Política de Privacidade
Última atualização: 21 de março de 2026
Esta política segue uma arquitetura GDPR-first — o padrão mais rigoroso é o nosso padrão global.
Esta é uma Política de Privacidade única e unificada que se aplica a todos os usuários em todo o mundo. As seções regionais para a União Europeia (GDPR), Brasil (LGPD) e Estados Unidos (CCPA/CPRA) estão incluídas abaixo e se aplicam além das disposições gerais. Quando a lei regional oferecer proteções mais fortes, a lei regional prevalece.
Introdução
A Instrumento.io ("nós", "nosso" ou "nossa") está comprometida em proteger sua privacidade. Esta Política de Privacidade explica como coletamos, usamos, divulgamos e protegemos suas informações quando você usa nossa plataforma de relatórios de impacto para organizações sem fins lucrativos e serviços relacionados.
Ao usar a Instrumento.io, você concorda com a coleta e uso de informações de acordo com esta política. Se você não concordar com nossas políticas e práticas, por favor não use nossos serviços.
DPO / Encarregado: [email protected]
Informações que Coletamos
We collect personal information in three ways: information you provide directly, information generated automatically by your use of the platform, and information received from third-party services you connect.
Information You Provide Directly
- Name and email address when you register
- Organisation name and mission details
- Payment and billing information processed by Stripe
- Program data and participant information you upload into the platform
- Communications you send to our support team
Informações Coletadas Automaticamente
- Dados de log e uso (endereço IP, tipo de navegador, sistema operacional)
- Informações do dispositivo e identificadores únicos
- Dados de localização (localização geográfica geral baseada no endereço IP)
- Cookies e tecnologias de rastreamento similares (veja nossa Política de Cookies)
Information from Third-Party Integrations
- Data from Google Sheets, Airtable, or other data sources you connect
- Authentication data from Google OAuth if you choose to sign in with Google
3. Bases Legais para o Tratamento
Tratamos dados pessoais somente quando existe uma base legal válida. A tabela abaixo se aplica globalmente; os suplementos regionais nas Seções 8–10 fornecem detalhes adicionais.
| Atividade de Tratamento | Base Legal | Aplica-se a |
|---|---|---|
| Criação e gerenciamento de conta | Execução de contrato | Todos os usuários |
| Entrega de serviços e recursos da plataforma | Execução de contrato | Todos os usuários |
| Processamento de pagamentos | Execução de contrato | Todos os usuários |
| Suporte ao cliente | Execução de contrato / Interesse legítimo | Todos os usuários |
| Segurança e prevenção de fraudes | Interesse legítimo | Todos os usuários |
| Análise e melhoria da plataforma | Interesse legítimo (com consentimento quando exigido) | Todos os usuários |
| Cumprimento de obrigações legais | Obrigação legal | Todos os usuários |
| Comunicações de marketing | Consentimento (opt-in, obtido separadamente) | Todos os usuários |
| Cookies não essenciais e rastreamento | Consentimento (via banner de cookies) | Todos os usuários |
Quando o tratamento é baseado em interesse legítimo, realizamos um teste de balanceamento e determinamos que nossos interesses não se sobrepõem aos seus direitos fundamentais. Você pode solicitar uma cópia desta avaliação em [email protected].
Quando o tratamento é baseado em consentimento, você pode revogá-lo a qualquer momento sem penalidade e sem perder o acesso aos recursos principais da plataforma.
Como Usamos Suas Informações
Usamos as informações que coletamos para os seguintes fins:
We do not sell your personal information. We do not use your program participant data for any purpose other than delivering the Service to you.
Compartilhamento e Divulgação de Dados
Não vendemos suas informações pessoais. Podemos compartilhar suas informações nas seguintes circunstâncias:
- Prestadores de serviços: Fornecedores terceiros que prestam serviços em nosso nome (hospedagem, processamento de pagamentos, análises) sob acordos de confidencialidade rigorosos
- Transferências de negócios: Em conexão com uma fusão, aquisição ou venda de ativos, suas informações podem ser transferidas para a entidade adquirente
- Requisitos legais: Quando exigido por lei, ordem judicial ou regulamentação governamental
- Proteção de direitos: Para proteger nossos direitos, propriedade, segurança ou dos nossos usuários ou do público
- Com seu consentimento: Quando você nos autoriza explicitamente a compartilhar suas informações
Retenção de Dados
Retemos suas informações pessoais pelo tempo necessário para cumprir os objetivos descritos nesta Política de Privacidade, a menos que um período de retenção mais longo seja exigido por lei. Quando você fechar sua conta, excluiremos ou anonimizaremos suas informações pessoais dentro de 90 dias, exceto onde precisamos retê-las para conformidade legal ou regulatória.
- Account data: retained for the duration of your subscription plus 90 days following account closure.
- Program participant data: retained as long as your account is active and deleted within 90 days of account closure.
- Consent logs and data subject request records: retained for five years to satisfy audit requirements.
- Payment records: retained for seven years to comply with financial regulations.
Você pode solicitar a exclusão de seus dados a qualquer momento entrando em contato conosco em [email protected].
Segurança dos Dados
Implementamos medidas de segurança apropriadas para proteger suas informações:
- Criptografia de dados em trânsito usando protocolos TLS/SSL
- Autenticação OAuth de terceiros (nenhuma senha armazenada em nossos servidores)
- Controles de acesso baseados em funções dentro da plataforma
- Infraestrutura de nuvem gerenciada com controles de segurança integrados
- Processamento de pagamentos em conformidade com PCI DSS Nível 1 via Stripe
Embora nos esforcemos para proteger suas informações, nenhum método de transmissão pela internet ou armazenamento eletrônico é 100% seguro. Não podemos garantir segurança absoluta, mas faremos esforços razoáveis para notificá-lo prontamente sobre qualquer violação de dados conforme exigido pela lei aplicável. Para mais detalhes sobre nossas práticas de segurança, visite nossa <a href="/security">página de Segurança</a>.
8. Usuários Europeus — Suplemento GDPR
Esta seção aplica-se a usuários localizados no Espaço Econômico Europeu (EEE), no Reino Unido e na Suíça. Ela complementa as disposições gerais acima e reflete os requisitos do Regulamento (UE) 2016/679 (GDPR) e, quando aplicável, do UK GDPR.
8.1 Seus Direitos sob o GDPR
Você tem os seguintes direitos, que pode exercer a qualquer momento entrando em contato com [email protected]:
| Direito | Descrição | Prazo de Resposta |
|---|---|---|
| Direito de Acesso (Art. 15) | Obter confirmação do tratamento e uma cópia dos seus dados pessoais | 30 dias |
| Direito de Retificação (Art. 16) | Corrigir dados imprecisos ou incompletos | 30 dias |
| Direito ao Apagamento (Art. 17) | Solicitar a exclusão ("direito ao esquecimento") | 30 dias |
| Direito à Restrição (Art. 18) | Restringir o tratamento em determinadas circunstâncias | 30 dias |
| Direito à Portabilidade (Art. 20) | Receber seus dados em formato estruturado e legível por máquina | 30 dias |
| Direito de Oposição (Art. 21) | Opor-se ao tratamento baseado em interesse legítimo | Cessação imediata pendente de revisão |
| Direito de não ser sujeito a decisões automatizadas (Art. 22) | Solicitar revisão humana de decisões automatizadas | 30 dias |
| Direito de retirar o consentimento (Art. 7(3)) | Retirar o consentimento a qualquer momento | Imediato |
8.2 Arquitetura de Consentimento (GDPR)
Para usuários da UE, nosso sistema opera em modo estrito de opt-in. Nenhum script, cookie ou rastreamento não essencial é ativado até que você os aceite explicitamente por meio do nosso banner de cookies. A aceitação dos nossos Termos de Serviço não constitui consentimento para o tratamento de dados. O consentimento é obtido por meio de um mecanismo separado e granular e pode ser retirado a qualquer momento por meio das Configurações de Privacidade da sua conta.
8.3 Transferências Internacionais de Dados
Quando dados pessoais são transferidos para fora do EEE, utilizamos Cláusulas Contratuais Padrão (CCPs) aprovadas pela Comissão Europeia (Decisão 2021/914) como mecanismo de transferência para todos os provedores de infraestrutura em nuvem. Você pode solicitar uma cópia das CCPs aplicáveis entrando em contato com [email protected].
8.4 Autoridade Supervisora
Você tem o direito de apresentar uma reclamação à autoridade supervisora de proteção de dados local. Uma lista das autoridades supervisoras da UE está disponível em: https://edpb.europa.eu/about-edpb/about-edpb/members_en
9. Usuários Brasileiros — Suplemento LGPD
Esta seção aplica-se aos usuários localizados no Brasil e reflete os requisitos da Lei Geral de Proteção de Dados Pessoais (LGPD), Lei nº 13.709/2018. Ela complementa as disposições gerais acima.
9.1 Seus Direitos sob a LGPD
Nos termos do Art. 18 da LGPD, você tem os seguintes direitos, exercíveis a qualquer momento pelo e-mail [email protected]. Respondemos em até 15 dias após o recebimento da solicitação.
| Direito | Descrição |
|---|---|
| Confirmação e Acesso (Art. 18, I–II) | Confirmar se tratamos seus dados e obter uma cópia |
| Correção (Art. 18, III) | Corrigir dados incompletos, inexatos ou desatualizados |
| Anonimização, bloqueio ou eliminação (Art. 18, IV) | Solicitar anonimização, bloqueio ou exclusão de dados desnecessários |
| Portabilidade (Art. 18, V) | Receber seus dados em formato estruturado para outro fornecedor |
| Eliminação (Art. 18, VI) | Solicitar a exclusão de dados tratados com base em consentimento |
| Informação sobre compartilhamento (Art. 18, VII) | Saber com quais entidades seus dados foram compartilhados |
| Revogação de consentimento (Art. 18, IX) | Revogar o consentimento a qualquer momento, sem penalidade |
| Revisão de decisões automatizadas (Art. 20) | Solicitar revisão humana de decisões tomadas por meios automatizados |
9.2 Encarregado de Dados (DPO)
Nos termos do Art. 41 da LGPD, nomeamos um Encarregado de Dados responsável por atender às solicitações dos titulares e manter o canal de comunicação com a ANPD:
9.3 Bases Legais (LGPD Art. 7)
O mapeamento completo das bases legais para cada atividade de tratamento está disponível na Seção 3 deste documento. Para dados sensíveis (Art. 5, II da LGPD), exigimos consentimento explícito do titular ou outra base legal prevista no Art. 11.
9.4 Notificação de Incidentes
Em caso de incidente de segurança com risco relevante, notificaremos a ANPD e os titulares afetados em até 72 horas, conforme o Art. 48 da LGPD e a Resolução CD/ANPD nº 2/2022.
9.5 Autoridade Nacional
Você pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD): www.gov.br/anpd
10. Usuários dos Estados Unidos — Suplemento CCPA/CPRA
Esta seção aplica-se a residentes da Califórnia e reflete os requisitos da Lei de Privacidade do Consumidor da Califórnia (CCPA), conforme alterada pela Lei de Direitos de Privacidade da Califórnia (CPRA). Ela complementa as disposições gerais acima.
10.1 Seus Direitos sob a CCPA/CPRA
| Direito | Descrição | Prazo de Resposta |
|---|---|---|
| Direito de Saber | Solicitar divulgação das categorias e peças específicas de informações pessoais que coletamos sobre você | 45 dias |
| Direito de Excluir | Solicitar a exclusão das informações pessoais que coletamos, sujeito a exceções | 45 dias |
| Direito de Corrigir | Solicitar a correção de informações pessoais imprecisas | 45 dias |
| Direito de Opt-Out de Venda ou Compartilhamento | Não vendemos nem compartilhamos informações pessoais para publicidade comportamental. Nenhum opt-out é necessário. | N/A |
| Direito de Limitar o Uso de Informações Pessoais Sensíveis | Limitar nosso uso de informações pessoais sensíveis a fins necessários | 45 dias |
| Direito à Não Discriminação | Não discriminaremos você por exercer qualquer um desses direitos | N/A |
10.2 Não Venda de Informações Pessoais
Não vendemos informações pessoais conforme definido pela CCPA/CPRA. Não compartilhamos informações pessoais para publicidade comportamental entre contextos. Você pode verificar este compromisso a qualquer momento entrando em contato com [email protected].
10.3 Exercendo Seus Direitos
Os residentes da Califórnia podem enviar solicitações por e-mail para [email protected] com o assunto "CCPA Request". Verificaremos sua identidade antes de processar sua solicitação e responderemos em 45 dias.
11. Cookies e Tecnologias de Rastreamento
Usamos cookies e tecnologias similares para operar a plataforma, lembrar suas preferências e (com seu consentimento) analisar padrões de uso. Nosso banner de cookies permite que você aceite todos os cookies, rejeite cookies não essenciais ou personalize suas preferências por categoria.
- Cookies essenciais estão sempre ativos e são necessários para o funcionamento da plataforma. Incluem autenticação de sessão, tokens de segurança e preferências de idioma.
- Cookies analíticos nos ajudam a entender como os usuários interagem com a plataforma. Estes são ativados somente com seu consentimento.
- Cookies de funcionalidade lembram suas preferências e personalizações. Estes são ativados somente com seu consentimento.
- Cookies de marketing são usados somente se você optou explicitamente. Não usamos cookies de marketing por padrão.
Para usuários da UE, todos os cookies não essenciais são bloqueados até que você forneça consentimento explícito. Para usuários em outras regiões, cookies não essenciais podem estar ativos por padrão, mas podem ser desativados a qualquer momento por meio do banner de cookies ou da página de Configurações de Privacidade.
Privacidade de Crianças
Nossos serviços não são direcionados a indivíduos menores de 18 anos. Não coletamos intencionalmente informações pessoais de crianças. Se você acredita que coletamos inadvertidamente informações de uma criança, entre em contato conosco imediatamente para que possamos excluí-las.
Alterações a Esta Política de Privacidade
Podemos atualizar esta Política de Privacidade periodicamente para refletir mudanças em nossas práticas ou requisitos legais. Notificaremos você sobre mudanças importantes publicando a política atualizada em nosso site e atualizando a data de "Última atualização". Seu uso contínuo de nossos serviços após as mudanças entrarem em vigor constitui aceitação da política revisada.
Fale Conosco
Se você tiver dúvidas, preocupações ou solicitações sobre esta Política de Privacidade ou nossas práticas de dados, entre em contato conosco:
Instrumento.io
5 Union Square West #1396
New York, NY 10003
Telefone: +1 (480) 227-8607