Política de Privacidade e DPA

Política de Privacidade e DPA

CONFORME AO GDPR / UK GDPR


1. Introdução


Esta Política de Privacidade explica como a Sophya Inc. (“SoWork,” “nós,” “nosso” ou “conosco”) coleta, usa, divulga e protege suas informações quando você acessa ou usa os serviços da SoWork (sowork.com, app.sowork.com e aplicativos relacionados).

A SoWork está comprometida com a privacidade e cumpre com:

  • GDPR da UE

  • GDPR do Reino Unido

  • Lei de privacidade de BC

  • CCPA/CPRA (Califórnia)

  • Lei de Privacidade Australiana

Projetamos nossos sistemas para minimizar dados, criptografar dados em trânsito e em repouso, e respeitar todos os direitos de exclusão, acesso e exportação. Se tiver dúvidas, entre em contato conosco em:
aloha@sowork.com

2. Quais Dados Coletamos e Por Quê

Coletamos apenas os dados necessários para fornecer e melhorar o SoWork. Abaixo está um resumo:

Informações da Conta

  • Nome, e-mail, senha (com hash), informações da equipe/organização

  • Finalidade: Criar e gerenciar sua conta

  • Base legal: Contrato

Dados de Uso

  • Endereço IP, navegador, tipo de dispositivo

  • Eventos de interação no aplicativo (cliques, recursos utilizados, duração das sessões) via Google Analytics e Amplitude

  • Finalidade: Melhorar o desempenho e a qualidade do produto

  • Base legal: Interesse legítimo (UE/Reino Unido); consentimento de análise onde exigido

Conteúdo do Espaço de Trabalho

  • Mensagens, reações, texto de status, imagens enviadas, metadados de reuniões

  • Finalidade: Fornecer o ambiente SoWork e seus recursos de colaboração

  • Base legal: Contrato

Informações de Pagamento

  • Fornecidas diretamente ao Stripe; a SoWork não armazena dados completos do cartão

  • Finalidade: Processar pagamentos

  • Base legal: Contrato

Interações de Suporte

  • E-mails, mensagens de chat, relatórios de erros

  • Finalidade: Fornecer suporte

  • Base legal: Interesse legítimo

Nós não vendemos informações pessoais.

3. Bases Legais para Processamento (GDPR/UK GDPR)



4. Como Compartilhamos Informações

Apenas compartilhamos informações com fornecedores necessários para operar o SoWork:

Suboperadores

  • AWS (EUA) – infraestrutura

  • Google Cloud (EUA) – infraestrutura + backups

  • Stream/StreamChat (EUA) – infraestrutura de mensagens

  • Stripe (EUA) – pagamentos

  • Google Analytics – análises

  • Amplitude – análises

Cada suboperador está vinculado a um Acordo de Processamento de Dados (DPA) e Clausulas Contratuais Padrão. Não compartilhamos informações com anunciantes e não vendemos dados.

5. Transferências Internacionais (UE/Reino Unido → EUA)

Como a SoWork e sua infraestrutura estão localizadas nos Estados Unidos, seus dados serão transferidos para fora da UE e do Reino Unido. Para proteger essas transferências, utilizamos:


  • Cláusulas Contratuais Padrão (SCCs) aprovadas pela Comissão Europeia

  • Adendo do Reino Unido às SCCs

  • Medidas técnicas incluindo criptografia, controles de acesso e permissões rígidas baseadas em funções

6. Retenção de Dados

Reteremos os dados apenas pelo tempo necessário:


Após solicitações de exclusão, os dados são removidos dos sistemas ativos e dos backups em até 30 dias.

7. Seus Direitos (GDPR e UK GDPR)

Se você estiver localizado na UE, Reino Unido ou EEE, você tem o direito de:

  • Acessar seus dados pessoais

  • Solicitar a exclusão de seus dados

  • Solicitar correção ou atualizações

  • Restringir o processamento

  • Opor-se ao processamento

  • Receber seus dados em formato portátil

  • Retirar o consentimento a qualquer momento

  • Apresentar uma reclamação à sua autoridade de proteção de dados

Você pode exercer esses direitos em aloha@sowork.com.

Representante da UE/Reino Unido (Artigo 27) Com base em nossa avaliação, a SoWork qualifica-se para a isenção de nomeação de um representante na UE/Reino Unido porque:


  • nosso processamento de dados pessoais da UE/Reino Unido é ocasional,

  • não envolve dados de categorias especiais em larga escala,

  • e apresenta baixo risco para os indivíduos.

Continuamos a monitorar esse status.

8. Cookies e Tecnologias de Rastreamento

Utilizamos cookies para funcionalidade e análises. Tipos de cookies:

  • Cookies essenciais – necessários para login e operação do espaço de trabalho

  • Cookies de análise – Google Analytics, Amplitude

  • Cookies de preferência – lembram suas configurações

Quando exigido, obtemos consentimento para cookies não essenciais.

9. Segurança

Utilizamos medidas de segurança padrão do setor, incluindo:

  • Criptografia TLS em trânsito

  • Criptografia em repouso

  • Controles de acesso baseados em funções

  • Análises de segurança regulares

  • Registro de auditoria (logs)


10. Privacidade Infantil

O SoWork não se destina a crianças menores de 13 anos, e não coletamos intencionalmente dados delas.

11. Como entrar em contato conosco

aloha@sowork.com

POLÍTICA DE COOKIES (CONFORME GDPR/UK)

1. O que são cookies?

Cookies são pequenos arquivos de texto armazenados no seu dispositivo para fazer o SoWork funcionar corretamente e melhorar sua experiência.

2. Como usamos cookies

Cookies Essenciais Necessários para login, gerenciamento de sessão e funcionalidade do espaço de trabalho.

Cookies de Análise Utilizados para compreender os padrões de uso através de:

  • Google Analytics

  • Amplitude


Esses cookies são carregados apenas após o consentimento do usuário, onde aplicável.

3. Escolhas de Cookies

Você pode:

  • Aceitar todos os cookies

  • Rejeitar cookies não essenciais

  • Retirar o consentimento a qualquer momento

As configurações do navegador também podem bloquear cookies.

SoWork — ADENDO DE PROCESSAMENTO DE DADOS

Este Adendo de Processamento de Dados (“DPA”) está incorporado aos Termos de Serviço do SoWork (“Contrato”) e aplica-se quando a SoWork processa Dados Pessoais em nome de um Cliente sujeito ao GDPR, UK GDPR ou leis semelhantes. Ao utilizar os Serviços, o Cliente concorda com este DPA.

1. Funções e Responsabilidades

O Cliente é o Controlador dos Dados Pessoais.

  • A SoWork é a Operadora, processando Dados Pessoais apenas para fornecer os Serviços.

  • Cada parte cumprirá com as Leis de Proteção de Dados aplicáveis.

2. Instruções do Cliente

A SoWork processará Dados Pessoais apenas:


(a) para fornecer os Serviços,
(b) de acordo com as instruções documentadas do Cliente,
(c) conforme exigido por lei. A SoWork notificará o Cliente se uma instrução parecer ilegal.

3. Confidencialidade

A SoWork garante que os profissionais com acesso aos Dados Pessoais estão sujeitos a obrigações de confidencialidade.

4. Suboperadores

O Cliente autoriza a SoWork a utilizar suboperadores necessários para fornecer os Serviços, incluindo:


  • AWS (EUA)

  • Google Cloud (EUA)

  • StreamChat (EUA)

  • Stripe (EUA)

  • Google Analytics

  • Amplitude

A SoWork imporá obrigações de proteção de dados a todos os suboperadores e permanece responsável pelo cumprimento das obrigações por estes.

5. Medidas de Segurança

A SoWork implementará medidas técnicas e organizacionais adequadas ao risco, incluindo criptografia, controles de acesso, segurança de rede, monitoramento e análises periódicas.

6. Solicitações dos Titulares de Dados

A SoWork auxiliará o Cliente no atendimento a solicitações de direitos dos titulares de dados (acesso, exclusão, correção, portabilidade, oposição) relacionadas aos dados processados através dos Serviços.

7. Incidentes de Segurança com Dados Pessoais

A SoWork notificará o Cliente sem atraso indevido ao tomar conhecimento de qualquer Incidente de Segurança com Dados Pessoais que afete os Dados Pessoais.

8. Transferências Internacionais

Onde os Dados Pessoais forem transferidos para os Estados Unidos:


  • As Cláusulas Contratuais Padrão da UE (SCCs, Módulo 2) são incorporadas a este DPA.

  • O Adendo do Reino Unido aplica-se para o UK GDPR.

  • A SoWork implementará medidas suplementares incluindo criptografia, controles de acesso e registros de auditoria (logs).

A execução deste DPA constitui a execução das SCCs.

9. Exclusão de Dados

Após a rescisão dos Serviços ou mediante solicitação, a SoWork excluirá os Dados Pessoais dos sistemas ativos sem atraso indevido e dos backups em até 90 dias, a menos que a retenção seja exigida por lei.

10. Direitos de Auditoria

O Cliente poderá:

(a) solicitar resumos das medidas de segurança da SoWork, ou
(b) realizar uma auditoria remota razoável uma vez por ano mediante aviso prévio por escrito.

Auditorias presenciais são permitidas apenas se exigidas por lei. Se tal documentação for insuficiente para o Cliente cumprir suas obrigações legais nos termos do GDPR ou UK GDPR, o Cliente poderá realizar uma auditoria remota dos sistemas relevantes da SoWork no máximo uma vez a cada período de 12 meses, com pelo menos 30 dias de aviso prévio por escrito.

Todas as auditorias serão realizadas sob total e exclusiva responsabilidade financeira e custos do Cliente. Isso inclui, sem limitação:


  1. Custos internos do Cliente,

  2. honorários de auditor terceirizado,

  3. custos razoáveis da SoWork relacionados a tempo, pessoal, suporte de engenharia e custos administrativos associados à facilitação da auditoria.

A SoWork exigirá que o Cliente assine um acordo de confidencialidade e concorde por escrito em reembolsar todos os custos relacionados à auditoria antes do início dos procedimentos.

11. Responsabilidade e Lei Aplicável

A responsabilidade sob este DPA está sujeita às limitações previstas no Contrato.

Para transferências da UE, a lei irlandesa rege as SCCs.

Para transferências do Reino Unido, aplica-se o Adendo do Reino Unido. Este DPA entra em vigor automaticamente e não exige assinatura.

O uso do SoWork após a data de vigência constitui aceitação.