Política de Privacidade
Última atualização: 6 de maio de 2026 · Versão 2.0
1. Identificação do controlador
A plataforma e-search é operada por LM DIGITAL MAKERS, pessoa jurídica regularmente constituída no Brasil, doravante denominada “Controladora”.
- Razão social: LM DIGITAL MAKERS
- CNPJ: 21.243.641/0001-47
- E-mail oficial: contato@eusouleandromatos.com.br
- Site: https://esearch.com.br
Esta Política descreve como coletamos, usamos, armazenamos, compartilhamos e protegemos dados pessoais, em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018 — LGPD), com o Marco Civil da Internet (Lei 12.965/2014) e com o Código de Defesa do Consumidor (Lei 8.078/1990).
2. Encarregado de Dados (DPO)
Conforme exigido pelo Art. 41 da LGPD, designamos formalmente um Encarregado de Dados como ponto de contato entre a Controladora, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD).
- Nome: Leandro Matos
- E-mail: contato@eusouleandromatos.com.br
- Atribuições (Art. 41 §2º): aceitar reclamações e comunicações de titulares, prestar esclarecimentos, adotar providências, receber comunicações da ANPD, orientar funcionários sobre práticas de proteção de dados.
3. O que é o e-search
O e-search é uma plataforma SaaS de consulta de dados cadastrais públicos de empresas (CNPJ) e pessoas físicas (CPF), desenvolvida para profissionais do mercado de seguros. Os dados retornados são obtidos da Receita Federal e provedores autorizados, e tratados com base nas hipóteses do Art. 7º da LGPD.
4. Dados que coletamos
4.1 Dados fornecidos por você (cliente da plataforma)
- Nome completo — para identificação na plataforma
- E-mail — para autenticação e comunicação
- Telefone (opcional) — para contato comercial
- CPF (opcional) — para identificação fiscal e emissão de nota fiscal
- Nome da corretora/empresa (opcional) — para personalização e faturamento
4.2 Dados gerados pelo uso
- Histórico de consultas — termos buscados, tipo (CNPJ/CPF/telefone/e-mail), data e hora
- Favoritos e anotações — empresas salvas e notas adicionadas por você
- Logs de acesso — endereço IP, navegador (User Agent), ações realizadas
4.3 Dados de pagamento
Os dados do seu cartão de crédito ou método de pagamento são processados exclusivamente pelo Stripe, certificado PCI DSS Level 1. Números de cartão, CVV e dados bancários nunca trafegam pelos nossos servidores.
Armazenamos apenas o identificador de cliente (Stripe Customer ID) para vincular sua assinatura.
4.4 Dados públicos consultados (terceiros — titulares de dados)
As consultas CNPJ e CPF retornam dados cadastrais públicos (disponibilizados pela Receita Federal e provedores oficiais) sobre terceiros, incluindo razão social, endereço, telefone, atividades econômicas, quadro societário, situação cadastral, capital social e regime tributário.
Esses dados são tratados com base no legítimo interesse (Art. 7º, IX) e proteção do crédito (Art. 7º, X) da LGPD, com finalidade de subsidiar profissionais do mercado de seguros em suas atividades regulares.
4.5 Grafo de relacionamentos derivado
O e-search mantém uma base interna de relacionamentos derivados a partir das consultas que realiza. Essa base registra apenas:
- Hash SHA-256 do CPF/CNPJ — o documento em texto claro não é armazenado nessa base
- Nome de exibição — apenas o último nome retornado pelo provedor para o documento, usado para mostrar o resultado ao consultante
- Tipo de vínculo — mãe, pai, sócio, parente, mesma residência, mesmo telefone (este último identificado por hash, sem o telefone em claro)
- Origem do dado — qual consulta originou o vínculo (Direct Data, QSA da Receita, etc.)
Esses relacionamentos servem para entregar contexto adicional ao cliente que faz a consulta, sem necessidade de novas chamadas de API. Tratamos com base no legítimo interesse (Art. 7º, IX)e nunca expomos os documentos brutos de terceiros através da interface ou de APIs.
Quando um titular solicita exclusão (Art. 18, VI), removemos imediatamente todos os nós e arestas relacionados ao hash do seu documento. Veja a Seção 9.
5. Base legal para o tratamento (Art. 7º LGPD)
| Atividade | Base legal | Artigo |
|---|---|---|
| Cadastro na plataforma | Consentimento | Art. 7º, I |
| Dados opcionais de perfil | Consentimento | Art. 7º, I |
| Cobrança e faturamento | Execução de contrato | Art. 7º, V |
| Histórico, favoritos e cache de consultas | Execução de contrato | Art. 7º, V |
| Consulta de dados públicos (CNPJ/CPF) | Legítimo interesse e proteção do crédito | Art. 7º, IX e X |
| Logs de acesso e auditoria | Cumprimento de obrigação legal e legítimo interesse | Art. 7º, II e IX; Marco Civil Art. 15 |
| Cookies estritamente necessários | Execução de contrato | Art. 7º, V |
6. Compartilhamento de dados
Compartilhamos seus dados apenas com os operadores estritamente necessários para a prestação do serviço:
| Operador | Dados compartilhados | Finalidade |
|---|---|---|
| Supabase (Singapore Pte. Ltd.) | Todos os dados armazenados | Banco de dados PostgreSQL e autenticação |
| Stripe (Stripe Brasil) | Nome, e-mail, dados de fatura | Processamento de pagamentos |
| Vercel (Vercel Inc.) | Headers HTTP, endereço IP | Hospedagem e CDN |
| Direct Data, BrasilAPI, ReceitaWS, CNPJ.ws, Casa dos Dados | CNPJ/CPF consultado pelo cliente | Provedores de dados cadastrais públicos |
Não vendemos, alugamos ou compartilhamos seus dados pessoais com terceiros para fins de marketing, publicidade ou qualquer outra finalidade não descrita nesta política.
7. Transferência internacional de dados
Parte dos dados é armazenada em servidores nos Estados Unidos (Vercel/AWS). Esta transferência é realizada com base no Art. 33, VIII da LGPD (necessária para a execução do contrato), considerando que os operadores adotam padrões de segurança equivalentes (SOC 2 Type II, ISO 27001, criptografia AES-256 em repouso).
Sempre que possível, priorizamos provedores brasileiros ou com regiões dedicadas ao Brasil (caso de Supabase região sa-east-1 em São Paulo).
8. Cookies
Utilizamos exclusivamente cookies estritamente necessários para o funcionamento da plataforma:
- Cookies de sessão (Supabase Auth) — armazenam o token JWT de autenticação em cookies
httpOnlyeSecure. Necessários para manter você logado.
Não utilizamos cookies de rastreamento, analytics de terceiros, pixels de publicidade, redes sociais ou tecnologias de fingerprinting.
9. Seus direitos como titular (Art. 18 LGPD)
Você (cliente da plataforma OU terceiro cujos dados estão em nosso cache) tem os seguintes direitos:
- Confirmação e acesso — saber se tratamos seus dados e obter cópia
- Correção — atualizar dados incompletos, inexatos ou desatualizados
- Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade
- Portabilidade — receber seus dados em formato estruturado
- Eliminação dos dados tratados com base em consentimento
- Informação sobre compartilhamento — saber com quem compartilhamos
- Revogação de consentimento a qualquer momento
- Oposição ao tratamento baseado em legítimo interesse
Como exercer seus direitos
Para clientes da plataforma: acesse /dashboard/settings para edição, exportação e exclusão de conta self-service.
Para terceiros (titulares de dados públicos consultados pelos nossos clientes): use o portal público /lgpd/titular para consultar e solicitar a exclusão completa dos seus dados em nossas bases.
Outros casos: envie e-mail para contato@eusouleandromatos.com.br. Responderemos em até 15 dias úteis (Art. 19 §1º LGPD).
10. Retenção de dados
| Dado | Período de retenção | Base legal da retenção |
|---|---|---|
| Dados de perfil do cliente | Enquanto a conta estiver ativa | Execução de contrato |
| Dados de assinatura/pagamento | Enquanto a conta + 5 anos (fiscal) | Obrigação legal fiscal |
| Histórico de consultas | Conforme plano (30, 90 dias ou ilimitado) | Execução de contrato |
| Cache de dados públicos (CNPJ/CPF) | 30 a 60 dias (CNPJ 30d, CPF 60d, situação 7d) | Legítimo interesse + economia operacional |
| Logs de acesso (data_access_log) | 12 meses | Marco Civil da Internet, Art. 15 |
| Solicitações LGPD (deletion_requests) | 5 anos (somente cpf_hash, sem dados pessoais) | Auditoria e prestação de contas (Art. 37) |
| Grafo de relacionamentos derivado | Mantido enquanto a relação for útil aos clientes ativos; pode ser removido a pedido do titular (Art. 18, VI) | Legítimo interesse (Art. 7º, IX) |
| Telemetria de qualidade dos provedores (cpf_vinculos_log) | 12 meses (apenas hash SHA-256 do CPF + métricas agregadas, sem dados pessoais) | Legítimo interesse técnico |
11. Segurança dos dados
- Criptografia em trânsito (TLS 1.3) e em repouso (AES-256)
- HSTS ativado por dois anos com
preload— toda comunicação é forçada a HTTPS - Headers
X-Frame-Options,X-Content-Type-Options,Referrer-Policy,Permissions-PolicyeCross-Origin-Opener-Policyaplicados em todas as respostas - Isolamento de dados por usuário via Row Level Security (RLS) em todas as tabelas
- Autenticação segura com hash bcrypt e tokens JWT em cookies
httpOnly - Funções privilegiadas do banco (
SECURITY DEFINER) restritas aservice_role;anonnão tem permissão de execução - Chaves de API armazenadas em variáveis de ambiente, nunca no código-fonte (verificado em pré-deploy)
- Verificação de assinatura HMAC em webhooks de pagamento (Stripe)
- Rate limit por usuário e IP em todas as rotas de busca e LGPD
- Backups automáticos do banco de dados (point-in-time recovery)
- CPFs em solicitações LGPD e no grafo de relacionamentos nunca armazenados em texto plano — apenas hash SHA-256
- Bloqueio automático de bots, scanners e tentativas de acesso a paths sensíveis (
/.env,/.git,/wp-admin, etc.) no edge (middleware) com resposta 410 Gone
12. Incidentes de segurança
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos a ANPD e os titulares afetados em prazo razoável, conforme exigido pelo Art. 48 da LGPD.
13. Menores de idade
O e-search é destinado exclusivamente a profissionais maiores de 18 anos. Não coletamos intencionalmente dados de crianças ou adolescentes. Caso identifiquemos cadastro de menor, ele será excluído imediatamente.
14. Alterações nesta política
Esta Política pode ser atualizada periodicamente. Alterações significativas serão comunicadas via aviso destacado no painel da plataforma quando o cliente fizer login, com no mínimo 15 dias de antecedência. A data de última atualização no topo desta página indica a versão vigente. Recomendamos consultar esta página regularmente.
15. Contato e ANPD
Para dúvidas, solicitações ou reclamações relacionadas a privacidade e proteção de dados:
- Encarregado de Dados (DPO): Leandro Matos
- E-mail: contato@eusouleandromatos.com.br
- Prazo de resposta: até 15 dias úteis (Art. 19 §1º LGPD)
Caso não fique satisfeito com nossa resposta, você pode entrar em contato com a Autoridade Nacional de Proteção de Dados:
- Site: gov.br/anpd
- E-mail: encarregado@anpd.gov.br
- Endereço: SCN Quadra 6, Bloco A, 9º andar, Brasília — DF, CEP 70716-902
Esta Política reflete o compromisso de LM DIGITAL MAKERS (CNPJ 21.243.641/0001-47) com a transparência e a proteção dos dados pessoais. Foro de eleição: Comarca de São Paulo/SP.