Axellion

Conformidade GDPR

Última atualização: 21 de março de 2026

O Regulamento Geral de Proteção de Dados (GDPR - General Data Protection Regulation) é a legislação de proteção de dados da União Europeia que entrou em vigor em 25 de maio de 2018. A AXELLION está comprometida em cumprir rigorosamente os requisitos do GDPR ao processar dados pessoais de residentes da União Europeia (UE) e do Espaço Econômico Europeu (EEE).

1.Base Legal para Processamento de Dados

Conforme o Artigo 6 do GDPR, processamos dados pessoais com base nas seguintes bases legais:

1.1. Consentimento (Artigo 6(1)(a))

Processamos dados quando você forneceu consentimento explícito e informado para finalidades específicas, como:

  • Marketing direto e comunicações promocionais
  • Uso de cookies não essenciais e tecnologias de rastreamento
  • Análise de comportamento e criação de perfis de usuário
  • Compartilhamento de dados com terceiros para marketing

Você pode retirar seu consentimento a qualquer momento, sem afetar a legalidade do processamento realizado anteriormente.

1.2. Execução de Contrato (Artigo 6(1)(b))

Processamos dados necessários para execução de contratos de prestação de serviços, incluindo:

  • Identificação e comunicação com clientes durante desenvolvimento de projetos
  • Processamento de pagamentos e faturamento
  • Entrega de produtos de software e aplicações desenvolvidas
  • Prestação de suporte técnico e manutenção

1.3. Obrigação Legal (Artigo 6(1)(c))

Processamos dados para cumprimento de obrigações legais, como:

  • Registros contábeis e fiscais exigidos por autoridades competentes
  • Cumprimento de requisições judiciais e autoridades regulatórias
  • Preservação de evidências em processos legais
  • Conformidade com leis de segurança da informação e proteção de dados

1.4. Interesses Legítimos (Artigo 6(1)(f))

Processamos dados baseado em interesses legítimos da AXELLION, equilibrados com seus direitos, para:

  • Melhoria de serviços e desenvolvimento de produtos
  • Prevenção de fraudes e segurança de sistemas
  • Análise de uso de aplicações para otimização técnica
  • Comunicações comerciais diretas (com direito de oposição)

2.Seus Direitos sob GDPR (Capítulo III)

Como titular de dados na UE/EEE, você possui os seguintes direitos fundamentais:

2.1.Direito de Acesso (Artigo 15)

Você tem direito de obter confirmação sobre se processamos seus dados pessoais e, se sim, acessar:

  • Cópia dos dados pessoais que possuímos sobre você
  • Informações sobre finalidades, categorias de dados e base legal do processamento
  • Destinatários ou categorias de destinatários com quem compartilhamos dados
  • Período de retenção ou critérios utilizados para determinar esse período
  • Seus direitos de retificação, eliminação, limitação e oposição

2.2.Direito de Retificação (Artigo 16)

Você pode solicitar correção de dados pessoais inexatos ou incompletos sem demora indevida. Considerando as finalidades do processamento, você também tem direito de completar dados pessoais incompletos, inclusive mediante declaração complementar.

2.3.Direito ao Apagamento / "Direito ao Esquecimento" (Artigo 17)

Você pode solicitar apagamento de dados pessoais quando:

  • Os dados não são mais necessários para as finalidades para as quais foram coletados
  • Você retira seu consentimento e não há outra base legal para o processamento
  • Os dados foram processados ilegalmente
  • O apagamento é necessário para cumprimento de obrigação legal

Exceções: Podemos recusar apagamento se o processamento for necessário para exercício de liberdade de expressão, cumprimento de obrigação legal, exercício de função pública ou estabelecimento/exercício/defesa de direitos em processo judicial.

2.4.Direito à Limitação do Processamento (Artigo 18)

Você pode solicitar limitação do processamento (armazenamento sem processamento adicional) quando:

  • Contesta a exatidão dos dados (limitação durante período de verificação)
  • O processamento é ilegal e você se opõe ao apagamento
  • Não precisamos mais dos dados, mas você necessita para estabelecimento/exercício/defesa de direitos
  • Você se opôs ao processamento (limitação até verificação de interesses legítimos)

2.5.Direito à Portabilidade dos Dados (Artigo 20)

Você tem direito de receber seus dados pessoais em formato estruturado, de uso comum e legível por máquina, e de transmitir esses dados a outro controlador, quando:

  • O processamento é baseado em consentimento ou execução de contrato
  • O processamento é realizado por meios automatizados

Dados serão fornecidos em formatos abertos (JSON, CSV, XML) conforme viabilidade técnica.

2.6.Direito de Oposição (Artigo 21)

Você pode opor-se ao processamento de dados pessoais baseado em interesses legítimos ou processamento para fins de marketing direto, incluindo criação de perfis relacionada a tal marketing.

Quando você se opõe ao processamento para marketing, cessamos imediatamente o processamento para essas finalidades.

2.7.Direitos Relativos à Decisão Automatizada e Criação de Perfis (Artigo 22)

Você não será sujeito a decisões baseadas exclusivamente em processamento automatizado, incluindo criação de perfis, que produzam efeitos jurídicos ou o afetem significativamente. Exceções aplicam-se quando a decisão é necessária para execução de contrato, autorizada por lei ou baseada em consentimento explícito.

3.Como Exercer Seus Direitos GDPR

Para exercer qualquer um dos direitos acima, entre em contato conosco:

Contato do Encarregado de Proteção de Dados (DPO)

  • E-mail: dpo@axellion.com.br ou privacidade@axellion.com.br
  • Telefone: +55 (11) 99999-9999
  • Endereço Postal: [Endereço completo da empresa]

Informações Necessárias na Solicitação:

  • Identificação completa (nome, e-mail, número de documento)
  • Descrição clara do direito que deseja exercer
  • Especificação dos dados ou período de interesse
  • Verificação de identidade (para proteção de dados contra acesso não autorizado)

Prazo de Resposta: Responderemos sua solicitação sem demora indevida e, em qualquer caso, no prazo máximo de 1 (um) mês a partir do recebimento. Em casos complexos ou múltiplas solicitações, podemos prorrogar o prazo por mais 2 (dois) meses, comunicando você previamente.

4.Transferências Internacionais de Dados (Capítulo V)

Como empresa brasileira, a AXELLION pode processar dados pessoais de residentes da UE/EEE fora do território europeu. Realizamos transferências internacionais com garantias adequadas conforme Artigo 44-49 do GDPR:

4.1. Cláusulas Contratuais Padrão (SCCs)

Utilizamos Cláusulas Contratuais Padrão aprovadas pela Comissão Europeia (Decisão de Implementação (UE) 2021/914) em contratos com fornecedores que processam dados na UE ou em países terceiros. As SCCs garantem que:

  • Dados pessoais são processados apenas conforme instruções do controlador
  • Medidas técnicas e organizacionais adequadas são implementadas
  • Titulares de dados podem exercer seus direitos mesmo em transferências internacionais
  • Autoridades de supervisão têm acesso a informações sobre processamento

4.2. Provedores de Serviços em Nuvem

Utilizamos serviços de infraestrutura em nuvem que podem processar dados em múltiplas regiões:

  • Amazon Web Services (AWS): Certificado com SOC 2 Type II, oferece Data Processing Addendum (DPA) compatível com GDPR e permite seleção de região de processamento (incluindo regiões na UE).
  • Microsoft Azure: Oferece garantias de conformidade GDPR através de DPA e permite processamento exclusivo em regiões da UE.
  • Google Cloud Platform (GCP): Fornece DPA GDPR-compliant e opções de processamento em regiões europeias.

4.3. Garantias Adicionais

  • Criptografia de dados em trânsito (TLS 1.3) e em repouso (AES-256)
  • Auditorias regulares de segurança e conformidade
  • Notificação imediata de violações de dados pessoais
  • Direito de auditoria de processadores de dados por clientes (com aviso prévio razoável)

5.Notificação de Violações de Dados Pessoais (Artigo 33-34)

5.1. Notificação à Autoridade de Supervisão

Em caso de violação de dados pessoais que provavelmente resulte em risco para direitos e liberdades das pessoas, notificaremos a autoridade de supervisão competente (ex: CNIL na França, ICO no Reino Unido) sem demora indevida e, quando possível, no prazo máximo de 72 horas após tomarmos conhecimento.

A notificação incluirá:

  • Natureza da violação, categorias e número aproximado de titulares e registros afetados
  • Nome e dados de contato do DPO ou outro ponto de contato
  • Consequências prováveis da violação
  • Medidas propostas ou tomadas para remediar a violação e mitigar possíveis efeitos adversos

5.2. Comunicação aos Titulares de Dados

Quando a violação provavelmente resultar em alto risco para direitos e liberdades dos titulares, comunicaremos a violação diretamente aos afetados sem demora indevida, exceto quando:

  • Tenhamos implementado medidas técnicas e organizacionais adequadas que tornem os dados incompreensíveis (ex: criptografia forte)
  • Tenhamos tomado medidas subsequentes que garantam que o alto risco não seja mais provável
  • A comunicação exigiria esforços desproporcionais (neste caso, faremos comunicação pública)

5.3. Plano de Resposta a Incidentes

Mantemos um Plano de Resposta a Violações de Dados que inclui:

  • Procedimentos de detecção e contenção imediata de violações
  • Análise forense e avaliação de risco para direitos dos titulares
  • Comunicação coordenada com autoridades e titulares afetados
  • Documentação completa do incidente para fins de conformidade e aprendizado
  • Revisão pós-incidente e implementação de medidas corretivas

6.Processadores de Dados e Subcontratados (Artigo 28-29)

Quando a AXELLION atua como processador de dados (processando dados em nome de clientes que são controladores), ou quando contratamos processadores terceirizados, garantimos:

6.1. Contratos com Processadores

Todos os processadores são contratados mediante contratos escritos que incluem:

  • Obrigação de processar dados apenas conforme instruções do controlador
  • Garantias de confidencialidade e segurança dos dados
  • Obrigação de auxiliar o controlador no cumprimento de direitos dos titulares
  • Notificação imediata de violações de dados pessoais
  • Devolução ou eliminação de dados ao término do processamento
  • Permissão para auditorias de conformidade pelo controlador ou autoridade competente

6.2. Subcontratação

Quando um processador subcontrata outro processador ("subprocessador"), aplicam-se as mesmas obrigações contratuais. A AXELLION informa clientes sobre novos subprocessadores e permite objeção fundamentada.

6.3. Lista de Processadores Principais

Principais processadores que utilizamos para serviços GDPR-relevantes:

  • Infraestrutura: AWS (EU/EEA regions), Azure (EU datacenters), GCP (EU regions)
  • Analytics: Google Analytics (com IP anonymization), Mixpanel
  • Comunicação: SendGrid, Mailchimp (com DPA GDPR-compliant)
  • Desenvolvimento: GitHub (com DPA), GitLab
  • Pagamentos: Stripe (PCI DSS Level 1, GDPR-compliant)

7.Princípios de Proteção de Dados (Artigo 5)

A AXELLION adere rigorosamente aos princípios fundamentais do GDPR:

7.1. Licitude, Lealdade e Transparência

Processamos dados de forma lícita, justa e transparente. Informamos claramente sobre coleta, finalidades e direitos dos titulares.

7.2. Limitação da Finalidade

Coletamos dados apenas para finalidades específicas, explícitas e legítimas, não processando de forma incompatível com essas finalidades.

7.3. Minimização de Dados

Coletamos e processamos apenas dados pessoais adequados, relevantes e limitados ao necessário para finalidades do tratamento.

7.4. Exatidão

Mantemos dados pessoais exatos e atualizados. Tomamos medidas para apagar ou retificar dados inexatos sem demora.

7.5. Limitação da Conservação

Mantemos dados apenas pelo tempo necessário para finalidades do processamento, com critérios claros de retenção e eliminação.

7.6. Integridade e Confidencialidade

Implementamos medidas técnicas e organizacionais apropriadas para garantir segurança dos dados, incluindo proteção contra processamento não autorizado, perda, destruição ou dano.

8.Encarregado de Proteção de Dados (DPO) - Artigo 37-39

A AXELLION designou um Encarregado de Proteção de Dados (Data Protection Officer - DPO) conforme exigido pelo GDPR para supervisionar conformidade e servir como ponto de contato para titulares de dados e autoridades de supervisão.

Contato do DPO

  • Nome: [Nome do DPO]
  • E-mail: dpo@axellion.com.br
  • Telefone: +55 (11) 99999-9999
  • Endereço: [Endereço completo da empresa]

Responsabilidades do DPO:

  • Informar e aconselhar sobre obrigações de proteção de dados
  • Monitorar conformidade com GDPR e políticas internas
  • Treinar funcionários em proteção de dados
  • Realizar auditorias de conformidade
  • Cooperar com autoridades de supervisão
  • Servir como ponto de contato para titulares de dados

9.Direito de Apresentar Reclamação (Artigo 77)

Sem prejuízo de qualquer outro recurso administrativo ou judicial, você tem direito de apresentar reclamação junto a uma autoridade de supervisão, especialmente no Estado-Membro da UE/EEE onde reside, trabalha ou onde ocorreu alegada violação, se considerar que o processamento de dados pessoais que lhe digam respeito viola o GDPR.

9.1. Autoridades de Supervisão Principais

  • França: CNIL (Commission Nationale de l'Informatique et des Libertés) - cnil.fr
  • Alemanha: BfDI (Bundesbeauftragter für den Datenschutz) - bfdi.bund.de
  • Reino Unido: ICO (Information Commissioner's Office) - ico.org.uk
  • Espanha: AEPD (Agencia Española de Protección de Datos) - aepd.es
  • Portugal: CNPD (Comissão Nacional de Proteção de Dados) - cnpd.pt

Importante: Recomendamos entrar em contato primeiro com nosso DPO antes de apresentar reclamação, para que possamos resolver questões de forma amigável. Estamos comprometidos em resolver disputas de forma colaborativa e respeitosa.

10.Atualizações e Conformidade Contínua

Esta página de conformidade GDPR é atualizada periodicamente para refletir mudanças em nossas práticas, interpretações legais ou atualizações regulatórias. Notificaremos sobre alterações significativas através de:

  • E-mail para titulares de dados com registros ativos
  • Notificação em nossos websites e aplicações
  • Atualização da data de "última atualização"

Compromisso com Conformidade

A AXELLION está comprometida em manter conformidade contínua com GDPR através de auditorias regulares, treinamento da equipe, atualização de políticas e implementação de melhorias técnicas e organizacionais. Monitoramos ativamente desenvolvimentos regulatórios e orientações de autoridades de supervisão para garantir que nossas práticas permaneçam alinhadas com os mais altos padrões de proteção de dados.