Privacidade & Conformidade

LGPD e Proteção de Dados no Predy

A Lei Geral de Proteção de Dados (Lei nº 13.709/2018) é um compromisso central na forma como o Predy é construído e operado. Esta página explica nossa arquitetura de privacidade, as bases legais que sustentam o tratamento de dados e como os titulares podem exercer seus direitos.

Versão 1.0
Vigência 14 de maio de 2026
Lei de referência LGPD — Lei nº 13.709/2018
Autoridade ANPD — Autoridade Nacional de Proteção de Dados

1. Compromisso Predy com a LGPD

A privacidade e a proteção de dados não são apenas obrigações legais para o Predy — são requisitos de projeto. A plataforma foi concebida com privacy by design: decisões de arquitetura, fluxo de dados e controles de acesso foram definidos desde o início levando em conta a proteção dos dados dos usuários e dos dados operacionais do condomínio.

Isolamento total de dados

Cada cliente tem seu próprio banco de dados. Não há compartilhamento de dados entre condomínios.

Criptografia em trânsito

Toda comunicação com a plataforma é protegida por TLS. Nenhum dado trafega em texto simples.

OCR local, sem exposição

O reconhecimento de imagem dos medidores é processado no dispositivo. Nenhuma foto é enviada a APIs de terceiros.

Controle de acesso por perfil

Cada usuário acessa apenas os dados necessários à sua função. Sem permissões excessivas por padrão.

Auditoria de operações

Ações críticas são registradas com identificação do usuário, data, hora e dado alterado.

Eliminação garantida

Ao encerrar o contrato, os dados são eliminados de forma segura dentro do prazo informado ao cliente.

2. Isolamento por Banco de Dados

Esta é a decisão de arquitetura mais relevante do Predy do ponto de vista da privacidade: cada cliente opera em um banco de dados completamente separado e isolado.

Enquanto a maioria das plataformas SaaS utiliza um único banco de dados compartilhado entre todos os clientes (multi-tenant com separação apenas lógica), o Predy adota isolamento físico por cliente — o que chamamos de arquitetura "schema-per-tenant" ou "database-per-tenant".

Como funciona na prática

Cada condomínio contratante recebe seu próprio schema ou banco de dados dedicado no servidor. Os dados de um cliente nunca residem na mesma estrutura que os dados de outro.

Condomínio A
schema_cond_a
Condomínio B
schema_cond_b
Condomínio C
schema_cond_c
Zero vazamento cruzado entre clientes

Benefícios diretos para a proteção de dados

  • Ausência de risco de vazamento cruzado: uma falha de configuração ou bug de aplicação não pode expor dados de um cliente para outro, pois os dados estão em estruturas fisicamente separadas.
  • Eliminação precisa e auditável: ao encerrar um contrato, o banco de dados do cliente é eliminado de forma cirúrgica, sem risco de apagar dados de outros clientes ou deixar resíduos.
  • Portabilidade simplificada: a exportação de todos os dados de um cliente é direta — basta extrair o schema dedicado em formato estruturado.
  • Contenção de incidentes: em caso de comprometimento, o escopo do incidente fica limitado ao schema do cliente afetado.
  • Conformidade com o princípio da minimização: o acesso ao banco de cada cliente é concedido apenas aos processos que precisam daquele dado específico.

3. Papéis: Controlador e Operador

A LGPD define responsabilidades distintas entre quem decide como e para quê os dados serão tratados (controlador) e quem executa esse tratamento sob instrução (operador). No contexto do Predy, esses papéis variam conforme o tipo de dado:

Predy como controlador: o Predy decide e executa o tratamento dos dados de seus próprios usuários e clientes diretos — dados de conta, autenticação, contato comercial e analytics. Nesses casos, o Predy é o controlador e responde diretamente aos titulares.
Predy como operador: os dados de moradores, condôminos e terceiros inseridos pelo cliente (gestor/síndico) na plataforma são de responsabilidade do próprio cliente, que atua como controlador. O Predy processa esses dados apenas conforme as instruções contratuais do cliente, atuando como operador. Nesse caso, o cliente é o responsável perante os titulares desses dados.

Esta distinção é formalmente reconhecida nos Termos de Uso (cláusula 14) e na Política de Privacidade (seção 1). Sempre que solicitado, o Predy está disponível para assinar Acordo de Processamento de Dados (DPA) com seus clientes.

4. Quais Dados Tratamos

O Predy trata categorias distintas de dados de acordo com o papel que exerce (controlador ou operador) e a origem de cada informação:

4.1 Dados cujo controlador é o Predy

  • Dados de conta e autenticação: nome, e-mail, senha (hash), perfil de acesso
  • Dados de contato comercial: nome, e-mail, telefone e nome do condomínio fornecidos no formulário de demonstração
  • Dados técnicos e de uso: endereço IP, tipo de navegador, logs de acesso, dados do Google Analytics
  • Dados de feedback: relatos enviados pelo canal integrado de suporte

4.2 Dados cujo controlador é o cliente (Predy como operador)

  • Cadastros do condomínio: torres, imóveis, identificação de unidades
  • Dados de moradores: nome, CPF ou outro documento, telefone, e-mail, imóvel, tipo de ocupação, data de entrada
  • Dados de medidores: número de série, tipo, imóvel vinculado, data de instalação, leitura inicial
  • Leituras: valor capturado, imagem fotográfica, data/hora, consumo calculado, usuário responsável
  • Ocorrências operacionais: descrição, histórico de status, causa, ação, evidências

Para a descrição completa de todas as categorias, finalidades e bases legais, consulte a Política de Privacidade.

5. Bases Legais (art. 7º da LGPD)

Todo tratamento de dados realizado pelo Predy se apoia em ao menos uma das hipóteses previstas no art. 7º da LGPD. O Predy não trata dados pessoais sem base legal identificada e documentada.

Atividade de tratamento Base legal Artigo LGPD
Criação e manutenção de conta de acesso Execução de contrato Art. 7º, V
Prestação dos serviços contratados (leituras, cadastros, ocorrências) Execução de contrato Art. 7º, V
Atendimento à solicitação de demonstração Legítimo interesse / Consentimento Art. 7º, IX / Art. 7º, I
Envio de comunicações sobre o produto e suporte Execução de contrato / Consentimento Art. 7º, V / Art. 7º, I
Segurança da plataforma e prevenção a fraudes Legítimo interesse Art. 7º, IX
Análise de uso e melhoria do produto (Google Analytics) Legítimo interesse Art. 7º, IX
Cumprimento de determinação judicial ou regulatória Obrigação legal Art. 7º, II
Dados de moradores inseridos pelo cliente na plataforma Execução de contrato (pelo cliente, controlador) Art. 7º, V

6. Medidas Técnicas de Segurança

O Predy implementa medidas de segurança em múltiplas camadas, em conformidade com o art. 46 da LGPD, que exige medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão.

Camada de transporte

  • HTTPS obrigatório em todas as comunicações, com certificado TLS atualizado
  • Redirecionamento automático de HTTP para HTTPS
  • Cabeçalhos de segurança configurados (HSTS, CSP, X-Frame-Options)

Camada de autenticação

  • Senhas armazenadas exclusivamente em hash com algoritmo de custo adaptativo (bcrypt)
  • Tokens JWT de curta duração com refresh token rotativo
  • Logs de autenticação: cada tentativa de login é registrada com IP, data e resultado

Camada de dados

  • Banco de dados isolado por cliente (schema/database-per-tenant) — nenhum cliente compartilha estrutura de dados com outro
  • Controle de acesso baseado em perfis (RBAC): cada usuário acessa apenas o escopo necessário
  • Backups automáticos com retenção controlada e armazenamento separado da produção
  • Registro de auditoria em operações críticas (alteração de dados sensíveis, exclusões)

Camada de aplicação

  • Processamento de imagens (OCR de medidores) realizado localmente no dispositivo Android — nenhuma imagem é enviada a APIs de terceiros para processamento
  • Validação de entrada em todos os endpoints da API pública
  • Proteção contra injeção de SQL por uso exclusivo de queries parametrizadas
  • Rate limiting em endpoints sensíveis para prevenção de força bruta

Camada organizacional

  • Acesso à infraestrutura de produção restrito à equipe técnica com necessidade de acesso
  • Monitoramento contínuo de disponibilidade e alertas de anomalia
  • Revisões periódicas de permissões e configurações de segurança

7. Suboperadores e Terceiros

O Predy utiliza serviços de terceiros para operação da plataforma. Todos os suboperadores são selecionados com avaliação de suas práticas de privacidade e segurança, e estão sujeitos a obrigações contratuais de proteção de dados.

Suboperador Finalidade Dados envolvidos Referência
Google Analytics (Google LLC) Análise de tráfego e comportamento no site público IP anonimizado, páginas visitadas, tempo de sessão Política do Google
Provedor de nuvem Hospedagem da API, banco de dados e armazenamento de arquivos Todos os dados operacionais da plataforma Contrato com cláusulas de proteção de dados

O Predy não vende, não aluga e não compartilha dados pessoais de seus clientes ou dos dados operacionais inseridos na plataforma com terceiros para fins comerciais ou publicitários.

Transferência internacional de dados

O Google Analytics transfere dados para servidores da Google LLC nos Estados Unidos. Essa transferência se dá nos termos das cláusulas contratuais padrão da Google, em conformidade com o art. 33 da LGPD. Os dados operacionais dos clientes (leituras, moradores, medidores) são armazenados em servidores no Brasil ou em jurisdição com nível adequado de proteção.

8. Retenção e Eliminação de Dados

Os dados são mantidos pelo tempo estritamente necessário às finalidades que motivaram sua coleta, observados os prazos legais. A arquitetura de banco de dados isolado por cliente permite eliminar todos os dados de um cliente de forma precisa e verificável, sem risco de afetar dados de outros clientes.

Categoria Prazo de retenção Após o prazo
Dados da conta e autenticação Vigência do contrato + 5 anos Eliminação segura
Dados operacionais do condomínio (moradores, medidores, leituras) Vigência do contrato + 5 anos Eliminação do schema dedicado
Imagens das leituras de medidores Vigência do contrato + 5 anos Eliminação do armazenamento de arquivos
Logs de acesso e segurança 6 meses (art. 15 do Marco Civil da Internet) Eliminação automática
Dados do formulário de demonstração 2 anos ou até revogação do consentimento Eliminação sob solicitação
Conta encerrada sem conversão (trial expirado) 30 dias após encerramento do acesso Eliminação do schema dedicado

Após o encerramento do contrato, o cliente dispõe de 30 dias para solicitar a exportação de seus dados antes da eliminação definitiva. A solicitação deve ser feita por e-mail para privacidade@predy.com.br.

9. Incidentes de Segurança

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares — incluindo acesso não autorizado, destruição, perda, alteração ou divulgação indevida de dados pessoais — o Predy adotará os seguintes procedimentos, em conformidade com o art. 48 da LGPD:

  1. Contenção imediata: isolar o escopo do incidente e interromper o vetor de comprometimento assim que identificado.
  2. Avaliação de impacto: identificar quais dados foram afetados, quantos titulares estão envolvidos e qual é a gravidade do risco.
  3. Comunicação à ANPD: notificar a Autoridade Nacional de Proteção de Dados dentro do prazo definido pela regulamentação vigente (atualmente 3 dias úteis para incidentes de alto risco, conforme Resolução CD/ANPD nº 15/2024).
  4. Comunicação aos clientes afetados: notificar os clientes impactados com informações claras sobre a natureza do incidente, dados envolvidos, medidas adotadas e recomendações para mitigação de danos.
  5. Comunicação aos titulares: quando o risco ou dano ao titular for relevante, comunicar os titulares afetados diretamente ou por meio do cliente (controlador).
  6. Pós-incidente: análise de causa raiz, implementação de medidas corretivas e registro do incidente com toda a documentação gerada.

Para reportar suspeitas de incidentes de segurança envolvendo dados da plataforma, entre em contato com privacidade@predy.com.br com o assunto [INCIDENTE DE SEGURANÇA].

10. Direitos dos Titulares (art. 18 da LGPD)

Todo titular de dados pessoais tratados pelo Predy possui os seguintes direitos, exercíveis gratuitamente a qualquer momento:

Confirmação e Acesso

Art. 18, I e II

Confirmar a existência de tratamento e solicitar cópia dos dados pessoais mantidos sobre você, em formato legível.

Correção

Art. 18, III

Solicitar a correção de dados incompletos, inexatos ou desatualizados.

Anonimização, Bloqueio ou Eliminação

Art. 18, IV

Solicitar a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei.

Portabilidade

Art. 18, V

Receber seus dados em formato estruturado e interoperável para transferência a outro controlador ou fornecedor de serviço.

Informação sobre compartilhamento

Art. 18, VII

Saber com quais entidades públicas e privadas o Predy realiza uso compartilhado de seus dados.

Revogação do consentimento

Art. 18, IX

Revogar o consentimento a qualquer momento, quando o tratamento se basear nessa hipótese, sem prejuízo à legalidade dos tratamentos anteriores.

Informação sobre não consentimento

Art. 18, VIII

Ser informado sobre a possibilidade de não fornecer o consentimento e sobre as consequências dessa negativa.

Petição à ANPD

Art. 18, § 1º

Peticionar perante a Autoridade Nacional de Proteção de Dados em caso de descumprimento dos seus direitos pelo Predy.

11. Como Exercer seus Direitos

Todas as solicitações relacionadas a direitos de titulares podem ser feitas pelo e-mail privacidade@predy.com.br, com o assunto [LGPD] — [Tipo de solicitação].

O que incluir na solicitação

  • Nome completo do titular
  • E-mail cadastrado na plataforma (quando aplicável)
  • Descrição clara do direito que deseja exercer
  • Documento de identificação (pode ser solicitado para validação de identidade)

Prazos de resposta

  • Confirmação do recebimento: em até 2 dias úteis
  • Resposta completa à solicitação: em até 15 dias úteis
  • Em casos de alta complexidade, o prazo pode ser prorrogado por mais 15 dias, com comunicação prévia ao titular

Observações importantes

  • Para dados inseridos pelo cliente (moradores, por exemplo), o titular deve primeiramente contatar o próprio condomínio (controlador), que é o responsável direto por esses dados. O Predy atuará mediante instrução do cliente.
  • Caso o cliente não atenda à solicitação, o titular pode contatar o Predy diretamente ou peticionar perante a ANPD.
  • O Predy poderá manter dados quando exigido por obrigação legal, mesmo após solicitação de eliminação.

Canal de exercício de direitos

E-mail principal privacidade@predy.com.br
Assunto sugerido [LGPD] — Tipo de solicitação
ANPD (autoridade regulatória) gov.br/anpd
15

dias úteis para resposta completa à sua solicitação, a contar do recebimento

12. Encarregado pelo Tratamento de Dados (DPO)

Nos termos do art. 41 da LGPD, o Predy indica um Encarregado pelo Tratamento de Dados Pessoais (também referido como DPO — Data Protection Officer), responsável por:

  • Ser o canal de comunicação entre o Predy, os titulares de dados e a ANPD
  • Orientar internamente as práticas de proteção de dados
  • Receber e processar solicitações dos titulares relativas aos seus dados
  • Receber comunicações da ANPD e adotar as providências cabíveis
  • Supervisionar o programa de conformidade com a LGPD
Contato do Encarregado (DPO):
E-mail: privacidade@predy.com.br
Assunto: [LGPD] — [Assunto da solicitação]

As informações de contato do Encarregado são públicas conforme exigido pelo art. 41, § 1º da LGPD.

13. Documentos Relacionados

Esta página deve ser lida em conjunto com os documentos legais abaixo, que formam o conjunto completo de compromissos do Predy com seus usuários e clientes:

  • Política de Privacidade — documento completo com todas as categorias de dados tratados, finalidades, bases legais, prazos de retenção, compartilhamento e direitos dos titulares.
  • Termos de Uso — condições gerais de acesso e uso da plataforma, incluindo a cláusula de papéis controlador/operador (cláusula 14) e as obrigações do cliente sobre dados de terceiros.

Para solicitações de Acordo de Processamento de Dados (DPA) para fins de conformidade corporativa, entre em contato por juridico@predy.com.br.