Política de Privacidade

Versão vigente: 8 de maio de 2026.

Esta Política descreve como a plataforma AdvPlan (advplan.com.br) coleta, utiliza, armazena, compartilha e protege dados pessoais. O AdvPlan é fornecido pela DesignMaster Agência Digital Ltda., CNPJ 10.620.937/0001-13, sediada em Colatina/ES. A política é elaborada em conformidade com a Lei Geral de Proteção de Dados (Lei 13.709/2018) e, na seção específica de integração com o Google, com a Google API Services User Data Policy, incluindo os requisitos de Limited Use.

1. Quem é o controlador

• Dados do escritório contratante (cadastro, faturamento, uso da plataforma): a DesignMaster Agência Digital atua como controladora.
• Dados de clientes finais e processos do escritório (terceiros cadastrados pelo Contratante): o escritório contratante atua como controlador; o AdvPlan atua como operador, tratando esses dados exclusivamente conforme as instruções do Contratante e o necessário à prestação do serviço.

2. Dados que coletamos

• Cadastro: nome, e-mail, senha (armazenada com hash), e, na conversão paga, dados fiscais (CPF/CNPJ, razão social, endereço, OAB).
• Uso da plataforma: registros de acesso (IP, agente do navegador, datas), eventos de auditoria das ações realizadas no painel.
• Conteúdo do Contratante: dados de clientes, processos, documentos, prazos, comunicações e demais informações inseridas pelo escritório.
• Integração com Google (quando o usuário autoriza): identificadores de calendário, eventos criados/lidos pelo AdvPlan e tokens de acesso/atualização. Detalhes na Seção 8.
• Dados de pagamento: processados diretamente pelo gateway Stripe (assinatura SaaS) e, para pagamentos do escritório a seus clientes, pela Asaas. Não armazenamos números completos de cartão.

3. Bases legais e finalidades

Tratamos os dados com base em (a) execução de contrato, para prestar o serviço contratado; (b) cumprimento de obrigação legal, especialmente fiscal e regulatória; (c) legítimo interesse, para segurança, prevenção a fraude e melhoria do produto, sempre com avaliação de impacto; e (d) consentimento, quando aplicável (por exemplo, ao conectar a conta Google).

4. Compartilhamento e suboperadores

Compartilhamos dados estritamente necessários com os seguintes suboperadores, sob contrato com cláusulas de proteção de dados:

• Railway — hospedagem da aplicação e do banco de dados.
• Cloudflare — DNS, CDN e proteção contra ataques.
• Stripe — processamento das mensalidades da assinatura.
• Asaas — emissão de cobranças do escritório aos seus clientes finais (quando o módulo financeiro é usado).
• Anthropic — modelos de linguagem usados na análise assistida por IA. Os textos enviados não são utilizados para treinamento, conforme termos do provedor.
• ZapSign — assinatura eletrônica de contratos e procurações (quando o módulo é usado).
• Google — sincronização de eventos com o Google Calendar e geração de links do Google Meet (quando o usuário autoriza).
• CNJ e tribunais — consultas a publicações do DJEN e a sistemas processuais (PJe, eproc, Projudi, e-SAJ), quando aplicável.

Não vendemos dados pessoais. Não fazemos transferência internacional fora dos suboperadores listados; quando ocorrem, são respaldadas em cláusulas-padrão equivalentes às exigidas pela LGPD.

5. Segurança

• Tráfego em HTTPS com TLS atualizado fim-a-fim.
• Senhas armazenadas com hash adequado (bcrypt/argon).
• Criptografia em repouso para campos sensíveis específicos (CPF, qualificação civil, conteúdo de processos sigilosos) usando chaves geridas pela aplicação; criptografia em repouso do banco fornecida pelo provedor de infraestrutura.
• Autenticação em dois fatores (2FA) disponível e obrigatória para perfis administrativos.
• Controle de acesso por papel (RBAC) e isolamento por escritório em todas as consultas.
• Logs de auditoria das ações sensíveis e dos acessos a dados pessoais.
• Backups periódicos do banco de dados, com retenção compatível com a continuidade do serviço.

6. Direitos do titular

Nos termos da LGPD, o titular pode solicitar a qualquer tempo: confirmação da existência de tratamento, acesso, correção, anonimização, bloqueio, eliminação, portabilidade, informação sobre compartilhamento e revogação do consentimento. Para exercer esses direitos, escreva para [email protected]. Responderemos em até 15 dias.

Se o pedido envolver dados que o escritório contratante controla (clientes finais, processos), o AdvPlan o encaminhará ao Contratante e prestará o suporte técnico necessário.

7. Retenção e exclusão

• Mantemos os dados ativos enquanto durar o contrato.
• Após o cancelamento, os dados ficam disponíveis para exportação por 30 dias; em seguida, são eliminados ou anonimizados, salvo obrigação legal de retenção.
• Logs de auditoria e registros fiscais podem ser retidos por até 5 anos para cumprimento de obrigações legais.

8. Integração com o Google (Calendar e Meet)

Quando um usuário do AdvPlan autoriza a integração com a sua conta Google, somos sujeitos à Google API Services User Data Policy, incluindo os requisitos de Limited Use. As regras abaixo se aplicam a esses dados.

8.1. Escopos solicitados

• https://www.googleapis.com/auth/calendar.events — criar, ler, atualizar e remover eventos em calendários aos quais o usuário tem acesso, exclusivamente para sincronizar prazos e compromissos lançados no AdvPlan.
• https://www.googleapis.com/auth/calendar.readonly — listar os calendários disponíveis para que o usuário escolha em qual o AdvPlan deve gravar.
• openid, email e profile — identificar o usuário durante o login, quando o usuário opta por “Entrar com Google”.

Os links do Google Meet são gerados pela própria API do Google Calendar quando o evento criado pelo AdvPlan inclui conferenceData. O AdvPlan não acessa transcrições, gravações nem conteúdo de reuniões.

8.2. Como usamos os dados do Google

• Criar e atualizar eventos no calendário escolhido, refletindo prazos, audiências e compromissos lançados no AdvPlan.
• Anexar links do Google Meet aos eventos quando solicitado pelo usuário.
• Identificar o usuário no momento do login, quando ele opta por “Entrar com Google”.

8.3. Limited Use — o que NÃO fazemos

Em conformidade com a política de Limited Use do Google:

• Não usamos dados obtidos via APIs do Google (incluindo Calendar) para exibir publicidade.
• Não vendemos esses dados a terceiros.
• Não os usamos para treinar modelos de IA, próprios ou de terceiros.
• Não permitimos que humanos leiam esses dados, exceto: (a) com o consentimento expresso do usuário; (b) por motivo de segurança (ex.: investigação de incidente); (c) para cumprir obrigação legal; ou (d) quando agregados/anonimizados, para operação interna.
• Não compartilhamos esses dados com terceiros fora dos suboperadores indicados nesta Política, e somente na medida do necessário para a funcionalidade contratada.

8.4. Armazenamento e proteção dos tokens do Google

Os tokens de acesso e de atualização (refresh token) do Google são armazenados criptografados em nosso banco de dados, vinculados ao usuário e ao escritório correspondente. Eles são utilizados apenas pelo backend do AdvPlan, em chamadas servidor-a-servidor com a API do Google, e nunca expostos no navegador.

8.5. Como revogar o acesso

O usuário pode revogar a integração a qualquer tempo:

• Dentro do AdvPlan, em Configurações → Integrações → Google → Desconectar; ou
• Diretamente em myaccount.google.com/permissions, removendo o aplicativo “AdvPlan”.

A revogação encerra a sincronização e descarta os tokens armazenados. Eventos previamente criados no Google Calendar permanecem no calendário do usuário, sob seu controle.

8.6. Retenção dos dados do Google

Mantemos identificadores de calendário e referências aos eventos sincronizados enquanto a integração estiver ativa. Após a revogação ou o encerramento da conta, esses dados são eliminados em até 30 dias, salvo obrigação legal de retenção.

9. Cookies

Utilizamos cookies estritamente necessários (sessão e segurança) e cookies de preferência (idioma, tema). Não utilizamos cookies de publicidade nem rastreamento de terceiros para fins de marketing direcionado.

10. Crianças e adolescentes

O AdvPlan é uma ferramenta profissional destinada a escritórios de advocacia e seus clientes. Não direcionamos o serviço a menores de 18 anos e não coletamos dados com a intenção de identificá-los como tais.

11. Alterações desta Política

Podemos atualizar esta Política a qualquer tempo. Alterações materiais serão comunicadas por e-mail ou aviso no painel. A versão sempre vigente está disponível em advplan.com.br/privacidade.

12. Encarregado pelo Tratamento de Dados (DPO)

Encarregado: Alan de Bortolo Lopes — sócio-administrador da DesignMaster Agência Digital Ltda. (CNPJ 10.620.937/0001-13).

Contato do DPO: [email protected].

13. Acordo de Tratamento de Dados (DPA)

Para escritórios de advocacia contratantes, na condição de controladores de dados, mantemos um Acordo de Tratamento de Dados Pessoais (DPA) que disciplina papéis, finalidades, medidas de segurança, sub-operadores autorizados e resposta a incidentes, em conformidade com o art. 39 da LGPD.