Aviso: este texto está em revisão jurídica — válido até a próxima atualização.
1. Compromisso
A Tupã Marine se compromete com a privacidade dos seus dados e o cumprimento da Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018) e demais legislações aplicáveis.
Esta política descreve quais dados coletamos, por que coletamos, com quem compartilhamos, quanto tempo mantemos e quais são seus direitos.
2. Dados que coletamos
Coletamos apenas o necessário para operação da Plataforma:
Cadastro de Usuário
- Nome completo
- Email corporativo
- Senha (armazenada com hash unidirecional via AWS Cognito — nunca em texto puro)
- Tenant ao qual está vinculado
- Perfil de permissões
Dados de uso
- Logs de login (data, hora, IP, user-agent)
- Logs de auditoria de mutações no sistema (action, recurso, status)
- Preferências de UI (sidebar, formatadores)
Dados operacionais inseridos pelo Tenant
- Cadastros de navios, empresas, portos
- Escalas portuárias (port calls) e eventos
- Documentos anexados (BLs, certificados, manifestos)
- Dados financeiros (proformas, faturas, remessas)
3. Finalidade
Os dados são usados para:
- Autenticação e autorização (RBAC)
- Operação da Plataforma conforme contratado
- Auditoria e compliance (LGPD, fiscal, antifraude)
- Comunicação transacional (alertas, notificações operacionais)
- Melhoria do serviço (analytics agregados anonimizados)
Não usamos dados para publicidade dirigida nem repassamos a terceiros para fins comerciais.
4. Base legal (LGPD Art. 7)
- Execução de contrato (Art. 7 V): dados operacionais e de cadastro
- Cumprimento de obrigação legal (Art. 7 II): logs de auditoria, retenção fiscal
- Legítimo interesse (Art. 7 IX): logs de segurança e antifraude
- Consentimento (Art. 7 I): cookies opcionais, comunicações de marketing (quando aplicável)
5. Compartilhamento
Compartilhamos dados apenas com:
- Provedores de infraestrutura essenciais, sob contrato de processamento:
- AWS (hospedagem, banco de dados, armazenamento) — região
sa-east-1ouus-east-1 - Vercel (entrega do frontend)
- Anthropic (processamento de linguagem natural — quando ativo, apenas com texto desidentificado)
- AWS (hospedagem, banco de dados, armazenamento) — região
- Autoridades públicas, mediante ordem judicial ou requisição administrativa formal
- Terceiros expressamente autorizados pelo Tenant, via integrações configuradas
Não vendemos dados sob nenhuma circunstância.
6. Retenção
- Dados de cadastro: enquanto a conta estiver ativa + período legal aplicável
- Logs de auditoria e fiscal: mínimo 5 anos (a definir prazo final em revisão jurídica)
- Documentos anexados: pelo prazo da operação + período legal
- Dados financeiros: 10 anos (Código Civil Art. 206) ou conforme legislação fiscal
Após o prazo, dados são pseudonimizados (nome → "Usuário 123") ou anonimizados (agregados sem identificação).
7. Seus direitos (LGPD Art. 18)
Você pode, a qualquer tempo, solicitar:
- Confirmação da existência de tratamento dos seus dados
- Acesso aos seus dados — disponível em
/settings → Privacidade & LGPD → Baixar meus dados(JSON) - Correção de dados incompletos ou incorretos — via admin do Tenant ou suporte
- Anonimização, bloqueio ou eliminação de dados desnecessários
- Portabilidade dos dados — formato JSON estruturado disponível no export
- Eliminação de dados tratados com consentimento — exceto retenção legal obrigatória
- Informação sobre compartilhamentos
- Revogação do consentimento — quando aplicável
Como exercer: envie email para o DPO do seu Tenant (vide abaixo) ou para dpo@tupamarine.com.br.
8. DPO (Encarregado de Dados)
- Email:
- dpo@tupamarine.com.br
- Endereço:
- a definir
O bloco acima é populado dinamicamente quando você está logado, usando os dados do DPO cadastrados pelo admin do seu Tenant.
9. Segurança
- Criptografia em trânsito: TLS 1.2+ em todas as conexões
- Criptografia em repouso: dados em RDS PostgreSQL com encryption-at-rest (AWS KMS)
- Senhas: hash unidirecional Argon2id-class via AWS Cognito
- Multi-tenant isolation: Row Level Security (RLS) força no PostgreSQL — impossível user de Tenant A acessar dados de Tenant B
- Logs de auditoria: toda mutação registrada com ator, IP, timestamp
- Backups: snapshots diários automatizados via AWS RDS
11. Crianças
A Plataforma é de uso profissional B2B. Não coletamos intencionalmente dados de menores de 18 anos.
12. Alterações
Atualizações desta política disparam novo aceite obrigatório no próximo login. Versões anteriores ficam arquivadas internamente para auditoria.
13. Contato
Dúvidas sobre privacidade:
- Email: privacidade@tupamarine.com.br
- Suporte: suporte@tupamarine.com.br
- DPO: dpo@tupamarine.com.br