Política de Privacidade
Gerência OS
Última atualização: 16 de maio de 2026
1. Introdução
O Gerência OS é uma plataforma de gestão de ordens de serviço operada pela Patrick de Freitas - ME (Oxy Hospedagem Ltda). Esta Política descreve como tratamos os dados em nossa plataforma, garantindo transparência e conformidade com a Lei Geral de Proteção de Dados (LGPD).
Ao utilizar o sistema, você compreende que a Oxy Hospedagem Ltda atua como Operadora dos dados inseridos por você (Controlador) em relação aos seus clientes finais.
2. Responsável pelo Tratamento (Controlador)
- Razão Social: Patrick de Freitas - ME
- Nome Fantasia: Oxy Hospedagem Ltda
- CNPJ: 24.512.697/0001-48
- Localização: São Bento do Sul - SC
3. Dados Coletados e Finalidade
Coletamos apenas o necessário para a operação do ERP:
- Dados de Conta: Nome, e-mail e senha criptografada para autenticação e segurança.
- Dados da Empresa: Razão Social, CNPJ e logo para personalização das ordens de serviço.
- Dados de Clientes e OS: Nome, CPF/CNPJ, endereço, contatos e histórico de serviços. Estes dados são inseridos pelo usuário para a execução do seu trabalho.
- Dados Técnicos: Endereço IP, tipo de navegador e logs de acesso para cumprimento de obrigações legais.
4. Retenção de Dados e Prazos Legais
Não mantemos dados indefinidamente. Seguimos os prazos estipulados pela legislação brasileira:
| Categoria de Dado | Prazo de Retenção | Base Legal |
|---|---|---|
| Logs de Acesso | 6 meses | Art. 15 do Marco Civil da Internet + prazos prescricionais do CDC |
| Cadastros e Histórico de OS | 5 anos (após encerramento) | Art. 7º, II e VI da LGPD + prazos prescricionais do Código Civil |
| Comunicações de Suporte | 5 anos | Art. 7º, VI da LGPD + prazos prescricionais do CDC |
Após o encerramento da conta, os dados podem permanecer em backups pelo prazo máximo de até 90 dias, exclusivamente para fins de contingência e segurança da informação, sendo posteriormente eliminados ou anonimizados de forma permanente.
5. Compartilhamento de Dados
O compartilhamento é limitado ao estritamente necessário para o funcionamento do serviço:
- Provedores de Infraestrutura: Hospedagem de dados e backup.
- Gateways de Pagamento: Processamento das assinaturas do sistema (ex: Asaas).
- Autoridades Judiciais: Apenas mediante ordem judicial ou obrigação legal.
- Provedores de Inteligência Artificial: Dados técnicos de ordens de serviço (sem dados pessoais identificáveis) são enviados a provedores de IA (Google Gemini, OpenAI) para geração de diagnósticos, quando habilitado pela empresa. Consulte a Seção 10 para detalhes.
Não vendemos, alugamos ou compartilhamos dados para fins publicitários de terceiros.
6. Segurança
Adotamos protocolos de segurança robustos para proteger suas informações:
- Criptografia de dados em trânsito (HTTPS/TLS).
- Criptografia de senhas com algoritmos de alto nível.
- Proteção contra ataques CSRF e injeção de SQL.
- Logs de atividade para rastreabilidade de ações.
- Sanitização automática de dados pessoais (CPF, CNPJ, IMEI, e-mail, telefone) antes do envio a provedores externos de IA.
7. Exportação e Encerramento de Conta
Em caso de cancelamento dos serviços:
- Exportação: O usuário terá o direito de exportar seus dados de clientes e ordens de serviço antes da exclusão final.
- Exclusão Definitiva: Após o período de exportação concedido e o cumprimento dos prazos legais de guarda, todos os dados do banco de dados de produção serão removidos.
8. Seus Direitos (LGPD)
Você pode, a qualquer momento, solicitar o acesso, correção, portabilidade ou exclusão de seus dados pessoais. Para isso, escreva ao nosso Encarregado de Dados pelo e-mail [email protected].
8.1 Encarregado de Dados Pessoais (DPO)
Em conformidade com o art. 41 da LGPD, mantemos um canal exclusivo para receber comunicações de titulares de dados e da Autoridade Nacional de Proteção de Dados (ANPD). Para qualquer assunto relacionado ao tratamento de dados pessoais — incluindo solicitações de acesso, correção, portabilidade, exclusão, revogação de consentimento e relatos de incidentes — utilize o e-mail abaixo:
9. Integração com o Google Calendar
O Gerência OS oferece integração opcional com o Google Calendar. Esta seção descreve como tratamos os dados do Google em conformidade com a Política de Dados do Usuário dos Serviços de API do Google.
9.1 Dados Acessados
Quando você autoriza a integração via OAuth 2.0, acessamos exclusivamente o escopo https://www.googleapis.com/auth/calendar para leitura e gerenciamento de eventos do seu Google Calendar. Os dados acessados incluem:
- Título, descrição e localização dos eventos
- Data e hora de início e término
- Status do evento (confirmado, cancelado, etc.)
- Informações de recorrência (eventos repetidos)
- Participantes e suas respostas
- Lembretes configurados no evento
9.2 Dados Armazenados Localmente
Para reduzir chamadas à API do Google e acelerar a exibição da agenda, armazenamos uma cópia local dos seguintes campos de cada evento sincronizado:
- Identificador do evento no Google e do calendário de origem
- Título, descrição e localização
- Datas e horários de início e término
- Status do evento e indicador de evento de dia inteiro
- Participantes, lembretes e recorrência
- Data da última sincronização
Não armazenamos o payload bruto retornado pela API do Google — apenas os campos listados acima. Ao desconectar a integração, esses registros são removidos imediatamente do nosso banco junto com os tokens de acesso (ver Seção 9.6). Se a integração permanecer ativa até o encerramento da conta, os registros são purgados no mesmo ciclo de retenção dos demais dados da empresa.
9.3 Uso dos Dados
Os dados do Google Calendar são utilizados exclusivamente para:
- Exibir e gerenciar seus eventos dentro da plataforma Gerência OS
- Sincronizar bidiretivamente eventos criados, editados ou excluídos na plataforma com o Google Calendar
- Receber notificações em tempo real de alterações realizadas diretamente no Google Calendar via webhooks
Os dados do Google não são utilizados para fins de publicidade, análise de comportamento, treinamento de modelos de inteligência artificial ou qualquer finalidade além da funcionalidade de calendário descrita acima.
9.4 Compartilhamento de Dados
Os dados obtidos via Google Calendar não são compartilhados com terceiros em nenhuma hipótese. O acesso é restrito aos sistemas internos do Gerência OS e aos usuários autorizados da empresa que realizou a integração.
9.5 Armazenamento e Proteção
Os tokens de acesso e atualização (access token e refresh token) do OAuth são armazenados de forma criptografada em banco de dados com acesso restrito. Os eventos sincronizados são armazenados em banco de dados protegido por criptografia em repouso e em trânsito (HTTPS/TLS). O acesso aos dados é isolado por empresa — nenhuma empresa acessa dados de outra.
9.6 Retenção e Exclusão
Os dados do Google Calendar são retidos apenas enquanto a integração estiver ativa. Em caso de:
- Desconexão pelo usuário: todos os eventos sincronizados e os tokens de acesso são excluídos permanentemente e imediatamente. O canal de notificação (webhook) é encerrado junto ao Google.
- Cancelamento/encerramento da conta: a integração é encerrada automaticamente com revogação do token no Google e exclusão completa dos dados locais.
- Purga definitiva (após período de retenção legal): todos os registros de eventos e tokens do Google são excluídos permanentemente.
Para solicitar a exclusão antecipada dos dados do Google Calendar, basta desconectar a integração nas configurações da sua conta ou entrar em contato com nosso suporte.
9.7 Revogação de Acesso
Você pode revogar o acesso do Gerência OS à sua conta Google a qualquer momento acessando Permissões da Conta Google ou desconectando a integração diretamente nas configurações do Gerência OS.
10. Inteligência Artificial (IA)
O Gerência OS oferece funcionalidades opcionais de inteligência artificial para auxílio em diagnósticos técnicos de ordens de serviço. Esta seção descreve como tratamos os dados nesse contexto.
10.1 Dados Enviados
Quando a funcionalidade de IA é utilizada, os seguintes dados da ordem de serviço podem ser enviados ao provedor de IA: tipo de dispositivo, descrição do problema, observações técnicas, descrição do serviço e fotografias de evidências. Antes do envio, dados pessoais identificáveis (CPF, CNPJ, IMEI, e-mail e telefone) são automaticamente removidos (sanitizados) para proteger a privacidade dos seus clientes.
10.2 Provedores Utilizados
Os provedores de IA disponíveis são Google Gemini e OpenAI, configuráveis por empresa. As chaves de API são fornecidas pelo próprio administrador da empresa e armazenadas de forma criptografada em nosso banco de dados. Cada empresa utiliza suas próprias credenciais, garantindo isolamento completo.
10.3 Finalidade
Os dados são enviados exclusivamente para geração de sugestões de diagnóstico técnico para ordens de serviço. A funcionalidade de IA não é utilizada para perfilamento de usuários, publicidade, tomada de decisão automatizada ou qualquer finalidade além do auxílio técnico descrito.
10.4 Base Legal
O tratamento de dados para funcionalidades de IA é realizado com base no consentimento (Art. 7º, I da LGPD), uma vez que a funcionalidade é opt-in e requer ativação explícita pelo administrador da empresa nas configurações do sistema.
10.5 Retenção
As soluções geradas por IA são armazenadas como parte do registro da ordem de serviço, seguindo os mesmos prazos de retenção descritos na Seção 4 (5 anos após encerramento). Os provedores de IA não retêm os dados enviados além do processamento imediato da requisição, conforme suas respectivas políticas de privacidade.
10.6 Seus Direitos
O administrador da empresa pode desativar as funcionalidades de IA a qualquer momento nas configurações do sistema. As soluções geradas podem ser editadas ou excluídas pelo usuário. Nenhuma decisão automatizada é tomada — todas as sugestões de IA são meramente indicativas e requerem revisão e aprovação humana antes de serem aplicadas.
11. Operador de Dados Pessoais (DPA)
Esta seção formaliza as obrigações da Oxy Hospedagem Ltda como Operadora, em conformidade com o art. 39 da LGPD, no tratamento dos dados de clientes finais inseridos pelo Controlador (empresa contratante) na plataforma.
11.1 Sub-operadores e Transferências Internacionais (Art. 33)
Recorremos aos sub-operadores listados abaixo para viabilizar o serviço. A contratação observa cláusulas contratuais equivalentes às assumidas neste documento. Quando o tratamento ocorre fora do Brasil, ele se apoia no art. 33, inciso VIII da LGPD — cláusulas contratuais específicas firmadas com cada operador. A lista pode ser atualizada mediante aviso publicado neste mesmo endereço.
| Operador | País / Região | Dados tratados | Hipótese (Art. 33) | Salvaguardas |
|---|---|---|---|---|
| Asaas | Brasil (BR) | Pagamentos da assinatura SaaS (cadastro fiscal e financeiro do Controlador). | Não aplicável (tratamento doméstico). | DPA assinado; escopo limitado à cobrança. |
| Google LLC — OAuth + Calendar | Estados Unidos | Tokens OAuth 2.0 e eventos sincronizados com o Google Calendar quando o Controlador habilita a integração. | Art. 33, VIII — cláusulas contratuais específicas. | Consentimento explícito do Controlador, escopo OAuth mínimo, revogação a qualquer tempo. |
| OpenAI, L.L.C. | Estados Unidos | Texto técnico sanitizado para geração de diagnósticos de IA. CPF, CNPJ, e-mail, telefone, IMEI e nome são removidos antes do envio. | Art. 33, VIII — cláusulas contratuais específicas. | Opt-in por empresa, sanitização prévia, sem retenção para treinamento. |
| Google LLC — Gemini | Estados Unidos | Texto técnico sanitizado para geração de diagnósticos de IA, com as mesmas regras de remoção aplicadas ao OpenAI. | Art. 33, VIII — cláusulas contratuais específicas. | Opt-in por empresa, sanitização prévia, sem retenção para treinamento. |
| DigitalOcean LLC (Spaces) | Estados Unidos (NYC3) | Fotos de evidências de ordens de serviço, armazenadas em bucket privado. | Art. 33, VIII — cláusulas contratuais específicas. | Bucket privado, URLs assinadas com validade de 15 minutos, DPA assinado. |
A ANPD ainda não publicou decisão de adequação para os Estados Unidos. As transferências acima permanecem amparadas pelas cláusulas contratuais firmadas com cada operador, nos termos do art. 33, inciso VIII, da LGPD.
11.2 Medidas Técnicas e Organizacionais
- Criptografia de dados em trânsito (HTTPS/TLS) e de sessões em repouso.
- Redação automática de identificadores pessoais (CPF, CNPJ, e-mail, telefone) em registros de log e em telemetria interna.
- URLs assinadas de curta duração para acesso a evidências armazenadas em bucket privado.
- Controle de acesso por papel (RBAC) entre administradores, técnicos e atendentes.
- Retenção máxima de 5 anos após o encerramento da assinatura, com expurgo automatizado dos dados.
11.3 Notificação de Incidentes
Em caso de incidente de segurança que envolva dados pessoais do Controlador, comprometemo-nos a notificá-lo em prazo razoável após a confirmação do incidente — buscando como meta as 72 horas seguintes — descrevendo a natureza dos dados afetados, os riscos identificados e as medidas corretivas adotadas. A comunicação com a ANPD será conduzida nos termos dos arts. 48 e 50 da LGPD.
11.4 Exclusão ao Término do Tratamento
Ao encerrar a assinatura, a empresa é desativada e mantida em estado de soft-delete por 30 dias, durante os quais o Controlador pode exportar os dados (cf. Seção 7). Após esse período, os dados permanecem inacessíveis até o ciclo de expurgo definitivo previsto na Seção 4 (5 anos). A retenção prolongada justifica-se pelo cumprimento de obrigações fiscais e prazos prescricionais (art. 7º II e VI da LGPD).
11.5 Direito de Auditoria e Suporte
O Controlador pode solicitar, mediante notificação prévia razoável, evidências documentais do cumprimento desta seção — incluindo políticas internas, registros de conformidade e cópias dos contratos firmados com sub-operadores. Auxiliaremos o Controlador no atendimento a requisições de titulares (art. 18 LGPD) e a eventuais solicitações da ANPD.
12. Alterações
Esta política pode ser atualizada para refletir melhorias no sistema ou mudanças legislativas. Recomendamos a leitura periódica.