Política de Privacidade

1. Informações que Recolhemos

Informações da Conta. Quando cria uma conta BrickGRC, recolhemos o seu nome, endereço de email, nome da organização e função. Se se registar ou iniciar sessão via OAuth/SSO (como Google ou Microsoft), também recebemos o seu ID de utilizador do fornecedor e, quando disponível, o URL da sua foto de perfil. Se aderir por convite, processamos o token de convite e os detalhes da organização que o convidou.

Dados de Conformidade. À medida que utiliza a plataforma, armazenamos os dados de conformidade que cria: engagements, avaliações de controlos, pontuações de maturidade, progresso de marcos, respostas a itens de trabalho, configurações de relatórios e listagens do marketplace. Também armazenamos documentos que carrega como evidência (políticas, relatórios de auditoria, certificados e outros ficheiros).

Dados do Diretório de Colaboradores. Se a sua organização configurar uma integração de diretório de colaboradores (como Azure AD, Google Workspace, Okta, JumpCloud, BambooHR, Workday, Rippling ou um fornecedor SCIM), sincronizamos e armazenamos registos de colaboradores incluindo nomes, endereços de email, números de telefone, departamentos, cargos e dados de hierarquia organizacional. Estes dados podem incluir indivíduos que não são utilizadores diretos da BrickGRC. Consulte a Secção 12 para detalhes.

Dados Técnicos e de Registo de Auditoria. Recolhemos automaticamente dados técnicos incluindo endereço IP, tipo e versão do navegador, string de user agent, sistema operativo, tipo de dispositivo, páginas visitadas dentro da aplicação, padrões de utilização de funcionalidades e carimbos temporais das suas interações. Mantemos registos de auditoria que gravam ações dos utilizadores na plataforma (como inícios de sessão, modificações de dados e alterações de configuração) juntamente com o endereço IP e user agent associados. Os metadados de chaves API (data de criação, carimbo temporal de última utilização e âmbitos associados) também são registados.

2. Como Utilizamos as Suas Informações

Utilizamos as suas informações para operar a plataforma BrickGRC: autenticar a sua identidade, impor controlos de acesso baseados em funções (RBAC) dentro da sua organização (Administrador, Auditor, Editor, Visualizador), processar fluxos de trabalho de conformidade, gerar relatórios de maturidade, gerir operações do marketplace, entregar notificações por webhook e na aplicação, processar consultas de vendas e manter registos de auditoria para fins de segurança e conformidade.

Quando utiliza funcionalidades com IA — como inteligência documental, ligação automática de evidências, pontuação de maturidade ou o assistente de IA — porções relevantes dos seus dados de conformidade e documentos carregados são processadas por fornecedores de IA conforme descrito nas Secções 3 a 5 abaixo.

Não vendemos, alugamos ou partilhamos as suas informações pessoais com terceiros para fins de publicidade ou marketing. Não exibimos anúncios na plataforma.

3. Processamento de IA e Fornecedores de IA Terceiros

A BrickGRC utiliza inteligência artificial para alimentar várias funcionalidades principais: Inteligência Documental — analisar documentos carregados para relevância de conformidade e extrair informação estruturada; Ligação Automática de Evidências — fazer corresponder automaticamente documentos a controlos e requisitos aplicáveis; Pontuação de Maturidade — avaliar a maturidade organizacional face aos requisitos da rubrica do framework utilizando análise de IA; e o Assistente de IA — fornecer assistência guiada de conformidade e responder a perguntas sobre a sua postura de conformidade.

Como parte destas operações, a BrickGRC gera e armazena embeddings vetoriais do conteúdo dos seus documentos para pesquisa por similaridade e correspondência de evidências. O fornecedor de embeddings predefinido é o Google Gemini. Se a API de embeddings do Google não estiver disponível, a plataforma recorre à API da Anthropic para geração de embeddings. Os embeddings são armazenados de forma persistente e associados aos dados da sua organização.

Pode configurar o seu próprio fornecedor de IA através do sistema "Bricks" da plataforma, ligando uma chave API da OpenAI, Anthropic, Google Gemini, Cohere ou Mistral. Quando o faz, os pedidos de IA para operações de chat e análise são enviados para esse fornecedor ao abrigo do seu próprio acordo de API, e as respetivas políticas de privacidade e termos de tratamento de dados aplicam-se.

Se não configurar um fornecedor de IA, ou se o seu fornecedor configurado não estiver disponível, a plataforma utiliza o seu motor de IA predefinido conforme descrito na Secção 4.

4. Motor de IA Predefinido — Google Gemini

Quando nenhuma integração de IA configurada pelo utilizador está ativa, a BrickGRC processa pedidos de IA utilizando a API Gemini do Google (atualmente o modelo gemini-2.5-flash) sob a própria chave API da BrickGRC.

O Google processa dados submetidos através da API Gemini de acordo com os Termos de Serviço da API do Google e os Termos Adicionais de Serviço de IA Generativa do Google. Para utilização paga da API, o Google declara que não utiliza dados de clientes da API para treinar os seus modelos de base. No entanto, o Google pode registar temporariamente pedidos da API para monitorização de abuso, aplicação de segurança, depuração e fiabilidade do serviço, e tais registos podem ser retidos por um período limitado conforme descrito nos termos do Google.

A BrickGRC não controla o tratamento interno de dados do Google além do que é especificado nos seus termos de API. Se necessitar de controlos mais rigorosos sobre como os seus dados são processados por IA — por exemplo, para satisfazer requisitos regulatórios específicos ou políticas internas de governança de dados — deverá configurar o seu próprio fornecedor de IA com um fornecedor cujos termos satisfaçam as suas necessidades.

A BrickGRC reserva-se o direito de alterar o fornecedor do motor de IA predefinido a qualquer momento. Atualizaremos esta Política de Privacidade para refletir qualquer alteração e notificaremos os utilizadores através da plataforma.

5. Dados Enviados para Fornecedores de IA

Quando funcionalidades de IA são invocadas, enviamos os dados necessários para a operação específica. Dependendo da funcionalidade, isto pode incluir: conteúdo de texto completo extraído de documentos carregados, nomes e descrições de controlos de conformidade, dados de campos de itens e respostas a itens de trabalho, texto de rubrica de maturidade e critérios de pontuação, contexto do engagement (tipo de framework, nomes de marcos) e o prompt ou pergunta do utilizador ao usar o assistente de IA. Para inteligência documental e ligação automática de evidências, o conteúdo completo do documento pode ser transmitido em vez de apenas excertos.

Não enviamos as suas palavras-passe de conta, chaves API, informações de faturação ou identificadores pessoais além do que possa naturalmente aparecer nos seus documentos de conformidade carregados ou dados do diretório de colaboradores.

As respostas de IA (pontuações geradas, recomendações, resultados de análise documental, mensagens do assistente) são armazenadas na plataforma para preencher funcionalidades e manter o histórico de conversas. Os registos de interação com IA — incluindo prompts e respostas — são retidos conforme descrito na Secção 9.

6. Isolamento de Dados e Segurança

Os dados de cada organização são armazenados num ambiente de tenant logicamente isolado na camada de aplicação, utilizando infraestrutura de base de dados partilhada com delimitação estrita por organização em todas as consultas. Os seus dados de conformidade, documentos, configurações e credenciais de integração de IA nunca são acessíveis a outras organizações na plataforma.

Implementamos as seguintes medidas de segurança: TLS 1.2 ou superior para todos os dados em trânsito; encriptação em repouso para dados e documentos armazenados; encriptação AES-256-GCM para credenciais de integração e chaves API armazenadas; armazenamento de palavras-passe com hash e salt (bcrypt); controlos de acesso baseados em funções (Administrador, Auditor, Editor, Visualizador); e revisões de segurança regulares.

Se configurar um backend de armazenamento externo (como AWS S3, Azure Blob Storage, Google Drive, Dropbox, SharePoint ou Nextcloud), os documentos armazenados através dessa integração estão sujeitos às próprias políticas de encriptação e segurança desse fornecedor. A BrickGRC não controla as definições de encriptação de backends de armazenamento configurados pelo utilizador.

7. Sub-processadores Terceiros

A BrickGRC utiliza os seguintes sub-processadores principais para fornecer o Serviço (sempre ativos):

Hetzner Online GmbH (Alemanha/UE) — Alojamento de aplicações e infraestrutura de base de dados. Cloudflare, Inc. (EUA, com rede edge global e presença na UE) — CDN, proteção DDoS, DNS, armazenamento de objetos R2 para documentos e encaminhamento de email. Resend, Inc. (EUA) — Entrega de email transacional (notificações de conta, consultas de vendas). Google LLC (EUA) — Motor de IA predefinido (API Gemini) e fornecedor de embeddings predefinido. Stripe, Inc. (EUA) — Processamento de pagamentos e gestão de subscrições. Grafana Labs (EUA) — Telemetria operacional, monitorização e alertas (apenas métricas de infraestrutura, não conteúdo do cliente).

Integrações configuradas pelo utilizador. Quando configura uma integração através da plataforma, esse fornecedor torna-se um sub-processador dos dados da sua organização. É responsável por rever os termos de processamento de dados desse fornecedor. As integrações configuráveis pelo utilizador incluem:

Fornecedores de IA: OpenAI, Anthropic, Google Gemini (sob a sua própria chave), Cohere, Mistral. Armazenamento de Documentos: SharePoint, Nextcloud, AWS S3, Azure Blob Storage, Google Drive, Dropbox. Notificações: Slack, Microsoft Teams, servidores SMTP personalizados. Gestão de Projetos: Jira, Azure DevOps. Calendários: Google Calendar, Outlook Calendar. Diretório de Colaboradores: Azure AD, Google Workspace, Okta, JumpCloud, BambooHR, Workday, Rippling, fornecedores compatíveis com SCIM.

8. Cookies e Rastreamento

Utilizamos cookies e tokens estritamente essenciais para autenticação e operação. A aplicação BrickGRC utiliza tokens de sessão JWT (JSON Web Token) armazenados no seu navegador para autenticação. Também armazenamos preferências de utilizador (seleção de idioma, tema) localmente.

A página de destino da BrickGRC (brickgrc.com) carrega Google Fonts, que pode definir cookies ou registar pedidos de acordo com a política de privacidade do Google. O Cloudflare pode definir cookies para deteção de bots e fins de segurança em todos os domínios BrickGRC.

Não utilizamos cookies de publicidade de terceiros, píxeis de rastreamento de redes sociais ou plataformas de análise comportamental. Não fazemos fingerprinting de dispositivos nem rastreamos utilizadores em outros websites.

9. Retenção de Dados

Dados de conta e conformidade. Retemos os seus dados enquanto a sua conta estiver ativa. Após a eliminação da conta ou organização, tem 30 dias para exportar os seus dados. Após este período, todos os seus dados — incluindo registos de conformidade, documentos carregados e configuração — são permanentemente eliminados dos nossos sistemas de produção no prazo de 90 dias, incluindo backups.

Registos de interação com IA. A BrickGRC armazena prompts de IA, respostas e metadados de interação (incluindo carimbos temporais, utilização de tokens e o fornecedor de IA utilizado) num registo de interação interno. Estes registos são retidos para fornecer histórico de conversas dentro do assistente de IA, apoiar a resolução de problemas e melhorar o Serviço. Os registos de interação com IA são eliminados quando a conta da sua organização é eliminada, seguindo a mesma cronologia descrita acima.

Registos de auditoria. Os registos de auditoria de ações de utilizadores (incluindo endereços IP, strings de user agent e descrições de ações) são retidos por até 2 anos para fins de conformidade de segurança e investigação de incidentes. Os registos de auditoria podem ser retidos após a eliminação da conta quando exigido por obrigações legais ou regulatórias.

Respostas de IA em cache. As respostas de IA em cache utilizadas para otimização de desempenho são automaticamente purgadas de forma contínua e não são retidas além do período de expiração da cache.

10. Os Seus Direitos

Dependendo da sua jurisdição (incluindo ao abrigo do RGPD, RGPD do Reino Unido e leis de proteção de dados semelhantes), pode ter o direito de: aceder aos dados pessoais que detemos sobre si; retificar dados imprecisos ou incompletos; apagar os seus dados pessoais ("direito ao esquecimento"); receber os seus dados num formato portátil e legível por máquina; restringir ou opor-se a certas atividades de processamento; retirar o consentimento quando o processamento se baseia no consentimento; e apresentar uma reclamação a uma autoridade de supervisão.

Pode exportar os seus dados de conformidade e documentos a qualquer momento através das funcionalidades de exportação da plataforma, incluindo geração de relatórios PDF e funcionalidade de exportação de dados na aplicação. Para exercer quaisquer outros direitos ou solicitar a eliminação da sua conta, contacte-nos em [email protected]. Responderemos no prazo de 30 dias (ou dentro do prazo exigido pela legislação aplicável).

11. Transferências Internacionais de Dados

A infraestrutura principal da BrickGRC está alojada na União Europeia (Hetzner, Alemanha). O Cloudflare opera uma rede edge global e pode processar pedidos em localizações edge em todo o mundo, incluindo nos Estados Unidos. Os fornecedores de IA baseados nos EUA (Google, OpenAI, Anthropic, Cohere) processam dados nos Estados Unidos e noutras jurisdições onde mantêm infraestrutura. Resend, Stripe e Grafana Labs são processadores baseados nos EUA.

Quando os seus dados são transferidos para fora da UE/EEE, baseamo-nos em salvaguardas adequadas como Cláusulas Contratuais Tipo (CCT), o Quadro de Privacidade de Dados UE-EUA ou a participação do sub-processador noutros mecanismos reconhecidos de transferência de dados. Se configurar integrações geridas pelo utilizador, os dados podem ser transferidos para as jurisdições onde esses fornecedores operam.

12. Dados do Diretório de Colaboradores

Quando a sua organização configura uma integração de diretório de colaboradores, a BrickGRC sincroniza e armazena informações de colaboradores incluindo nomes, endereços de email, números de telefone, departamentos e cargos. Estes dados são utilizados dentro da plataforma para atribuição de funções de conformidade, delegação de tarefas e relatórios organizacionais.

Os dados do diretório de colaboradores podem incluir indivíduos que não são utilizadores registados da BrickGRC e que não consentiram diretamente o processamento pela BrickGRC. A base legal para o processamento destes dados é o interesse legítimo da sua organização na gestão eficaz do seu programa de conformidade. A sua organização, como responsável pelo tratamento, é responsável por garantir que tem o direito legal de sincronizar estes dados de colaboradores com a BrickGRC, incluindo o fornecimento de quaisquer notificações necessárias aos colaboradores afetados ao abrigo da legislação de proteção de dados aplicável.

Os dados do diretório de colaboradores estão sujeitos às mesmas políticas de isolamento de dados, segurança e retenção descritas nesta Política de Privacidade. São eliminados quando a integração é removida ou a conta da organização é eliminada.

13. Privacidade de Menores

A BrickGRC é uma plataforma de conformidade business-to-business. O Serviço não se destina a indivíduos com menos de 16 anos e não recolhemos conscientemente informações pessoais de crianças. Se tomarmos conhecimento de que recolhemos dados de uma criança com menos de 16 anos, eliminá-los-emos prontamente.

14. Notificação de Violação de Dados

Em caso de violação de dados pessoais que seja suscetível de resultar num risco para os direitos e liberdades dos indivíduos, a BrickGRC notificará a autoridade de supervisão relevante no prazo de 72 horas após ter conhecimento da violação, conforme exigido pelo RGPD.

Quando a violação for suscetível de resultar num elevado risco para os indivíduos afetados, notificaremos também esses indivíduos sem demora injustificada. As notificações de violação incluirão: uma descrição da natureza da violação, as categorias e número aproximado de indivíduos afetados, as consequências prováveis e as medidas tomadas ou propostas para resolver a violação e mitigar os seus efeitos.

Notificaremos também prontamente as organizações clientes afetadas para que possam cumprir as suas próprias obrigações regulatórias de notificação.

15. Acordo de Processamento de Dados

Um Acordo de Processamento de Dados (DPA) em conformidade com o Artigo 28.º do RGPD está disponível mediante pedido para clientes que necessitem de um. Para solicitar um DPA, contacte-nos em [email protected].

16. Alterações a Esta Política

Podemos atualizar esta Política de Privacidade para refletir alterações nas nossas práticas, sub-processadores ou legislação aplicável. Notificá-lo-emos de alterações materiais por email ou através de um aviso proeminente na plataforma com pelo menos 30 dias de antecedência. A sua utilização continuada do Serviço após a data efetiva constitui aceitação da política atualizada.

17. Contacto

Se tiver dúvidas sobre esta Política de Privacidade, os seus dados ou desejar exercer os seus direitos, contacte-nos em [email protected].