Política de Privacidade

O sistema CCBRJM ("Sistema", "Plataforma", "nós") tem o compromisso com a transparência e a proteção dos dados pessoais de todos os seus usuários, membros e visitantes. Esta Política de Privacidade descreve de forma detalhada como coletamos, utilizamos, armazenamos, compartilhamos e protegemos seus dados pessoais.

Esta política é aplicável a todos os usuários do Sistema, incluindo Administradores, Auxiliares, Gestores e Visitantes/Usuários Públicos que acessam páginas e formulários públicos.

Ao utilizar o Sistema, você declara estar ciente e de acordo com as práticas descritas nesta Política, em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — LGPD) e demais legislações aplicáveis.

O controlador dos dados pessoais tratados por meio do Sistema é a comunidade religiosa que administra a respectiva instância do Sistema (tenant). Cada comunidade é responsável pelo tratamento dos dados de seus membros e visitantes.

Para fins de contato relacionado à proteção de dados, o titular deve se dirigir ao Administrador da sua comunidade, cujas informações de contato estão disponíveis nos canais de comunicação da comunidade.

Coletamos diferentes categorias de dados pessoais conforme a forma de interação com o Sistema:

3.1. Dados de Membros (cadastro interno ou via link público):

• Nome completo;
• Data de nascimento;
• Gênero;
• Endereço de e-mail;
• Números de WhatsApp/telefone (pessoal, do pai e da mãe);
• Fotografia (quando fornecida voluntariamente);
• Informações sobre batismo;
• Participação musical e instrumentos;
• Função de organista;
• Fila/atribuição dentro da comunidade;
• Anotações inseridas pelos administradores;
• Histórico de presenças em eventos e reuniões;
• Histórico de migrações entre filas/atribuições.

3.2. Dados de Solicitações de Visita:

• Nome do solicitante ou das pessoas vinculadas;
• Número de WhatsApp/telefone;
• Endereço;
• Observações e descrições fornecidas pelo solicitante.

3.3. Dados de Perguntas Públicas:

• Texto da pergunta;
• Dados de identificação quando vinculados a um membro cadastrado.

3.4. Dados de Autenticação e Acesso:

• Nome e e-mail da conta Google (para Administradores, Auxiliares e Gestores);
• Identificador único do Google (sub);
• Fotografia do perfil Google;
• Data e hora de cada acesso ao Sistema;
• Endereço IP de acesso.

3.5. Dados de Auditoria:

• Registros de todas as operações realizadas no Sistema (criação, edição, exclusão de dados);
• Identificação do usuário responsável por cada operação;
• Data e hora da operação;
• Snapshot dos dados antes e depois de cada alteração.

3.6. Dados de Integração com Google Calendar:

• Tokens de acesso ao Google Calendar (armazenados de forma segura);
• Identificador da agenda criada;
• Dados sincronizados: nome, data de nascimento, gênero, telefones, fila, informações sobre batismo e participação musical dos membros.

3.7. Dados de Votações:

• Respostas a votações internas, vinculadas ao identificador do membro participante.

Os dados pessoais coletados são tratados para as seguintes finalidades específicas:

• Gestão de membros: Cadastro, atualização, organização em filas/atribuições, controle de status (ativo/inativo) e histórico completo;
• Gestão de eventos: Criação, agendamento e controle de presenças em eventos e reuniões da comunidade;
• Comunicação: Envio de mensagens SMS para membros (quando configurado), comunicação sobre eventos e atividades;
• Solicitações de visita: Processamento e acompanhamento de pedidos de visita, associação com membros cadastrados;
• Perguntas públicas: Recebimento e gestão de perguntas enviadas por visitantes;
• Relatórios e estatísticas: Geração de relatórios de presença, aniversariantes, migrações e outros indicadores de gestão;
• Auditoria e segurança: Manutenção de registros de todas as operações para rastreabilidade, integridade e prevenção de uso indevido;
• Sincronização de aniversários: Quando autorizada, criação de eventos recorrentes no Google Agenda com dados dos membros;
• Atribuição automática: Distribuição automática de membros em escalas e filas com base em critérios como idade e gênero;
• Backup e recuperação: Criação de cópias de segurança dos dados para proteção contra perda;
• Cumprimento legal: Atendimento a obrigações legais e regulatórias aplicáveis.

O tratamento de dados pessoais no Sistema fundamenta-se nas seguintes bases legais, conforme previsto na Lei nº 13.709/2018:

5.1. Consentimento (Art. 7º, I): Ao submeter dados pessoais por meio de formulários públicos (cadastro, solicitação de visita, perguntas) ou ao autorizar a integração com o Google Calendar, o titular consente expressamente com o tratamento de seus dados para as finalidades descritas nesta Política.

5.2. Execução de contrato ou procedimentos preliminares (Art. 7º, V): O tratamento é necessário para a execução do relacionamento entre a comunidade e seus membros, incluindo a gestão de participação em eventos e atividades.

5.3. Legítimo interesse do controlador (Art. 7º, IX): Para fins de segurança do Sistema, auditoria, prevenção de fraudes, geração de relatórios estatísticos e melhoria contínua dos serviços, sempre respeitando os direitos e liberdades fundamentais do titular.

5.4. Exercício regular de direitos (Art. 7º, VI): Para manutenção de registros necessários ao funcionamento legítimo da comunidade e à comprovação de fatos juridicamente relevantes.

Os dados pessoais tratados pelo Sistema não são comercializados, vendidos, alugados ou cedidos a terceiros para quaisquer fins comerciais ou de marketing.

O compartilhamento de dados ocorre exclusivamente nas seguintes hipóteses, sempre de forma limitada ao estritamente necessário:

6.1. Google LLC:

• Autenticação: Dados de login são processados pelo Google Identity Services para fins de autenticação segura. O Google recebe apenas as informações necessárias para verificar a identidade do usuário.
• Google Calendar: Quando a sincronização de aniversários é ativada pelo Administrador, dados dos membros (nome, data de nascimento e informações de contato) são enviados ao Google Calendar para criação de eventos. Esta integração é opcional e pode ser desativada a qualquer momento.

6.2. ClickSend Pty Ltd: Quando configurado pelo Administrador, números de telefone e conteúdo de mensagens são compartilhados com a plataforma ClickSend para envio de SMS. Este serviço é opcional.

6.3. Prestadores de infraestrutura: Os dados são armazenados em servidores seguros operados por prestadores de serviço de cloud computing, que atuam como operadores de dados sob medidas adequadas de segurança e confidencialidade.

6.4. Obrigação legal ou determinação judicial: Quando exigido por autoridade competente, ordem judicial ou determinação legal, nos termos da legislação brasileira aplicável.

7.1. Local de armazenamento: Os dados são armazenados em banco de dados MongoDB hospedado em infraestrutura de nuvem, com medidas de segurança técnicas e administrativas adequadas.

7.2. Período de retenção: Os dados pessoais são retidos enquanto:

• Forem necessários para as finalidades descritas nesta Política;
• O membro estiver ativo na comunidade;
• Houver obrigação legal ou regulatória de retenção;
• Forem necessários para exercício regular de direitos em processos judiciais, administrativos ou arbitrais.

7.3. Dados de membros inativos: Quando um membro é inativado no Sistema, seus dados são preservados para fins de histórico, auditoria e relatórios, mas podem ser excluídos definitivamente mediante solicitação do titular.

7.4. Dados de auditoria: Os registros de auditoria (logs) são mantidos por tempo indeterminado para fins de rastreabilidade e segurança, não sendo possível sua exclusão individual.

7.5. Exclusão de dados: Após o término do tratamento ou mediante solicitação do titular, os dados pessoais serão eliminados de forma segura, ressalvadas as hipóteses de retenção legalmente previstas.

Adotamos medidas técnicas e organizacionais adequadas para proteger os dados pessoais contra acessos não autorizados, destruição, perda, alteração ou qualquer forma de tratamento inadequado:

8.1. Medidas técnicas:

• Criptografia em trânsito: Toda comunicação entre o navegador e o servidor é protegida por criptografia TLS/SSL (HTTPS);
• Autenticação segura: Acesso ao sistema administrativo protegido por Google OAuth 2.0 com tokens de sessão;
• Isolamento de dados (multi-tenant): Cada comunidade possui acesso exclusivo aos seus próprios dados, com segregação completa a nível de banco de dados;
• Sistema de auditoria: Todas as operações de criação, edição e exclusão são registradas com identificação do usuário, data/hora e dados alterados;
• Backup automatizado: Cópias de segurança dos dados são geradas periodicamente para proteção contra perda.

8.2. Medidas organizacionais:

• Controle de acesso baseado em papéis: O Sistema implementa três níveis de acesso (Gestor, Administrador, Auxiliar), cada um com permissões específicas e limitadas;
• Princípio do menor privilégio: Cada usuário tem acesso apenas às funcionalidades e dados necessários ao desempenho de sua função;
• Rastreabilidade: Todas as ações são auditáveis, permitindo identificar quem realizou cada operação.

9.1. Cookies utilizados: O Sistema utiliza exclusivamente cookies estritamente necessários ao seu funcionamento:

• session_token: Cookie de sessão utilizado para manter a autenticação do usuário durante a navegação. É essencial para o funcionamento do Sistema. Expira ao encerrar a sessão ou após o tempo de inatividade configurado.

9.2. O que NÃO utilizamos:

• Cookies de rastreamento ou analytics;
• Cookies de publicidade ou remarketing;
• Cookies de terceiros para fins de marketing;
• Pixels de rastreamento;
• Fingerprinting de dispositivo;
• Qualquer tecnologia de monitoramento comportamental.

Em conformidade com a LGPD, o titular dos dados pessoais pode exercer, a qualquer momento, os seguintes direitos:

• Confirmação e acesso (Art. 18, I e II): Obter confirmação da existência de tratamento e acesso aos seus dados pessoais tratados pelo Sistema;
• Correção (Art. 18, III): Solicitar a correção de dados pessoais incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação (Art. 18, IV): Solicitar a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
• Portabilidade (Art. 18, V): Solicitar a portabilidade dos dados a outro fornecedor de serviço, mediante requisição expressa;
• Eliminação com consentimento (Art. 18, VI): Solicitar a eliminação dos dados pessoais tratados com base no consentimento, exceto nas hipóteses de retenção legalmente previstas;
• Informação sobre compartilhamento (Art. 18, VII): Obter informação sobre as entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;
• Informação sobre não consentimento (Art. 18, VIII): Obter informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
• Revogação do consentimento (Art. 18, IX): Revogar o consentimento a qualquer momento, mediante manifestação expressa, sem comprometer a licitude do tratamento realizado anteriormente.

Como exercer seus direitos: O titular pode entrar em contato com o Administrador da sua comunidade ou enviar solicitação pelos canais de comunicação disponibilizados no Sistema ou nos links públicos da comunidade. As solicitações serão atendidas no prazo de até 15 (quinze) dias, conforme previsto na LGPD.

O Sistema pode tratar dados pessoais de crianças e adolescentes no contexto de cadastro de membros da comunidade.

O tratamento de dados de menores de 18 anos é realizado com base no consentimento dos pais ou responsáveis legais, conforme o Art. 14 da LGPD. O cadastro de menores no Sistema deve ser realizado pelo Administrador com a devida autorização dos responsáveis.

Os dados de menores recebem o mesmo nível de proteção e segurança aplicado aos demais dados pessoais tratados pelo Sistema.

O Sistema utiliza serviços de terceiros que podem processar dados em servidores localizados fora do Brasil, incluindo:

• Google LLC (EUA): Para autenticação via Google Identity Services e integração com Google Calendar;
• ClickSend Pty Ltd (Austrália): Para envio de SMS, quando configurado;
• Infraestrutura de nuvem: Os servidores utilizados podem estar localizados em diferentes regiões geográficas.

As transferências internacionais de dados são realizadas em conformidade com o Art. 33 da LGPD, garantindo nível adequado de proteção por meio de cláusulas contratuais, certificações ou mecanismos equivalentes adotados pelos prestadores de serviço.

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, o controlador:

• Comunicará a Autoridade Nacional de Proteção de Dados (ANPD) em prazo razoável, conforme o Art. 48 da LGPD;
• Comunicará os titulares afetados, informando a natureza dos dados afetados, os riscos envolvidos, as medidas adotadas para mitigação e as recomendações ao titular;
• Adotará medidas técnicas imediatas para contenção e remediação do incidente.

Esta Política de Privacidade pode ser atualizada periodicamente para refletir mudanças nas práticas de tratamento de dados, novas funcionalidades do Sistema ou alterações na legislação aplicável.

A versão vigente será sempre disponibilizada nesta página, com indicação da data da última atualização no topo do documento.

O uso continuado do Sistema após a publicação de alterações constitui ciência e concordância com a nova versão da Política.

Recomendamos que esta página seja consultada periodicamente.

Esta Política é regida pelas leis da República Federativa do Brasil, em especial:

• Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — LGPD);
• Marco Civil da Internet (Lei nº 12.965/2014);
• Código de Defesa do Consumidor (Lei nº 8.078/1990), quando aplicável.

Fica eleito o foro da comarca da sede da comunidade para dirimir quaisquer controvérsias decorrentes desta Política, com renúncia expressa a qualquer outro, por mais privilegiado que seja.

Para dúvidas, reclamações, solicitações de exercício de direitos ou qualquer questão relacionada ao tratamento de dados pessoais, entre em contato com:

• Administrador da comunidade: Por meio dos canais de comunicação disponibilizados no Sistema ou nos links públicos da comunidade;
• Autoridade Nacional de Proteção de Dados (ANPD): Caso entenda que o tratamento de seus dados viola a LGPD, o titular pode apresentar petição à ANPD (www.gov.br/anpd).