PactumA sua privacidade, tratada como contrato.
Esta Política explica, em linguagem direta, quais dados pessoais a Pactum trata, por que cada um é necessário, com quem eventualmente compartilhamos e como protegemos a informação que passa pela plataforma.
Tratamos dados pessoais com o mesmo rigor que esperamos de um bom contrato: finalidade clara, mínimo necessário e nada de letras miúdas. Você sempre saberá o que coletamos e por quê.
Quem somos e quem responde
Identificação do controlador e do canal de contato para privacidade.
1.1. A Pactum Tecnologia Ltda, inscrita no CNPJ sob o nº 66.113.956/0001-08 ("Pactum", "nós"), é uma plataforma de software como serviço (SaaS) para gestão, análise e templatização de instrumentos contratuais. Esta Política descreve como tratamos dados pessoais na prestação desse serviço, em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados, LGPD) e demais normas aplicáveis.
1.2. Em atenção ao art. 41 da LGPD, indicamos nosso Encarregado pelo Tratamento de Dados Pessoais (DPO), responsável por receber comunicações de titulares e da Autoridade Nacional de Proteção de Dados (ANPD) e por orientar sobre as práticas a serem adotadas:
Pedro Henrique Monteiro Nogueira (OAB/GO 55.889)
Canal para exercício de direitos: privacidade@pactumapp.com.br
Se você tem qualquer dúvida sobre seus dados, ou quer pedir acesso, correção ou exclusão, há um canal específico e identificado para isso. Não é um formulário que cai no vazio: é um contato nominal e obrigatório por lei.
Os dois papéis da Pactum
A Pactum trata dados de duas formas distintas, e isso define quem decide o quê.
2.1. Compreender essa distinção é essencial, porque ela determina o regime jurídico aplicável a cada conjunto de dados e a quem cabe decidir sobre eles.
Controladora
Sobre os dados da própria plataforma: conta, usuários, segurança e cobrança. Aqui a Pactum decide as finalidades e os meios do tratamento.
Operadora
Sobre o conteúdo dos contratos e documentos que você envia. Aqui quem decide é você, o cliente (controlador): a Pactum apenas processa, sob suas instruções, conforme o Acordo de Tratamento de Dados (DPA).
Pense num escritório de contabilidade. Sobre o cadastro dele próprio com o cliente, ele decide. Sobre os documentos que o cliente entrega para processar, quem decide é o cliente, e o contador é apenas o operador. A Pactum funciona da mesma forma: somos titulares da decisão sobre os dados da sua conta, mas nunca proprietários do conteúdo dos seus contratos. Esse conteúdo continua sendo seu.
Dados que tratamos, por camada
Organizamos os dados por natureza, para você ver exatamente o que cada um envolve.
A LGPD chama isso de minimização: coleta-se apenas o estritamente necessário para a finalidade. Cada camada acima existe por uma razão concreta de funcionamento. Não coletamos dado "por garantia" nem para usos não declarados.
Seus contratos e documentos
O conteúdo que você envia recebe tratamento próprio, e mais protegido.
- 4.1. Os documentos enviados continuam sendo seus (ou dos respectivos titulares). A Pactum não adquire titularidade nem direito de uso autônomo sobre esse conteúdo.
- 4.2. Processamos esse conteúdo apenas para executar a funcionalidade contratada, nos planos estrutural (identificação de blocos e cláusulas) e semântico (identificação de variáveis para templatização).
- 4.3. Trata-se de categoria distinta do dado cadastral, sujeita ao regime de operadora e regida pelo Acordo de Tratamento de Dados (DPA) celebrado com você.
O conteúdo-fonte enviado para análise é mantido pelo tempo necessário à finalidade e pode ser eliminado a qualquer tempo mediante solicitação do cliente, pelos canais da plataforma ou pelo contato do Encarregado. O resultado gerado (o modelo ou template) permanece sob seu controle enquanto durar a relação contratual.
O contrato que você envia serve para a plataforma gerar o seu modelo. O documento-fonte é tratado apenas pelo tempo necessário a essa função e pode ser excluído quando você quiser. O template que você gerou, esse sim, é o seu produto e permanece com você enquanto a conta estiver ativa. Em resumo: a matéria-prima pode ser descartada a pedido; o resultado fica.
Inteligência artificial
Como a IA participa do processamento, e os limites que impomos.
5.1. Algumas funcionalidades da Pactum utilizam inteligência artificial para o processamento estrutural e semântico de documentos (identificar cláusulas, blocos e variáveis para templatização). Esse processamento é realizado por meio de provedor de modelos de linguagem operando sob contrato comercial (API), e está sujeito às seguintes salvaguardas:
- 5.1.1. O conteúdo enviado para processamento por IA não é utilizado para treinar modelos do provedor.
- 5.1.2. O conteúdo é submetido a retenção mínima pelo provedor, com eliminação automática em prazo curto, salvo exigência legal ou de prevenção a uso indevido.
- 5.1.3. O tratamento ocorre exclusivamente para executar a funcionalidade contratada, sob o regime de operadora, com as condições e salvaguardas detalhadas no DPA.
Num produto jurídico, o conteúdo dos contratos é sensível por natureza. Por isso fazemos questão de ser explícitos: a IA que processa seus documentos opera sob contrato empresarial que proíbe o uso do seu conteúdo para treinamento e impõe retenção mínima. Diagnosticar e estruturar um contrato não deve custar a confidencialidade dele.
Por que tratamos e com que base
Toda finalidade tem uma hipótese legal correspondente na LGPD.
| Dado | Para quê | Base legal |
|---|---|---|
| Conta | Prestar o serviço contratado | Execução de contrato, art. 7º, V |
| Usuários | Identificar, conceder acesso e proteger a conta | Execução de contrato e legítimo interesse, art. 7º, V e IX |
| Contratos | Executar a funcionalidade de análise e templatização | Operadora: base definida por você, controlador refletida no DPA |
| Segurança | Proteção, rastreabilidade, prevenção a fraude e defesa de direitos | Legítimo interesse e cumprimento de obrigação legal, art. 7º, II e IX |
| Cobrança | Faturar a assinatura e cumprir obrigações fiscais | Execução de contrato e obrigação legal, art. 7º, V e II |
Quando nos apoiamos no legítimo interesse (por exemplo, para segurança e prevenção a fraude), o fazemos de forma limitada e proporcional, sempre ponderando os seus direitos e expectativas. Você pode solicitar esclarecimentos sobre esse enquadramento pelo canal do Encarregado.
Quem mais participa
Para funcionalidades específicas, contamos com operadores e subprocessadores.
7.1. Para prestar o serviço, a Pactum recorre a fornecedores que tratam dados pessoais em nosso nome ou como subprocessadores. Selecionamos parceiros que oferecem garantias adequadas de proteção de dados. A relação atual é a seguinte:
| Parceiro | Finalidade | Localização |
|---|---|---|
| Neon | Banco de dados: armazenamento dos dados da plataforma | Exterior (EUA) |
| Render | Hospedagem e execução da aplicação | Exterior (EUA) |
| Cloudflare | DNS, proteção de rede e armazenamento de objetos | Infraestrutura global |
| Asaas | Processamento de cobrança e meios de pagamento | Brasil |
| Resend | Envio de e-mails transacionais | Exterior (EUA) |
| Anthropic | Processamento por IA (estrutural e semântico de documentos)sob contrato comercial; sem uso para treinamento, ver Seção 5 e DPA | Exterior (EUA) |
| Sentry | Monitoramento de errosdados pessoais são removidos antes do envio | Exterior (EUA) |
A infraestrutura de armazenamento e hospedagem (banco de dados, objetos e aplicação) é comum aos dados de conta e ao conteúdo contratual. O que o DPA rege de forma específica é o tratamento do conteúdo dos seus contratos sob o regime de operadora, e não a mera hospedagem da informação.
Dados fora do Brasil
Alguns parceiros operam no exterior, e a LGPD trata disso.
8.1. Parte dos parceiros indicados na Seção 7 opera infraestrutura fora do Brasil, o que configura transferência internacional de dados nos termos dos arts. 33 a 36 da LGPD. Tais transferências são realizadas com salvaguardas contratuais adequadas, observadas as hipóteses de legitimação previstas em lei. O detalhamento aplicável ao conteúdo contratual consta do DPA.
Dado pessoal que sai do país tem regra própria na LGPD. Em vez de ocultar essa informação no meio do texto, dizemos com clareza quais parceiros estão fora e sob qual amparo. Transparência é parte da conformidade, não um favor.
Cookies e sessão
Usamos o mínimo necessário para você entrar e permanecer em segurança.
9.1. A Pactum utiliza cookies e tecnologias estritamente necessários ao funcionamento da plataforma, em especial para autenticação e manutenção de sessão (incluindo tokens de acesso e renovação) e para segurança. Esses recursos são indispensáveis à prestação do serviço e não dependem de consentimento adicional.
9.2. A Pactum não utiliza cookies de rastreamento publicitário nem comercializa dados de navegação. Caso, no futuro, sejam adotadas ferramentas de medição de uso que dependam de consentimento, este será solicitado de forma destacada, e esta Seção será atualizada.
Por quanto tempo guardamos
Cada categoria tem um critério de retenção definido.
| Categoria | Critério de retenção |
|---|---|
| Cadastro (Camadas 1, 2 e 5) | Enquanto vigente a relação contratual e pelos prazos legais e fiscais aplicáveis após o seu término. |
| Conteúdo contratual (Camada 3) | Pelo tempo necessário à finalidade; eliminável a qualquer tempo mediante solicitação do cliente. |
| Auditoria e segurança (Camada 4) | Registros imutáveis, conservados pelo tempo necessário à integridade, à segurança e ao cumprimento de obrigações legais e à defesa de direitos. |
10.1. Encerrado o tratamento, os dados são eliminados na forma do art. 16 da LGPD, ressalvadas as hipóteses de guarda autorizadas em lei (cumprimento de obrigação legal ou regulatória, exercício regular de direitos e demais previstas no referido artigo). A eliminação antecipada pode ser solicitada conforme a Seção 11.
Seus direitos
A LGPD garante um conjunto de direitos, e a Pactum os operacionaliza.
11.1. Nos termos do art. 18 da LGPD, você pode, a qualquer tempo e mediante requisição: confirmar a existência de tratamento; acessar seus dados; corrigir dados incompletos, inexatos ou desatualizados; solicitar anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade; pedir a portabilidade; obter informação sobre o compartilhamento; ser informado sobre a possibilidade de não consentir e as consequências; e solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado, quando aplicável.
11.2. As solicitações devem ser dirigidas ao Encarregado (Seção 1). Tratando-se de conteúdo contratual (Camada 3), em que a Pactum atua como operadora, a solicitação é processada em conjunto com você, o cliente controlador, na forma do DPA.
Como protegemos
Medidas técnicas e administrativas reais, não declarações genéricas.
12.1. Em cumprimento aos arts. 46 a 49 da LGPD, adotamos, entre outras, as seguintes medidas:
- 12.1.1. Segregação lógica multi-inquilino com Row-Level Security, isolamento de dados entre contas no nível do banco de dados;
- 12.1.2. Isolamento em camadas de acesso (controle administrativo, política de linha e filtragem por organização);
- 12.1.3. Senhas protegidas por hash, jamais armazenadas em texto claro;
- 12.1.4. Cifragem em trânsito por TLS;
- 12.1.5. Remoção de dados pessoais antes do envio ao monitoramento de erros;
- 12.1.6. Limitação de taxa de requisições, como defesa contra abuso;
- 12.1.7. Trilha de auditoria imutável de operações sensíveis.
Toda empresa diz isso. Preferimos listar mecanismos concretos. Se um controle está nesta lista, é porque existe no sistema, não porque soa bem num texto. Nenhuma medida de segurança, contudo, é capaz de eliminar integralmente todos os riscos, e a colaboração do usuário na proteção de suas credenciais é parte essencial dessa segurança.
Registros e auditoria
Por que mantemos registros, e com que finalidade.
13.1. Registros técnicos e de auditoria são mantidos para segurança, rastreabilidade, prevenção a fraude e exercício regular de direitos em processo judicial, administrativo ou arbitral, pelo tempo necessário a essas finalidades. Os registros de auditoria são imutáveis por concepção, o que assegura integridade e não repúdio das operações sensíveis.
Incidentes de segurança
O que fazemos se algo der errado.
14.1. A Pactum mantém procedimentos internos de resposta a incidentes de segurança envolvendo dados pessoais. Diante de incidente que possa acarretar risco ou dano relevante aos titulares, adotaremos as providências cabíveis, incluindo a comunicação à ANPD e aos titulares afetados, em prazo razoável, nos termos do art. 48 da LGPD e da regulamentação da ANPD.
Menores de idade
A plataforma é uma ferramenta profissional.
15.1. A Pactum não se destina a menores de 18 anos e não realiza, de forma intencional, o tratamento de dados pessoais de menores. Caso seja identificado tratamento sem o devido amparo legal, os dados serão eliminados.
Mudanças e documentos ligados
Esta Política não vive sozinha.
16.1. Esta Política pode ser atualizada a qualquer tempo; a versão vigente é a publicada nesta página, sempre com indicação da data de revisão. Recomendamos a consulta periódica. Esta Política integra um conjunto documental que inclui:
- 16.1.1. Termos de Uso: condições de utilização da plataforma;
- 16.1.2. Acordo de Tratamento de Dados (DPA): tratamento do conteúdo contratual e papel de operadora;
- 16.1.3. Relação de Subprocessadores: fornecedores e finalidades, conforme a Seção 7.
A Pactum trata privacidade como trata contrato: com clareza, com responsabilidade e sem letras miúdas.