Política de Privacidade

1. Controlador de Dados

O gpmt (Gestão de Projetos para Criativos) é o controlador dos seus dados pessoais, nos termos do Art. 5º, VI da LGPD. Para contato relacionado à privacidade, escreva para giomoccity@gmail.com.

2. Dados Coletados e Finalidade

Dado	Finalidade	Base Legal (LGPD)
Nome	Identificação na plataforma	Art. 7º, V — execução de contrato
E-mail	Autenticação e comunicações	Art. 7º, V — execução de contrato
CPF / CNPJ	Identificação fiscal (opcional)	Art. 7º, I — consentimento
IP de acesso	Segurança e auditoria (LGPD Art. 46)	Art. 7º, IX — legítimo interesse
Dados de projetos/tarefas	Prestação do serviço contratado	Art. 7º, V — execução de contrato

3. Proteção de Dados Sensíveis

Dados sensíveis como CPF e CNPJ são armazenados criptografados em repouso utilizando o algoritmo AES-256-GCM (padrão NIST), garantindo que mesmo em caso de acesso não autorizado ao banco de dados os valores permaneçam ilegíveis.

Senhas nunca são armazenadas em texto claro — utilizamos bcrypt com fator de custo adequado às diretrizes OWASP.

4. Compartilhamento de Dados

Não vendemos, alugamos ou compartilhamos seus dados pessoais com terceiros para fins comerciais. Podemos compartilhar dados apenas:

Com prestadores de infraestrutura (hospedagem/banco de dados) vinculados por contratos de sigilo;
Quando exigido por lei ou ordem judicial;
Para proteger direitos, propriedade ou segurança do gpmt, dos usuários ou do público.

5. Seus Direitos (LGPD Art. 18)

Você pode, a qualquer momento, solicitar:

Confirmação da existência de tratamento;
Acesso aos dados que temos sobre você;
Correção de dados incompletos ou inexatos;
Anonimização ou eliminação dos dados (direito ao esquecimento);
Portabilidade dos dados para outro serviço;
Revogação do consentimento, sem prejuízo da licitude do tratamento anterior.

Para exercer qualquer direito, entre em contato: giomoccity@gmail.com. Responderemos em até 15 dias úteis.

6. Retenção de Dados

Mantemos seus dados enquanto a conta estiver ativa. Após o encerramento, os dados são anonimizados ou excluídos em até 30 dias, salvo obrigação legal de retenção.

7. Cookies e Sessão

Utilizamos exclusivamente cookies estritamente necessários para autenticação e segurança da sua sessão. Por serem essenciais ao funcionamento do serviço, dispensam consentimento prévio (base legal: art. 7º, V e IX da LGPD — execução de contrato e legítimo interesse). Não utilizamos cookies de rastreamento, analytics ou publicidade.

Cookie	Finalidade	Duração	Flags
`gpmt_session`	Sessão autenticada (HMAC-SHA256)	7 dias	HttpOnly, Secure, SameSite=Lax
`gpmt_invite`	Continuidade do fluxo de convite	1 hora	HttpOnly, Secure, SameSite=Lax
`gpmt_csrf_n`	Nonce de proteção CSRF	7 dias	HttpOnly, Secure, SameSite=Strict
`gpmt_csrf`	Token CSRF lido pelo HTMX/JS	7 dias	Secure, SameSite=Strict
`oauth_state`	Anti-CSRF do fluxo OAuth Google	5 minutos	HttpOnly, Secure, SameSite=Lax
`auth_next`	URL de retorno pós-login	5 minutos	HttpOnly, Secure, SameSite=Lax

A flag Secure é ativada automaticamente em produção (HTTPS). Você pode bloquear cookies no seu navegador, mas o serviço deixará de funcionar corretamente (login, proteção CSRF e fluxo de convites dependem destes cookies).

Cookies opcionais (analytics)

Quando você consente, carregamos o Google Analytics para entender uso agregado e melhorar o serviço. Esses cookies (_ga, _gid) não são essenciais e só ativam após seu opt-in no banner. Sua escolha fica salva em gpmt_cookie_consent por 6 meses. Para revisar:

8. Autenticação com Google

Ao usar "Entrar com Google", recebemos do Google apenas: ID único, e-mail, nome e foto de perfil. Não temos acesso à sua senha do Google. O fluxo OAuth 2.0 é protegido por parâmetro state anti-CSRF.

9. Alterações a esta Política

Podemos atualizar esta política periodicamente. Notificaremos por e-mail mudanças materiais com antecedência mínima de 15 dias.