Política de Privacidade

Última atualização: 23 de abril de 2026 · Versão: 1.0

Esta Política de Privacidade descreve como o Givdra ("nós", "Givdra") coleta, trata, compartilha e protege dados pessoais dos usuários ("você", "Usuário") da plataforma disponível em www.givdra.com e seus subdomínios (app.givdra.com, api.givdra.com, storage.givdra.com).

O Givdra atua como controlador em relação aos dados cadastrais dos Usuários administradores da plataforma, e como operador quando trata dados de terceiros (ex.: Limited Partners, contatos e negócios) inseridos por esses administradores em suas áreas de trabalho ("workspaces").

1. Quem somos e como nos contatar

Givdra é operado por [RAZÃO SOCIAL], inscrita no CNPJ nº [00.000.000/0001-00], com sede em [ENDEREÇO COMPLETO].

Encarregado pelo Tratamento de Dados Pessoais (DPO): dpo@givdra.com
Dúvidas gerais sobre privacidade: privacidade@givdra.com

2. Dados que coletamos

2.1 Dados fornecidos por você

Cadastro: nome, e-mail, senha (armazenada com hash), organização.
Workspace: nome da organização, membros convidados, papéis.
Conteúdo: documentos, metadados e anotações que você carrega no data room.
Dados de LPs e contatos: nomes, e-mails e informações de relacionamento inseridos no módulo de investidores ou importados do HubSpot.

2.2 Dados coletados automaticamente

Logs técnicos: endereço IP, user-agent, request-id, rotas acessadas, timestamps. Retidos para auditoria de segurança.
Eventos de engajamento: abertura de documentos, tempo de leitura por página, downloads — vinculados ao investidor que acessa o data room.
Cookies estritamente necessários: sessão (dealsense_refresh, dealsense_user_kind) e proteção contra CSRF.

2.3 Dados de integrações (HubSpot)

Quando você conecta seu HubSpot à plataforma, armazenamos tokens OAuth (sempre cifrados com AES-256-GCM em envelope DEK/KEK) e sincronizamos contatos, negócios e eventos de timeline conforme os escopos que você autorizou. Você pode desconectar a qualquer momento em /hubspot.

3. Finalidades do tratamento

Prestação do serviço contratado (data room, CRM, portal de investidores).
Autenticação, controle de acesso e segurança multi-tenant.
Geração de métricas e sinais de engajamento para uso do próprio Usuário.
Prevenção a fraude, abuso e violação de termos.
Cumprimento de obrigações legais e regulatórias.
Comunicações operacionais (verificação de e-mail, recuperação de senha, alertas de segurança).

4. Bases legais (LGPD)

Execução de contrato (art. 7º, V): operação da plataforma conforme Termos de Uso.
Legítimo interesse (art. 7º, IX): prevenção a fraude, segurança, auditoria técnica.
Cumprimento de obrigação legal (art. 7º, II): retenção fiscal e resposta a autoridades.
Consentimento (art. 7º, I): comunicações de marketing, quando aplicável.

5. Compartilhamento com terceiros

Compartilhamos dados apenas com operadores essenciais ao serviço, vinculados por contrato de tratamento de dados:

Infraestrutura de hospedagem (provedor de VPS e armazenamento S3-compatível).
Envio de e-mails transacionais.
HubSpot — quando o Usuário ativa a integração (dados fluem para a conta do próprio Usuário).
Autoridades públicas — mediante ordem judicial ou requisição legal formal.

Nunca vendemos dados pessoais. Nunca compartilhamos conteúdo de data rooms entre workspaces — o isolamento é reforçado por políticas de Row Level Security no banco de dados.

6. Transferência internacional de dados

Parte da infraestrutura pode estar localizada fora do Brasil (ex.: provedores de e-mail, HubSpot). Quando ocorre transferência internacional, garantimos que o destinatário oferece grau de proteção adequado, conforme art. 33 da LGPD, por meio de cláusulas contratuais padrão ou certificações reconhecidas.

7. Retenção e descarte

Dados cadastrais: mantidos enquanto a conta estiver ativa.
Conteúdo do data room: mantido até exclusão pelo Usuário ou encerramento do contrato; backups seguem janela máxima de 30 dias.
Logs de segurança: até 12 meses, conforme Marco Civil da Internet.
Tokens OAuth: imediatamente zerados (ciphertext → NULL) quando o Usuário desconecta a integração.

Após o término do tratamento, dados são anonimizados ou eliminados de forma segura.

8. Segurança da informação

Adotamos medidas técnicas e organizacionais proporcionais ao risco:

TLS 1.2+ em toda comunicação pública (certificados Let's Encrypt).
Criptografia em repouso para tokens OAuth (AES-256-GCM, DEK/KEK versionada).
Senhas armazenadas com função de derivação (hash + salt).
Postgres Row Level Security (RLS) para isolamento multi-tenant.
Rate-limit em endpoints sensíveis e denylist de tokens revogados no Redis.
Logs estruturados com request-id para auditoria e investigação de incidentes.
Revisão de dependências e testes de segurança automatizados em CI.

Em caso de incidente de segurança que possa acarretar risco relevante aos titulares, notificaremos a ANPD e os titulares afetados conforme prazos e procedimentos do art. 48 da LGPD.

9. Direitos dos titulares

Você pode, a qualquer momento, solicitar:

Confirmação da existência de tratamento;
Acesso aos dados;
Correção de dados incompletos, inexatos ou desatualizados;
Anonimização, bloqueio ou eliminação;
Portabilidade;
Informação sobre compartilhamento;
Revogação de consentimento.

Para exercer esses direitos, envie e-mail para privacidade@givdra.com. Responderemos em até 15 dias.

10. Cookies e tecnologias similares

Utilizamos apenas cookies estritamente necessários para o funcionamento da plataforma (autenticação de sessão, proteção contra CSRF e preferências essenciais). Não usamos cookies de publicidade de terceiros.

11. Menores de idade

O Givdra é destinado exclusivamente a pessoas maiores de 18 anos e no exercício de atividade profissional. Não coletamos intencionalmente dados de menores.

12. Alterações nesta política

Podemos atualizar esta Política periodicamente. Alterações materiais serão comunicadas por e-mail e destacadas na própria página. O uso continuado da plataforma após a publicação implica aceitação da versão vigente.

Em caso de dúvida, entre em contato: privacidade@givdra.com.