LGPD — Lei Geral de Proteção de Dados
Última atualização: 14 de junho de 2026 · Lei n.º 13.709/2018
Este documento descreve como a Tangerin AI cumpre a Lei Geral de Proteção de Dados Pessoais (LGPD) e como as organizações que utilizam a plataforma podem fazê-lo em conformidade com seus próprios funcionários e stakeholders.
Papel da Tangerin AI na cadeia de tratamento
Tangerin AI → Operadora
Trata dados pessoais por conta e sob instrução do Cliente. Não decide sobre a finalidade ou os meios do tratamento. Age conforme o contrato de serviço e estes termos.
Organização contratante → Controladora
Decide sobre o tratamento de dados dos seus funcionários. Responsável por definir a base legal, informar os titulares e atender requisições de direitos junto à Tangerin AI.
1. Dados pessoais tratados pela plataforma
A Tangerin AI trata a menor quantidade possível de dados pessoais — apenas o estritamente necessário para a prestação do serviço (princípio da minimização). Os dados pessoais processados são:
1.1 Dados coletados pelo agente de endpoint
| Dado | Caráter pessoal | Base legal (LGPD) |
|---|---|---|
| Nome de usuário de sessão (logged_user) | Pode identificar o funcionário (ex: EMPRESA\joao.silva) | Legítimo interesse (art. 7º, IX) ou contrato (art. 7º, V) |
| Hostname da estação | Pode conter nome de pessoa (ex: PC-JOAOSILVA) | Legítimo interesse (art. 7º, IX) |
| Ferramentas de IA detectadas | Associadas indiretamente ao funcionário via hostname/usuário | Legítimo interesse (art. 7º, IX) ou contrato (art. 7º, V) |
| Inventário de software instalado | Associado indiretamente via hostname | Legítimo interesse (art. 7º, IX) |
1.2 Dados dos administradores da plataforma
| Dado | Finalidade |
|---|---|
| Nome e e-mail corporativo | Autenticação, notificações, log de auditoria |
| Ações realizadas na plataforma | Rastreabilidade e segurança (audit log) |
1.3 O que NÃO é coletado
- Dados sensíveis (saúde, biometria, origem racial, convicções religiosas, etc.).
- Conteúdo de conversas com ferramentas de IA.
- Conteúdo de arquivos, documentos ou e-mails.
- Teclas digitadas ou capturas de tela.
- Dados pessoais de clientes finais da organização contratante.
2. Finalidades do tratamento
Os dados pessoais tratados pela Tangerin AI têm as seguintes finalidades, todas vinculadas ao serviço contratado:
- Identificar quais ferramentas de IA são usadas por quais estações de trabalho e usuários.
- Gerar relatórios de risco, scores de governança e evidências de conformidade regulatória.
- Emitir alertas configurados pela organização (ex: detecção de ferramenta proibida).
- Autenticar administradores e manter a segurança da plataforma.
- Cumprir obrigações legais e atender autoridades competentes.
Os dados não são usados para fins de publicidade, análise comportamental de consumidores ou tomada de decisões automatizadas com efeito jurídico sobre os funcionários monitorados.
3. Obrigações da organização contratante (Controladora)
A organização que contrata a Tangerin AI é a controladora dos dados dos seus funcionários. Para uso em conformidade com a LGPD, recomendamos que a organização:
- Informe os funcionários sobre a instalação do agente, sua finalidade, os tipos de dados coletados e os direitos que possuem — preferencialmente por meio de uma Política de Uso de IA Corporativa (a plataforma Tangerin AI oferece um editor e módulo de assinatura digital para essa política).
- Identifique a base legal adequada para o tratamento no contexto da relação de trabalho: habitualmente, o legítimo interesse do empregador em proteger seus ativos de informação (art. 7º, IX) ou a execução do contrato de trabalho (art. 7º, V).
- Atualize seu RIPD (Relatório de Impacto à Proteção de Dados) para incluir o tratamento realizado por meio da Tangerin AI.
- Atenda as requisições de direitos dos titulares (funcionários) que solicitarem informações sobre os dados coletados. A Tangerin AI fornece suporte operacional para exportação e exclusão de dados mediante solicitação da organização.
- Assine um Contrato de Operação de Dados (Data Processing Agreement — DPA) com a Tangerin AI, disponível mediante solicitação para privacidade@tangerinai.com.br.
4. Direitos dos titulares
Os funcionários cujos dados são tratados por meio da Tangerin AI (titulares) têm os seguintes direitos garantidos pela LGPD (arts. 17 a 22):
Confirmação e acesso
Saber se seus dados são tratados e obter cópia.
Correção
Corrigir dados incompletos, inexatos ou desatualizados.
Anonimização / eliminação
De dados desnecessários ou tratados sem base legal.
Portabilidade
Receber seus dados em formato estruturado e interoperável.
Informação sobre compartilhamento
Saber com quais terceiros os dados são compartilhados.
Oposição
Opor-se ao tratamento realizado sem base em consentimento.
Revisão de decisões automatizadas
Solicitar revisão humana de decisões baseadas em IA.
Revogação de consentimento
Quando o tratamento for baseado em consentimento.
As requisições dos titulares devem ser encaminhadas à organização empregadora (controladora), que pode acionar a Tangerin AI (operadora) para obter as informações ou realizar as operações necessárias. O prazo de resposta da Tangerin AI à organização é de 10 dias úteis.
5. Transferência internacional de dados
Os dados são armazenados e processados por subprocessadores localizados nos Estados Unidos (Supabase, Inc. e Vercel, Inc.). A transferência ocorre com base em:
- Cláusulas contratuais padrão compatíveis com o art. 33 da LGPD.
- Certificações de segurança equivalentes exigidas contratualmente dos subprocessadores.
A ANPD publicou regulamentação sobre transferência internacional (Resolução CD/ANPD n.º 19/2024), que orienta a prática adotada pela Tangerin AI.
6. Segurança dos dados
A Tangerin AI adota as seguintes medidas técnicas e organizacionais de segurança:
- Criptografia em repouso e em trânsito (TLS 1.2+) em toda a infraestrutura.
- Isolamento multi-tenant por Row Level Security no banco de dados.
- Autenticação do agente por chave de API única por organização, rotacionável a qualquer momento.
- Log de auditoria de todas as ações administrativas na plataforma.
- Acesso interno aos dados de clientes restrito a colaboradores autorizados.
- Política de revisão de segurança periódica da infraestrutura.
7. Incidentes de segurança
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a Tangerin AI se compromete a:
- Notificar a organização contratante (controladora) em até 72 horas após a ciência do incidente.
- Fornecer informações sobre a natureza dos dados afetados, titulares envolvidos e medidas adotadas.
- Apoiar a organização na elaboração da notificação à ANPD, quando exigida.
- Adotar medidas imediatas de contenção e remediação.
Incidentes devem ser reportados à Tangerin AI pelo e-mail seguranca@tangerinai.com.br.
8. Subprocessadores
| Subprocessador | Finalidade | País | Certificação |
|---|---|---|---|
| Supabase, Inc. | Banco de dados PostgreSQL e autenticação | EUA | SOC 2 Type II |
| Vercel, Inc. | Hospedagem, CDN e runtime da aplicação web | EUA / Global | SOC 2 Type II |
9. Encarregado de Proteção de Dados (DPO)
Nos termos do art. 41 da LGPD, a Tangerin AI indica o seguinte canal para comunicações relacionadas à proteção de dados:
Encarregado de Proteção de Dados (DPO)
Tangerin AI Tecnologia Ltda.
privacidade@tangerinai.com.brTambém é possível registrar reclamações diretamente na ANPD — Autoridade Nacional de Proteção de Dados.
10. Recursos para conformidade da organização contratante
A plataforma Tangerin AI oferece ferramentas nativas que auxiliam a organização contratante a cumprir a LGPD internamente:
Política de Uso de IA
Editor de política formal com versionamento e status de publicação.
Assinatura Digital
Módulo de aceite digital da política pelos funcionários, com log de quem assinou e quando.
Classificação de Ferramentas
Classifique ferramentas como permitidas, restritas ou proibidas — documentando a decisão da organização.
Relatório de Compliance
Relatório PDF pronto para auditor externo, incluindo evidências de governança.
Log de Auditoria
Histórico completo de ações administrativas na plataforma para demonstrar accountability.
24 Frameworks Regulatórios
Inclui controles específicos de LGPD no módulo de compliance integrado.