Política de Privacidade — CASI Ponto

Esta Política descreve como o CASI Ponto coleta, utiliza, armazena e protege seus dados pessoais, em conformidade com a Lei Geral de Proteção de Dados (Lei 13.709/2018).

1. Quem somos

O controlador dos dados é a empresa empregadora cadastrada na plataforma. A operação técnica do serviço é realizada pela equipe responsável pelo CASI Ponto, atuando como operador.

2. Quais dados coletamos

2.1. Dados de identificação

• Nome completo, e-mail, username;
• PIS/PASEP ou CPF (exigência da Portaria 671 para o comprovante);
• Cargo / papel na empresa.

2.2. Dado biométrico (foto facial)

• Foto do rosto tirada no momento do registro de ponto;
• Base legal: consentimento explícito (LGPD Art. 11, II, "a") + cumprimento de obrigação legal trabalhista;
• Detecção facial automática (sem reconhecimento — não identificamos a pessoa, apenas verificamos a presença de rosto na imagem);
• Não compartilhamos a foto com terceiros nem usamos para nenhuma outra finalidade.

2.3. Dados de localização (geolocalização)

• Latitude e longitude no momento do registro;
• Base legal: consentimento + execução de contrato de trabalho (validar localização da prestação de serviço);
• Não fazemos rastreamento contínuo — coletamos apenas no momento do clique em "registrar ponto".

2.4. Dados de jornada

• Data, hora e tipo de cada registro (entrada, intervalo, saída);
• Ajustes solicitados pelo colaborador e aprovações do admin;
• Saldo de banco de horas, ausências (atestados, férias, licenças).

2.5. Dados técnicos

• Endereço IP no momento das ações;
• Modelo do dispositivo móvel, sistema operacional (anti-fraude);
• Token de push notification (para notificar aprovações).

3. Finalidades

• Cumprimento de obrigação legal (Portaria 671/MTP, CLT);
• Cálculo de jornada, banco de horas, horas extras;
• Prevenção de fraude (validação de localização e identidade visual);
• Geração de comprovantes, AFD e AEJ para auditoria fiscal/trabalhista;
• Notificação de aprovações/rejeições de ponto.

4. Compartilhamento

Seus dados são compartilhados apenas com:

• Sua empresa empregadora (controlador);
• Auditoria fiscal (quando solicitado por autoridade competente);
• Provedores técnicos de infraestrutura de nuvem (armazenamento de fotos e backup), sob contrato de operador com cláusulas LGPD aplicáveis.

Não vendemos, alugamos ou compartilhamos dados com terceiros para fins de marketing.

5. Por quanto tempo armazenamos

• Registros de ponto: 5 anos (mínimo legal trabalhista, art. 7º XXIX CF);
• Foto facial: 5 anos (vinculada ao registro de ponto como prova);
• Dados de cadastro: enquanto o vínculo empregatício estiver ativo + 5 anos após desligamento;
• Logs técnicos: 6 meses.

6. Seus direitos (LGPD Art. 18)

Você tem direito a:

• Confirmação da existência de tratamento dos seus dados;
• Acesso aos dados (download do espelho de ponto, histórico completo);
• Correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade;
• Portabilidade dos dados para outro fornecedor (exportação CSV/JSON);
• Eliminação dos dados tratados com base no consentimento, exceto registros que devem ser conservados por obrigação legal;
• Revogação do consentimento a qualquer momento — mas isso implica em não poder utilizar o ponto eletrônico (que depende da foto).

Para exercer qualquer direito, contate o Encarregado de Proteção de Dados (DPO) no e-mail informado no rodapé desta página.

7. Segurança

• Senhas armazenadas com bcrypt (hash com salt);
• Token de sessão JWT com expiração;
• 2FA TOTP opcional;
• Fotos servidas apenas com autenticação;
• Comunicação criptografada (HTTPS) — em deploy de produção;
• Audit log imutável de todas as ações administrativas;
• Backup diário em região geográfica separada.

8. Cookies e tecnologias similares

O painel administrativo usa localStorage para armazenar token de sessão e preferências (tema claro/escuro, densidade). Não usamos cookies de rastreamento publicitário.

9. Transferência internacional

Os dados são processados e armazenados em servidores localizados no Brasil. Não há transferência internacional de dados.

10. Alterações nesta Política

Esta Política pode ser atualizada. Alterações materiais resultam em incremento da versão e nova solicitação de consentimento ao colaborador.