Política de Privacidade e Legítimo Interesse
O CNPJsinal trata dados sobre empresas — não sobre seus usuários. Esta página documenta a base legal, o teste de balanceamento e os direitos do titular previstos na Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018), em estrutura inspirada no Guia Orientativo de Legítimo Interesse da ANPD (fev/2024).
Identidade do Controlador e DPO
O controlador dos dados tratados pelo serviço é o CNPJsinal (cnpjsinal.com.br). O Encarregado de Proteção de Dados (DPO), conforme LGPD art. 41, é Roberto Francisco, contato: dpo@cnpjsinal.com.br.
Para exercer direitos do titular, use o canal dedicado em /dpo — pedidos são respondidos em até 15 dias corridos (LGPD art. 18 §3º).
Finalidade do Tratamento
O CNPJsinal trata dados sobre empresas — não sobre seus usuários. A base legal é o legítimo interesse (LGPD art. 7º IX): informação pública sobre pessoas jurídicas deve ser acessível a quem precisa decidir com segurança — consumidores, contratantes, parceiros e jornalistas.
A finalidade específica é consolidar sinais oficiais já publicados (Receita Federal, Portal da Transparência da CGU, Procon estaduais) em uma análise editorial curta e auditável. Não há cadastro, não há cobrança, não há venda de dado.
Necessidade
Trabalhamos com o mínimo necessário para entregar a finalidade declarada (LGPD art. 7º §3º e art. 10): dados cadastrais públicos da Receita Federal (razão social, CNAE, situação cadastral, quadro societário), sanções administrativas publicadas no Portal da Transparência (CEIS, CNEP, CEPIM) e reclamações públicas dos Procon estaduais.
Não cruzamos dados privados de consumidores, não inferimos características pessoais sensíveis e não enriquecemos os perfis com bases pagas. Tudo o que o relatório cita pode ser verificado na fonte oficial linkada.
Balanceamento de Legítimo Interesse
Pessoas jurídicas têm expectativa razoável de serem encontradas a partir de seu CNPJ — esse é o propósito da publicidade do registro empresarial brasileiro. O interesse legítimo de quem consulta (proteger-se de fraude, embasar uma decisão de compra ou contrato) é proporcional ao impacto sobre a empresa pesquisada, cujos dados já são públicos.
Sócios pessoa física aparecem apenas como já constam na Receita Federal — com CPF parcialmente mascarado (***.456.789-**) para reduzir exposição desnecessária. O teste de balanceamento segue o Guia Orientativo de Legítimo Interesse da ANPD (fev/2024): a finalidade é legítima, os meios são proporcionais, e o titular mantém o direito de oposição via canal /dpo.
Salvaguardas Técnicas e Organizacionais
Mantemos camadas defensivas concretas, citáveis e auditáveis (LGPD art. 46):
- Row-Level Security default-deny em todas as 7 tabelas do banco — apenas a chave service_role server-side tem acesso. Clientes anônimos e autenticados são bloqueados por padrão.
- CPF de sócio PF mascarado na origem — o canonical da Receita Federal (***.456.789-**) é aplicado antes mesmo do cache, e nunca entra no prompt enviado ao provedor de LLM.
- Cabeçalhos HTTP defensivos em todas as rotas (Content-Security-Policy estrita, X-Frame-Options DENY, HSTS preload, Referrer-Policy strict-origin-when-cross-origin, Permissions-Policy minimal) configurados em apps/web/next.config.ts.
- Sanitização de inputs reflexivos — escape de wildcards SQL na busca, strip de tags HTML em queries de busca, validação de DV de CNPJ antes de qualquer round-trip.
- Logs minimalistas — registros de consulta hasheiam IP e User-Agent antes de gravar;referer é descartado.
Direitos do Titular
Se você é sócio de uma empresa listada e quer exercer seus direitos — acesso, correção, anonimização, remoção, exportação, oposição ou outras solicitações previstas em LGPD art. 18 — use o canal em /dpo. O prazo de resposta é de 15 dias corridos a partir do registro do pedido (LGPD art. 18 §3º).
O formulário pede CPF completo e documento de identidade apenas para legitimar o vínculo de titularidade — material usado exclusivamente pelo DPO na avaliação do pedido e descartado em até 15 dias após atendimento.
Cookies e Análise de Uso
Não usamos cookies de publicidade. Atualmente não há ferramentas de analytics com identificação pessoal instaladas na aplicação. A plataforma de hospedagem (Vercel) pode adicionar cabeçalhos de roteamento sem cookies persistentes em sessões anônimas. Caso adotemos o Vercel Web Analytics no futuro, ele opera cookieless por design e não exige banner de consentimento sob a LGPD.
Retenção e Eliminação de Dados
Retemos registros de consulta por 90 dias — o mínimo necessário para detectar abuso. Após esse prazo, os dados são eliminados (LGPD art. 16).
As janelas de retenção são executadas automaticamente via pg_cron diário no Supabase:
- Registros em consultas_log são apagados após 90 dias.
- Vereditos em cache verdicts são apagados 30 dias após a expiração do TTL.
- Pedidos em titular_requests são apagados 180 dias após a resposta ao titular (preservando o histórico mínimo para auditoria).
- Documentos de identidade anexados ao formulário do titular são apagados do bucket titular-docs em até 15 dias após o atendimento do pedido.
Última revisão: 28 de maio de 2026.