Política de Privacidade

1. Quem somos

A Claryn Tecnologia e Inovação Ltda., inscrita no CNPJ sob nº 66.688.275/0001-78, com sede na Avenida das Américas, 4200, Bloco 01, Sala 305 - Centro Empresarial Barra Shopping, Barra da Tijuca, Rio de Janeiro - RJ, 22640-907, doravante denominada "Claryn", é a desenvolvedora e fornecedora da plataforma SaaS Claryn — uma solução de Governança, Riscos e Compliance (GRC), segurança da informação e privacidade voltada a empresas brasileiras.

A Claryn está comprometida com a transparência, a ética e a proteção de dados pessoais. Esta Política de Privacidade descreve como coletamos, usamos, compartilhamos, armazenamos e protegemos dados pessoais em todas as nossas superfícies de uso.

2. Aplicação desta Política

Esta Política se aplica ao tratamento de dados pessoais realizado pela Claryn em todas as suas superfícies, incluindo, sem limitação:

O site institucional (claryn.com.br ou domínios equivalentes);
A plataforma SaaS Claryn, em todos os seus ambientes (Portal, Sala de Auditoria, Back Office interno);
Os canais públicos e semipúblicos operados pela Claryn ou por seus clientes sobre a infraestrutura Claryn (Portal do Titular, Canal de Denúncia, Secure Exchange, Trust Center);
Comunicações comerciais e operacionais realizadas por e-mail, telefone ou outros meios;
Atendimento a contatos de suporte, privacidade, segurança e comercial.

Esta Política deve ser lida em conjunto com os Termos de Uso, o Contrato de Prestação de Serviços, o Acordo de Tratamento de Dados (DPA), a Política de Cookies, a Lista de Sub-operadores e demais documentos aplicáveis firmados com cada cliente.

3. Definições

Para fins desta Política, adotamos as definições da Lei Geral de Proteção de Dados Pessoais — Lei nº 13.709/2018 (LGPD):

Dado pessoal: informação relacionada a pessoa natural identificada ou identificável.
Dado pessoal sensível: dado sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.
Tratamento: toda operação realizada com dados pessoais.
Titular: pessoa natural a quem se referem os dados pessoais.
Controlador: pessoa a quem competem as decisões referentes ao tratamento de dados pessoais.
Operador: pessoa que realiza o tratamento de dados pessoais em nome do Controlador.
Encarregado (DPO): pessoa indicada para atuar como canal de comunicação entre Controlador, titulares e a Autoridade Nacional de Proteção de Dados (ANPD).

4. Princípios e compromissos da Claryn

A Claryn estrutura seu tratamento de dados pessoais em torno dos seguintes compromissos:

Não vendemos dados pessoais. A Claryn é uma ferramenta de governança e privacidade — vender dados contradiria a essência do nosso produto e da nossa missão.
Não compartilhamos dados com fins de marketing de terceiros. Não monetizamos dados de clientes, colaboradores, denunciantes, titulares ou usuários por meio de cessão a parceiros comerciais.
Minimização: coletamos apenas o que é necessário para a finalidade declarada.
Privacy by Design e by Default: privacidade é considerada desde a concepção dos produtos.
Criptografia desde o início: dados pessoais identificáveis são protegidos por criptografia em camadas.
Transparência: descrevemos nossos tratamentos de forma clara, em linguagem acessível.
Auditabilidade: mantemos trilhas de acesso e operação para fins de prestação de contas.
Hospedagem no Brasil: todos os dados pessoais sob responsabilidade da Claryn são processados e armazenados em infraestrutura localizada em território brasileiro.

5. Papéis: quando somos Controlador e quando somos Operador

A Claryn pode atuar em papéis diferentes dependendo do contexto do tratamento.

5.1 Claryn como Controladora

A Claryn é Controladora dos dados pessoais que ela própria decide tratar, incluindo:

Visitantes do site institucional;
Leads e prospects que entram em contato pelos nossos canais;
Inscritos em newsletter, quando aplicável;
Usuários administradores dos clientes, no que diz respeito ao acesso à plataforma (autenticação, sessões, segurança);
Colaboradores e prestadores da própria Claryn;
Candidatos em processos seletivos da Claryn.

Nessas hipóteses, a Claryn define as finalidades e os meios essenciais do tratamento.

5.2 Claryn como Operadora

A Claryn atua como Operadora quando trata dados pessoais em nome dos seus clientes, no contexto da prestação dos serviços contratados. Nessa hipótese:

O cliente é o Controlador e define finalidades e bases legais do tratamento.
A Claryn segue as instruções documentadas do cliente, conforme Acordo de Tratamento de Dados (DPA).
A Claryn não utiliza esses dados para finalidades próprias, exceto operação técnica do serviço, segurança e cumprimento de obrigações legais.

São exemplos de dados tratados como Operadora: dados de colaboradores, titulares, fornecedores, terceiros, arquivos enviados pelo Secure Exchange, evidências, riscos, políticas, registros de auditoria, contratos, DPAs, registros de incidentes, mapeamentos de dados, fluxos de privacidade e demais informações utilizadas em módulos contratados pelo cliente.

6. Dados pessoais que tratamos

A natureza dos dados varia conforme a superfície e o papel da Claryn. De forma geral, podemos tratar:

Identificação e contato: nome, e-mail corporativo, telefone, cargo, empresa, departamento, idioma e fuso horário.
Autenticação e acesso: identificador de usuário, e-mail de login, status da conta, credenciais (sempre protegidas por hash), tokens, fatores de autenticação multifator (MFA), passkeys, registros de login, IPs, agentes de usuário, logs de autenticação.
Uso e telemetria: logs de acesso, ações realizadas na plataforma, datas e horários, identificadores de sessão, eventos de auditoria, navegador, sistema operacional, dispositivo, páginas acessadas.
Profissionais e organizacionais: departamento, time, localidade, gestor, função, escopos atribuídos.
Comunicação: conteúdo de mensagens em comentários, chats contextuais, anexos, evidências, denúncias e solicitações de titular.
Suporte: solicitações enviadas à Claryn, anexos em chamados, registros de atendimento e metadados técnicos úteis para diagnóstico.
Financeiros e contratuais (clientes): razão social, CNPJ, dados de faturamento, dados do responsável pelo contrato, plano e módulos contratados, histórico de relacionamento.
Dados sensíveis: em regra, a Claryn não trata dados sensíveis para finalidades próprias. Quando ocorre — por exemplo, em denúncias ou solicitações de titular — isso se dá por decisão do Controlador (cliente), com base legal por ele definida, e a Claryn aplica salvaguardas adicionais.

A Claryn não armazena senhas em texto claro. Senhas são protegidas por mecanismos criptográficos adequados.

7. Finalidades e bases legais

A Claryn trata dados pessoais para as finalidades a seguir, com fundamento nas bases legais previstas na LGPD:

Finalidade	Base legal (LGPD)
Prestar os serviços contratados (operação da plataforma SaaS)	Execução de contrato (art. 7º, V)
Autenticar usuários, prevenir fraudes e proteger contas	Legítimo interesse e cumprimento de obrigação legal (art. 7º, II e IX)
Manter trilhas de auditoria e segurança	Cumprimento de obrigação legal e legítimo interesse (art. 7º, II e IX)
Faturamento, cobrança e cumprimento de obrigações fiscais	Cumprimento de obrigação legal (art. 7º, II)
Atender solicitações de titulares	Cumprimento de obrigação legal (art. 7º, II)
Prestar suporte e responder a chamados	Execução de contrato (art. 7º, V)
Responder a contatos comerciais e leads	Procedimentos preliminares de contrato (art. 7º, V)
Enviar comunicações transacionais	Execução de contrato (art. 7º, V)
Enviar newsletter e comunicações informativas voluntárias	Consentimento (art. 7º, I)
Análise de uso do site e melhoria da experiência (cookies não essenciais)	Consentimento (art. 7º, I)
Melhoria da plataforma com dados agregados ou anonimizados	Legítimo interesse (art. 7º, IX)
Defesa em processos judiciais, administrativos ou arbitrais	Exercício regular de direitos (art. 7º, VI)
Cumprimento de determinações de autoridades competentes	Cumprimento de obrigação legal (art. 7º, II)

Quando atuamos como Operadora, a base legal é definida pelo Controlador (cliente).

8. Compartilhamento de dados

A Claryn não vende, aluga, cede ou comercializa dados pessoais sob qualquer hipótese. O compartilhamento ocorre apenas nas seguintes situações:

Sub-operadores: provedores de infraestrutura, hospedagem, monitoramento, e-mail transacional, processamento de pagamento e ferramentas operacionais essenciais à prestação do serviço (ver Seção 9).
Parceiros comerciais e de suporte: eventualmente, parceiros como a Clavis Segurança da Informação podem ter acesso a dados estritamente necessários para venda, suporte ou implementação, sob obrigações contratuais equivalentes às da Claryn.
Clientes e usuários autorizados: quando a Claryn atua como Operadora, dados inseridos na plataforma podem ser acessados por usuários autorizados pelo próprio cliente, conforme configurações de acesso, permissões e módulos contratados.
Autoridades competentes: em cumprimento a ordens judiciais, requisições de autoridades públicas ou obrigações legais.
Operações societárias: em caso de fusão, aquisição, reorganização ou venda de ativos, com manutenção dos compromissos desta Política.
Por instrução do cliente (Claryn como Operadora): quando o cliente, como Controlador, determina o compartilhamento com terceiros via integrações ou exportações.

O que a Claryn nunca faz: vender dados pessoais; compartilhar com redes de anúncios ou brokers de dados; usar dados de clientes para treinar modelos de IA de terceiros.

9. Sub-operadores e infraestrutura

A Claryn utiliza sub-operadores cuidadosamente selecionados para viabilizar a operação do serviço. Todos os dados pessoais sob responsabilidade da Claryn são processados e armazenados em datacenters localizados no Brasil.

A lista atualizada de sub-operadores fica disponível no Trust Center dos clientes contratantes. As principais categorias incluem:

Hospedagem e cloud (datacenters em território brasileiro);
Banco de dados gerenciado e cache;
E-mail transacional e notificações;
Processamento de pagamento e faturamento;
Monitoramento, observabilidade e logs;
Suporte ao cliente (sistemas de ticket).

A Claryn avalia previamente a postura de segurança e privacidade de cada sub-operador e firma instrumentos contratuais que os vinculam a obrigações compatíveis com esta Política e com a LGPD.

10. Transferência internacional de dados

Atualmente, a Claryn mantém todos os dados pessoais sob sua responsabilidade em território brasileiro. Caso, no futuro, passe a realizar transferências internacionais, esta Política será atualizada e o tratamento observará as garantias previstas no Capítulo V da LGPD, incluindo cláusulas contratuais padrão, decisões de adequação ou outros mecanismos válidos.

A lista de sub-operadores indicará, sempre que aplicável, a localização ou região principal de processamento de cada fornecedor.

11. Retenção e eliminação

Os dados pessoais são mantidos pelo tempo necessário ao cumprimento das finalidades declaradas e das obrigações legais aplicáveis:

Categoria	Prazo de retenção
Dados de conta de usuário ativo	Enquanto durar a relação contratual
Dados de conta após encerramento	Até 30 dias para exportação, depois eliminação ou anonimização, salvo obrigação legal
Logs de auditoria e segurança	Até 6 anos, conforme exigências regulatórias
Dados financeiros e fiscais	5 anos (ou prazo legal aplicável, o que for maior)
Comunicações comerciais e leads	Até 24 meses sem interação ou até a revogação do consentimento
Dados de suporte	Pelo prazo necessário ao atendimento, histórico e melhoria do serviço
Cookies não essenciais	Conforme prazo declarado na Plataforma de Consentimento da Claryn
Dados em Canal de Denúncia	Conforme política do cliente Controlador
Solicitações de titular (DSAR)	Pelo prazo necessário à comprovação do atendimento
Backups	Conforme ciclo técnico de backup e retenção

Após o término dos prazos, os dados são eliminados ou anonimizados de forma segura. A exclusão de dados pode não ocorrer imediatamente em backups, logs de segurança ou registros necessários para cumprimento legal, prevenção a fraudes, auditoria ou exercício regular de direitos.

12. Segurança da informação

A Claryn é uma plataforma de segurança e privacidade — segurança é parte do produto, não um adendo. Adotamos medidas técnicas e administrativas, incluindo:

Criptografia em repouso e em trânsito (TLS 1.2+);
Criptografia adicional de PII em camada de aplicação, com chaves segregadas;
Controle de acesso por papéis e escopos (RBAC + Scope Pattern);
Autenticação multifator (MFA) e suporte a passkeys;
Trilhas de auditoria de acesso e operações sensíveis;
Segregação de ambientes (Admin Console, Portal do Colaborador, superfícies públicas, Back Office interno);
Hardening de infraestrutura, gestão de segredos e gestão de vulnerabilidades;
Backups regulares e testes de restauração;
Plano de resposta a incidentes;
Treinamento contínuo dos colaboradores em segurança e privacidade;
Princípio do menor privilégio para acessos administrativos internos, com MFA obrigatório e registro auditável.

Nenhum sistema é completamente imune a riscos. A Claryn trabalha para reduzir riscos de forma proporcional à natureza dos dados, ao contexto do tratamento e à maturidade da plataforma.

13. Incidentes de segurança

Caso a Claryn identifique incidente de segurança envolvendo dados pessoais, adotará medidas para avaliar, conter, investigar e mitigar o evento.

Quando aplicável, a Claryn comunicará clientes, titulares ou autoridades competentes conforme obrigações legais e contratuais. Quando a Claryn atuar como Controladora e houver incidente que possa acarretar risco ou dano relevante aos titulares, a comunicação à ANPD e aos titulares observará o prazo regulatório de 3 dias úteis, ressalvado prazo específico previsto em legislação aplicável.

Quando a Claryn atuar como Operadora, a comunicação ao Controlador será feita conforme o Acordo de Tratamento de Dados e demais termos contratuais aplicáveis.

14. Direitos dos titulares

Nos termos do art. 18 da LGPD, o titular tem direito a:

Confirmação da existência de tratamento;
Acesso aos dados;
Correção de dados incompletos, inexatos ou desatualizados;
Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
Portabilidade dos dados, conforme regulamentação aplicável;
Eliminação dos dados tratados com consentimento;
Informação sobre compartilhamento e sobre a possibilidade de não fornecer consentimento e suas consequências;
Revogação do consentimento;
Oposição a tratamento realizado em desconformidade com a LGPD;
Revisão de decisões tomadas unicamente com base em tratamento automatizado, quando afetarem seus interesses.

14.1 Como exercer seus direitos

Quando a Claryn é Controladora: envie sua solicitação para privacidade@claryn.com.br ou utilize o Portal do Titular em dsar.claryn.io.
Quando a Claryn é Operadora: as solicitações devem ser direcionadas ao cliente Controlador (a empresa que coleta seus dados). A Claryn apoiará o cliente no atendimento, conforme o DPA.

A Claryn responderá em prazo razoável, conforme art. 19 da LGPD, e poderá solicitar informações adicionais para confirmar a identidade do titular.

15. Cookies e tecnologias similares

O site institucional da Claryn utiliza cookies e tecnologias similares categorizados em:

Essenciais: necessários ao funcionamento (sessão, autenticação, segurança). Não dependem de consentimento.
Analíticos / desempenho: ajudam a entender como o site é usado. Dependem de consentimento.
Funcionalidade: lembram preferências do usuário.
Marketing: a Claryn não utiliza cookies de marketing comportamental nem compartilha identificadores com redes de anúncios.

Você pode, a qualquer momento, revisar e alterar suas preferências clicando em "Preferências de cookies" no site. A plataforma SaaS (áreas autenticadas) utiliza somente cookies estritamente necessários ao funcionamento, autenticação e segurança.

16. Comunicações por e-mail

A Claryn envia dois tipos de comunicação:

Transacionais e operacionais — relacionadas à execução do serviço (autenticação, alertas de segurança, notificações de tarefa, faturas, mudanças contratuais). Não dependem de consentimento e não podem ser canceladas enquanto houver relação contratual.
Newsletter e comunicações informativas — voluntárias, baseadas em consentimento explícito. Você pode cancelar a qualquer momento pelo link de descadastro presente em cada e-mail ou solicitando ao DPO.

A Claryn não realiza marketing de produtos de terceiros, não vende listas e não compartilha contatos com parceiros comerciais para fins de prospecção.

17. Inteligência Artificial

A Claryn utiliza recursos de IA em algumas funcionalidades da plataforma (assistente contextual, sugestões de riscos e controles, classificação de evidências, geração de artefatos). Quanto a esses usos:

A IA opera dentro do contexto autorizado do cliente, respeitando escopos, papéis e permissões;
Dados de clientes não são utilizados para treinar modelos de IA de terceiros;
Quando provedores externos de IA são utilizados, são selecionados sob critérios contratuais que vedam o uso dos dados para treinamento ou finalidades próprias do provedor;
Decisões automatizadas que afetem direitos dos titulares são identificadas e podem ser objeto de revisão humana, nos termos da LGPD.

Quando funcionalidades de IA estiverem habilitadas, a Claryn informará, em documento específico ou aviso complementar, quais funcionalidades utilizam IA, quais dados podem ser processados, quais fornecedores estão envolvidos, quais controles estão disponíveis ao cliente e quais limitações se aplicam aos resultados gerados.

18. Crianças e adolescentes

A plataforma Claryn é destinada exclusivamente a uso corporativo por adultos. A Claryn não coleta intencionalmente dados de crianças ou adolescentes. Caso identifique tratamento indevido, eliminará os dados imediatamente.

Caso clientes insiram dados de crianças ou adolescentes na plataforma, o cliente será responsável por avaliar a base legal, a necessidade, a proporcionalidade e as salvaguardas aplicáveis.

19. Avisos específicos por superfície

19.1 Site institucional

Finalidade: apresentação institucional, captação de leads, materiais informativos.
Dados típicos: dados de navegação, IP, cookies (conforme consentimento), e-mail e nome em formulários de contato.
Papel: Claryn é Controladora.
Bases legais: consentimento (cookies não essenciais, newsletter), procedimentos preliminares de contrato (formulários comerciais), legítimo interesse (segurança).

19.2 Portal Claryn (app.claryn.io)

Finalidade: operação da plataforma por administradores e colaboradores das empresas-clientes, incluindo configuração, governança, tarefas, políticas, evidências e fluxos de trabalho.
Papel: Claryn é Operadora dos dados que o cliente insere; Controladora apenas quanto aos dados de acesso, sessão e segurança da própria conta.
Importante: se você é colaborador de uma empresa que utiliza a Claryn, a empresa é a Controladora dos seus dados. Para exercer seus direitos como titular, contate o Encarregado da sua empresa empregadora.

19.3 Portal do Titular (DSAR)

Finalidade: receber e processar solicitações de titulares dirigidas aos clientes da Claryn.
Papel: Claryn é Operadora; o cliente que recebe a solicitação é o Controlador.
Garantias: linguagem simples, acompanhamento por protocolo, segregação dos dados de solicitação.

19.4 Canal de Denúncia

Finalidade: permitir registro de denúncias de forma identificada ou anônima.
Papel: Claryn é Operadora; o cliente é Controlador.
Garantias específicas: não rastreamos identificadores que possam expor denunciantes anônimos; acessos ao conteúdo são fortemente segregados; trilhas de auditoria preservam confidencialidade.

19.5 Secure Exchange

Finalidade: troca segura de arquivos e mensagens entre o cliente e terceiros.
Papel: Claryn é Operadora.
Garantias: criptografia em camadas, expiração de links, autenticação por OTP/login externo conforme configuração, registro de auditoria.

19.6 Sala de Auditoria (Audit Room)

Finalidade: ambiente dedicado para auditores externos acessarem evidências liberadas seletivamente.
Papel: Claryn é Operadora.
Garantias: acesso temporário, escopo controlado, liberação seletiva, trilha de leitura detalhada, expiração de convite.

19.7 Trust Center

Finalidade: publicar postura de segurança, certificações, políticas e documentos de confiança do cliente.
Papel: Claryn é Operadora; o cliente decide o que é publicado.

19.8 Back Office (operação interna da Claryn)

Finalidade: ambiente exclusivamente interno usado pela equipe da Claryn para operar a plataforma — administração de tenants, suporte, faturamento, ativação de módulos, auditoria de plataforma.
Papel: restrito a operadores internos da Claryn, sob MFA/passkey obrigatório, papel global de plataforma e auditoria forte de todas as ações.
Importante: clientes não têm e nunca terão acesso ao Back Office. Acessos são time-bound e auditáveis.

20. Encarregado pelo Tratamento de Dados (DPO)

O Encarregado da Claryn é o canal oficial de comunicação com titulares e com a ANPD.

Nome / Razão Social do Encarregado: Claryn Tecnologia e Inovação Ltda.
E-mail: privacidade@claryn.com.br

Para solicitações que envolvam dados tratados por um cliente da Claryn (em que somos Operadora), encaminhe primeiro o pedido ao Encarregado da empresa Controladora. A Claryn apoiará o cliente no atendimento à sua solicitação.

21. Atualizações desta Política

Esta Política poderá ser atualizada periodicamente para refletir mudanças legais, regulatórias, técnicas, operacionais ou comerciais. Sempre que houver alteração relevante:

A versão e a data de "Última atualização" serão modificadas;
Notificaremos os clientes ativos por e-mail ou pela própria plataforma;
Para alterações materiais que ampliem finalidades sujeitas a consentimento, solicitaremos novo consentimento.

Versões anteriores ficam disponíveis mediante solicitação ao Encarregado.

22. Lei aplicável e foro

Esta Política é regida pelas leis da República Federativa do Brasil, em especial pela LGPD, pelo Marco Civil da Internet e pelo Código de Defesa do Consumidor quando aplicável. Fica eleito o foro da comarca do Rio de Janeiro - RJ para dirimir eventuais controvérsias, salvo disposição legal em contrário em favor do consumidor ou do titular.

23. Idioma

Esta versão em português é a versão oficial e prevalecerá em caso de conflito com qualquer tradução. Versões em outros idiomas são fornecidas apenas por conveniência.

24. Contato

Encarregado / DPO: privacidade@claryn.com.br
Suporte: suporte@claryn.com.br
Segurança / divulgação responsável: seguranca@claryn.com.br
Comercial e contato geral: contato@claryn.com.br

Você também pode registrar reclamações junto à Autoridade Nacional de Proteção de Dados (ANPD) em gov.br/anpd.