Política de Privacidade

01Identificação das Empresas Responsáveis

O AuditorIA é uma solução desenvolvida e operada pela BHS, composta pelas seguintes entidades jurídicas:

BHS SOLUCOES DIGITAIS LTDA

CNPJ: 00.276.225/0001-75

BHS AXTER SOLUCOES DIGITAIS LTDA

CNPJ: 04.856.032/0001-44

As entidades da BHS são conjuntamente denominadas nesta Política como "BHS" ou "nós".

No contexto da Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018), as responsabilidades são distribuídas da seguinte forma:

BHS — Operadora

A BHS processa dados pessoais por conta e sob as instruções da organização contratante, nos termos do contrato de prestação de serviço e desta Política de Privacidade.

Organização Contratante — Controladora

A organização que contrata o AuditorIA define as finalidades e os meios do tratamento de dados de seus colaboradores, sendo a principal responsável perante os titulares dos dados.

02Sobre o AuditorIA

O AuditorIA é uma plataforma SaaS de monitoramento e auditoria de comunicações corporativas. A solução ingere e analisa e-mails (via Exchange Online / Microsoft 365) e mensagens do Microsoft Teams de colaboradores das organizações contratantes, utilizando inteligência artificial de dois estágios para:

Identificar potenciais violações de políticas internas da organização contratante;
Detectar padrões de comportamento de risco em comunicações corporativas;
Gerar evidências estruturadas para processos de auditoria interna e conformidade;
Apoiar a organização contratante no cumprimento de suas obrigações legais, regulatórias e normativas aplicáveis ao seu setor de atuação.

O AuditorIA é uma ferramenta de suporte à auditoria interna e compliance. Seu uso pressupõe que a organização contratante possui as devidas bases legais para monitorar comunicações de seus colaboradores, incluindo comunicação adequada aos titulares, conforme exigido pela LGPD e pela legislação trabalhista aplicável.

03Dados Pessoais Tratados

Em razão da natureza do serviço, o AuditorIA processa as seguintes categorias de dados pessoais:

Dados identificadores dos colaboradores monitorados: nome completo, endereço de e-mail corporativo, cargo, área organizacional e identificadores de sistema.
Dados de comunicação: conteúdo integral de e-mails e mensagens do Microsoft Teams, incluindo remetente, destinatários, data, hora e metadados de envio e recebimento.
Dados comportamentais: padrões de comunicação, frequência, horário, volume e vínculos de relacionamento entre colaboradores (análise de rede organizacional — ONA).
Dados de acesso à plataforma: endereço IP, tipo de navegador, logs de autenticação e registro de atividades de usuários administradores e auditores do portal.
Dados de configuração: informações fornecidas pela organização contratante para parametrização da plataforma (regras de monitoramento, perfis de risco, listas de colaboradores monitorados).

Aviso sobre dados sensíveis: O AuditorIA pode processar informações de natureza sensível ou sigilosa presentes nas comunicações monitoradas (ex.: dados de saúde, dados pessoais sensíveis de terceiros, informações estratégicas ou confidenciais da organização). O acesso é rigorosamente controlado por criptografia, controles de acesso baseados em papéis (RBAC) e isolamento por organização (arquitetura multi-tenant com Row Level Security).

04Finalidades do Tratamento

Os dados pessoais tratados pelo AuditorIA têm as seguintes finalidades:

Execução do serviço contratado: monitoramento, classificação, alerta e evidenciação de comunicações corporativas para fins de auditoria interna e conformidade regulatória da organização contratante.
Melhoria do serviço: análise agregada e anonimizada para aprimoramento dos modelos de inteligência artificial e da qualidade das classificações.
Segurança e integridade da plataforma: detecção de acessos não autorizados, prevenção de incidentes e manutenção de logs de auditoria do sistema.
Cumprimento de obrigações legais: atendimento a requisições de autoridades competentes e cumprimento de obrigações aplicáveis à BHS na qualidade de operadora de dados.

05Bases Legais

O tratamento de dados pelo AuditorIA é realizado com base nas seguintes hipóteses legais da LGPD:

Execução de contrato (art. 7º, V): tratamento necessário para a prestação do serviço contratado pela organização contratante.
Legítimo interesse (art. 7º, IX): tratamento para finalidades de segurança, auditoria de logs e melhoria do serviço, nos limites do contrato e da legislação aplicável, com prevalência dos interesses dos titulares.
Cumprimento de obrigação legal ou regulatória (art. 7º, II): quando exigido por ordens judiciais ou administrativas de autoridades competentes.

A organização contratante (Controladora) é responsável por fundamentar adequadamente o monitoramento das comunicações de seus colaboradores. Isso pode incluir cláusulas em contratos de trabalho, política de uso aceitável de recursos tecnológicos, comunicação prévia aos colaboradores sobre o monitoramento, consentimento expresso ou legítimo interesse devidamente documentado, conforme as leis trabalhistas e de proteção de dados aplicáveis ao seu setor e jurisdição.

06Prazo de Retenção

Os dados são retidos pelos seguintes prazos, salvo obrigação legal diversa ou instrução contratual específica da Controladora:

Categoria de dado	Prazo de retenção
Comunicações monitoradas (e-mails e mensagens)	12 meses (prazos maiores via contrato)
Dados de acesso e sessão da plataforma	12 meses após o encerramento da sessão
Logs de auditoria de uso	até o encerramento do contrato, mas limitado a 5 anos
Dados de configuração da organização	3 meses após o encerramento do contrato

Após o encerramento do prazo aplicável ou do contrato, os dados são eliminados de forma segura ou anonimizados, conforme procedimento documentado no Data Processing Agreement (DPA) celebrado com a organização contratante.

07Compartilhamento de Dados

A BHS não comercializa dados pessoais. Os dados podem ser compartilhados exclusivamente nas seguintes hipóteses:

Subprocessadores tecnológicos: Microsoft Azure (infraestrutura e armazenamento — região Brazil South, para conformidade com requisitos de residência de dados e LGPD); provedores de modelos de inteligência artificial (Anthropic, Azure OpenAI) para classificação de comunicações; provedores de notificação para envio de alertas operacionais.
Autoridades competentes: quando obrigado por lei, ordem judicial ou regulatória válida e devidamente fundamentada.
Organização contratante: resultados do monitoramento (alertas, evidências, relatórios analíticos) são disponibilizados exclusivamente à organização contratante que originou os dados, dentro do seu ambiente segregado.

Todos os subprocessadores são selecionados com base em critérios rigorosos de segurança e privacidade, compatíveis com os requisitos da LGPD, e operam sob contratos de proteção de dados adequados.

08Transferência Internacional de Dados

Dados podem ser temporariamente processados fora do Brasil durante a etapa de classificação por modelos de inteligência artificial (ex.: servidores Azure OpenAI localizados nos Estados Unidos). Essas transferências são realizadas com base em cláusulas contratuais padrão e mecanismos de adequação equivalentes previstos no art. 33 da LGPD.

O armazenamento persistente de dados — incluindo comunicações monitoradas, alertas, evidências e informações de configuração — é realizado exclusivamente na região Azure Brazil South, garantindo residência de dados no território nacional.

09Segurança dos Dados

A BHS adota medidas técnicas e organizacionais para proteger os dados tratados pelo AuditorIA, incluindo:

Certificação ISO/IEC 27001 com Sistema de Gestão de Segurança da Informação (SGSI) que abrange toda a organização BHS.
Criptografia em repouso (AES-256) e em trânsito (TLS 1.2+) para todas as comunicações e dados armazenados.
Isolamento de ambientes: os ambientes das organizações contratantes são isolados entre si — dados de diferentes organizações são estritamente separados, sem possibilidade de acesso cruzado.
Controle de acesso baseado em papéis (RBAC) com autenticação multifator (MFA/TOTP) obrigatória para acesso ao portal.
Monitoramento contínuo e registro de eventos de segurança e auditoria com rastreabilidade completa.
Backup periódico com procedimentos de retenção e restauração testados regularmente.
Gestão de vulnerabilidades e revisão periódica de segurança da aplicação.

A BHS não pode garantir segurança absoluta de qualquer sistema de informação. Incidentes de segurança que possam representar risco ou dano relevante aos titulares serão comunicados à Autoridade Nacional de Proteção de Dados (ANPD) e à organização contratante no prazo estabelecido pela LGPD.

10Direitos dos Titulares

Os colaboradores cujos dados são tratados pelo AuditorIA têm os direitos previstos no art. 18 da LGPD:

Confirmação da existência de tratamento de dados;
Acesso aos dados pessoais tratados;
Correção de dados incompletos, inexatos ou desatualizados;
Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade com a LGPD;
Portabilidade dos dados a outro fornecedor de serviço, quando aplicável;
Informação sobre entidades públicas e privadas com as quais os dados foram compartilhados;
Revogação do consentimento, quando o consentimento for a base legal utilizada;
Oposição ao tratamento realizado com fundamento em hipóteses diversas do consentimento.

Como a BHS atua como Operadora, as solicitações dos titulares devem ser direcionadas preferencialmente à organização contratante (Controladora), que é a principal responsável pelo atendimento. Nos casos em que a solicitação envolver dados sob controle operacional direto da BHS, a BHS cooperará com a Controladora para atendê-la dentro do prazo legal.

11Cookies e Tecnologias Similares

O portal web do AuditorIA utiliza apenas cookies estritamente necessários para o funcionamento da plataforma:

Cookie de sessão (bhs_token): HttpOnly, Secure, SameSite=Lax — utilizado exclusivamente para autenticação e manutenção de sessão do usuário.
Cookie CSRF (bhs_csrf): utilizado para proteção contra ataques de Cross-Site Request Forgery, não acessível via JavaScript.

Não são utilizados cookies de rastreamento comportamental, publicidade ou analytics de terceiros. O AuditorIA não coleta dados de usuários do portal para fins que excedam a prestação do serviço contratado.

12Contato e Encarregado de Dados (DPO)

Para exercer direitos de titular, obter esclarecimentos sobre o tratamento de dados pessoais pelo AuditorIA ou registrar reclamação, entre em contato com o Encarregado de Proteção de Dados da BHS:

DPO — BHS

E-mail: dpo@bhs.com.br

Site: bhs.com.br/politica-privacidade

BHS SOLUCOES DIGITAIS LTDA
CNPJ: 00.276.225/0001-75

BHS AXTER SOLUCOES DIGITAIS LTDA
CNPJ: 04.856.032/0001-44

ANPD — Autoridade Nacional

O titular pode contatar diretamente a Autoridade Nacional de Proteção de Dados para registrar reclamação não resolvida junto à BHS ou à organização contratante.

gov.br/anpd

13Alterações desta Política

Esta Política pode ser atualizada periodicamente para refletir mudanças no serviço, na legislação aplicável ou nas práticas de privacidade da BHS. A versão vigente é sempre identificada pela data de "Última atualização" no cabeçalho do documento e pelo número de versão (código REG.GSI.018).

Mudanças substanciais serão comunicadas às organizações contratantes com antecedência razoável, por e-mail cadastrado ou por aviso no portal da plataforma, antes de entrarem em vigor.

14Lei Aplicável e Foro

Esta Política de Privacidade é regida pelas leis da República Federativa do Brasil, em especial pela Lei Geral de Proteção de Dados (Lei nº 13.709/2018) e suas regulamentações emitidas pela Autoridade Nacional de Proteção de Dados (ANPD).

Para dirimir quaisquer controvérsias decorrentes desta Política ou do tratamento de dados pessoais realizado pelo AuditorIA, fica eleito o foro da Comarca de Belo Horizonte, Estado de Minas Gerais, com renúncia expressa a qualquer outro, por mais privilegiado que seja.