LGPD 100% Compliant

Como tratamos dados pessoais — versão completa · 15 de maio de 2026

O Shifty Forge foi construído desde o primeiro dia com a Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018) em mente. Esta página é o guia rápido para empresas-cliente que precisam responder dúvidas internas, jurídicas ou de auditoria.

Resumo executivo: Atuamos como operador dos dados de funcionários. A empresa-cliente é a controladora. Toda a infraestrutura usa criptografia, RLS multi-tenant, auditoria detalhada e backups criptografados. Temos DPO designado e respondemos solicitações de titulares em até 15 dias úteis.

1. Papéis (controlador × operador)

Empresa-cliente = Controlador

Decide quais dados coletar dos funcionários, com que finalidade, e por quanto tempo. Responde pela base legal do tratamento.

Shifty Forge = Operador

Trata os dados exclusivamente conforme as instruções do controlador (a empresa-cliente). Não usa os dados para finalidades próprias.

A relação operador/controlador está formalizada no Data Processing Agreement (DPA), parte integrante dos Termos de Uso.

2. Medidas técnicas de segurança

TLS 1.2+ em todas as conexões (HTTPS obrigatório).
Criptografia em repouso no PostgreSQL e nos backups.
Row Level Security (RLS): cada empresa só enxerga seus próprios dados — testado em produção.
Hash de senhas via Argon2id (Supabase Auth).
Tokens uso-único para reset de senha (SHA-256 hash, TTL 60 min).
Rate limiting em endpoints sensíveis e bloqueio de conta após tentativas de login falhas.
Audit log de todas as operações sobre dados pessoais (acesso, modificação, exportação) — retenção de 12 meses.
Webhook signing HMAC em integrações de pagamento (Stripe).
Pseudonimização em logs: nunca registramos CPF, email completo ou senha em texto claro.

3. Direitos do titular — como exercer

Todo funcionário (titular) tem os direitos previstos no art. 18 da LGPD. Suportamos cada um deles:

Acesso: dentro do app, em Conta → Privacidade → Baixar meus dados. Exporta JSON com tudo o que tratamos.
Correção: peça ao RH da sua empresa ou abra ticket em dpo@shiftyforge.com.
Eliminação: via DPO. Atenção: dados sob retenção legal trabalhista (5 anos) só podem ser eliminados após esse prazo.
Portabilidade: exportação completa em JSON estruturado.
Revogação de consentimento: opt-out de marketing em qualquer email enviado por nós.

Prazo de resposta: até 15 dias úteis. Sem custo.

4. Encarregado de Proteção de Dados (DPO)

Contato direto: dpo@shiftyforge.com

O DPO é o canal oficial para titulares, autoridade nacional (ANPD) e empresas-cliente que precisam de esclarecimentos detalhados ou comprovações para auditoria interna.

5. Subprocessadores (operadores subcontratados)

Para operar a plataforma, contratamos terceiros que processam dados em nosso nome. Todos são auditados quanto à conformidade:

Supabase — Banco de dados PostgreSQL + auth. (EUA, SCCs)
Railway — Hospedagem backend. (EUA)
Stripe — Pagamentos. (EUA/IE)
Resend — Email transacional. (EUA)
Cloudflare — CDN + WAF. (EUA)
Anthropic — IA opcional para análises agregadas. Ativada somente sob consentimento; dados anonimizados antes do envio.

6. Integração com sistemas de ponto (REP-P / REP-A)

O Shifty Forge integra com sistemas de ponto compatíveis com a Portaria 671/2021 do MTE. Suportamos:

Importação de AFD (Arquivo Fonte de Dados — padrão obrigatório de qualquer REP-P homologado).
Upload manual de planilhas (CSV/Excel) com mapeamento configurável.
API REST para fabricantes parceiros (em desenvolvimento — verifique a lista atualizada com nosso suporte).

Os dados recebidos do REP-P (marcações de ponto) entram diretamente no nosso banco com a mesma proteção dos demais dados pessoais.

7. Transferência internacional de dados

Parte da nossa infraestrutura está hospedada nos EUA. Para essas transferências, aplicamos as Cláusulas Contratuais Padrão (SCCs) reconhecidas pela ANPD e mantemos garantias de proteção equivalentes às exigidas pela LGPD.

8. Incidentes de segurança

Em caso de incidente que possa acarretar risco ou dano relevante aos titulares, notificaremos:

A ANPD em até 2 dias úteis.
O controlador (empresa-cliente) imediatamente após detecção e contenção inicial.
Os titulares afetados, quando legalmente exigido ou quando o controlador instruir.

Comunicado de incidentes inclui: descrição, dados afetados, medidas técnicas adotadas, riscos relacionados e medidas de mitigação.

9. Perguntas frequentes

Vocês são REP-P homologado?

O Shifty Forge é uma plataforma de inteligência operacional que se integra a sistemas REP-P existentes (homologados pelo INMETRO/MTE). Não substituímos o registrador físico de ponto — somos a camada de software que recebe os dados e os transforma em insights, alertas e relatórios. Roadmap: REP-A (alternativo, totalmente em software) em desenvolvimento.

Como integra com o meu REP-P atual (Madis, Henry, Topdata)?

Três caminhos: (1) importação do AFD (formato padrão obrigatório por lei), (2) API REST direta com fabricantes parceiros, (3) upload manual de planilhas. A configuração inicial é gratuita e feita no onboarding.

Onde meus dados são armazenados?

Servidores do Supabase (EUA, região us-east) com criptografia em repouso. Backups diários por 30 dias. Replicação para disaster recovery.

Vocês usam meus dados pra treinar IA?

Não. Não treinamos modelos com dados de clientes. Quando o módulo de IA está ativo (planos Growth/Scale), apenas agregados anonimizados são enviados para a Anthropic e a resposta é descartada após o uso — não persistimos consultas individuais identificáveis. A Anthropic, contratualmente, não usa requisições de API para treinamento.

Funcionário tem que dar consentimento?

O tratamento de dados de ponto pelo empregador tem como base legal a execução de contrato de trabalho (art. 7º, V da LGPD) e obrigação legal (CLT + Portaria 671/2021). Não exige consentimento, mas o funcionário tem todos os demais direitos do art. 18 (acesso, correção, etc.).

Quanto tempo guardam os dados?

Dados de marcação de ponto: 5 anos após o término do contrato de trabalho (exigência fiscal/trabalhista). Outros dados (cadastro do admin, logs): conforme item 6 da Política de Privacidade.

10. Auditoria de conformidade

Para clientes Enterprise que precisam de comprovações detalhadas para auditoria interna ou jurídica, fornecemos:

Relatório de inventário de dados pessoais (ROPA).
Diagrama de fluxo de dados (DFD).
Lista atualizada de subprocessadores com SCCs anexadas.
Resultado de testes recentes de RLS e pentests de superfície externa.

Solicite em dpo@shiftyforge.com.