Conformidade com a LGPD
Última atualização: 9 de março de 2026
1. Compromisso com a LGPD
A Guara Cloud se compromete integralmente com a conformidade com a Lei Geral de Proteção de Dados (Lei n. 13.709/2018 — LGPD). Como empresa brasileira que processa dados pessoais de desenvolvedores brasileiros, a conformidade com a LGPD não é apenas uma obrigação legal, mas um pilar fundamental da nossa operação.
Nossa plataforma foi projetada desde o início com os princípios de privacidade by design e privacidade by default, conforme preconizado pelo Art. 46 da LGPD. Todas as decisões arquiteturais e operacionais consideram a proteção de dados como requisito primário.
Os princípios que norteiam nosso tratamento de dados (Art. 6 da LGPD):
- Finalidade: dados pessoais são coletados apenas para operação da plataforma. Não há uso secundário sem consentimento.
- Adequação: apenas dados necessários para a finalidade declarada são coletados.
- Necessidade: coleta mínima de dados. CPF/CNPJ, endereço de cobrança e nome de faturamento são coletados apenas durante o checkout de assinaturas pagas e armazenados exclusivamente pelo Stripe.
- Livre acesso: titulares podem consultar seus dados a qualquer momento pelo dashboard ou por solicitação ao DPO.
- Qualidade dos dados: mantemos dados precisos e atualizados, sincronizados com os provedores OAuth.
- Transparência: informações claras e acessíveis sobre o tratamento de dados.
- Segurança: medidas técnicas e administrativas para proteger dados pessoais.
- Prevenção: ações proativas para prevenir danos aos titulares.
- Não discriminação: o tratamento de dados nunca é utilizado para fins discriminatórios.
- Responsabilização: demonstração de conformidade com a LGPD por meio de documentação e auditorias.
2. Bases Legais para Tratamento de Dados (Art. 7)
Todo tratamento de dados pessoais na Guara Cloud é fundamentado em uma das hipóteses legais previstas no Art. 7 da LGPD. A seguir, detalhamos cada base legal utilizada e os dados correspondentes:
2.1 Execução de Contrato (Art. 7, V)
Base legal principal para a maioria dos dados processados:
- Dados de cadastro (nome, email, foto de perfil) para criação e manutenção da conta.
- Dados de pagamento (via Stripe) para processamento de assinaturas e faturamento.
- Dados de uso da plataforma para entrega dos serviços contratados.
- Logs de aplicação para suporte técnico e resolução de problemas.
2.2 Consentimento (Art. 7, I)
Utilizado para atividades que requerem concordância explícita do titular:
- Aceite dos Termos de Uso e Política de Privacidade no cadastro.
- Analytics opcional, Web Vitals e rastreamento de erros no cliente.
- Comunicações de marketing (quando implementadas).
O consentimento pode ser revogado a qualquer momento sem prejuizo da licitude do tratamento realizado anteriormente.
2.3 Interesse Legitimo (Art. 7, IX)
Utilizado para atividades que beneficiam tanto a plataforma quanto os usuários:
- Segurança da plataforma e prevenção de fraudes.
- Análise agregada de métricas para melhoria do serviço.
- Detecção de atividades maliciosas ou violações de uso aceitável.
2.4 Cumprimento de Obrigação Legal (Art. 7, II)
- Retenção de dados de faturamento por 5 anos (obrigações fiscais).
- Retenção de logs de acesso por 6 meses (Marco Civil da Internet, Art. 15).
- Cooperação com autoridades judiciais e regulatórias quando exigido por lei.
- Coleta de CPF/CNPJ, endereço de cobrança e nome de faturamento durante o checkout de assinaturas pagas — Obrigação Legal (Art. 7, II da LGPD): a legislação tributária brasileira exige CPF/CNPJ para fins de conformidade fiscal.
3. Direitos dos Titulares e Como Exercê-los
A LGPD (Art. 18) garante aos titulares de dados um conjunto de direitos que podem ser exercidos a qualquer momento. Na Guara Cloud, implementamos mecanismos para atender a cada um deles:
| Direito | Como Exercer | Prazo |
|---|---|---|
| Confirmação e acesso | Dashboard ou email ao DPO | 15 dias úteis |
| Correção | Dashboard (dados de perfil) ou email ao DPO | 15 dias úteis |
| Anonimização/bloqueio/eliminação | Email ao DPO | 15 dias úteis |
| Portabilidade | Email ao DPO (export em JSON) | 15 dias úteis |
| Eliminação (dados com consentimento) | Dashboard ou email ao DPO | 15 dias úteis |
| Informação sobre compartilhamento | Esta página ou email ao DPO | 15 dias úteis |
| Revogação do consentimento | Dashboard ou email ao DPO | Imediato |
| Oposição ao tratamento | Email ao DPO | 15 dias úteis |
Canal de atendimento: todas as solicitações podem ser feitas pelo email [email protected]. Confirmaremos o recebimento em até 2 dias úteis e responderemos integralmente em até 15 dias úteis, conforme Art. 19 da LGPD.
4. Encarregado de Proteção de Dados (DPO) — Art. 41
Em conformidade com o Art. 41 da LGPD, a Guara Cloud designou um Encarregado de Proteção de Dados (DPO) responsável por:
- Aceitar reclamações e comunicações dos titulares de dados e prestar esclarecimentos.
- Receber comunicações da ANPD (Autoridade Nacional de Proteção de Dados) e adotar providências.
- Orientar funcionários e contratados sobre práticas de proteção de dados.
- Manter o registro de operações de tratamento de dados pessoais (Art. 37).
- Conduzir avaliações de impacto à proteção de dados quando necessário (Art. 38).
- Executar demais atribuições determinadas pelo controlador ou normas complementares.
Contato do DPO: [email protected]
A identidade e informações de contato do DPO são publicadas conforme exigência do Art. 41, §1 da LGPD, e comunicadas a ANPD.
5. Inventário de Tratamento de Dados
Conforme Art. 37 da LGPD, mantemos um registro das operações de tratamento de dados pessoais. A seguir, um resumo do inventário:
| Categoria | Dados | Base Legal | Retenção |
|---|---|---|---|
| Cadastro | Nome, email, foto, OAuth ID | Contrato | Conta ativa + 30 dias |
| Pagamento | Stripe customer ID, faturas | Contrato / Legal | 5 anos |
| Identidade de cobrança | CPF/CNPJ, endereço de cobrança, nome de faturamento | Obrigação legal | Gerenciado pelo Stripe |
| Uso da plataforma | Projetos, deploys, métricas | Contrato | Conta ativa |
| Logs de auditoria | Ações, timestamps, IPs | Interesse legítimo / Legal | 1-30 dias (por plano) |
| Navegação | IP, user agent, cookies | Interesse legítimo | 6 meses |
| Consentimento | Aceite de termos, cookies | Consentimento | Conta ativa |
6. Salvaguardas para Transferência Internacional de Dados
Conforme Art. 33 da LGPD, a transferência internacional de dados pessoais só é permitida em hipóteses específicas. A Guara Cloud adota as seguintes salvaguardas:
6.1 Infraestrutura Principal
A infraestrutura principal da Guara Cloud está localizada na região de São Paulo, Brasil (Linode LKE). Dados de aplicação dos usuários permanecem em território brasileiro.
6.2 Operadores Internacionais
Alguns operadores de dados possuem sede ou processam dados fora do Brasil:
- Stripe (EUA): cláusulas contratuais padrão e certificações de conformidade.
- Resend (EUA): cláusulas contratuais padrão para processamento de emails.
- Cloudflare (EUA): rede global de CDN com pontos de presença no Brasil.
- GitHub (EUA): autenticação OAuth e integração de código.
6.3 Mecanismos de Proteção
- Cláusulas contratuais padrão (SCCs) com todos os operadores internacionais.
- Verificação de que o país destinatário oferece nível adequado de proteção ou que o operador adota salvaguardas compatíveis.
- Minimização de dados transferidos internacionalmente.
- Criptografia em trânsito para todas as transferências.
7. Procedimentos de Notificação de Incidentes de Segurança
Em conformidade com o Art. 48 da LGPD, a Guara Cloud possui procedimentos definidos para lidar com incidentes de segurança que envolvam dados pessoais:
7.1 Detecção e Avaliação
- Monitoramento contínuo de logs e alertas de segurança.
- Avaliação imediata da gravidade e do escopo do incidente.
- Classificação do incidente quanto ao risco para os titulares de dados.
7.2 Notificação à ANPD
Caso o incidente possa acarretar risco ou dano relevante aos titulares, a ANPD será notificada em prazo razoável, contendo:
- Descrição da natureza dos dados pessoais afetados.
- Informações sobre os titulares envolvidos.
- Indicação das medidas técnicas e de segurança utilizadas.
- Riscos relacionados ao incidente.
- Medidas adotadas ou que serão adotadas para reverter ou mitigar os efeitos.
7.3 Notificação aos Titulares
Titulares afetados serão notificados por email em prazo razoável, com informações claras sobre a natureza do incidente, dados afetados e medidas recomendadas.
8. Autoridade Nacional de Proteção de Dados (ANPD)
A ANPD (Autoridade Nacional de Proteção de Dados) é o órgão federal responsável por zelar pela proteção de dados pessoais no Brasil e por fiscalizar o cumprimento da LGPD.
A Guara Cloud mantém relação de cooperação com a ANPD e se compromete a:
- Atender prontamente a quaisquer solicitações, notificações ou determinações da ANPD.
- Fornecer informações e documentos solicitados dentro dos prazos estabelecidos.
- Implementar medidas corretivas ou preventivas determinadas pela ANPD.
- Reportar incidentes de segurança conforme descrito na Seção 7.
Caso você entenda que seus direitos não foram adequadamente atendidos pela Guara Cloud, você pode registrar uma reclamação junto à ANPD:
- Site: www.gov.br/anpd
9. Mecanismos de Consentimento
Quando o consentimento é a base legal utilizada, a Guara Cloud implementa os seguintes mecanismos, conforme Art. 8 da LGPD:
9.1 Consentimento no Cadastro
- Checkbox obrigatório de aceite dos Termos de Uso e Política de Privacidade.
- Links diretos para os documentos completos.
- Registro com timestamp do consentimento.
- O consentimento é específico, livre, informado e inequívoco.
9.2 Consentimento de Cookies
- Banner de cookies apresentado na primeira visita.
- Opção de aceitar ou rejeitar cookies não essenciais.
- Preferência armazenada no cookie
guara_cookie_consent.
9.3 Revogação de Consentimento
- O consentimento pode ser revogado a qualquer momento pelo dashboard ou por email ao DPO.
- A revogação é processada imediatamente, sem prejuízo da licitude do tratamento anterior.
- O procedimento de revogação é tão simples quanto o de concessão do consentimento (Art. 8, §5).
10. Práticas de Minimização de Dados
Em conformidade com o princípio de necessidade (Art. 6, III), a Guara Cloud adota as seguintes práticas de minimização de dados:
- Coleta mínima: CPF/CNPJ, endereço de cobrança e nome de faturamento são coletados durante o checkout de assinaturas pagas e armazenados exclusivamente pelo Stripe, nosso processador de pagamentos internacional. A Guara Cloud não armazena esses dados em seus próprios servidores. Base legal: Obrigação Legal (Art. 7, II da LGPD) — a legislação tributária brasileira exige CPF/CNPJ para fins de conformidade fiscal. Os demais dados de cadastro vem exclusivamente do provedor OAuth.
- Pagamentos delegados: todos os dados de cartão de crédito são processados diretamente pelo Stripe. Nenhum dado de cartão é armazenado nos nossos servidores.
- Retenção limitada: logs e dados temporários possuem períodos de retenção definidos e são automaticamente eliminados após o prazo.
- Anonimização de métricas: dados de uso agregados para análise são anonimizados, removendo qualquer informação que permita identificar o titular.
- Acesso restrito: apenas funcionários e sistemas que necessitam dos dados para executar suas funções possuem acesso, seguindo o princípio do menor privilégio.