Política de Privacidade

O Bens Seguros, operado por [INSERIR RAZÃO SOCIAL], inscrita no CNPJ sob o nº [INSERIR CNPJ], com sede em [INSERIR ENDEREÇO], está comprometida com a proteção dos dados pessoais de seus usuários e dos clientes das corretoras que utilizam a plataforma. Esta Política de Privacidade descreve como coletamos, usamos, armazenamos, compartilhamos e protegemos dados pessoais, em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — LGPD).

Conforme a LGPD (Art. 5º), para fins desta Política: • Dados Pessoais: informação relacionada a pessoa natural identificada ou identificável. • Dados Pessoais Sensíveis: dados sobre origem racial/étnica, convicção religiosa, opinião política, saúde, vida sexual, dado genético ou biométrico. • Titular: pessoa natural a quem se referem os dados pessoais. • Controlador: pessoa natural ou jurídica a quem competem as decisões sobre o tratamento de dados pessoais. • Operador: pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador. • ANPD: Autoridade Nacional de Proteção de Dados, órgão responsável por fiscalizar o cumprimento da LGPD. • Tratamento: toda operação realizada com dados pessoais (coleta, armazenamento, uso, compartilhamento, eliminação, etc.).

Cadastrais: Nome, email, telefone, senha (hash) — Fornecidos pelo usuário no registro. Empresariais: Razão social, CNPJ, endereço da corretora — Fornecidos no onboarding da organização. De uso: Endereço IP, navegador, dispositivo, páginas visitadas, horários de acesso — Coletados automaticamente. De clientes da corretora: CPF, nome, telefone, dados de apólices, sinistros — Inseridos pela corretora na plataforma. Financeiros: Dados de pagamento (processados por terceiros) — Fornecidos pelo usuário. De comunicação: Mensagens de chat, WhatsApp, email — Gerados durante uso da plataforma.

• Consentimento (Art. 7º, I): Registro na plataforma, aceite de termos, comunicações de marketing. • Execução de contrato (Art. 7º, V): Prestação do serviço SaaS, processamento de pagamentos. • Obrigação legal (Art. 7º, II): Retenção de dados fiscais por 5 anos (legislação tributária brasileira). • Legítimo interesse (Art. 7º, IX): Analytics de uso, melhoria do produto, prevenção de fraude, segurança da plataforma.

• Nome, email — Identificação, autenticação, comunicação (Execução de contrato). • CNPJ, razão social — Identificação da organização, multi-tenancy (Execução de contrato). • IP, navegador, dispositivo — Segurança, prevenção de fraude, auditoria (Legítimo interesse). • Dados de clientes da corretora — Gestão de seguros pelo usuário (Execução de contrato — operador). • Dados de pagamento — Cobrança dos planos contratados (Execução de contrato). • Mensagens de chat — Atendimento ao cliente da corretora (Execução de contrato — operador). • Dados de uso (analytics) — Melhoria do produto e experiência (Legítimo interesse).

Bens Seguros como Controlador: • Dados de conta dos usuários (nome, email, senha, dados de uso) • Dados de pagamento e faturamento • Decisões sobre como esses dados são tratados Bens Seguros como Operador: • Dados de clientes das corretoras (CPF, apólices, sinistros, mensagens) • Tratamento realizado exclusivamente conforme instruções da corretora (controladora) • A corretora é responsável por obter consentimento ou base legal adequada de seus clientes Responsabilidades: • Como controlador: responde diretamente perante os titulares e a ANPD • Como operador: responde conforme instruções do controlador (corretora) e deve notificar incidentes

Compartilhamos dados pessoais apenas nas seguintes situações: • Processadores de pagamento — Cobrança de planos — Dados de pagamento (tokenizados). • Provedores de infraestrutura (cloud) — Hospedagem e armazenamento — Todos (criptografados). • Provedor de email transacional — Envio de notificações — Nome, email. • Provedores de IA (Anthropic, OpenAI) — Assistência inteligente — Dados anonimizados e com PII redatada. • Autoridades competentes — Ordem judicial ou obrigação legal — Conforme exigido. Nunca vendemos dados pessoais. Nunca compartilhamos dados para fins publicitários de terceiros.

Alguns de nossos provedores de infraestrutura e serviço podem estar localizados fora do Brasil. Nestes casos, asseguramos que a transferência internacional de dados pessoais ocorre com garantias adequadas, conforme previsto na LGPD (Art. 33), incluindo: • Cláusulas contratuais padrão • Provedores em países com nível adequado de proteção reconhecido pela ANPD • Medidas técnicas de segurança (criptografia em repouso e em trânsito)

Implementamos medidas técnicas e organizacionais para proteger dados pessoais: • Criptografia em repouso: AES-256-GCM para dados sensíveis (CPF, CNPJ) com hash SHA-256 para buscas • Criptografia em trânsito: TLS 1.2+ em todas as conexões • Isolamento multi-tenant: Row Level Security (RLS) no PostgreSQL, campo tenantId no MongoDB • Mascaramento de dados: Dados sensíveis mascarados por padrão em listagens, exposição baseada em perfil de acesso • Controle de acesso: RBAC com 5 níveis de permissão (Proprietário, Administrador, Gerente, Comercial, Visualizador) • Logs com redação: Dados sensíveis automaticamente removidos de logs (CPF, CNPJ, email, telefone, senha, tokens) • Monitoramento de erros: PII filtrada antes do envio para ferramentas de rastreamento • Cookies seguros: httpOnly, secure, sameSite • Cabeçalhos de segurança: Helmet (CSP, X-Frame-Options, etc.) • Rate limiting: Proteção contra ataques de força bruta

• Dados de conta: Enquanto conta ativa + 6 meses (Execução de contrato + período de reativação). • Dados fiscais (propostas, apólices, comissões): 5 anos após encerramento (Obrigação legal — legislação tributária). • Logs de acesso: 6 meses (Legítimo interesse — segurança). • Dados de clientes da corretora: Enquanto conta ativa ou até exclusão LGPD (Execução de contrato — operador). • Backups: 30 dias — rotação (Segurança e recuperação). Exclusão LGPD: A plataforma oferece fluxo completo de exclusão de dados pessoais (anonimização em banco, exclusão de conversas, remoção de documentos, anonimização de logs de auditoria). Acessível em Configurações > Clientes > Exclusão LGPD. Requer confirmação forte (digitar nome do cliente). Restrito a perfis Proprietário e Administrador.

Você tem os seguintes direitos em relação aos seus dados pessoais: • Confirmação e acesso: Saber se tratamos seus dados e obter uma cópia. • Correção: Solicitar a correção de dados incompletos, inexatos ou desatualizados. • Anonimização, bloqueio ou eliminação: De dados desnecessários, excessivos ou tratados em desconformidade com a LGPD. • Portabilidade: Solicitar a transferência de seus dados a outro fornecedor de serviço. • Eliminação: Dos dados tratados com base no consentimento, exceto quando houver obrigação legal de retenção. • Informação: Sobre as entidades com as quais compartilhamos seus dados. • Revogação do consentimento: A qualquer momento, sem prejuízo da licitude do tratamento realizado anteriormente. Como exercer seus direitos: Envie solicitação para [INSERIR EMAIL DO DPO] ou utilize as funcionalidades disponíveis na plataforma (Configurações > Perfil > Meus Dados). Responderemos em até 15 (quinze) dias úteis, conforme previsto na LGPD.

• Sessão de autenticação — Essencial — Manter o usuário logado — Sessão / 30 dias. • CSRF token — Essencial — Proteção contra ataques CSRF — Sessão. • Preferências (tema, idioma) — Funcional — Personalização da interface — 1 ano. Não utilizamos cookies de terceiros para publicidade ou rastreamento. Todos os cookies são configurados com flags httpOnly, secure e sameSite quando aplicável.

A plataforma utiliza inteligência artificial para: • Sugestões e assistência na gestão de propostas e apólices • Resumo e análise de documentos • Assistência no atendimento ao cliente Proteções implementadas: • Dados pessoais identificáveis (PII) são automaticamente redatados antes do envio para provedores de IA • Os prompts do sistema proíbem expressamente a solicitação de dados sensíveis • Nenhuma decisão automatizada é tomada sem supervisão humana • Os provedores de IA não utilizam os dados para treinamento de seus modelos (conforme contratos vigentes)

O Bens Seguros é uma plataforma destinada a empresas (B2B) e profissionais do mercado de seguros. Não coletamos intencionalmente dados pessoais de menores de 18 anos. Caso tomemos conhecimento de que dados de um menor foram coletados inadvertidamente, procederemos à sua eliminação imediata.

• Esta Política de Privacidade pode ser atualizada periodicamente para refletir mudanças em nossas práticas ou na legislação. • Alterações materiais serão comunicadas por email e por banner na plataforma com antecedência mínima de 15 (quinze) dias. • Alterações materiais exigirão re-aceite explícito para continuar utilizando a plataforma. • O histórico de versões anteriores estará disponível para consulta.

O Encarregado de Proteção de Dados do Bens Seguros é: • Nome: [INSERIR NOME DO DPO] • Email: [INSERIR EMAIL DO DPO] • Endereço: [INSERIR ENDEREÇO] O Encarregado é o canal direto para exercício de direitos dos titulares e comunicação com a ANPD.

Para dúvidas, sugestões ou reclamações sobre esta Política de Privacidade: • Email: [INSERIR EMAIL] • Endereço: [INSERIR ENDEREÇO COMPLETO] Caso não fique satisfeito com nossa resposta, você pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) através do site: https://www.gov.br/anpd