Conformidade com a LGPD
Última atualização: 9 de março de 2026
1. Compromisso com a LGPD
A Guara Cloud se compromete integralmente com a conformidade com a Lei Geral de Proteção de Dados (Lei n. 13.709/2018 — LGPD). Como empresa brasileira que processa dados pessoais de desenvolvedores brasileiros, a conformidade com a LGPD não é apenas uma obrigação legal, mas um pilar fundamental da nossa operação.
Nossa plataforma foi projetada desde o início com os princípios de privacidade by design e privacidade by default, conforme preconizado pelo Art. 46 da LGPD. Todas as decisões arquiteturais e operacionais consideram a proteção de dados como requisito primário.
Os princípios que norteiam nosso tratamento de dados (Art. 6 da LGPD):
- Finalidade: dados pessoais são coletados apenas para operação da plataforma. Não há uso secundário sem consentimento.
- Adequação: apenas dados necessários para a finalidade declarada são coletados.
- Necessidade: coleta mínima de dados. CPF/CNPJ, endereço de cobrança e nome de faturamento são coletados apenas durante o checkout de assinaturas pagas e armazenados exclusivamente pelo Stripe.
- Livre acesso: titulares podem consultar seus dados a qualquer momento pelo dashboard ou por solicitação ao DPO.
- Qualidade dos dados: mantemos dados precisos e atualizados, sincronizados com os provedores OAuth.
- Transparência: informações claras e acessíveis sobre o tratamento de dados.
- Segurança: medidas técnicas e administrativas para proteger dados pessoais.
- Prevenção: ações proativas para prevenir danos aos titulares.
- Não discriminação: o tratamento de dados nunca é utilizado para fins discriminatórios.
- Responsabilização: demonstração de conformidade com a LGPD por meio de documentação e auditorias.
2. Bases Legais para Tratamento de Dados (Art. 7)
Todo tratamento de dados pessoais na Guara Cloud é fundamentado em uma das hipóteses legais previstas no Art. 7 da LGPD. A seguir, detalhamos cada base legal utilizada e os dados correspondentes:
2.1 Execução de Contrato (Art. 7, V)
Base legal principal para a maioria dos dados processados:
- Dados de cadastro (nome, email, foto de perfil) para criação e manutenção da conta.
- Dados de pagamento (via Stripe) para processamento de assinaturas e faturamento.
- Dados de uso da plataforma para entrega dos serviços contratados.
- Logs de aplicação para suporte técnico e resolução de problemas.
2.2 Consentimento (Art. 7, I)
Utilizado para atividades que requerem concordância explícita do titular:
- Aceite dos Termos de Uso e Política de Privacidade no cadastro.
- Cookies não essenciais (atualmente não utilizados).
- Comunicações de marketing (quando implementadas).
O consentimento pode ser revogado a qualquer momento sem prejuizo da licitude do tratamento realizado anteriormente.
2.3 Interesse Legitimo (Art. 7, IX)
Utilizado para atividades que beneficiam tanto a plataforma quanto os usuários:
- Segurança da plataforma e prevenção de fraudes.
- Análise agregada de métricas para melhoria do serviço.
- Detecção de atividades maliciosas ou violações de uso aceitável.
2.4 Cumprimento de Obrigação Legal (Art. 7, II)
- Retenção de dados de faturamento por 5 anos (obrigações fiscais).
- Retenção de logs de acesso por 6 meses (Marco Civil da Internet, Art. 15).
- Cooperação com autoridades judiciais e regulatórias quando exigido por lei.
- Coleta de CPF/CNPJ, endereço de cobrança e nome de faturamento durante o checkout de assinaturas pagas — Obrigação Legal (Art. 7, II da LGPD): a legislação tributária brasileira exige CPF/CNPJ para fins de conformidade fiscal.
3. Direitos dos Titulares e Como Exercê-los
A LGPD (Art. 18) garante aos titulares de dados um conjunto de direitos que podem ser exercidos a qualquer momento. Na Guara Cloud, implementamos mecanismos para atender a cada um deles:
| Direito | Como Exercer | Prazo |
|---|---|---|
| Confirmação e acesso | Dashboard ou email ao DPO | 15 dias úteis |
| Correção | Dashboard (dados de perfil) ou email ao DPO | 15 dias úteis |
| Anonimização/bloqueio/eliminação | Email ao DPO | 15 dias úteis |
| Portabilidade | Email ao DPO (export em JSON) | 15 dias úteis |
| Eliminação (dados com consentimento) | Dashboard ou email ao DPO | 15 dias úteis |
| Informação sobre compartilhamento | Esta página ou email ao DPO | 15 dias úteis |
| Revogação do consentimento | Dashboard ou email ao DPO | Imediato |
| Oposição ao tratamento | Email ao DPO | 15 dias úteis |
Canal de atendimento: todas as solicitações podem ser feitas pelo email [email protected]. Confirmaremos o recebimento em até 2 dias úteis e responderemos integralmente em até 15 dias úteis, conforme Art. 19 da LGPD.
4. Encarregado de Proteção de Dados (DPO) — Art. 41
Em conformidade com o Art. 41 da LGPD, a Guara Cloud designou um Encarregado de Proteção de Dados (DPO) responsável por:
- Aceitar reclamações e comunicações dos titulares de dados e prestar esclarecimentos.
- Receber comunicações da ANPD (Autoridade Nacional de Proteção de Dados) e adotar providências.
- Orientar funcionários e contratados sobre práticas de proteção de dados.
- Manter o registro de operações de tratamento de dados pessoais (Art. 37).
- Conduzir avaliações de impacto à proteção de dados quando necessário (Art. 38).
- Executar demais atribuições determinadas pelo controlador ou normas complementares.
Contato do DPO: [email protected]
A identidade e informações de contato do DPO são publicadas conforme exigência do Art. 41, §1 da LGPD, e comunicadas a ANPD.
5. Inventário de Tratamento de Dados
Conforme Art. 37 da LGPD, mantemos um registro das operações de tratamento de dados pessoais. A seguir, um resumo do inventário:
| Categoria | Dados | Base Legal | Retenção |
|---|---|---|---|
| Cadastro | Nome, email, foto, OAuth ID | Contrato | Conta ativa + 30 dias |
| Pagamento | Stripe customer ID, faturas | Contrato / Legal | 5 anos |
| Identidade de cobrança | CPF/CNPJ, endereço de cobrança, nome de faturamento | Obrigação legal | Gerenciado pelo Stripe |
| Uso da plataforma | Projetos, deploys, métricas | Contrato | Conta ativa |
| Logs de auditoria | Ações, timestamps, IPs | Interesse legítimo / Legal | 1-30 dias (por plano) |
| Navegação | IP, user agent, cookies | Interesse legítimo | 6 meses |
| Consentimento | Aceite de termos, cookies | Consentimento | Conta ativa |
6. Salvaguardas para Transferência Internacional de Dados
Conforme Art. 33 da LGPD, a transferência internacional de dados pessoais só é permitida em hipóteses específicas. A Guara Cloud adota as seguintes salvaguardas:
6.1 Infraestrutura Principal
A infraestrutura principal da Guara Cloud está localizada na região de São Paulo, Brasil (OCI sa-saopaulo-1). Dados de aplicação dos usuários permanecem em território brasileiro.
6.2 Operadores Internacionais
Alguns operadores de dados possuem sede ou processam dados fora do Brasil:
- Stripe (EUA): cláusulas contratuais padrão e certificações de conformidade.
- Resend (EUA): cláusulas contratuais padrão para processamento de emails.
- Cloudflare (EUA): rede global de CDN com pontos de presença no Brasil.
- GitHub (EUA): autenticação OAuth e integração de código.
6.3 Mecanismos de Proteção
- Cláusulas contratuais padrão (SCCs) com todos os operadores internacionais.
- Verificação de que o país destinatário oferece nível adequado de proteção ou que o operador adota salvaguardas compatíveis.
- Minimização de dados transferidos internacionalmente.
- Criptografia em trânsito para todas as transferências.
7. Procedimentos de Notificação de Incidentes de Segurança
Em conformidade com o Art. 48 da LGPD, a Guara Cloud possui procedimentos definidos para lidar com incidentes de segurança que envolvam dados pessoais:
7.1 Detecção e Avaliação
- Monitoramento contínuo de logs e alertas de segurança.
- Avaliação imediata da gravidade e do escopo do incidente.
- Classificação do incidente quanto ao risco para os titulares de dados.
7.2 Notificação à ANPD
Caso o incidente possa acarretar risco ou dano relevante aos titulares, a ANPD será notificada em prazo razoável, contendo:
- Descrição da natureza dos dados pessoais afetados.
- Informações sobre os titulares envolvidos.
- Indicação das medidas técnicas e de segurança utilizadas.
- Riscos relacionados ao incidente.
- Medidas adotadas ou que serão adotadas para reverter ou mitigar os efeitos.
7.3 Notificação aos Titulares
Titulares afetados serão notificados por email em prazo razoável, com informações claras sobre a natureza do incidente, dados afetados e medidas recomendadas.
8. Autoridade Nacional de Proteção de Dados (ANPD)
A ANPD (Autoridade Nacional de Proteção de Dados) é o órgão federal responsável por zelar pela proteção de dados pessoais no Brasil e por fiscalizar o cumprimento da LGPD.
A Guara Cloud mantém relação de cooperação com a ANPD e se compromete a:
- Atender prontamente a quaisquer solicitações, notificações ou determinações da ANPD.
- Fornecer informações e documentos solicitados dentro dos prazos estabelecidos.
- Implementar medidas corretivas ou preventivas determinadas pela ANPD.
- Reportar incidentes de segurança conforme descrito na Seção 7.
Caso você entenda que seus direitos não foram adequadamente atendidos pela Guara Cloud, você pode registrar uma reclamação junto à ANPD:
- Site: www.gov.br/anpd
9. Mecanismos de Consentimento
Quando o consentimento é a base legal utilizada, a Guara Cloud implementa os seguintes mecanismos, conforme Art. 8 da LGPD:
9.1 Consentimento no Cadastro
- Checkbox obrigatório de aceite dos Termos de Uso e Política de Privacidade.
- Links diretos para os documentos completos.
- Registro com timestamp do consentimento.
- O consentimento é específico, livre, informado e inequívoco.
9.2 Consentimento de Cookies
- Banner de cookies apresentado na primeira visita.
- Opção de aceitar ou rejeitar cookies não essenciais.
- Preferência armazenada no cookie
guara_cookie_consent.
9.3 Revogação de Consentimento
- O consentimento pode ser revogado a qualquer momento pelo dashboard ou por email ao DPO.
- A revogação é processada imediatamente, sem prejuízo da licitude do tratamento anterior.
- O procedimento de revogação é tão simples quanto o de concessão do consentimento (Art. 8, §5).
10. Práticas de Minimização de Dados
Em conformidade com o princípio de necessidade (Art. 6, III), a Guara Cloud adota as seguintes práticas de minimização de dados:
- Coleta mínima: CPF/CNPJ, endereço de cobrança e nome de faturamento são coletados durante o checkout de assinaturas pagas e armazenados exclusivamente pelo Stripe, nosso processador de pagamentos internacional. A Guara Cloud não armazena esses dados em seus próprios servidores. Base legal: Obrigação Legal (Art. 7, II da LGPD) — a legislação tributária brasileira exige CPF/CNPJ para fins de conformidade fiscal. Os demais dados de cadastro vem exclusivamente do provedor OAuth.
- Pagamentos delegados: todos os dados de cartão de crédito são processados diretamente pelo Stripe. Nenhum dado de cartão é armazenado nos nossos servidores.
- Retenção limitada: logs e dados temporários possuem períodos de retenção definidos e são automaticamente eliminados após o prazo.
- Anonimização de métricas: dados de uso agregados para análise são anonimizados, removendo qualquer informação que permita identificar o titular.
- Acesso restrito: apenas funcionários e sistemas que necessitam dos dados para executar suas funções possuem acesso, seguindo o princípio do menor privilégio.