Versão: v1.0 — minuta consolidada para validação jurídica final Última atualização: 18 de junho de 2026 Controlador (Dados de Conta e relacionamento): Blue Digital - Consulting & Advisors Ltda., CNPJ 57.247.352/0001-63, endereço Campinas/SP. Canal de privacidade: privacidade@causaos.com.br Encarregado (DPO): Encarregado de Dados — privacidade@causaos.com.br Plataforma: CausaOS (causaos.com.br), SaaS B2B para escritórios de advocacia e profissionais jurídicos.
1.1. Esta Política explica como o Fornecedor coleta, usa, armazena, compartilha, protege e elimina dados pessoais no contexto da Plataforma CausaOS, os direitos dos titulares e os canais de contato.
1.2. Foi estruturada conforme a LGPD, o Marco Civil da Internet, orientações da ANPD, práticas de SaaS B2B e particularidades do setor jurídico — sigilo profissional, dados processuais, dados sensíveis, segredo de justiça e uso assistido de IA.
1.3. Deve ser lida em conjunto com os Termos de Uso, a Política de Cookies, o Anexo de Proteção de Dados (DPA) e as configurações da Plataforma.
2.1. Aplica-se a: (a) visitantes do site e das páginas da Plataforma; (b) Usuários Autorizados cadastrados pelo Cliente; (c) representantes, administradores, sócios e contatos do Cliente; (d) pessoas que interagem com suporte, vendas, marketing, demonstrações ou comunicações; (e) titulares cujos dados são inseridos pelo Cliente na Plataforma — clientes finais do escritório, partes, testemunhas, empregados, adversos, peritos, correspondentes e terceiros relacionados a casos.
2.2. Quando dados de clientes finais, partes ou terceiros são inseridos pelo Cliente, o Cliente normalmente é o controlador e o Fornecedor atua como operador, tratando-os conforme instruções do Cliente, Termos de Uso e contrato.
2.3. Se você é cliente final de um escritório que usa a Plataforma, solicitações sobre seus dados jurídicos, processuais ou documentos devem ser dirigidas primeiro ao escritório responsável, que define finalidades, bases legais e retenção. O Fornecedor poderá apoiar o escritório conforme aplicável.
Em linguagem simples: existem dois tipos de dado. (1) Os seus dados de cadastro e uso — aqui a CausaOS é a "dona" (controladora). (2) Os dados dos casos que o escritório insere (que envolvem terceiros e podem ser sensíveis) — aqui o escritório é o dono (controlador) e a CausaOS só processa por conta e ordem dele (operadora).
3.1. O Fornecedor é controlador quanto a Dados de Conta, dados de representantes, faturamento, segurança, logs administrativos, marketing próprio, suporte, relacionamento comercial, prevenção a fraude, cumprimento legal e melhoria da Plataforma.
3.2. O Fornecedor é operador quanto ao Conteúdo do Cliente e aos Dados de Terceiros inseridos, importados, sincronizados ou gerados pelo Cliente para gestão de casos, documentos, processos, clientes, tarefas, prazos, comunicações e fluxos de trabalho.
3.3. O Cliente é responsável por informar seus clientes finais e terceiros quando necessário, estabelecer bases legais adequadas, atender direitos dos titulares, definir retenção e avaliar sigilo profissional, segredo de justiça e restrições éticas. Recomenda-se a celebração de um Adendo de Tratamento de Dados (DPA), conforme o Anexo I dos Termos de Uso.
Cadastro, conta e contrato: nome, e-mail, telefone, cargo, organização, CNPJ/CPF quando necessário, endereço comercial, número de OAB, plano contratado, histórico de contratação, dados fiscais e de faturamento, status de pagamento, dados de representantes e administradores.
Autenticação, segurança e uso: login, identificadores de usuário, permissões, registros de acesso, IP, data e hora, dispositivo, navegador, sistema operacional, tokens, sessões, eventos de auditoria, logs de uso, tentativas de login, dados de MFA e evidências de abuso.
Conteúdo do Cliente e dados jurídicos (como operador): nomes, documentos, dados de contato, qualificação de partes, processos, números processuais, peças, contratos, provas, imagens, áudios, mensagens, e-mails e documentos diversos — incluindo, conforme o caso, dados de menores, dados sensíveis e informações sob segredo de justiça.
Prompts, outputs e uso de IA: prompts, comandos, arquivos enviados para análise, respostas geradas, versões, feedbacks, marcações, classificações, metadados e logs técnicos necessários à execução, segurança, auditoria, prevenção de abuso e melhoria.
Suporte e relacionamento: tickets, e-mails, anexos, histórico de suporte, solicitações, reclamações, respostas a pesquisas, reuniões, demonstrações e comunicações comerciais.
Cookies e tecnologias similares: cookies e identificadores para funcionamento, autenticação, segurança, preferências e, conforme o caso, analytics, sempre observada a Política de Cookies e as preferências aplicáveis.
| Finalidade | Dados envolvidos | Base legal típica |
|---|---|---|
| Criar e administrar conta | cadastro, login, organização, OAB, permissões | execução de contrato ou procedimentos preliminares |
| Prestar a Plataforma | Conteúdo do Cliente, documentos, processos, prompts, outputs, logs | execução de contrato; quando operador, instrução do Cliente |
| Faturar e cobrar | dados fiscais, financeiros, contrato, pagamento | execução de contrato; obrigação legal |
| Segurança e prevenção a fraude | logs, IP, dispositivo, auditoria, eventos | legítimo interesse; cumprimento legal |
| Suporte técnico | tickets, mensagens, anexos, logs | execução de contrato; legítimo interesse |
| Comunicação operacional | e-mail, telefone, notificações | execução de contrato; legítimo interesse |
| Marketing próprio B2B | contato profissional, preferências, interações | legítimo interesse ou consentimento, conforme o caso |
| Cumprimento legal e regulatório | registros, dados fiscais, evidências | obrigação legal; exercício regular de direitos |
| Melhoria da Plataforma | telemetria, feedback, dados agregados/anonimizados | legítimo interesse; anonimização |
| IA assistiva | prompts, documentos, outputs, metadados | execução de contrato; instrução do Cliente quando operador |
| Resposta a titulares | dados do solicitante, registros de atendimento | cumprimento legal; exercício regular de direitos |
5.1. Quando o Fornecedor atua como operador, cabe ao Cliente definir a base legal adequada (execução de contrato, obrigação legal, exercício regular de direitos em processo, proteção da vida, tutela da saúde, legítimo interesse ou consentimento, conforme o caso concreto).
5.2. O Fornecedor não incentiva a coleta de dados excessivos. O Cliente deve observar necessidade, adequação, minimização, finalidade, transparência e segurança.
6.1. A Plataforma pode ser usada em contextos que envolvem dados sensíveis (origem racial/étnica, convicção religiosa, opinião política, filiação sindical, saúde, vida sexual, dados genéticos/biométricos), dados de crianças e adolescentes, dados criminais, trabalhistas, familiares e informações sob segredo de justiça.
6.2. O Cliente é responsável por avaliar se tais dados podem ser inseridos, qual base legal os justifica, que medidas de segurança aplicar, quem pode acessar e por quanto tempo retê-los.
6.3. O Fornecedor recomenda minimizar dados sensíveis, usar anonimização ou pseudonimização quando possível, restringir permissões, evitar dados desnecessários em prompts de IA e manter política interna de classificação da informação.
6.4. A Plataforma não se destina a uso direto por crianças ou adolescentes. Eventual tratamento de dados de menores ocorre apenas quando inserido pelo Cliente em contexto jurídico, sob responsabilidade do Cliente como controlador.
7.1. Funcionalidades de IA podem usar provedores próprios ou terceiros para processar prompts, documentos e outputs necessários ao serviço.
7.2. Salvo autorização expressa em instrumento específico, o Fornecedor não utiliza Conteúdo do Cliente para treinar modelos públicos ou modelos de uso geral de terceiros.
7.3. O Fornecedor poderá usar dados anonimizados, agregados, estatísticas, telemetria e métricas não identificáveis para segurança, melhoria de produto, avaliação de performance e desenvolvimento.
7.4. O Cliente deve evitar inserir em prompts dados identificáveis, sensíveis, confidenciais ou sob segredo de justiça quando um resumo, pseudônimo ou versão minimizada for suficiente.
7.5. Outputs de IA podem conter erros, imprecisões, vieses, omissões, referências inexistentes ou informações desatualizadas. O Cliente deve revisar qualquer output antes de uso profissional.
8.1. Podemos compartilhar dados com: (a) provedores de infraestrutura, hospedagem, banco de dados, segurança, backup e monitoramento; (b) provedores de IA, embeddings, busca, OCR ou processamento de linguagem; (c) provedores de e-mail, mensageria, suporte e analytics; (d) meios de pagamento, instituições financeiras, bureaus antifraude, contadores e sistemas fiscais; (e) consultores, auditores, advogados e seguradoras; (f) autoridades públicas, judiciais ou regulatórias diante de obrigação legal, ordem válida ou exercício regular de direitos; (g) empresas do mesmo grupo, sucessores ou adquirentes em reorganização societária, respeitada a lei.
8.2. Subprocessadores atuais (atualizados periodicamente): Google (Gemini) e Jina (IA/embeddings); Cloudflare (rede e armazenamento de backups); Hostinger (hospedagem). Subprocessadores que tratam dados em nome do Fornecedor estão sujeitos a obrigações contratuais de confidencialidade, segurança e proteção de dados.
8.3. O Fornecedor não vende Conteúdo do Cliente nem Dados de Terceiros inseridos pelo Cliente.
9.1. A Plataforma pode usar infraestrutura, fornecedores ou provedores de IA localizados fora do Brasil.
9.2. Quando aplicável, o Fornecedor adota mecanismos previstos na LGPD e na regulamentação da ANPD para transferência internacional — cláusulas-padrão contratuais, decisões de adequação, cláusulas específicas, normas corporativas globais ou outras hipóteses legais.
9.3. O Cliente reconhece que a prestação de um SaaS moderno pode depender de fornecedores globais de nuvem, segurança, IA e comunicação.
10.1. Os dados são mantidos pelo tempo necessário para cumprir finalidades, contrato, obrigações legais, exercício regular de direitos, segurança, prevenção a fraude, auditoria, suporte e continuidade da Plataforma.
| Categoria | Retenção sugerida |
|---|---|
| Dados de conta e contrato | durante a vigência e pelo prazo necessário ao exercício de direitos e obrigações legais |
| Dados fiscais e cobrança | pelo prazo legal aplicável |
| Logs de segurança e auditoria | pelo período necessário à segurança, auditoria e cumprimento legal |
| Conteúdo do Cliente | durante a vigência; após o encerramento, 30 dias para exportação e posterior eliminação/anonimização em até 6 meses |
| Backups | rotação técnica temporária, com eliminação progressiva conforme o ciclo de backup |
| Tickets de suporte | pelo período necessário à comprovação de atendimento e exercício de direitos |
| Dados de marketing | até opt-out, revogação de consentimento ou fim da finalidade |
10.2. O Cliente deve exportar o Conteúdo do Cliente antes do encerramento da conta. A Plataforma já oferece exclusão de casos a qualquer momento. Após o prazo aplicável, o Fornecedor poderá eliminar ou anonimizar os dados, salvo retenção necessária.
11.1. O Fornecedor adota medidas técnicas e administrativas proporcionais ao risco: controles de acesso, isolamento lógico por escritório (multi-tenant), criptografia em trânsito (HTTPS), backups, logs, monitoramento, gestão de vulnerabilidades, revisão de permissões, trilhas de auditoria e resposta a incidentes. Auditorias de segurança foram realizadas.
11.2. A segurança da conta também depende do Cliente — senhas fortes, MFA, revogação imediata de usuários desligados, menor privilégio, treinamento, dispositivos protegidos, classificação de dados e revisão periódica de acessos.
11.3. Nenhuma medida de segurança é absoluta. Em caso de incidente, o Fornecedor adotará medidas de contenção, investigação, mitigação e comunicação conforme seu papel na LGPD e a legislação aplicável.
12.1. Como controlador, diante de incidente que possa acarretar risco ou dano relevante, o Fornecedor avaliará as comunicações cabíveis à ANPD e aos titulares conforme a lei e a regulamentação.
12.2. Como operador, o Fornecedor comunicará o Cliente sem demora indevida após confirmação preliminar de incidente envolvendo Conteúdo do Cliente ou Dados de Terceiros, para que o Cliente avalie suas obrigações como controlador.
12.3. A comunicação poderá incluir, conforme disponível: natureza do incidente, categorias de dados, titulares afetados ou potencialmente afetados, medidas de contenção, riscos identificados, medidas recomendadas e ponto de contato.
13.1. Nos termos da LGPD, os titulares podem solicitar, quando aplicável: confirmação de tratamento, acesso, correção, anonimização, bloqueio ou eliminação, portabilidade, informação sobre compartilhamento, informação sobre consequências do não consentimento, revogação do consentimento, oposição e revisão de decisões automatizadas, conforme os limites legais.
13.2. Solicitações relativas a Dados de Conta podem ser enviadas ao canal de privacidade do Fornecedor (privacidade@causaos.com.br).
13.3. Solicitações relativas a dados de clientes finais, partes, processos ou documentos controlados pelo Cliente devem ser dirigidas ao Cliente controlador. O Fornecedor poderá auxiliar o Cliente conforme funcionalidades, contrato e exigências legais.
13.4. Para segurança, poderemos solicitar confirmação de identidade antes de responder.
14.1. A Plataforma gera classificações, sugestões, resumos, alertas e outputs automatizados para apoio operacional. O Fornecedor não pretende tomar, como controlador, decisões exclusivamente automatizadas que produzam efeitos jurídicos relevantes sobre titulares.
14.2. Se o Cliente usar outputs automatizados para decisões com impacto sobre clientes finais, colaboradores ou terceiros, deverá avaliar suas próprias obrigações de transparência, revisão humana e contestabilidade.
15.1. Cookies necessários podem ser usados para autenticação, segurança, sessão, funcionamento, prevenção a fraude e preferências essenciais.
15.2. Cookies não necessários (analytics, marketing ou personalização avançada), se houver, serão usados conforme consentimento ou base legal aplicável e preferências disponíveis. **
15.3. O titular pode gerenciar cookies no navegador ou no mecanismo de preferências da Plataforma, quando disponível. Desativar cookies necessários pode impedir o funcionamento correto.
16.1. Podemos enviar comunicações operacionais (conta, segurança, mudanças contratuais, suporte, faturamento, funcionalidades e manutenção).
16.2. Comunicações comerciais B2B poderão ser enviadas com base em legítimo interesse ou consentimento, conforme o caso, sempre com opção de descadastro quando aplicável.
16.3. O Cliente não deve usar a Plataforma para campanhas que violem a LGPD, as normas da OAB, regras anti-spam ou preferências de descadastro.
17.1. A Plataforma pode permitir inserção, consulta, organização ou integração com dados processuais, publicações oficiais e fontes públicas. O fato de um dado ser público não elimina a necessidade de observar a LGPD, finalidade, necessidade, segurança, contexto, sigilo, segredo de justiça e direitos dos titulares.
17.2. O Fornecedor não garante completude, atualidade, precisão ou disponibilidade permanente de fontes públicas, tribunais, diários oficiais ou sistemas integrados.
18.1. Esta Política poderá ser atualizada para refletir mudanças legais, regulatórias, técnicas, operacionais ou comerciais.
18.2. Alterações relevantes serão comunicadas por meio razoável (aviso na Plataforma, e-mail ou publicação da nova versão), com registro de versão e data.
18.3. O uso continuado após a vigência da nova versão indica ciência da Política atualizada.
Fornecedor: Blue Digital - Consulting & Advisors Ltda. E-mail de privacidade: privacidade@causaos.com.br Encarregado/DPO: Encarregado de Dados — privacidade@causaos.com.br Endereço: Campinas/SP Prazo de resposta: as solicitações serão avaliadas e respondidas conforme a legislação aplicável, a complexidade, a confirmação de identidade e o papel do Fornecedor (controlador ou operador).
Responsabilidades recomendadas ao Cliente: (1) manter aviso de privacidade próprio para clientes finais; (2) informar, quando aplicável, o uso de tecnologia e IA no contrato de honorários ou termo separado; (3) definir bases legais por tipo de dado e finalidade; (4) restringir acesso por perfil e necessidade; (5) treinar a equipe sobre sigilo profissional, IA e segurança; (6) evitar dados excessivos; (7) conferir outputs antes do uso jurídico; (8) manter rotina independente de controle de prazos e publicações; (9) definir retenção e descarte de documentos; (10) ter plano interno de resposta a incidentes.
Uso de IA com dados pessoais: (1) prefira anonimizar/pseudonimizar antes de inserir prompts; (2) não inclua dados sensíveis se dados genéricos bastarem; (3) evite documentos integrais quando trechos bastarem; (4) verifique citações, jurisprudência, legislação e fatos em fontes oficiais; (5) documente a revisão humana em casos críticos; (6) obtenha consentimento informado do cliente final quando exigido ou recomendado; (7) não use IA para atendimento jurídico autônomo sem supervisão de advogado; (8) não use outputs para prometer resultados ou captar clientela.