AVISO DE PRIVACIDADE E PROTEÇÃO DE DADOS

Grossi Law | Atualizado em [02/10/2025]

ANTES DE QUALQUER JURIDIQUÊS: UMA CONVERSA FRANCA

Este não é mais um aviso de privacidade burocrático onde jogamos juridiquês para “cumprir tabela” regulatória. Aqui está nossa visão: seus dados são seus. Nós apenas os processamos com sua autorização, para finalidades específicas, pelo tempo necessário. Ponto.

Se você quer saber exatamente o que fazemos, como fazemos e por quê — este documento foi feito para isso. E se algo não estiver claro, nos cobre. Transparência não é só compliance, é respeito.

1. QUEM SOMOS E COMO NOS CONTACTAR

Controlador de Dados:
Grossi Law [INSERIR RAZÃO SOCIAL COMPLETA]
CNPJ: [INSERIR CNPJ]
Endereço: [INSERIR ENDEREÇO COMPLETO]

Encarregado de Dados (DPO):
Elias Figueiroa elias@grossi.law
E-mail: dpo@grossilaw.com.br   
Formulário de contato: [INSERIR LINK DO FORMULÁRIO]

Por que isso importa: Na LGPD, o controlador é quem toma as decisões sobre seus dados. O Encarregado é sua ponte direta conosco para qualquer questão de privacidade. Use esses canais.

2. QUAIS DADOS COLETAMOS E POR QUÊ

2.1 DADOS DE NAVEGAÇÃO (Cookies Técnicos Essenciais)

O que coletamos:

  • Endereço IP (anonimizado)
  • Tipo de navegador e dispositivo
  • Páginas visitadas e tempo de permanência
  • Data e hora de acesso
  • Origem de referência (de onde você veio)

Base legal: Legítimo interesse (Art. 7º, IX, LGPD)
Finalidade específica: Garantir a funcionalidade técnica do site, segurança da informação, prevenção de fraudes e ataques cibernéticos.

Por que legítimo interesse? Porque sem esses dados, o site não funciona. E você não quer que hackers derrubem nosso ambiente ou roubem dados, certo? Isso não é “nice to have” — é security by design (ISO 27001).

Retenção: Logs técnicos por 6 meses (requisito de segurança), depois anonimizados irreversivelmente.

2.2 DADOS ANALÍTICOS (Google Analytics)

O que coletamos:

  • Dados comportamentais de navegação agregados
  • Métricas de engajamento (bounce rate, tempo na página)
  • Demografia aproximada (quando disponibilizada pelo Google)
  • Jornada do usuário no site

Base legal: Consentimento (Art. 7º, I, LGPD)
Finalidade específica: Compreender como melhorar a experiência do usuário, otimizar conteúdo e identificar problemas de usabilidade.

A provocação: Por que pedimos consentimento aqui e não no item anterior? Porque analytics não é essencial para o site funcionar — é para nós melhorarmos. Logo, você escolhe.

Compartilhamento: Google LLC (EUA) — empresa com adequação baseada em Standard Contractual Clauses (SCC) aprovadas pela Comissão Europeia. Seus dados podem cruzar fronteiras, e você tem direito de saber disso.

Retenção: 26 meses no Google Analytics (configuração padrão reduzida para minimização), depois automaticamente excluídos.

Você pode retirar o consentimento a qualquer momento. Quando o fizer, paramos imediatamente de coletar novos dados analíticos seus.

3. COOKIES: A VERDADE SEM FILTRO

Tipos de Cookies que Usamos

Tipo Finalidade Duração Base Legal Pode Recusar?
Essenciais/Técnicos Funcionamento básico do site, segurança Sessão até 6 meses Legítimo interesse ❌ Não (site não funciona)
Analíticos (Google Analytics) Métricas de uso, melhorias de UX Até 26 meses Consentimento ✅ Sim (banner de cookies)

Cookies de terceiros: Apenas Google Analytics. Não temos pixels de redes sociais, trackers de remarketing ou outras tecnologias invasivas. Se isso mudar, você será avisado e poderá recusar.

Como gerenciar:

  • Banner de consentimento na primeira visita
  • Configurações do seu navegador (todos os navegadores modernos permitem bloquear cookies)
  • [INSERIR LINK PARA GERENCIAMENTO DE PREFERÊNCIAS]

4. SEUS DIREITOS — E COMO EXERCÊ-LOS DE VERDADE

Você não precisa de advogado para exercer seus direitos. Nós facilitamos. Aqui está o que você pode fazer:

Confirmação e Acesso (Art. 18, I e II)

“Vocês têm dados meus? Quais são?”
→ Resposta em até 15 dias úteis com relatório completo.

Correção (Art. 18, III)

“Esse dado está errado.”
→ Corrigimos imediatamente ou explicamos por que não podemos (ex: dado histórico necessário para obrigação legal).

Anonimização, Bloqueio ou Eliminação (Art. 18, IV)

“Quero que meus dados sejam anônimos/bloqueados/apagados.”
→ Executamos, salvo quando tivermos obrigação legal de manter (ex: dados fiscais).

Portabilidade (Art. 18, V)

“Quero meus dados em formato legível por máquina.”
→ Fornecemos em CSV ou JSON, sua escolha.

Informação sobre Compartilhamento (Art. 18, VII)

“Com quem vocês compartilham meus dados?”
→ Veja seção 5. Se houver mudanças, você será notificado.

Revogação de Consentimento (Art. 18, IX)

“Não quero mais que usem meus dados para analytics.”
→ Consentimento retirado, coleta interrompida.

Oposição (Art. 18, § 2º)

“Vocês alegam legítimo interesse, mas eu discordo.”
→ Revisamos o caso e justificamos ou cessamos o tratamento.

Como exercer: dpo@grossilaw.com.br ou através do [INSERIR LINK FORMULÁRIO DEDICADO]
Prazo de resposta: 15 dias úteis (podendo ser prorrogado por mais 15 mediante justificativa).

Se não ficar satisfeito: Pode reclamar à ANPD (Autoridade Nacional de Proteção de Dados) — www.gov.br/anpd

5. COMPARTILHAMENTO DE DADOS: TRANSPARÊNCIA RADICAL

Com quem compartilhamos:

  1. Google LLC (Analytics)
    • Localização: EUA
    • Cobertura: Standard Contractual Clauses (SCC) da Comissão Europeia
    • Finalidade: Análise de métricas de uso do site
  2. Hostgator (Newfold Digital)
    • Localização: EUA (servidores podem estar em território americano)
    • Cobertura: Contrato de Data Processing Agreement (DPA) com cláusulas de adequação
    • Finalidade: Hospedagem e infraestrutura técnica do site
    • Medidas de segurança: Criptografia em trânsito e em repouso, controles de acesso, backups criptografados
  3. Autoridades públicas
    • Somente mediante ordem judicial ou requisição legal fundamentada

Com quem NÃO compartilhamos:

  • Terceiros para marketing direto
  • Corretores de dados (data brokers)
  • Empresas de credit score ou enriquecimento de bases
  • Qualquer entidade para finalidades incompatíveis com as declaradas

Não vendemos dados. Nunca. Em hipótese alguma.

6. SEGURANÇA: O QUE FAZEMOS ALÉM DO MÍNIMO

Implementamos controles baseados em ISO 27001, 27701 e NIST Cybersecurity Framework:

Camada Técnica:

  • Criptografia TLS 1.3 em trânsito
  • HTTPS obrigatório em todas as páginas
  • Acesso baseado em privilégio mínimo (Zero Trust principles)
  • Logs de auditoria para rastreabilidade
  • Hardening de servidores e proteção contra ataques DDoS
  • Backups criptografados com política de retenção controlada

Camada Organizacional:

  • Security by design e Privacy by design em desenvolvimentos
  • Treinamento contínuo da equipe em proteção de dados
  • Plano de resposta a incidentes documentado e testado
  • Avaliação periódica de fornecedores (vendor risk management)
  • Revisões de segurança semestrais

E se houver um incidente? Notificaremos você e a ANPD conforme Art. 48 da LGPD, no prazo de 2 dias úteis a partir da ciência, detalhando o ocorrido, impactos potenciais e medidas de mitigação já adotadas.

7. RETENÇÃO: POR QUANTO TEMPO E POR QUÊ

Tipo de Dado Período Justificativa Legal
Logs técnicos essenciais 6 meses Segurança da informação, Art. 15 Marco Civil da Internet
Dados do Google Analytics 26 meses Análise de tendências, minimização de dados, depois auto-exclusão
Dados de formulários de contato* Até finalidade ou 5 anos Prazo prescricional civil (Art. 206, §5º, Código Civil)

*Se você enviar formulários de contato futuramente

Princípio aplicado: Minimização e necessidade. Não guardamos dados “por via das dúvidas” ou “porque pode ser útil um dia”. Cada período de retenção tem fundamentação técnica ou jurídica específica.

Descarte seguro: Ao término do prazo, dados são anonimizados irreversivelmente ou eliminados com técnicas que impedem recuperação (conforme ISO 27001:2022, controle 8.10).

8. TRANSFERÊNCIA INTERNACIONAL: A REAL

Quando você aceita Google Analytics e ao usar nosso site hospedado no Hostgator, seus dados podem ser transferidos e processados nos Estados Unidos.

Salvaguardas implementadas:

  • Google LLC: Standard Contractual Clauses (SCC) aprovadas pela Comissão Europeia, certificações ISO 27001, SOC 2 Type II
  • Hostgator: Data Processing Agreement com cláusulas de proteção, certificações de segurança, compromisso contratual de conformidade com LGPD

Por que somos transparentes sobre isso? Porque os casos Schrems II e Schrems III no Tribunal de Justiça Europeu provaram que “privacy shield” não bastava. Você merece saber os riscos reais de transferências internacionais, ainda que mitigados por salvaguardas contratuais e técnicas.

Seu direito: Você pode se opor a essas transferências exercendo seu direito de oposição ou revogando consentimento para analytics. O site continuará funcionando, mas sem coleta analítica.

9. MENORES DE IDADE

Nosso site não é direcionado a menores de 18 anos. Não coletamos conscientemente dados de crianças ou adolescentes.

Se tomarmos conhecimento de que coletamos dados de menores inadvertidamente, os excluiremos imediatamente mediante notificação dos responsáveis legais.

Para serviços futuros que eventualmente envolvam menores: exigiremos consentimento específico e destacado de pelo menos um dos pais ou responsável legal (Art. 14, §1º, LGPD).

10. ATUALIZAÇÕES DESTE AVISO

Compromisso: Não faremos mudanças materiais sem notificá-lo com antecedência razoável (mínimo 15 dias corridos).

Como você saberá:

  • Notificação por banner destacado no site
  • E-mail (se tivermos seu contato e consentimento)
  • Data de atualização sempre visível no topo deste documento
  • Histórico de versões disponível mediante solicitação ao DPO

Mudanças não materiais (correções ortográficas, clarificações, ajustes de formatação): atualizamos diretamente, mantendo histórico de versões.

Recomendação: Revise periodicamente este aviso. A última atualização está sempre indicada no cabeçalho.

11. LEGISLAÇÃO APLICÁVEL E JURISDIÇÃO

Este Aviso de Privacidade é regido pelas seguintes normas:

  • Lei 13.709/2018 (Lei Geral de Proteção de Dados – LGPD)
  • Lei 12.965/2014 (Marco Civil da Internet)
  • Código Civil Brasileiro (Lei 10.406/2002)
  • Código de Defesa do Consumidor (Lei 8.078/1990)
  • Constituição Federal, especialmente direitos fundamentais à privacidade e proteção de dados

Foro competente: [INSERIR COMARCA/CIDADE], com renúncia expressa a qualquer outro, por mais privilegiado que seja.

Para consumidores: Aplicam-se as regras de competência do Código de Defesa do Consumidor, facultando ao consumidor escolher o foro de seu domicílio.

12. NOSSA FILOSOFIA (Porque Compliance Não é Só Técnica)

Privacidade é um direito fundamental (Art. 5º, X e XII, Constituição Federal). Proteção de dados não é mero compliance regulatório — é reconhecimento da dignidade humana no ambiente digital.

Por isso, nossos compromissos:

  • ✓ Não coletamos além do estritamente necessário
  • ✓ Não compartilhamos sem fundamento legal robusto
  • ✓ Não retemos além do justificável
  • ✓ Não dificultamos o exercício de direitos dos titulares
  • ✓ Não tratamos dados como commodities comercializáveis

Construímos confiança, não apenas evitamos multas.

A proteção de dados é parte integrante da nossa ética profissional. Não fazemos isso apenas porque a ANPD pode nos multar — fazemos porque é o correto a fazer.

Se algo neste aviso não ficou claro, não é porque queremos confundir — é porque falhamos na clareza. Nos avise para que possamos melhorar.

13. CANAIS DE CONTATO PARA QUESTÕES DE PRIVACIDADE

Encarregado de Dados (DPO):
E-mail: dpo@grossilaw.com.br
Formulário dedicado: [INSERIR LINK]
Prazo de resposta: 15 dias úteis

Para exercício de direitos:
Utilize os mesmos canais acima, identificando claramente qual direito deseja exercer.

Para dúvidas gerais:
contato@grossilaw.com.br
[INSERIR OUTROS CANAIS SE APLICÁVEL]

14. CONFORMIDADE E CERTIFICAÇÕES

Este Aviso de Privacidade foi desenvolvido considerando:

  • Lei 13.709/2018 (LGPD)
  • ISO/IEC 27701:2019 (Gestão de Informações de Privacidade)
  • ISO/IEC 29100:2011 (Framework de Privacidade)
  • Princípios do GDPR (Regulamento Geral de Proteção de Dados da UE)
  • Melhores práticas internacionais de Privacy by Design

Auditorias: Este aviso é revisado semestralmente ou sempre que houver mudanças materiais no tratamento de dados.

Contato para Dúvidas sobre Privacidade:
dpo@grossilaw.com.br

Este documento reflete nosso compromisso com transparência radical e respeito aos titulares de dados. Foi elaborado por especialistas em proteção de dados e cibersegurança, com profundo conhecimento jurídico-técnico e visão ética sobre o tratamento de informações pessoais.

Versão 1.0 | [02/10/2025]