Synatri Cognitive Solutions ← Voltar ao site
Documento Operacional

Política de Proteção de Dados

Última atualização: 29 de abril de 2026

Esta Política de Proteção de Dados estabelece as diretrizes técnicas, organizacionais e contratuais adotadas pela Synatri — Cognitive Solutions ("Synatri") no tratamento de dados pessoais de terceiros sob responsabilidade de seus clientes em projetos de Dados, Inteligência Artificial e Agentes.

Este documento complementa nossa Política de Privacidade e tem como público-alvo clientes corporativos, parceiros, auditores e equipes de governança.

Papel da Synatri. Em projetos contratados, a Synatri atua, em regra, como operador de dados (LGPD, art. 5º, VII), tratando dados pessoais em nome e por conta do cliente, que figura como controlador (art. 5º, VI). Em outras hipóteses, podemos atuar como controlador conjunto ou suboperador, conforme contratado.

1. Escopo

Esta política se aplica a:

  • Dados pessoais tratados pela Synatri durante a execução de projetos contratados (consultoria, engenharia de dados, desenvolvimento e operação de modelos e agentes de IA);
  • Ambientes técnicos da Synatri ou em infraestrutura do cliente operada por nossas equipes;
  • Colaboradores próprios, contratados e parceiros envolvidos no projeto.

2. Princípios aplicados (LGPD, art. 6º)

Todas as atividades de tratamento são guiadas pelos princípios da LGPD:

Finalidade

Uso restrito ao propósito definido em contrato.

Adequação

Compatibilidade com o contexto do tratamento.

Necessidade

Apenas o mínimo de dados indispensáveis.

Transparência

Informação clara sobre o que é tratado.

Segurança

Medidas técnicas e organizacionais adequadas.

Prevenção

Antecipação de riscos e impactos.

Não discriminação

Vedação de uso para fins ilícitos ou abusivos.

Responsabilização

Demonstração de conformidade e governança.

3. Governança e responsabilidades

  • Encarregado pelo Tratamento de Dados (DPO): ponto focal para titulares, ANPD, clientes e autoridades, com canal direto em privacidade@synatri.com;
  • Comitê de Privacidade e Segurança: revisa políticas, avalia incidentes e aprova exceções;
  • Líderes técnicos de projeto: respondem pela aplicação prática das medidas em cada engajamento;
  • Todos os colaboradores recebem treinamento periódico em proteção de dados e segurança da informação.

4. Medidas técnicas

Adotamos controles compatíveis com boas práticas reconhecidas (ISO/IEC 27001, NIST CSF, OWASP):

4.1 Criptografia

  • Em trânsito: TLS 1.2 ou superior em todas as comunicações com sistemas de cliente, APIs e ferramentas internas;
  • Em repouso: criptografia de volumes e buckets em provedores cloud, com gestão de chaves via KMS dedicado;
  • Segredos: armazenados em cofres especializados (ex.: AWS Secrets Manager, GCP Secret Manager, HashiCorp Vault), nunca em código-fonte.

4.2 Controle de acesso

  • Autenticação multifator (MFA) obrigatória em todos os ambientes críticos;
  • Princípio do menor privilégio (least privilege) com revisões periódicas;
  • Acesso baseado em papéis (RBAC) e segregação por projeto;
  • Trilhas de auditoria com retenção mínima de 12 meses.

4.3 Segregação de ambientes

  • Separação lógica e, quando exigido, física entre ambientes de desenvolvimento, homologação e produção;
  • Uso de dados sintéticos ou anonimizados em ambientes não produtivos sempre que possível;
  • Pipelines de dados isolados por cliente.

4.4 Desenvolvimento seguro

  • Revisão de código (code review) com checagens de segurança;
  • Análise estática (SAST) e de dependências (SCA);
  • Hardening de contêineres e infraestrutura como código (IaC) com validação automatizada;
  • Modelos de IA: avaliação de risco de viés, vazamento e prompt injection antes da entrada em produção.

5. Medidas organizacionais

  • Acordos de confidencialidade (NDA) com todos os colaboradores e parceiros;
  • Treinamento obrigatório em LGPD e segurança da informação no onboarding e anualmente;
  • Política de mesa limpa e tela limpa;
  • Política de uso aceitável de equipamentos e ferramentas;
  • Avaliação de fornecedores antes da contratação, com cláusulas de proteção de dados.

6. Subcontratação (suboperadores)

A Synatri pode contratar terceiros para apoiar a execução dos serviços, especialmente provedores de infraestrutura cloud (AWS, Google Cloud, Microsoft Azure) e ferramentas SaaS especializadas. Nesses casos:

  • Apenas suboperadores com cláusulas contratuais adequadas e nível de proteção compatível são utilizados;
  • O cliente é informado, quando exigido, sobre a relação de suboperadores envolvidos no projeto;
  • A Synatri permanece responsável perante o cliente pela atuação de seus suboperadores.

7. Transferência internacional de dados

Quando o tratamento envolver transferência internacional, a Synatri observa o disposto no art. 33 da LGPD, utilizando ao menos uma das salvaguardas:

  • Países com nível de proteção adequado reconhecido pela ANPD;
  • Cláusulas contratuais padrão ou específicas;
  • Consentimento específico e destacado do titular, quando aplicável;
  • Necessidade para execução de contrato do qual o titular seja parte.

8. Resposta a incidentes

A Synatri mantém um plano de resposta a incidentes com fluxo claro de detecção, contenção, erradicação, recuperação e lições aprendidas. Em caso de incidente envolvendo dados pessoais sob nossa custódia:

  • O cliente/controlador é notificado sem demora injustificada, em prazo máximo de 48 horas após a confirmação do incidente, salvo prazo contratual mais restritivo;
  • Fornecemos as informações necessárias para que o controlador possa cumprir suas obrigações de notificação à ANPD e aos titulares (LGPD, art. 48);
  • Atuamos em conjunto com o cliente nas medidas de mitigação;
  • Documentamos o incidente, a causa-raiz e as ações de remediação.

9. Atendimento a titulares de dados

Quando recebemos diretamente requisições de titulares relacionadas a dados sob responsabilidade de um cliente-controlador, encaminhamos a solicitação ao referido cliente em até 5 dias úteis. Quando contratualmente designados como ponto de atendimento, processamos a requisição em conjunto com o controlador, observando o prazo de 15 dias previsto no art. 19 da LGPD.

10. Retenção, devolução e eliminação

  • Os dados pessoais são retidos pelo prazo necessário à execução do contrato e às obrigações legais aplicáveis;
  • Ao término do contrato, os dados são devolvidos ao controlador em formato estruturado ou eliminados de forma segura, conforme instrução do cliente;
  • Cópias de backup são eliminadas conforme o ciclo natural de rotação, em prazo máximo divulgado em contrato;
  • A Synatri pode reter dados estritamente necessários ao cumprimento de obrigação legal ou para defesa em processos administrativos e judiciais.

11. Auditoria e demonstração de conformidade

Mediante solicitação do cliente e com aviso razoável, a Synatri:

  • Disponibiliza documentação relativa aos controles aplicados (relatórios de auditoria, políticas, evidências);
  • Permite auditorias por equipe do cliente ou auditor independente, mediante acordo prévio sobre escopo e confidencialidade;
  • Mantém Registro de Operações de Tratamento (ROPA) dos projetos sob sua responsabilidade.

12. Inteligência Artificial e tratamento automatizado

Em projetos envolvendo modelos de IA e decisões automatizadas, a Synatri:

  • Avalia riscos de viés, discriminação e impacto antes da entrada em produção;
  • Documenta finalidade, base legal e dados utilizados no treinamento;
  • Implementa mecanismos de explicabilidade compatíveis com o caso de uso, observado o art. 20 da LGPD (revisão de decisões automatizadas);
  • Não utiliza dados pessoais de um cliente para treinar modelos de outros clientes, salvo autorização explícita e formal.

13. Alterações desta Política

Esta política pode ser atualizada para refletir mudanças regulatórias, contratuais ou tecnológicas. Alterações relevantes serão comunicadas aos clientes ativos e a versão vigente estará sempre disponível neste endereço, com a data da última atualização indicada no topo.

14. Contato

Dúvidas, requisições ou comunicação de incidentes devem ser direcionadas ao Encarregado pelo Tratamento de Dados: