Documento-base. Esta política descreve o funcionamento do site estático entregue e um modelo para futura operação. Antes de tratar dados reais, o responsável deve inserir sua identificação completa, mapear fornecedores, contratos, prazos de retenção e bases legais efetivamente utilizadas.
1. Visão geral
A Automação Jurídica IA é uma solução tecnológica independente para CRM jurídico, atendimento por mensagens, agenda, validação de identidade, processos e automações. Privacidade deve ser considerada desde o desenho do fluxo, especialmente porque informações jurídicas podem revelar dados pessoais sensíveis ou situações de alta confidencialidade.
Esta política se aplica à navegação em automacaojuridica.ia.br, ao envio de solicitação de demonstração e, quando contratada, à operação da solução conforme a configuração do escritório.
2. Papéis no tratamento de dados
Os papéis dependem do contexto:
- Dados de visitantes e interessados: o responsável pelo site atua como controlador ao receber dados para demonstração, responder contatos e administrar a relação comercial.
- Dados de clientes de um escritório: em regra, o escritório define finalidades, conteúdo, usuários e regras do atendimento, atuando como controlador. A plataforma pode atuar como operadora conforme contrato e instruções documentadas.
- Fornecedores integrados: serviços de hospedagem, comunicação, e-mail, pagamentos, agenda ou infraestrutura podem tratar dados conforme seus próprios papéis e contratos.
O contrato definitivo deve identificar cada parte, responsabilidades, medidas de segurança, suboperadores, atendimento de direitos e procedimento de incidentes.
3. Dados que podem ser coletados
No site institucional
- nome, e-mail profissional, telefone ou WhatsApp;
- tamanho da equipe, objetivo declarado e mensagem enviada;
- página de origem e data do contato;
- logs técnicos básicos produzidos pelo provedor de hospedagem, como endereço IP, data, navegador e resposta do servidor.
Em uma implementação para escritório
- dados cadastrais e de contato;
- identificadores necessários à localização do cadastro, como CPF, e-mail ou número de processo, quando autorizados;
- processos, documentos, responsáveis, status, prazos e histórico de conversas;
- agendamentos, aceite de termos, pagamento ou status da taxa de reserva;
- tokens enviados, tentativas de confirmação, data, canal e logs de acesso;
- preferências, solicitações e registros de follow-up.
O escritório deve adotar minimização: coletar apenas o necessário para a finalidade informada e evitar que dados excessivos sejam enviados por mensagens.
4. Para que os dados são utilizados
- responder a pedidos de demonstração e contato;
- avaliar requisitos de integração e preparar proposta comercial;
- identificar o cliente no CRM e localizar vínculos autorizados;
- enviar token de confirmação ao canal previamente cadastrado;
- organizar mensagens, documentos, processos e solicitações;
- produzir resumo automatizado a partir de dados já registrados;
- exibir agenda, registrar aceite e acompanhar pagamento da reserva;
- enviar confirmações, lembretes e follow-ups configurados;
- proteger contas, prevenir acessos indevidos e manter trilhas de auditoria;
- cumprir obrigações legais, regulatórias ou contratuais aplicáveis.
Dados não devem ser usados para tomar decisão jurídica autônoma, prometer resultados ou fornecer aconselhamento sem participação do advogado.
5. Bases jurídicas e transparência
A base jurídica aplicável depende da finalidade, da relação entre as partes e do papel desempenhado. Podem ser consideradas, após avaliação do responsável, hipóteses como procedimentos preliminares e execução de contrato, cumprimento de obrigação legal, exercício regular de direitos, legítimo interesse com teste de balanceamento ou consentimento quando necessário.
O uso de consentimento não deve ser automático. A base correta precisa ser documentada em inventário de tratamento, aviso de privacidade, contrato ou registro interno. Para dados sensíveis, aplicam-se requisitos específicos e análise reforçada.
6. Compartilhamento e fornecedores
Dados podem ser compartilhados somente na medida necessária com provedores que viabilizam a operação, como hospedagem, banco de dados, e-mail, comunicação, agenda, pagamento, monitoramento de segurança e suporte.
Cada integração deve ser avaliada quanto a:
- finalidade e volume de dados transmitidos;
- local de armazenamento e eventual transferência internacional;
- controle de acesso, criptografia e retenção;
- subcontratados e resposta a incidentes;
- contrato de proteção de dados e instruções documentadas.
A menção a serviços compatíveis no site não cria vínculo, parceria ou endosso com marcas externas.
7. Segurança da informação
Medidas técnicas e administrativas devem ser proporcionais ao risco. O desenho recomendado inclui:
- validação de identidade por token antes de liberar dados sensíveis;
- controle de acesso baseado em função e menor privilégio;
- registro de tentativas, aceite e confirmações;
- criptografia em trânsito e, quando aplicável, em repouso;
- segregação entre ambientes de teste e produção;
- backup, recuperação, gestão de vulnerabilidades e atualização de componentes;
- expiração de token, limitação de tentativas e prevenção de automação abusiva;
- procedimentos de incidente, comunicação e preservação de evidências.
Segurança absoluta não existe. A proteção efetiva depende da infraestrutura adotada, das integrações, das credenciais e das práticas do escritório e de seus fornecedores.
8. Retenção e exclusão
Dados devem ser mantidos pelo período necessário à finalidade e às obrigações aplicáveis. O responsável deve definir prazos distintos para leads comerciais, logs de segurança, tokens, conversas, contratos, pagamentos, documentos e dados processuais.
Ao final do prazo, os dados devem ser eliminados, anonimizados ou conservados de forma restrita quando houver base legítima para retenção. Backups podem seguir ciclos próprios, com acesso controlado e sobrescrita programada.
9. Direitos dos titulares
Conforme a situação e a legislação aplicável, o titular pode solicitar confirmação de tratamento, acesso, correção, informação sobre compartilhamento, anonimização, bloqueio, eliminação, portabilidade, revisão de decisão automatizada ou oposição.
Antes de responder, o responsável pode solicitar informações razoáveis para confirmar a identidade e evitar que dados sejam entregues a terceiros. Pedidos sobre um processo ou cliente atendido por escritório devem ser direcionados ao controlador responsável por aquele cadastro.
Solicitações sobre o site podem ser enviadas para privacidade@automacaojuridica.ia.br.
11. Transferência internacional, crianças e alterações
Alguns fornecedores podem armazenar ou processar dados fora do Brasil. O responsável deve verificar salvaguardas, localização, contrato e requisitos de transferência internacional antes de contratar.
A solução não é direcionada deliberadamente a crianças. Se um atendimento envolver menor de idade, o escritório deve definir fluxo apropriado, representação, informações aos responsáveis e proteção reforçada.
Esta política pode ser atualizada para refletir mudanças técnicas, contratuais ou regulatórias. A data no topo identifica a versão vigente.
12. Contato e identificação do responsável
Canal de privacidade: privacidade@automacaojuridica.ia.br.
Canal geral: contato@automacaojuridica.ia.br.
Antes do lançamento comercial, devem ser inseridos neste documento a razão social ou identificação do controlador, CNPJ ou documento aplicável, endereço, encarregado quando designado e fornecedores efetivamente utilizados.