Política de Privacidade

A Neetru é uma plataforma brasileira de Infra-as-a-Service que automatiza o provisionamento e a operação de servidores em nuvem (Cloud Run, EC2, Hetzner) para empresas que desejam hospedar e escalar seus próprios produtos digitais. Ao longo deste documento, “Neetru”, “nós” ou “nossa” referem-se à entidade controladora dos dados pessoais.

Esta política aplica-se ao tratamento de dados pessoais realizado pela Neetru em todos os domínios oficiais sob neetru.com, incluindo, sem limitação:

• Site institucional (neetru.com) — visitantes anônimos e leads.
• Painel administrativo interno — colaboradores autorizados da Neetru, com perfis de acesso controlados por RBAC. Acesso restrito; não disponível publicamente.
• Portal do cliente (minhaconta.neetru.com) — clientes ativos para gestão de assinaturas, faturas e recursos provisionados.
• API (api.neetru.com) — comunicações máquina-a-máquina entre o agente Neetru instalado nas VMs do cliente e a plataforma.
• Centro Legal (politicas.neetru.com) — leitura pública.

A política também abrange dados pessoais de prestadores de serviço, contatos de suporte e quaisquer indivíduos cujos dados eventualmente apareçam em logs operacionais (ex.: nomes em commits de Git de repositórios conectados pelo cliente).

Para os fins desta política, adotamos as definições da LGPD e acrescentamos termos técnicos relevantes ao nosso modelo de serviço:

Titular

Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento (Art. 5º, V, LGPD).

Controlador

Pessoa jurídica a quem competem as decisões referentes ao tratamento de dados pessoais. Para os dados aqui descritos, a Neetru é o controlador, salvo quando indicado em contrário.

Operador

Pessoa jurídica que realiza o tratamento de dados pessoais em nome do controlador (Art. 5º, VII, LGPD). Os subprocessadores listados na Seção 7 atuam como operadores.

Dado pessoal

Informação relacionada a pessoa natural identificada ou identificável (Art. 5º, I, LGPD).

Dado pessoal sensível

Dado pessoal sobre origem racial, convicção religiosa, opinião política, saúde, dado genético/biométrico, vida sexual, entre outros (Art. 5º, II, LGPD). A Neetru, em regra, NÃO trata dados sensíveis.

Tratamento

Toda operação realizada com dados pessoais: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, modificação, comunicação, transferência ou extração.

Anonimização

Utilização de meios técnicos razoáveis para que o dado perca a possibilidade de associação a um indivíduo (Art. 5º, XI, LGPD).

Encarregado (DPO)

Pessoa indicada pelo controlador como canal de comunicação entre titulares, ANPD e a empresa (Art. 41, LGPD).

Cookie

Pequeno arquivo de texto armazenado pelo navegador a pedido de um site visitado, contendo identificadores e preferências.

Telemetria

Conjunto de métricas técnicas coletadas remotamente das VMs gerenciadas pela Neetru (CPU, RAM, disco, rede, status de serviços).

Log de aplicação

Registros gerados por software em execução, contendo eventos, erros e diagnósticos. Podem conter dados pessoais incidentalmente.

Audit log

Registro append-only de cada ação administrativa realizada na plataforma, contendo autor, data/hora, recurso afetado, valores anteriores e novos.

Coletamos apenas os dados estritamente necessários para operar, faturar e proteger a plataforma. As categorias abaixo são exaustivas no momento da publicação desta política; qualquer nova categoria será comunicada por meio de uma nova versão.

Os dados pessoais são obtidos por três vias principais:

1. Diretamente do titular — quando o titular preenche formulários de cadastro, contato, suporte ou autenticação no painel.
2. Automaticamente — durante o uso normal da plataforma, captamos logs de acesso, ações, identificadores de sessão e telemetria do agente instalado nas VMs gerenciadas.
3. Por meio de terceiros — quando o titular escolhe autenticar via provedor de identidade externo (ex.: Google OAuth), recebemos os atributos básicos do perfil autorizados pelo titular no momento do consentimento OAuth.

Tratamos dados pessoais apenas para finalidades legítimas e informadas, sempre amparadas por uma das bases legais previstas no Art. 7º (dados pessoais) ou Art. 11 (dados sensíveis, quando aplicável) da LGPD.

Para operar a plataforma, contratamos subprocessadores que atuam em nosso nome, sob contrato com cláusulas específicas de proteção de dados. Os principais operadores são:

Em razão da arquitetura de nuvem que adotamos, parte dos dados pessoais é transferida para fora do território nacional — especialmente para data centers nos Estados Unidos e na União Europeia. As transferências internacionais ocorrem em conformidade com o Capítulo V da LGPD (Arts. 33 a 36).

As salvaguardas que adotamos para legitimar essas transferências incluem, conforme o operador:

• Contratação de operadores que ofereçam grau de proteção adequado à LGPD (Art. 33, I);
• Cláusulas Contratuais Padrão (Standard Contractual Clauses) e Data Processing Addendum (DPA) específicos para transferência internacional (Art. 33, II);
• Certificações reconhecidas (ISO 27001, ISO 27018, SOC 2) que demonstram aderência a padrões internacionais de proteção;
• Compromisso de cooperação com a ANPD na hipótese de decisões de adequação futuras envolvendo o país de destino.

O titular pode, a qualquer tempo, solicitar ao DPO a lista detalhada de operadores e respectivos países de destino dos dados.

A LGPD assegura ao titular um conjunto de direitos que pode exercer a qualquer momento, gratuitamente. Os direitos previstos no Art. 18 são:

1. Confirmação da existência de tratamento;
2. Acesso aos dados;
3. Correção de dados incompletos, inexatos ou desatualizados;
4. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
5. Portabilidade dos dados a outro fornecedor de serviço, observados os segredos comercial e industrial;
6. Eliminação dos dados pessoais tratados com consentimento, exceto nas hipóteses do Art. 16;
7. Informação sobre as entidades públicas e privadas com as quais a Neetru compartilhou os dados;
8. Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
9. Revogação do consentimento, a qualquer tempo, mediante manifestação expressa do titular.

Mantemos cada categoria de dado pelo tempo necessário ao cumprimento das finalidades informadas, observados os prazos legais e regulatórios. Após o término, os dados são eliminados ou anonimizados de forma segura.

Após o decurso dos prazos, os dados são eliminados de forma segura ou anonimizados de modo irreversível, conforme o Art. 16 da LGPD. Excepcionalmente, dados podem ser conservados por prazo superior quando exigido por lei, regulação setorial ou para o exercício regular de direitos em processo judicial, administrativo ou arbitral.

Adotamos um conjunto de medidas técnicas e organizacionais proporcionais à natureza, escopo, contexto e finalidades do tratamento, conforme o Art. 46 da LGPD:

Apesar de empregarmos as melhores práticas, nenhum sistema é completamente imune a ameaças. Em caso de incidente, aplicaremos o protocolo descrito a seguir.

Mantemos um plano de resposta a incidentes (IRP) com as seguintes etapas:

1. Detecção e triagem — monitoramento contínuo de logs, alertas e indicadores de comprometimento. Toda suspeita é classificada em até 1 hora pelo time de plantão.
2. Contenção — isolamento do recurso afetado, revogação de credenciais comprometidas, rotação de segredos e bloqueio de contas suspeitas.
3. Erradicação e recuperação — remoção da causa raiz, restauração a partir de backups íntegros e validação técnica antes da reabertura.
4. Comunicação à ANPD em até 48 horas quando o incidente puder acarretar risco ou dano relevante aos titulares (Art. 48, LGPD), conforme regulamento da ANPD.
5. Comunicação aos titulares afetados por e-mail, banner no painel e, quando justificado, por outro canal direto.
6. Análise de causa raiz (RCA) e lições aprendidas — divulgação pública quando o caso tiver impacto material e o titular tiver interesse legítimo na informação.

A plataforma Neetru é voltada exclusivamente a empresas e profissionais com plena capacidade civil, NÃO sendo destinada a crianças (menores de 12 anos) ou adolescentes (entre 12 e 18 anos incompletos). Não coletamos deliberadamente dados pessoais de pessoas dessas faixas etárias.

Se identificarmos cadastro de menor, eliminaremos os dados imediatamente, salvo quando houver autorização específica de pelo menos um dos pais ou do responsável legal, na forma do Art. 14 da LGPD. Em caso de dúvida ou denúncia, contate o DPO em privacidade@neetru.com.

Esta Política de Privacidade pode ser atualizada periodicamente para refletir mudanças na plataforma, nos operadores contratados, na legislação ou nas melhores práticas. Sempre que houver alteração relevante, comunicaremos os clientes ativos por:

• E-mail enviado ao endereço de contato cadastrado no painel;
• Banner persistente no painel staff e no portal do cliente, com link para a nova versão;
• Antecedência mínima de 15 (quinze) dias quando a alteração afetar significativamente os direitos dos titulares.

As versões anteriores ficam arquivadas internamente e podem ser consultadas mediante solicitação ao DPO.

Disponibilizamos canais específicos conforme a natureza da solicitação. Para dúvidas e solicitações sobre dados pessoais, sempre prefira o Encarregado de Dados (DPO):

Caso entenda que sua solicitação não foi atendida adequadamente, o titular pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD), órgão competente para fiscalizar a aplicação da LGPD:

Encorajamos, contudo, que o titular procure primeiro o nosso DPO em privacidade@neetru.com. Estamos comprometidos com uma resposta tempestiva, transparente e fundamentada.