Política de Privacidade

Versão 1.0  ·  Vigente a partir de 10 de junho de 2026

1. Identificação do Controlador de Dados

O StaFlow é um serviço de software como serviço (SaaS) para controle de ponto digital em condomínios residenciais e comerciais. O responsável pelo tratamento dos dados pessoais coletados por meio da plataforma é:

Para os fins da Lei Geral de Proteção de Dados Pessoais (Lei n.º 13.709/2018 — LGPD), o Controlador é o agente que toma as decisões referentes ao tratamento dos dados pessoais descritos nesta política.

2. Dados Pessoais Coletados

O StaFlow coleta e trata as seguintes categorias de dados pessoais:

2.1 Dados do Síndico ou Administrador (Usuário Gestor)

• Nome completo
• Endereço de e-mail
• Número de telefone
• CNPJ do condomínio vinculado
• Dados de acesso à plataforma (credenciais criptografadas)

2.2 Dados dos Funcionários do Condomínio (Titulares)

• Nome completo
• CPF, validado pelo algoritmo oficial da Receita Federal
• Registros de ponto: data, hora de entrada e hora de saída
• Localização geográfica (latitude e longitude), coletada pontualmente no momento do registro de ponto, exclusivamente para verificação de autenticidade antifraude; não há rastreamento contínuo ou em segundo plano
• Metadados do dispositivo utilizados para detecção de localização simulada (mock location), incluindo sinais de accuracy artificial, flag de localização mockada exposta pelo sistema operacional, drift de timestamp e perfil de spoofing
• Atestados médicos e documentos de afastamento, classificados como dados de saúde — categoria especial de dado sensível nos termos do Art. 11 da LGPD — armazenados em ambiente com acesso estritamente restrito
• Informações de jornada: horas trabalhadas, horas extras, escala e provisões trabalhistas calculadas automaticamente

3. Finalidade e Base Legal do Tratamento

O tratamento dos dados pessoais descritos nesta política fundamenta-se nas seguintes hipóteses legais previstas na LGPD:

3.1 Execução de contrato (Art. 7º, inciso V)

O tratamento é necessário para a execução do contrato de prestação de serviços firmado entre o Controlador e o síndico ou administradora. Abrange a operação do sistema de ponto digital, a geração de relatórios de jornada, o cálculo de provisões trabalhistas (13º salário, férias, FGTS, passivo estimado) e a entrega de todas as funcionalidades contratadas.

3.2 Cumprimento de obrigação legal ou regulatória (Art. 7º, inciso II)

O tratamento é necessário para apoiar o cumprimento das obrigações de registro de jornada impostas pela CLT (Art. 74, §2º), pela Portaria MTE 671 e demais normas trabalhistas aplicáveis aos empregados de condomínios.

3.3 Legítimo interesse do Controlador (Art. 7º, inciso IX)

O tratamento é necessário para a detecção e prevenção de fraudes no registro de ponto por meio de GPS antifraude com quatro sinais de verificação, para a proteção da integridade dos registros via hash SHA-256 e para a prevenção de passivo trabalhista decorrente de irregularidades na jornada.

3.4 Consentimento do titular (Art. 7º, inciso I, e Art. 11, inciso I)

Para o tratamento de dados de saúde — especificamente os atestados médicos e documentos de afastamento —, o tratamento é realizado com base no consentimento expresso do titular, obtido por aceite explícito no momento do upload do documento.

4. Coleta de Dados de Localização (GPS)

A coleta de dados de localização geográfica ocorre exclusivamente no momento em que o funcionário registra o ponto pelo aplicativo StaFlow. Trata-se de uma coleta pontual e finalística, não de rastreamento contínuo ou permanente.

A localização coletada é utilizada para verificar a autenticidade do registro por meio de quatro sinais antifraude: (i) precisão artificial suspeita; (ii) flag de localização simulada exposta pelo sistema operacional; (iii) desvio entre o timestamp do dispositivo e o horário real; e (iv) perfil clássico de aplicativo de localização falsa.

Os dados de localização não são compartilhados com terceiros para fins de marketing, monitoramento comportamental ou publicidade.

5. Armazenamento e Segurança

Os dados pessoais são armazenados em servidores gerenciados pela Supabase (banco de dados PostgreSQL em infraestrutura em nuvem), com as seguintes salvaguardas:

• Isolamento por condomínio (multi-tenancy) implementado por Row Level Security (RLS), garantindo que cada gestor acesse exclusivamente os dados do seu próprio condomínio
• Atestados médicos armazenados em bucket privado, inacessível publicamente, com acesso apenas por URL assinada com expiração de 1 hora (Signed URL)
• Registros de ponto protegidos por hash SHA-256; qualquer alteração posterior modifica o hash e permite detectar violações de integridade
• Transmissão de todos os dados exclusivamente via HTTPS com TLS
• Funcionamento offline por meio de IndexedDB local no dispositivo, com sincronização segura ao restabelecer conexão

Incidentes de segurança relevantes serão comunicados à ANPD e aos titulares afetados nos prazos e formas previstos na LGPD.

6. Compartilhamento de Dados

Os dados pessoais tratados pelo StaFlow não são vendidos, cedidos ou compartilhados com terceiros para fins comerciais. O compartilhamento ocorre apenas nas seguintes situações:

• Com fornecedores de infraestrutura (Supabase e Vercel), estritamente para viabilizar a operação do serviço, mediante obrigações contratuais de proteção de dados
• Por determinação legal, regulatória ou ordem judicial de autoridade competente
• Em caso de fusão ou transferência de ativos do negócio, com notificação prévia aos titulares

7. Direitos dos Titulares

Nos termos dos Arts. 17 a 22 da LGPD, os titulares têm os seguintes direitos, exercíveis a qualquer tempo:

• Confirmação da existência do tratamento
• Acesso aos dados pessoais
• Correção de dados incompletos, inexatos ou desatualizados
• Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade
• Portabilidade dos dados a outro fornecedor
• Eliminação dos dados tratados com base em consentimento
• Revogação do consentimento, a qualquer momento, de forma gratuita e facilitada

Para exercer qualquer desses direitos, envie solicitação escrita para contato@staflow.com.br. O prazo de resposta é de até 15 dias úteis.

8. Retenção e Eliminação de Dados

• Dados de ponto e jornada: mínimo de 5 anos (Art. 11, CLT)
• Atestados médicos: prazo mínimo exigido pela legislação trabalhista e previdenciária, não inferior a 5 anos
• Dados de cadastro do gestor: enquanto a conta estiver ativa; eliminados em até 90 dias após o encerramento do contrato
• Dados coletados com consentimento: eliminados imediatamente após a revogação, salvo obrigação legal de retenção

9. Encarregado de Proteção de Dados (DPO)

10. Cookies e Tecnologias de Rastreamento

O StaFlow utiliza exclusivamente cookies estritamente necessários para o funcionamento da sessão autenticada. Não são utilizados cookies de rastreamento comportamental, publicidade direcionada ou analytics de terceiros. O armazenamento local no dispositivo (IndexedDB) serve exclusivamente para o funcionamento offline do registro de ponto.

11. Transferência Internacional de Dados

Os dados pessoais podem ser armazenados em servidores localizados fora do Brasil em razão da infraestrutura dos fornecedores Supabase e Vercel. Nessas hipóteses, o Controlador adota as salvaguardas previstas no Art. 33 da LGPD, incluindo cláusulas contratuais de proteção de dados com os fornecedores envolvidos.

12. Alterações nesta Política

Esta política pode ser atualizada periodicamente. Alterações relevantes serão comunicadas por e-mail com antecedência mínima de 15 dias antes da entrada em vigor. A versão e a data de vigência constam sempre no cabeçalho deste documento. O uso continuado da plataforma após a comunicação implica a aceitação da nova versão.

13. Contato e Reclamações

Para dúvidas, solicitações ou para exercer os direitos previstos na LGPD:

Os titulares que entendam que seus direitos foram violados também podem apresentar reclamação diretamente à Autoridade Nacional de Proteção de Dados (ANPD): www.gov.br/anpd