Política de Privacidade — visitantes públicos
Esta política descreve como o Lastreo trata dados de visitantes do site
público (https://lastreo.com incluindo
/docs-public/, /dashboard/ e /sandbox/).
1. Quem somos
Lastreo é um produto B2B de tecnologia médica operado por Olympos Group SAS (sociedade por ações simplificada constituída segundo as leis da República Oriental do Uruguai, RUT 220801580010). Infraestrutura técnica em território brasileiro (servidor em Oracle Cloud São Paulo). Contato para questões de privacidade e Encarregado pelo tratamento de dados (DPO interino): [email protected].
2. O que coletamos de visitantes públicos
Ao navegar nas páginas públicas (/docs-public/, este site, etc.),
coletamos via logs do servidor web:
- Endereço IP (truncado para os primeiros 3 octetos após 7 dias)
- User-Agent do navegador
- Páginas visitadas e timestamps
- Status HTTP da resposta
Não usamos cookies de rastreamento, analytics de terceiros (Google Analytics,
etc.) ou pixels de remarketing. O site é estático sem JavaScript de
tracking. O único storage no navegador é localStorage no
/dashboard/ para armazenar o token JWT de autenticação — limpo no logout
ou após expiração.
3. O que coletamos de usuários do dashboard B2B
Usuários com role client_admin que usam
https://lastreo.com/dashboard/ têm:
- Email e nome completo (fornecidos no onboarding pelo admin Lastreo)
- Senha hasheada com bcrypt (cost factor 12)
- Token JWT de sessão (60 min de duração)
- Refresh tokens (revogáveis via logout)
- Audit trail das ações executadas (criação de API key, configuração de webhook, etc.)
4. Base legal (LGPD)
Tratamos os dados de visitantes com base em:
- Legítimo interesse (Art. 7º IX) — logs do servidor para segurança, debug operacional e prevenção de abuso. Retenção 90 dias.
- Execução de contrato (Art. 7º V) — dados do
client_adminsão necessários para prestar o serviço contratado.
5. Compartilhamento
Não vendemos, alugamos ou compartilhamos dados de visitantes.
Sub-operadores (Google para entrega de email SMTP, Oracle Cloud para hospedagem)
estão listados publicamente em
/api/v1/subprocessors.
6. Seus direitos
Conforme LGPD Art. 18, você pode solicitar a qualquer momento:
- Confirmação da existência de tratamento
- Acesso aos dados
- Correção de dados incompletos ou desatualizados
- Anonimização ou eliminação
- Portabilidade
- Informação sobre uso compartilhado
- Revogação de consentimento
Solicitações: email para [email protected]. Resposta em até 15 dias úteis (ANPD recomenda).
7. Segurança
Field-level encryption (Fernet AES-128) em PII sensível no banco. TLS em trânsito (HTTPS público + TLSv1.3 backend↔postgres). Backup encriptado at-rest (AES-256-CBC). Audit log universal append-only via trigger PostgreSQL. Error tracking 100% in-house (sem Sentry SaaS).
8. Alterações
Alterações materiais nesta política são publicadas nesta página com nova data e, se você for usuário do dashboard, comunicadas por email.