POLÍTICA DE PRIVACIDADE — a2p2 CONDOMÍNIO

Última atualização: 11 de maio de 2026 Versão: 1.0

INTRODUÇÃO

A presente Política de Privacidade descreve, de forma clara e transparente, como a a2p2 Condomínio ("a2p2", "nós") coleta, utiliza, armazena, compartilha e protege dados pessoais no contexto da prestação de seus serviços de software como serviço (SaaS) destinados à administração de condomínios.

Esta Política foi elaborada em estrita observância à Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – LGPD), ao Marco Civil da Internet (Lei nº 12.965/2014), ao Código de Defesa do Consumidor (Lei nº 8.078/1990, quando aplicável) e demais normas vigentes.

A leitura desta Política é essencial antes de utilizar nossos serviços. Em caso de dúvida, o nosso Encarregado pelo Tratamento de Dados Pessoais (DPO) está disponível pelo e-mail a2p2@a2p2.com.br.

1. DEFINIÇÕES (Art. 5º, LGPD)

Para os fins desta Política, aplicam-se as seguintes definições:

• Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável (nome, CPF, e-mail, telefone, endereço etc.).
• Dado Pessoal Sensível: dado sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
• Titular: pessoa natural a quem se referem os dados pessoais.
• Controlador: pessoa natural ou jurídica a quem competem as decisões referentes ao tratamento de dados pessoais.
• Operador: pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do Controlador.
• Tratamento: toda operação realizada com dados pessoais (coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle, modificação, comunicação, transferência, difusão ou extração).
• Encarregado (DPO): pessoa indicada pelo Controlador e Operador para atuar como canal de comunicação entre o Controlador, os Titulares e a Autoridade Nacional de Proteção de Dados (ANPD).
• Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, pelos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.

2. PAPEL DA a2p2 NO TRATAMENTO DE DADOS

2.1. Dúplice papel da a2p2

A a2p2 atua em duas posições distintas, conforme o contexto:

A) Como CONTROLADORA — em relação aos dados pessoais:

• dos representantes legais, contatos comerciais e funcionários das Administradoras clientes (CNPJ, razão social, nome do contato, e-mail, telefone);
• coletados em sua página comercial (visitantes, leads, cookies);
• de candidatos a vagas de emprego;
• de pessoas que entrem em contato pelos canais públicos.

B) Como OPERADORA — em relação aos dados pessoais:

• dos Usuários Finais da Plataforma, incluindo moradores, síndicos, conselheiros, funcionários do condomínio, prestadores de serviço e demais pessoas naturais cadastradas pela Administradora.

Nesse segundo caso, a Administradora é a Controladora desses dados (decide o que coletar, por que coletar, por quanto tempo manter) e a a2p2 é mera Operadora, processando os dados estritamente conforme as instruções da Administradora e o Acordo de Tratamento de Dados (DPA).

2.2. Esta política versa principalmente sobre o papel "A"

Aspectos do tratamento como Operadora estão detalhados no DPA — Acordo de Tratamento de Dados anexo ao contrato firmado com a Administradora.

3. DADOS QUE COLETAMOS

3.1. Dados fornecidos diretamente

Quando uma Administradora cria conta na a2p2, coletamos:

| Categoria | Dados específicos | Origem | |--------------------|------------------------------------------------------------------------------|-----------------------| | Identificação | Razão social, nome fantasia, CNPJ, slug (subdomínio) | Formulário de cadastro| | Contato | E-mail, telefone, WhatsApp | Formulário de cadastro| | Endereço | CEP, logradouro, número, bairro, cidade, UF | Formulário de cadastro| | Contratual | Plano contratado, datas de início/fim de trial, status de assinatura | Sistema | | Conta de Usuário | Nome do contato, e-mail, senha (armazenada com hash bcrypt) | Formulário de cadastro| | Pagamento | Comprovantes de pagamento (PIX, boleto), número do documento fiscal | Anexo no painel |

3.2. Dados coletados automaticamente

| Categoria | Dados específicos | Finalidade | |--------------------|------------------------------------------------------------------------------------------------------|---------------------------------------| | Acesso | IP de origem, data/hora, endpoint acessado, user-agent | Segurança, auditoria, prevenção fraudes| | Sessão | Cookie de sessão (a2p2-condominio-session), token CSRF | Manter login, prevenir CSRF | | Telemetria erros | Stack traces, contexto do erro, usuário associado (id, e-mail), via Sentry | Detecção e correção de falhas | | Logs de operações | Atividades sensíveis (login, alteração de dados, exportações), via biblioteca activitylog | Auditoria, conformidade LGPD |

3.3. Cookies

A Plataforma utiliza cookies estritamente necessários ao funcionamento da sessão autenticada (XSRF-TOKEN, a2p2-condominio-session). Não utilizamos cookies de rastreamento publicitário ou de terceiros para fins de marketing.

4. BASES LEGAIS DO TRATAMENTO (Art. 7º, LGPD)

Cada operação de tratamento é fundamentada em uma das seguintes bases legais:

| Operação | Base legal | Artigo LGPD | |-----------------------------------------------------------|------------------------------------------------------------------|-------------------| | Cadastro e prestação do serviço contratado | Execução de contrato | Art. 7º, V | | Cobrança de mensalidade e emissão de fatura | Execução de contrato | Art. 7º, V | | Cumprimento de obrigações fiscais (notas fiscais) | Cumprimento de obrigação legal | Art. 7º, II | | Comunicação operacional (suporte, avisos de manutenção) | Execução de contrato + legítimo interesse | Art. 7º, V e IX | | Marketing por e-mail (newsletter, lançamentos) | Consentimento (opt-in) | Art. 7º, I | | Logs de acesso e auditoria | Cumprimento de obrigação legal (Marco Civil) + legítimo interesse | Art. 7º, II e IX | | Detecção e prevenção de fraudes | Legítimo interesse | Art. 7º, IX | | Análise estatística anonimizada | Dados anonimizados (não se aplica LGPD) | Art. 12 |

Não tratamos dados pessoais sensíveis em nosso relacionamento direto com a Administradora.

5. FINALIDADES DO TRATAMENTO

Os dados são tratados estritamente para as seguintes finalidades:

• Operacionais: prover acesso à Plataforma, autenticação, atribuição de permissões, prestação do serviço contratado;
• Financeiras: emissão de faturas, cobrança, controle de inadimplência, conciliação contábil;
• Comunicacionais: envio de e-mails de boas-vindas, suporte técnico, avisos de manutenção, notificações de cobrança, alertas de incidentes de segurança;
• Segurança: auditoria de acessos, detecção de uso indevido, resposta a incidentes;
• Legais: atendimento a determinações judiciais ou administrativas, exercício regular de direito em processo judicial, arbitral ou administrativo;
• Aperfeiçoamento: análise estatística agregada e anonimizada de uso da Plataforma para melhoria de funcionalidades.

É expressamente vedado o uso de dados para finalidades não declaradas, em especial venda de cadastros ou marketing de terceiros.

6. COMPARTILHAMENTO DE DADOS

A a2p2 não comercializa dados pessoais. O compartilhamento limita-se a:

6.1. Operadores e subcontratados autorizados (Subprocessadores)

| Operador | Finalidade | País | Garantias adicionais | |----------------------|-----------------------------------------------------|----------|------------------------------------------------------| | Resend Inc. | Envio de e-mails transacionais | EUA | Standard Contractual Clauses (SCC), TLS | | Sentry | Telemetria de erros e debug | EUA | DPA assinado, scrubbing de PII configurado | | Oracle Cloud (OCI) | Hospedagem de servidores (VPS ARM64, região Brasil) | Brasil | Dados em território nacional | | Cloudflare | DNS e CDN/proxy | EUA | DPA assinado, dados em trânsito apenas | | MinIO | Object storage (auto-hospedado) | Brasil | Servidor próprio, dados em território nacional |

Todos os subprocessadores estão obrigados contratualmente a manter padrões de segurança equivalentes aos da a2p2.

6.2. Autoridades

Por força de lei ou de ordem judicial, observados os requisitos de validade (Art. 26, § 1º, e Art. 32 da LGPD), incluindo:

• Polícia, Ministério Público, Poder Judiciário;
• Receita Federal, em razão de obrigações fiscais;
• Autoridade Nacional de Proteção de Dados (ANPD), na cooperação para apuração de incidentes;
• Agências reguladoras competentes.

6.3. Sucessão empresarial

Em caso de fusão, aquisição, cisão, falência ou outra reorganização societária, dados poderão ser transferidos ao sucessor, condicionado à manutenção das mesmas obrigações de proteção e à comunicação prévia aos Titulares.

7. TRANSFERÊNCIA INTERNACIONAL DE DADOS

7.1. Alguns subprocessadores (Resend, Sentry, Cloudflare) estão sediados nos Estados Unidos da América, hipótese em que a transferência internacional observa o disposto nos Arts. 33 a 36 da LGPD, em especial:

a) Cláusulas contratuais padrão (SCC) firmadas entre a a2p2 e o subprocessador; b) Adoção de medidas técnicas suplementares (criptografia em trânsito TLS, criptografia em repouso quando aplicável, scrubbing de PII em telemetria de erros).

7.2. Os dados financeiros (lançamentos, prestação de contas, cobranças) e os dados dos moradores permanecem hospedados no Brasil (Oracle Cloud, região Brasil) — não sofrem transferência internacional.

8. PERÍODO DE RETENÇÃO

| Categoria de dado | Prazo de retenção | Fundamento | |----------------------------------------------------|--------------------------------------------------------------------------------|-------------------------------------| | Dados de Conta ativa | Enquanto vigente o contrato | Execução de contrato | | Dados após rescisão | 30 dias para exportação pelo Cliente + 15 dias para exclusão definitiva | Art. 16, II, LGPD | | Registros fiscais (notas, faturas, comprovantes) | 5 anos | Art. 173, CTN | | Logs de acesso (IP, data/hora) | 6 meses | Art. 15, Marco Civil da Internet | | Logs de aplicação (auditoria sensível) | 12 meses | Legítimo interesse, conformidade | | Backup com dados pessoais | 30 dias (rotativo) | Recuperação de desastres | | Dados anonimizados | Indefinido | Art. 12, LGPD |

Findo o prazo, os dados são eliminados de forma segura ou anonimizados de forma irreversível.

9. DIREITOS DOS TITULARES (Art. 18, LGPD)

Os Titulares de dados pessoais possuem, a qualquer tempo, os seguintes direitos:

| # | Direito | Como exercer | |---|-------------------------------------------------------------------------|-------------------------------------------| | 1 | Confirmação da existência de tratamento | E-mail ao DPO | | 2 | Acesso aos dados | E-mail ao DPO + endpoint /me/lgpd/export | | 3 | Correção de dados incompletos, inexatos ou desatualizados | Painel administrativo ou e-mail ao DPO | | 4 | Anonimização, bloqueio ou eliminação de dados desnecessários | E-mail ao DPO | | 5 | Portabilidade dos dados a outro fornecedor de serviço | Endpoint /me/lgpd/export (formato JSON) | | 6 | Eliminação dos dados tratados com consentimento | Endpoint /me/lgpd/delete ou e-mail ao DPO| | 7 | Informação sobre entidades públicas e privadas com quem compartilhamos | Esta Política (Seção 6) | | 8 | Informação sobre a possibilidade de não consentir e suas consequências | Esta Política | | 9 | Revogação do consentimento | E-mail ao DPO |

9.1. Prazo de atendimento

A a2p2 responderá às requisições dos Titulares em até 15 (quinze) dias corridos, prorrogáveis fundamentadamente por mais 15 dias.

9.2. Gratuidade

O exercício dos direitos é gratuito e não condicionado a contraprestação.

9.3. Requisitos formais

Para preservar a segurança, a a2p2 poderá solicitar comprovação de identidade antes de atender requisições que envolvam dados sensíveis ou exclusão definitiva, mediante documento oficial com foto.

9.4. Recusa fundamentada

Excepcionalmente, a a2p2 poderá recusar requisição quando houver:

a) cumprimento de obrigação legal/regulatória; b) exercício regular de direito em processo judicial, administrativo ou arbitral; c) impossibilidade técnica devidamente justificada; d) prevalência de legítimo interesse superior ao do Titular.

A recusa será sempre fundamentada e comunicada ao Titular, com indicação da Autoridade Nacional de Proteção de Dados (ANPD) como instância de petição.

10. SEGURANÇA DA INFORMAÇÃO

A a2p2 adota as seguintes medidas técnicas e organizacionais para proteger os dados pessoais:

10.1. Medidas técnicas

• Criptografia em trânsito: TLS 1.2+ em todos os endpoints (HTTPS), com certificados emitidos por autoridade reconhecida (Let's Encrypt);
• Criptografia em repouso: senhas armazenadas com hash bcrypt; tokens de sessão criptografados; volumes do banco com criptografia de disco (LUKS);
• Content Security Policy (CSP): ativa em produção, bloqueando clickjacking, plugins legados, exfiltração via fontes externas;
• Controle de acesso baseado em papel (RBAC): princípio do menor privilégio aplicado aos perfis tenant_master, tenant_operator, sindico, subsindico, conselho, condomino, super_admin;
• Isolamento multi-tenant: escopo global (AdministradoraScope) impede acesso cruzado entre Contratantes, com 5 testes automatizados garantindo a isolação;
• Monitoramento contínuo: Sentry para captura de erros, Grafana/Loki para logs, Uptime Kuma para disponibilidade;
• Backups: diários automatizados com retenção de 30 dias, armazenados em bucket separado com versionamento;
• Atualização de dependências: auditoria mensal (composer audit) e CI/CD com bloqueio em caso de vulnerabilidade crítica.

10.2. Medidas organizacionais

• Acesso restrito ao ambiente produtivo, com revisão semestral de credenciais;
• Termo de confidencialidade firmado por todos os colaboradores e prestadores que tenham contato com dados;
• Treinamento periódico em LGPD e segurança da informação;
• Política de senhas fortes obrigatória;
• Política de mesa limpa e tela bloqueada;
• Plano de resposta a incidentes documentado.

11. NOTIFICAÇÃO DE INCIDENTES (Art. 48, LGPD)

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos Titulares, a a2p2:

a) Comunicará a Autoridade Nacional de Proteção de Dados (ANPD) em prazo razoável, conforme regulamentação vigente; b) Comunicará os Titulares afetados em até 72 (setenta e duas) horas após a tomada de conhecimento do incidente, contendo:

• descrição da natureza do incidente;
• categorias e quantidade de Titulares afetados;
• riscos prováveis;
• medidas adotadas e a adotar;
• contato do DPO para mais informações.

12. ENCARREGADO PELO TRATAMENTO DE DADOS (DPO)

Nome: [a definir após posse do Encarregado] E-mail: a2p2@a2p2.com.br Atribuições: receber comunicações da ANPD, dos Titulares, orientar empregados e contratados, executar demais atribuições do Art. 41, § 2º, LGPD.

13. CRIANÇAS E ADOLESCENTES

A Plataforma não é destinada a menores de 18 anos. Caso tomemos conhecimento de coleta inadvertida de dados de criança ou adolescente sem o consentimento parental específico exigido pelo Art. 14 da LGPD, procederemos à exclusão imediata.

14. DECISÕES AUTOMATIZADAS

A a2p2 não toma decisões unicamente automatizadas que afetem os interesses dos Titulares (Art. 20 da LGPD). Todas as decisões com impacto contratual (suspensão, rescisão, cobrança de multa) envolvem análise humana.

15. ALTERAÇÕES DESTA POLÍTICA

Esta Política poderá ser atualizada periodicamente para refletir mudanças regulatórias, novas funcionalidades ou aperfeiçoamentos de segurança. Alterações materiais serão comunicadas por:

• aviso destacado no painel administrativo, por no mínimo 30 dias;
• e-mail para o contato cadastrado da Contratante.

O uso continuado da Plataforma após a vigência das alterações configura ciência e concordância.

16. CONTATO

Para qualquer questão envolvendo esta Política ou o tratamento de seus dados pessoais:

• DPO: a2p2@a2p2.com.br
• Suporte geral: a2p2@a2p2.com.br
• Endereço para correspondência: [a preencher com endereço oficial da a2p2]

Caso entenda que seus direitos não foram atendidos satisfatoriamente, o Titular poderá apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) em https://www.gov.br/anpd.

Esta Política foi elaborada em conformidade com a LGPD (Lei nº 13.709/2018) e demais normas brasileiras aplicáveis. Em caso de divergência entre versão em outro idioma e a versão em Português, prevalecerá a versão em Português.

Documento juridicamente revisado em conformidade com a LGPD (Lei 13.709/2018). Última versão: 11 de maio de 2026. Em caso de dúvida sobre o tratamento de dados pessoais, contate o Encarregado (DPO) em a2p2@a2p2.com.br.