Sistema OSC
Portal

Política de Privacidade

Versão 1.0.0 · Lei Geral de Proteção de Dados (Lei 13.709/2018) · Marco Civil da Internet (Lei 12.965/2014) · Lei de Acesso à Informação (Lei 12.527/2011)

Controlador dos Dados

A identidade do controlador será preenchida pela administração do município.

Encarregado de Proteção de Dados (DPO)

Em conformidade com o Art. 41 da LGPD, o canal de contato com o Encarregado é:

DPO ainda não designado. Contate o controlador acima.

Bases Legais e Finalidades

O tratamento dos dados pessoais coletados pelo Sistema OSC se dá nas seguintes bases legais (LGPD Art. 7º):

  • Cumprimento de obrigação legal (inciso II): execução das atribuições previstas na Lei 13.019/2014 (MROSC), na ADPF 854 e nas resoluções do TCE-MS aplicáveis.
  • Execução de políticas públicas (inciso III): operação das parcerias público-organização da sociedade civil.
  • Exercício regular de direitos em processo administrativo (inciso VI): registro de prestação de contas, monitoramento e fiscalização.
  • Consentimento (inciso I): nos pontos onde o titular opta voluntariamente (ex.: cadastro como usuário OSC).

Os dados pessoais coletados (nome, e-mail, CPF de representante, dados de contato) são usados exclusivamente para identificar usuários do sistema, vincular OSCs aos seus representantes e cumprir os deveres de transparência e auditoria.

Direitos do Titular (LGPD Art. 18)

Como titular dos dados, você pode, mediante requisição:

  • Confirmar a existência e acessar seus dados pessoais — disponível no painel autenticado em GET /me/dados-pessoais.
  • Corrigir dados incompletos, inexatos ou desatualizados — via tela de Perfil.
  • Solicitar a exclusão dos seus dados pessoais (direito ao esquecimento) — endpoint POST /me/solicitar-exclusao. A solicitação é avaliada pelo DPO; ao concluir, dados PII são anonimizados de forma irreversível, preservando vínculos contábeis pelo prazo legal de retenção (5 anos).
  • Portabilidade dos dados em formato estruturado JSON — endpoint GET /me/portabilidade.
  • Revogar consentimento a qualquer tempo (não retroativo).
  • Peticionar à Autoridade Nacional de Proteção de Dados (ANPD).

Retenção e Segurança

Os dados são retidos pelo período necessário ao cumprimento das obrigações legais e contratuais. Para a Lei 13.019/2014, registros financeiros e de prestação de contas são preservados por 5 anos contados do encerramento da parceria, mesmo após exclusão da conta do titular (com anonimização de PII).

Medidas técnicas adotadas: TLS em trânsito, hash de senhas (bcrypt via Supabase Auth), criptografia em repouso (Supabase Postgres), segregação de schemas (audit isolado e imutável), trilha de auditoria com IP/User-Agent/Request-ID, RLS no banco, sanitização de entradas contra XSS, rate limiting em endpoints sensíveis e validação de uploads por magic bytes.