Política de Privacidade — FSS_Dev

Versão: 1.0 | Vigência: a partir de 04/03/2026

1. Quem somos

O FSS_Dev (Field Service System) é um sistema interno de gestão de serviços de campo, desenvolvido em Django/Python e hospedado na plataforma Heroku. Este documento descreve como coletamos, usamos, armazenamos e protegemos seus dados pessoais, em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018).

2. Dados pessoais que coletamos

2.1 Dados de identificação e conta

Nome de usuário, e-mail e nome completo — coletados no cadastro ou via login social (Google/Microsoft).
Senha — armazenada em hash seguro (PBKDF2); nunca em texto puro.
Foto de perfil — opcional, armazenada na plataforma Cloudinary.
Data de nascimento e CPF/RG — coletados apenas para colaboradores cadastrados no módulo Field Service.

2.2 Dados biométricos (colaboradores)

Impressão digital (template biométrico) — coletado para controle de ponto e acesso físico.
Credencial WebAuthn (passkey) — chave criptográfica de autenticação, armazenada associada ao colaborador.
Foto facial — utilizada exclusivamente para identificação visual no sistema.
Base legal: Art. 7º, III (execução de contrato) e Art. 11, II, "a" da LGPD — consentimento explícito para dados biométricos.

2.3 Dados de acesso e rastreamento

Endereço IP — registrado nos logs de entrada/saída e alterações do sistema.
User Agent (navegador/dispositivo) — registrado no aceite dos termos legais.
Horários de entrada e saída — registros de presença nos setores da empresa.
Histórico de alterações — log de quem alterou quais dados e quando (AuditLog).

2.4 Dados operacionais

Alocações de serviço — vinculação de colaboradores a clientes e projetos.
Apontamentos de progresso de obras — percentuais e fotos de atividades.
Registros de RDO — relatórios diários de obra com efetivo, condições e observações.
Empréstimos de ferramentas — solicitações, assinaturas digitais e checklists com fotos.

3. Como usamos seus dados

Finalidade	Dado utilizado	Base legal (LGPD)
Autenticação e controle de acesso	Usuário, senha, biometria, WebAuthn	Art. 7º, II (execução de contrato)
Registro de presença e ponto eletrônico	IP, horário, biometria, área	Art. 7º, II e V (obrigação legal)
Geração de relatórios de obra (RDO)	Nome do responsável, efetivo, progresso	Art. 7º, II (execução de contrato)
Análise com Inteligência Artificial (OpenAI)	Prompts de texto (sem biometria)	Art. 7º, IX (legítimo interesse)
Armazenamento de imagens e documentos	Fotos, assinaturas, QR codes	Art. 7º, II (execução de contrato)
Auditoria e segurança do sistema	IP, usuário, campo alterado	Art. 7º, II e IX
Conformidade legal e prova de consentimento	IP, User Agent, data/hora aceite	Art. 7º, V (obrigação legal)

4. Compartilhamento com terceiros

Seus dados podem ser processados pelos seguintes serviços externos:

OpenAI (EUA) — Prompts de texto para geração de relatórios IA. Regido pelos termos da OpenAI. Não enviamos dados biométricos.
Cloudinary (EUA) — Armazenamento de imagens, fotos e biometria em nuvem. Certificado SOC 2.
Google / Microsoft — Autenticação social (OAuth 2.0). Apenas e-mail e nome são obtidos.
Heroku (Salesforce, EUA) — Infraestrutura de hospedagem (servidor, banco de dados PostgreSQL).
Sentry — Monitoramento de erros. Configurado com send_default_pii=False (sem dados pessoais).
Open-Meteo — Previsão do tempo para projetos (apenas coordenadas geográficas; sem dados pessoais).

Não vendemos, alugamos ou compartilhamos seus dados pessoais para fins comerciais ou de marketing.

5. Seus direitos (Art. 18 da LGPD)

Acesso — Visualize na Central de Privacidade (/lgpd/privacidade/).
Portabilidade — Exporte todos os seus dados em formato JSON (.zip).
Correção — Solicite correção de dados incorretos ao administrador.
Eliminação — Solicite a exclusão/anonimização da sua conta.
Revogação do consentimento — Para dados biométricos, contate o DPO.
Informação sobre compartilhamento — Descrito nesta política.

6. Retenção de dados

Logs de consentimento — Mantidos permanentemente (prova jurídica obrigatória).
Logs de auditoria — Mantidos por mínimo 5 anos (legislação trabalhista).
Dados biométricos — Excluídos na rescisão do contrato ou a pedido do titular.
Dados de conta inativa — Anonimizados após solicitação de exclusão.

7. Segurança

Comunicação exclusivamente via HTTPS (TLS 1.2+).
Senhas armazenadas em hash PBKDF2-SHA256.
Tokens CSRF em todos os formulários.
Dados em repouso protegidos pela infraestrutura Heroku/Cloudinary.
Acesso ao admin Django restrito a superusuários.

8. Contato e DPO

Para exercer seus direitos ou reportar incidentes de privacidade, contate o Encarregado de Proteção de Dados (DPO) pelo e-mail do administrador do sistema ou via painel interno /lgpd/dpo/ (apenas para gestores).

9. Alterações nesta política

Novas versões desta política serão publicadas no sistema com versionamento (ex: v1.1, v2.0). Todos os usuários serão solicitados a aceitar a nova versão antes de continuar usando o sistema.