhamento de Dados Pessoais

A Dharma-AI não compartilha seus dados pessoais com terceiros sem consentimento ou base legal, exceto nas situações descritas:

6.1. Provedores de Infraestrutura e Serviços Técnicos

• Provedores de Computação em Nuvem (ex.: AWS e Google Cloud): Hospedagem, armazenamento, processamento, backup, treinamento autorizado, inferência e recuperação de desastres em servidores localizados no Brasil e, quando contratualmente previsto ou formalmente necessário para contingência, em outras jurisdições com salvaguardas adequadas. Esses provedores atuam como operadores/suboperadores conforme acordos de proteção de dados.
• Ferramentas corporativas de comunicação e colaboração: Para comunicações operacionais, suporte, incidentes e relacionamento com clientes, quando aplicável e conforme contratos e DPAs vigentes.
• Ferramentas de análise, observabilidade e monitoramento técnico: Para análise de desempenho, disponibilidade, segurança, métricas, logs, traces e troubleshooting técnico.
• Provedor de Armazenamento em Nuvem: Para backup e recuperação de desastres.

Todos os provedores são vinculados por contratos de proteção de dados que garantem confidencialidade, segurança e cumprimento da LGPD.

6.2. Integrações, Ferramentas de Análise e Subprocessadores

Para operação de plataforma, análise de dados e soluções de IA, a Dharma-AI pode utilizar subprocessadores e integrações nas seguintes categorias, sempre limitados ao mínimo necessário para a finalidade contratada:

• Ferramentas de MLOps, LLMOps, experiment tracking, versionamento e CI/CD, como plataformas de versionamento, pipelines de build/release, repositórios de artefatos, registries de modelos, ferramentas de tracking e ambientes de avaliação.
• Plataformas de análise de desempenho, observabilidade, logging, monitoramento técnico e detecção de incidentes, incluindo métricas, logs, traces e dashboards de disponibilidade.
• Ferramentas corporativas de colaboração, comunicação operacional, suporte, gestão de incidentes, segurança, gestão de vulnerabilidades, secret management, IAM/SSO, cloud monitoring, provedores de GPU, bibliotecas/modelos base e outros serviços técnicos necessários para a operação, segurança e continuidade da plataforma.

Cada subprocessador é contratado ou utilizado com obrigações de confidencialidade, segurança e proteção de dados compatíveis com a LGPD e com os contratos aplicáveis. A lista vigente de subprocessadores e categorias de tratamento deve ser mantida atualizada pela Dharma-AI e disponibilizada a clientes controladores mediante solicitação, ou conforme mecanismo contratual específico.

6.3. Autoridades Legais e Requisições Judiciais

Compartilhamos dados quando legalmente obrigados:

• Cumprimento de ordens judiciais, mandados ou decisões de tribunais
• Requisições formais de autoridades administrativas, policiais ou regulatórias
• Investigação e prevenção de fraudes, crimes ou violações de lei
• Defesa de direitos legais da empresa em litígios

Quando legalmente possível, notificaremos você de tais requisições com antecedência para que possa buscar proteção legal. Compartilharemos apenas dados minimamente necessários.

6.4. Clientes (Controladores) – Dados Processados via API e Soluções de IA

Quando você submete dados através de nossas APIs, plataformas ou soluções de IA, o cliente (Controlador) recebe os resultados do processamento (Dados de Saída). A Dharma-AI atua como intermediária técnica, sob contratos feitos para estar em conformidade com a LGPD, e não utiliza esses dados para outros fins sem autorização contratual ou base legal aplicável.

6.5. Dados NÃO Compartilhados

A Dharma-AI NUNCA compartilha dados pessoais:

• Com empresas de marketing, publicidade ou redes sociais sem consentimento explícito
• Para venda comercial, aluguel ou cessão
• Com finalidades não autorizadas por lei e regulamentação
• De forma não consensual, quando exigido o consentimento

7. Transferência Internacional de Dados Pessoais

A Dharma-AI poderá realizar o tratamento de dados pessoais utilizando infraestruturas tecnológicas e serviços de computação em nuvem operados por provedores que possuem infraestrutura distribuída globalmente.

Em razão dessa arquitetura tecnológica, poderá ocorrer transferência internacional de dados pessoais, inclusive para armazenamento ou processamento em servidores localizados fora do território brasileiro.

Sempre que houver transferência internacional de dados, a Dharma-AI adotará medidas para garantir que o tratamento ocorra em conformidade com a legislação aplicável de proteção de dados, em especial a Lei Geral de Proteção de Dados Pessoais, incluindo a adoção de salvaguardas contratuais, organizacionais e técnicas adequadas para proteção das informações.

7.1. Mecanismos de Garantia de Proteção Adequada

• Cláusulas-Padrão Contratuais (Standard Contractual Clauses – SCCs): Modelo aprovado pela ANPD que garante proteção equivalente à LGPD. Aplicam-se especialmente para transferências a prestadores em países sem adequação reconhecida (como EUA).
• Decisões de Adequação: Quando reconhecidas pela ANPD, utilizamos avaliações de adequação de proteção de países específicos.
• Consentimento Informado: Para transferências não cobertas pelos mecanismos acima, solicitamos seu consentimento explícito.

7.2. Localização dos Servidores

• Brasil: Data centers e regiões de nuvem em São Paulo, incluindo AWS sa-east-1 e/ou Google Cloud southamerica-east1, conforme arquitetura, contrato e requisitos de residência de dados aplicáveis.
• Estados Unidos ou outras regiões fora do Brasil: Quando contratualmente previsto, exigido por subprocessadores globais ou em hipóteses de backup, contingência, suporte ou recuperação de desastres formalmente aplicáveis, com avaliação de LGPD, mecanismos de transferência internacional e aprovação interna quando necessário.
• Outras Jurisdições: Dependendo de decisões futuras sobre infraestrutura, subprocessadores ou parcerias, sempre com proteção adequada, mecanismos de transferência aplicáveis, avaliação contratual e transparência aos clientes controladores quando exigida.

7.3. Seus Direitos em Transferências Internacionais

• Conhecer quais dados são transferidos, para onde e por qual motivo
• Informações sobre mecanismos de proteção em vigência
• Solicitar restrições a transferências (sujeito a viabilidade técnica)
• Exercer direitos conforme LGPD mesmo em dados transferidos (acesso, correção, exclusão)

8. Armazenamento e Proteção de Dados Pessoais

8.1. Onde Armazenamos Seus Dados

Os dados coletados pela Dharma-AI são armazenados, conforme sua natureza e finalidade, em servidores seguros de provedores de nuvem de classe corporativa, como Amazon Web Services (AWS) e Google Cloud, e em subprocessadores técnicos necessários à operação, observabilidade, segurança, colaboração e suporte, conforme contratos aplicáveis. Os data centers podem estar localizados no Brasil ou em outras regiões, conforme arquitetura, contrato, redundância e recuperação de desastres. Os controles descritos nesta seção são aplicados pela Dharma-AI ou exigidos contratualmente de seus subprocessadores, podendo variar conforme o produto, deployment e escopo contratado.

8.2. Criptografia e Proteção em Trânsito

SSL/TLS (Secure Sockets Layer / Transport Layer Security): Protocolo padrão que cria um canal criptografado entre seu dispositivo e nossos servidores. Qualquer comunicação com nossas APIs é automaticamente criptografada (HTTPS obrigatório).

Certificados de Autenticidade: Certificados digitais validam que você está realmente se conectando aos servidores da Dharma-AI, não a uma entidade falsa.

Sigilo de Senha: Senhas nunca são armazenadas em texto plano, apenas em forma de hash criptográfico unidirecional.

8.3. Proteção de Dados em Repouso

Criptografia AES-256: Standard militar de criptografia que protege dados armazenados em discos e backups.

Serviços de Gerenciamento de Chaves (KMS): Gerenciamento centralizado de chaves criptográficas com controles de acesso granulares.

Isolamento de Dados: Dados de diferentes clientes/usuários são isolados logicamente; acesso requer autenticação específica.

Redundância e Backup: Cópias de segurança são mantidas em múltiplos locais para garantir recuperação em caso de desastre.

8.4. Controle de Acesso (IAM) e Segurança de Acesso

Identity and Access Management (IAM): Cada membro da equipe da Dharma-AI recebe permissões específicas baseadas no cargo (princípio de menor privilégio).

Autenticação Multi-Fator (MFA): Acesso a sistemas críticos requer múltiplas formas de identificação.

Logs de Auditoria: Qualquer acesso a dados é registrado para fins de auditoria, rastreamento e investigação.

Restrição de Acesso Físico: Data centers dos provedores de nuvem possuem controles de acesso físico, vigilância 24/7 e políticas de identificação rigorosas.

8.5. Minimização, Sanitização e Segurança de Logs

A Dharma-AI adota medidas de minimização para reduzir a exposição de dados pessoais, dados sensíveis, segredos, tokens, chaves de API, credenciais e dados de clientes em logs, traces, ferramentas de observabilidade, canais colaborativos e sistemas de suporte. Sempre que possível, registros técnicos são pseudonimizados, mascarados, agregados ou limitados ao mínimo necessário para diagnóstico, segurança, auditoria e cumprimento contratual. É vedado registrar deliberadamente senhas, segredos, chaves privadas ou credenciais em logs, tickets ou canais de comunicação.

9. Por Quanto Tempo Guardamos Seus Dados?

A Dharma-AI mantém dados pessoais apenas pelo período estritamente necessário para as finalidades legítimas para as quais foram coletados, conforme princípio da necessidade da LGPD.

9.1. Regras Gerais de Retenção

Os prazos abaixo são diretrizes gerais. Quando o contrato, DPA, DUA, política de backup, obrigação legal/regulatória ou instrução válida do cliente controlador estabelecer prazo mais específico ou mais restritivo, esse prazo prevalecerá. Ao final do prazo aplicável, os dados serão eliminados, anonimizados ou bloqueados, conforme o caso e a viabilidade técnica.

9.2. Exclusão, Anonimização e Restrições Técnicas

Quando a exclusão imediata não for tecnicamente possível, por exemplo em backups protegidos, logs imutáveis ou registros necessários para auditoria, segurança ou defesa de direitos, a Dharma-AI restringirá o acesso e manterá os dados apenas pelo prazo necessário, eliminando-os ou anonimizando-os ao final do ciclo aplicável.

10. Direitos dos Titulares de Dados

A LGPD garante a você diversos direitos fundamentais. Abaixo, explicamos cada um e como exercê-los:

10.1. Seus Direitos Explicitamente Garantidos

• Confirmação da Existência de Tratamento. Direito de confirmar se a Dharma-AI mantém dados seus e em qual contexto.
• Acesso aos Dados Pessoais Conservados. Direito de receber cópia clara, acessível e completa de todos os dados pessoais que mantemos sobre você, incluindo finalidades, origem dos dados, histórico de compartilhamento e período de retenção.
• Correção de Dados Incompletos, Inexatos ou Desatualizados. Direito de solicitar correção de informações incorretas, incompletas ou obsoletas. A Dharma-AI corrigirá sem demora injustificada, notificando você sobre a atualização.
• Anonimização, Bloqueio ou Eliminação. Direito de solicitar anonimização, bloqueio, eliminação (“direito ao esquecimento”). Exceção: Dados sujeitos a obrigações legais de retenção (como documentos fiscais) serão mantidos conforme lei.
• Portabilidade dos Dados. Direito de receber seus dados em formato estruturado, comumente utilizado e legível, para transferência a outro fornecedor de serviço. A Dharma-AI fornecerá dados em formato aberto (JSON, CSV, XML, conforme aplicável) sem custo adicional.
• Eliminação de Dados Pessoais Tratados com Consentimento. Direito de revogar consentimento e solicitar eliminação de dados cuja retenção dependa exclusivamente de seu consentimento (ex: dados de marketing, banco de talentos).
• Informação sobre Compartilhamento. Direito de saber com quais entidades públicas e privadas seus dados foram compartilhados, para quais finalidades e sob qual fundamento legal.
• Oposição ao Tratamento. Direito de se opor ao processamento de seus dados quando: realizado sem seu consentimento e sem base legal válida; utilizado para fins de marketing ou criação de perfis automatizados (profiling).
• Informações sobre Decisões Automatizadas. Caso a Dharma-AI utilize sistemas automatizados (algoritmos, inteligência artificial) para tomar decisões que o afetem significativamente (ex: recusa de acesso), você tem direito a explicação sobre a lógica da decisão, significância e consequências. A Dharma-AI manterá intervenção humana para decisões críticas.

10.2. Como Exercer Seus Direitos

Quem Pode Solicitar

• Você pessoalmente (Titular)
• Representante legal (com procuração)
• Responsável legal (pai/mãe de menor)

Canal de Solicitação: Envie sua solicitação por escrito para nosso Encarregado pela Proteção de Dados (DPO) através de:

• E-mail: privacy@dharma-ai.com
• Assunto: Especificar direito: “Solicito Acesso aos Meus Dados” ou “Solicito Exclusão de Dados”, etc.

Conteúdo Mínimo da Solicitação

• Identificação clara (nome completo, CPF, e-mail)
• Descrição específica do direito que deseja exercer
• Detalhes dos dados em questão (datas, contexto, serviço utilizado)
• Forma de resposta preferida (e-mail, correspondência, etc.)

Verificação de Identidade: A Dharma-AI pode solicitar informações adicionais para confirmar sua identidade antes de processar a solicitação, especialmente para direitos sensíveis como exclusão total de dados.

Solicitações Relacionadas a Dados de Clientes Controladores: Quando a Dharma-AI atuar como Operadora, a solicitação poderá ser direcionada ao cliente Controlador responsável ou tratada com apoio da Dharma-AI, conforme contrato, DPA e instruções do Controlador. A Dharma-AI cooperará sem demora indevida e nos prazos contratuais aplicáveis.

10.3. Prazos de Resposta

• Prazo Padrão: A Dharma-AI responderá a sua solicitação em até 15 (quinze) dias úteis, contados do recebimento.
• Prazo Estendido: Em casos complexos ou com alto volume de dados, o prazo pode ser estendido uma única vez por até 10 (dez) dias úteis adicionais, com notificação prévia explicando o motivo.
• Confirmação de Recebimento: Você receberá confirmação de recebimento da solicitação dentro de 2 (dois) dias úteis.
• Solicitação Negada: Caso a solicitação seja negada (ex: dado sujeito a obrigação legal de retenção), a Dharma-AI explicará os motivos legais e informará sobre recursos disponíveis.

10.4. Recursos em Caso de Indeferimento

• Solicitar reconsideração com argumentação adicional ao DPO
• Apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) através do portal: https://www.gov.br/anpd
• Buscar tutela judicial junto ao Poder Judiciário

11. Procedimentos em Caso de Incidentes de Segurança (Brecha de Dados)

11.1. O Que É um Incidente de Segurança?

Um incidente de segurança (brecha de dados, data breach) é qualquer evento não autorizado que comprometa a confidencialidade, integridade ou disponibilidade de dados pessoais, tal como:

• Acesso não autorizado a dados
• Criptografia por ransomware
• Roubo de credenciais
• Perda de dispositivos contendo dados
• Falha de segurança em sistema

11.2. Procedimentos de Resposta

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a Dharma-AI adotará as providências previstas no Plano de Resposta a Incidentes da Dharma-AI.

12. Encarregado pela Proteção de Dados (DPO)

Para exercer seus direitos ou para qualquer dúvida sobre o tratamento de seus dados pessoais ou sobre esta Política, você pode entrar em contato com o Encarregado pela Proteção de Dados ou com o canal de privacidade da Dharma-AI:

Encarregado / ponto focal de privacidade: Felipe Gochi

E-mail para contato: privacy@dharma-ai.com

O canal de privacidade está disponível para esclarecer dúvidas, receber solicitações de direitos, tratar comunicações de titulares e servir como ponto de contato entre você, a Dharma-AI, clientes controladores e autoridades de proteção de dados, conforme o papel da Dharma-AI em cada tratamento.

13. Atualizações desta Política

Esta Política pode ser atualizada periodicamente para refletir mudanças em nossas operações, requisitos legais, tecnologia, subprocessadores, arquitetura de processamento, contratos com clientes ou documentação interna de segurança e continuidade.

Comunicaremos alterações materiais por e-mail (para clientes cadastrados) ou através de aviso destacado em nosso site. A continuidade no uso dos serviços após notificação implica ciência da versão atualizada, conforme aplicável.

A versão atual desta Política deve ser mantida disponível em nosso site ou por outro canal oficial indicado pela Dharma-AI. Recomendamos revisão periódica para se manter informado sobre como protegemos seus dados.