← Início

Política de Privacidade

Data de vigência: 10 de março de 2026

Operador: VICENT SOLUCOES TI LTDA · CNPJ 53.183.462/0001-58

Esta Política de Privacidade descreve como a VICENT SOLUCOES TI LTDA ("DottSign", "nós", "nosso" ou "nossa"), empresa registrada no Brasil (CNPJ 53.183.462/0001-58), coleta, utiliza, armazena e protege seus dados pessoais quando você usa a plataforma DottSign (site, aplicação web e aplicativo móvel). Aplica-se a todos os usuários no mundo e foi elaborada para estar em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018) e, quando aplicável, com o Regulamento Geral de Proteção de Dados da UE (RGPD — Regulamento 2016/679).

1. Identidade do Controlador e Contato

Controlador de Dados: VICENT SOLUCOES TI LTDA CNPJ: 53.183.462/0001-58 Sede: Brasil Encarregado de Proteção de Dados (DPO — LGPD Art. 41): dpo@dottsign.com Solicitações gerais de privacidade: privacy@dottsign.com Notificações legais: legal@dottsign.com Responderemos às solicitações dos titulares em até 15 dias úteis (LGPD Art. 18) ou 30 dias corridos (RGPD Art. 12(3)), o que for mais estrito para sua jurisdição.

2. Dados Pessoais que Coletamos

2.1 Dados de Conta e Identidade

  • Nome completo (opcional no cadastro; exigido para assinatura).
  • Endereço de e-mail (obrigatório).
  • Senha (armazenada de forma segura; o texto simples nunca é armazenado).
  • Foto de perfil — enviada voluntariamente ou obtida via Google OAuth.
  • Identificador e dados de perfil do Google, ao optar pelo login com Google.
  • Preferência de idioma.

2.2 Dados de Autenticação e Segurança

  • Segredo de autenticação de dois fatores (2FA) e códigos de backup, armazenados de forma segura.
  • Tokens de sessão armazenados no servidor com prazo de validade.
  • Tokens de redefinição de senha (curta validade).
  • Aplicativo móvel: um sinalizador indicando se o bloqueio biométrico está ativado. A autenticação biométrica é processada inteiramente no dispositivo pelo sistema operacional. Nenhum dado biométrico chega aos nossos servidores.

2.3 Dados de Contratos e Documentos

  • Arquivos PDF enviados por você, armazenados criptografados na AWS S3.
  • Título, descrição, tags, categoria, status e datas de validade dos contratos.
  • Texto extraído dos PDFs, utilizado exclusivamente para análise por IA.
  • Um hash criptográfico de cada documento enviado, para verificação de integridade.

2.4 Dados de Assinatura e Auditoria

  • Nome digitado utilizado como assinatura eletrônica.
  • Endereço IP e informações do navegador no momento da assinatura.
  • Registro de data/hora da assinatura, verificado por uma autoridade de carimbo de tempo.
  • Valor da assinatura criptográfica e certificado associado.
  • Um hash criptográfico do PDF assinado.
  • Endereço de e-mail de signatários externos (não cadastrados).
  • Registros de verificação por código único para sessões de assinatura.

2.5 Dados de Análise por IA

  • O texto extraído do documento é enviado à Groq (EUA) para inferência por IA (categorização, resumo, análise de cláusulas, perguntas e respostas). A Groq processa esses dados em trânsito; nenhum conteúdo de documento é retido pela Groq além da chamada de inferência.
  • Os resultados da análise por IA (categoria, resumo, sinalizadores de cláusulas) são armazenados em nossos servidores vinculados ao contrato.

2.6 Dados de Faturamento e Assinatura

  • ID de cliente Stripe e identificadores de assinatura/preço.
  • Status da assinatura e data de término do período vigente.
  • Não armazenamos números de cartão brutos nem credenciais de pagamento completas — todo o processamento de pagamentos é realizado pela Stripe, Inc.

2.7 Dados de Organização

  • Nome da organização, slug de URL e logotipo opcional.
  • Funções dos membros nas organizações a que você pertence.

2.8 Dados Técnicos e de Uso

  • Entradas do log de auditoria (tipo de ação, recurso, endereço IP, data/hora) para fins de segurança e comprovação legal.
  • Conteúdo de notificações no aplicativo e status de leitura.
  • Contadores de uso (contratos criados, perguntas de IA utilizadas) para controle de limites do plano.
  • Tokens OAuth da Salesforce (armazenados criptografados) caso você ative a integração com a Salesforce.

2.9 Dados do Google Drive (Somente Web — Opcional)

  • O que acessamos: Quando você opta por importar um PDF do Google Drive, solicitamos um token de acesso OAuth 2.0 de curta duração com o escopo drive.readonly. Com esse token, recuperamos a lista de arquivos PDF no seu Drive (nome, ID, tamanho e data da última modificação) e, após sua seleção, fazemos o download do conteúdo binário do PDF escolhido.
  • Finalidade: Exclusivamente para permitir que você carregue esse PDF como documento de contrato no DottSign. Nenhum outro arquivo ou metadado do Drive é acessado.
  • Armazenamento: O token de acesso OAuth é mantido apenas na memória do navegador durante a importação e nunca é transmitido nem armazenado em nossos servidores. Somente o arquivo PDF selecionado por você é armazenado (criptografado, na AWS S3) — nenhum outro metadado do Drive é retido.
  • Escopo utilizado: https://www.googleapis.com/auth/drive.readonly (somente leitura; nenhuma permissão de escrita, exclusão ou compartilhamento é solicitada).
  • Sem acesso em segundo plano: O acesso ao Drive ocorre exclusivamente em resposta a uma ação explícita do usuário (ao clicar em “Importar do Google Drive”). Não acessamos seu Drive em nenhum outro momento.
  • Revogar o acesso: Você pode revogar esse acesso a qualquer momento na página de permissões da sua Conta Google (myaccount.google.com/permissions) sem afetar sua conta no DottSign.

3. Base Legal para o Tratamento

Finalidade do tratamentoBase legal LGPD (Art. 7/11)Base legal RGPD (Art. 6)
Prestação da plataforma e execução do contratoExecução de contrato (Art. 7, V)Execução de contrato (Art. 6(1)(b))
Autenticação, segurança e prevenção a fraudesInteresse legítimo / obrigação legal (Art. 7, II/IX)Interesses legítimos (Art. 6(1)(f))
Geração de registros criptográficos de assinaturaObrigação legal / contrato (Art. 7, II/V)Obrigação legal / Contrato (Art. 6(1)(b/c))
Envio de e-mails transacionais (OTP, notificações)Execução de contrato (Art. 7, V)Contrato (Art. 6(1)(b))
Análise de documentos por IAInteresse legítimo (Art. 7, IX)Interesses legítimos (Art. 6(1)(f))
Importação de arquivo do Google Drive (opcional, iniciada pelo usuário)Consentimento (Art. 7, I)Consentimento (Art. 6(1)(a))
Processamento de pagamentos via StripeExecução de contrato (Art. 7, V)Contrato (Art. 6(1)(b))
Retenção de logs de auditoria para fins legaisObrigação legal (Art. 7, II)Obrigação legal (Art. 6(1)(c))
Análises de produto (anonimizadas)Interesse legítimo (Art. 7, IX)Interesses legítimos (Art. 6(1)(f))
Comunicações de marketing (opcional)Consentimento (Art. 7, I)Consentimento (Art. 6(1)(a))

4. Como Utilizamos os Seus Dados Pessoais

  • Criação e gerenciamento da sua conta e participações em organizações.
  • Processamento de assinaturas eletrônicas e geração de documentos PDF com lacre criptográfico.
  • Envio de e-mails de solicitação de assinatura, códigos únicos e cópias de documentos assinados aos signatários.
  • Execução de análise por IA nos seus documentos (resumo, categorização, extração de cláusulas, perguntas e respostas).
  • Importação de um PDF que você seleciona no Google Drive (somente web, mediante solicitação explícita) e armazenamento como documento de contrato.
  • Processamento de pagamentos de assinatura e gerenciamento de direitos do plano.
  • Manutenção de logs de auditoria para fornecer prova legal de eventos de assinatura.
  • Envio de notificações no aplicativo e, se aceito, notificações por e-mail sobre eventos de contrato.
  • Aplicação dos limites de uso conforme o plano de assinatura.
  • Aprimoramento da plataforma com base em análises de uso anonimizadas e agregadas.
  • Cumprimento de leis aplicáveis, ordens judiciais e obrigações regulatórias.

5. Compartilhamento e Transferência Internacional de Dados

5.1 Suboperadores e Serviços de Terceiros

  • AWS (Amazon Web Services): armazenamento criptografado de documentos e entrega de e-mails. A infraestrutura da AWS pode estar localizada no Brasil ou nos EUA, conforme a configuração.
  • Stripe, Inc. (EUA): processamento de pagamentos e gerenciamento de assinaturas.
  • Google LLC (EUA): autenticação opcional baseada em OAuth; e, na plataforma web, importação opcional de arquivos do Google Drive (somente leitura, iniciada pelo usuário, token de acesso nunca armazenado em nossos servidores).
  • Groq, Inc. (EUA): inferência por IA para análise de contratos. Extratos de texto de documentos são transmitidos; a Groq não retém conteúdo além do processamento de inferência.
  • Salesforce (integração opcional): se você ativar a integração com a Salesforce, seus tokens OAuth e metadados selecionados de contratos serão compartilhados com os servidores da Salesforce.

5.2 Transferências Internacionais de Dados

  • Somos uma empresa brasileira (LGPD Art. 33). As transferências de dados pessoais para países terceiros (ex.: EUA para Stripe, Groq, Google, AWS) são realizadas com salvaguardas adequadas: Cláusulas Contratuais Padrão (SCCs) sob o RGPD; e mecanismos reconhecidos pela ANPD sob a LGPD.
  • Quando as transferências se baseiam na adequação ou certificação do destinatário (ex.: certificação PCI-DSS da Stripe, framework de privacidade do Google), isso é documentado em nosso registro de suboperadores.

5.3 Divulgação a Autoridades

  • Podemos divulgar dados pessoais a tribunais, autoridades policiais ou regulatórias (incluindo a ANPD) quando exigido por lei aplicável ou processo legal válido.
  • Notificaremos os titulares afetados sobre tais divulgações quando legalmente permitido.

6. Retenção de Dados

Categoria de dadosPeríodo de retençãoJustificativa
Dados de perfil da contaDuração da conta + 6 meses após exclusãoPrestação do serviço; interesse legítimo (LGPD)
Documentos de contrato e registros de assinaturaDuração da conta; excluídos por solicitação; trilha de auditoria mínima de 5 anosObrigação de prova legal (MP 2.200-2/2001; Lei 9.492/1997)
Logs de auditoria5 anos a partir da data do eventoConformidade legal e regulatória
Registros de faturamento5 anos a partir da transaçãoLei tributária brasileira (Lei 9.430/1996)
Resultados de análise por IAExcluídos com o contrato associadoDados derivados; sem retenção independente
Tokens de sessão e atualizaçãoCurta validade; revogados no logout ou expiraçãoSegurança de autenticação
Tokens de redefinição de senhaCurta validade a partir da geraçãoSegurança
Códigos únicos para assinaturaCurta validade a partir da geraçãoSegurança

7. Medidas de Segurança

Implementamos os seguintes controles técnicos e organizacionais (LGPD Art. 46; RGPD Art. 32):

  • Criptografia em repouso para todos os documentos armazenados em nuvem; as chaves de criptografia são gerenciadas separadamente.
  • Hash seguro para senhas e tokens.
  • Criptografia em trânsito para todo o tráfego de API e web.
  • Assinaturas criptográficas e verificação de carimbo de tempo para registros de assinatura com validade legal.
  • Controles de acesso baseados em função (administrador, gerente, signatário, visualizador).
  • Autenticação de dois fatores (2FA) disponível para todas as contas.
  • Bloqueio biométrico no aplicativo móvel (somente no dispositivo; nenhum dado biométrico é transmitido).
  • Tokens de sessão de curta duração com rotação no lado do servidor.
  • Log de auditoria completo de todas as ações sensíveis.
  • Armazenamento seguro de tokens no aplicativo móvel, utilizando o armazenamento seguro fornecido pelo sistema operacional.

8. Cookies e Armazenamento Local

  • Aplicação web — cookies estritamente necessários: definimos um cookie seguro e gerenciado pelo servidor contendo o token de sessão. Esse cookie é necessário para manter sua sessão autenticada e não pode ser desativado sem impedir o login.
  • Aplicação web — sem cookies de análise ou publicidade de terceiros: não utilizamos Google Analytics, Meta Pixel nem quaisquer cookies de publicidade.
  • Aplicativo móvel — armazenamento seguro: tokens de acesso e de sessão são armazenados no armazenamento seguro do dispositivo, fornecido pelo sistema operacional.
  • Aplicativo móvel — armazenamento local: cache de metadados de contratos offline e preferência de idioma são armazenados no armazenamento local do dispositivo.

9. Seus Direitos

Nos termos da LGPD (Art. 18) e do RGPD (Arts. 15–22), você tem os seguintes direitos. Para exercê-los, envie um e-mail para privacy@dottsign.com com o e-mail da sua conta. Responderemos em até 15 dias úteis.

Direitos aplicáveis pela LGPD (todos os usuários) e pelo RGPD (usuários da UE/EEE)

  • Direito de Acesso (Art. 18, I / RGPD Art. 15): obter confirmação sobre o tratamento dos seus dados e receber uma cópia.
  • Direito de Retificação (Art. 18, III / RGPD Art. 16): corrigir dados imprecisos ou incompletos.
  • Direito de Exclusão/Apagamento (Art. 18, VI / RGPD Art. 17): solicitar a exclusão dos seus dados, sujeita às obrigações legais de retenção (ex.: trilhas de auditoria de contratos assinados).
  • Direito à Portabilidade (Art. 18, V / RGPD Art. 20): receber seus dados pessoais em formato estruturado, de uso comum e legível por máquina.
  • Direito à Informação sobre Compartilhamento (Art. 18, VII): conhecer as entidades com quem compartilhamos seus dados.
  • Direito de Oposição / Cancelamento (Art. 18, II / RGPD Art. 21): opor-se ao tratamento baseado em interesse legítimo; cancelar comunicações de marketing a qualquer momento.
  • Direito de Revogar o Consentimento (Art. 8, §5 / RGPD Art. 7(3)): revogar o consentimento para tratamentos baseados em consentimento, sem afetar a licitude dos tratamentos anteriores.
  • Direito à Revisão de Decisões Automatizadas (Art. 20 / RGPD Art. 22): solicitar revisão humana de decisões tomadas exclusivamente por meios automatizados que afetem significativamente você.
  • Direito de Peticionar à ANPD (Art. 18, VIII): registrar uma reclamação junto à Autoridade Nacional de Proteção de Dados (www.gov.br/anpd).
  • Apenas RGPD — Direito de Limitação do Tratamento (Art. 18 RGPD): solicitar a restrição do tratamento em determinadas circunstâncias.
  • Apenas RGPD — Reclamar junto a uma autoridade supervisora: residentes da UE/EEE podem registrar reclamação junto à autoridade de proteção de dados local.

10. Privacidade de Menores

O DottSign não é direcionado a menores de 18 anos. Não coletamos intencionalmente dados pessoais de menores. Caso constatemos que coletamos dados de um menor sem o consentimento verificado dos pais ou responsáveis, os excluiremos imediatamente. Entre em contato com privacy@dottsign.com se acreditar que dados de um menor foram coletados.

11. Notificação de Incidentes de Segurança

Em caso de incidente com dados pessoais que represente risco aos seus direitos e liberdades, notificaremos a ANPD no prazo de 72 horas após tomarmos conhecimento do incidente (LGPD Art. 48; RGPD Art. 33). Também notificaremos os titulares afetados sem demora indevida quando exigido. As notificações incluirão a natureza do incidente, as categorias de dados afetados, as prováveis consequências e as medidas corretivas adotadas.

12. Alterações nesta Política

Podemos atualizar esta Política de Privacidade periodicamente. Notificaremos você por e-mail e/ou aviso destacado no aplicativo com pelo menos 15 dias de antecedência antes de alterações relevantes entrarem em vigor. A política atualizada exibirá uma nova data de vigência. O uso continuado da plataforma após a data de vigência constitui reconhecimento da política atualizada. Para alterações relevantes que afetem tratamentos baseados em consentimento, solicitaremos novo consentimento.

13. Contato e Reclamações

Encarregado de Proteção de Dados (DPO): dpo@dottsign.com Solicitações de privacidade: privacy@dottsign.com Notificações legais: legal@dottsign.com ANPD (Autoridade Nacional de Proteção de Dados): www.gov.br/anpd Autoridades supervisoras da UE/EEE: edpb.europa.eu/about-edpb/board/members_en

DottSign · VICENT SOLUCOES TI LTDA · CNPJ 53.183.462/0001-58
Termos de UsoPrivacidade
Privacy Policy · DottSign