DOCUMENTO LEGAL · M2 DIGITAL
Política de Privacidade e Segurança
Como a M2 Digital coleta, usa e protege dados pessoais — no site, na consultoria e no RDO Digital. Linguagem clara, sem rodeio jurídico onde der.
ÚLTIMA ATUALIZAÇÃO: 14 DE JUNHO DE 2026 · VERSÃO 3.0
Resumo em uma frase: coletamos só o necessário pra falar com você, prestar a consultoria ou operar o RDO Digital — e nada mais. Não vendemos dados a terceiros, não usamos rastreadores no site, hospedamos no Brasil, e você pode pedir cópia, correção ou exclusão a qualquer momento por pablo.martins@m2solucoes.com.br.
1. Quem somos
A M2 Digital (consultoria de tecnologia operada por Pablo Martins, Brasil) presta serviços de consultoria — incluindo a Consultoria Diagnóstica Jurídica — e mantém produtos de software, como o RDO Digital. Quando este documento diz "nós", se refere à M2 Digital. "Você" é quem visita o site, pede uma proposta, contrata a consultoria ou usa nossos sistemas.
O papel da M2 muda conforme o contexto:
- Site e formulário de contato (m2solucoes.com.br): a M2 é controladora direta dos dados que você envia.
- Consultoria / diagnóstico: a M2 é controladora dos dados de contato e proposta; quanto aos documentos e informações que o cliente compartilha durante o engajamento, atua como operadora, sob as instruções e o contrato com o cliente.
- RDO Digital: para os dados criados dentro do sistema, o controlador é a empresa-cliente; a M2 atua como operadora.
2. Quais dados coletamos
2.1 Pelo formulário de contato do site
- Seu nome e e-mail profissional
- Nome da empresa ou escritório
- Porte / nº de obras (faixa), conforme a página
- Texto livre que você decidir digitar no campo "contexto" (opcional)
2.2 No engajamento de consultoria
Durante um diagnóstico ou projeto, processamos as informações que o cliente compartilha conosco — por exemplo: organograma, inventário de software, planilhas de custos de TI, contratos e documentos operacionais, além do que é coletado em entrevistas. Esses materiais podem conter dados pessoais de colaboradores do cliente (nome, cargo, e-mail). Tratamos tudo como confidencial, sob o contrato de consultoria, e usamos apenas para a finalidade do engajamento — nunca para outros fins.
2.3 No cadastro do RDO Digital (signup)
- Nome completo e e-mail profissional do administrador
- Razão social, nome fantasia e CNPJ da empresa (CNPJ é opcional)
- Slug escolhido (endereço subdomínio do seu tenant)
2.4 Dados gerados enquanto você usa o RDO Digital
- Conteúdo dos RDOs: efetivo, equipamentos, atividades, clima, observações, fotos, intercorrências, aprovações.
- Localização das fotos: ao tirar uma foto pela câmera do aplicativo, a localização do dispositivo (coordenadas de GPS) é coletada e vinculada à foto, com a finalidade de comprovar o local e o momento do registro fotográfico da obra. A coleta depende da sua permissão no navegador/aparelho: negar não impede o uso do sistema — a foto é enviada sem localização. Fotos anexadas da galeria não recebem localização.
- Cadastro de obras e usuários internos que você incluir (nome, e-mail, telefone, função).
- Logs de acesso e auditoria: IP, navegador, horário, quem fez qual ação. Necessário para segurança e para a sua própria conformidade interna.
2.5 Dados técnicos automáticos
- Endereço IP, tipo de navegador e dispositivo (logs de acesso dos sistemas).
- Cookies estritamente necessários para manter você logado no RDO (token de sessão). O site institucional não usa cookies de marketing nem rastreadores de terceiros.
2.6 O que NÃO coletamos
- Dados financeiros ou bancários (cobrança é via gateway separado quando aplicável).
- Dados sensíveis (saúde, religião, orientação política, etc.) — não solicitamos.
- Localização precisa do dispositivo.
3. Para que usamos os dados
| Finalidade | Base legal (LGPD) |
|---|---|
| Responder ao formulário de contato e elaborar proposta comercial | Procedimentos preliminares de contrato (art. 7º, V) |
| Prestar a consultoria/diagnóstico contratado e entregar o relatório | Execução de contrato (art. 7º, V) |
| Prestar o serviço de software (criar RDOs, gerar PDF, controlar acesso) | Execução de contrato (art. 7º, V) |
| E-mails transacionais (boas-vindas, senha temporária, RDO aguardando aprovação) | Execução de contrato (art. 7º, V) |
| Logs de auditoria e segurança | Legítimo interesse (art. 7º, IX) e obrigação legal |
| Suporte e atendimento | Execução de contrato (art. 7º, V) |
| Análise agregada e anônima de uso para melhorar o produto | Legítimo interesse (art. 7º, IX) |
| Obrigações fiscais, contábeis e regulatórias | Cumprimento de obrigação legal (art. 7º, II) |
Não usamos seus dados para marketing automático nem os repassamos a parceiros comerciais. Não enviamos newsletter, não cadastramos você em ferramenta de automação de marketing e não vendemos dados.
4. Com quem compartilhamos
Compartilhamos apenas o estritamente necessário com:
- Provedor de hospedagem (Magalu Cloud, datacenter em São Paulo): armazenamento das informações no banco de dados e dos arquivos enviados.
- Provedor de e-mail transacional: para entregar e-mails de boas-vindas, redefinição de senha e notificações de aprovação. O conteúdo é o mínimo necessário.
- Formspree (provedor do formulário da landing): recebe os dados que você preenche em m2solucoes.com.br e me envia por e-mail. Os dados também ficam no painel do Formspree por até 30 dias.
- Autoridades públicas, quando exigido por ordem judicial ou requisição legal válida.
Não vendemos, alugamos nem cedemos dados pessoais para anunciantes, brokers de dados ou parceiros de marketing.
5. Onde os dados ficam armazenados
- Servidores no Brasil (Magalu Cloud, região São Paulo).
- Backup diário automatizado em região secundária do mesmo provedor.
- Criptografia em trânsito (TLS 1.2+) entre seu navegador e o sistema.
- Senhas armazenadas com hash forte (argon2id, padrão OWASP) — nem nós conseguimos ler.
- Acesso por perfil: admin, engenheiro, aprovador e consulta — cada um vê só o que precisa.
6. Por quanto tempo guardamos
- Enquanto a conta estiver ativa, mantemos todos os dados que você criou.
- Após cancelamento, mantemos os dados por 90 dias em estado suspenso, caso você queira reativar. Após esse prazo, dados pessoais são excluídos definitivamente.
- Logs de auditoria e dados fiscais: retidos por até 5 anos em base segregada, para atender obrigações legais.
- Dados do formulário do site: mantenho contato por até 24 meses ou até você pedir exclusão.
- Documentos do engajamento de consultoria: retidos enquanto durar o projeto e por até 12 meses após a entrega, salvo outro prazo acordado em contrato; depois, devolvidos ou eliminados a pedido do cliente.
- Backups: rotação a cada 30 dias. Dados excluídos saem dos backups dentro desse ciclo.
7. Seus direitos (LGPD art. 18)
Você pode exercer qualquer um dos direitos abaixo a qualquer momento, sem custo e sem precisar justificar (exceto quando indicado):
- Confirmação e acesso: saber se tratamos seus dados e obter cópia deles.
- Correção: pedir que dados incorretos ou desatualizados sejam corrigidos.
- Anonimização, bloqueio ou eliminação: pedir exclusão de dados desnecessários ou tratados em desconformidade com a LGPD.
- Portabilidade: receber seus dados em formato estruturado (JSON ou CSV) para levar a outro fornecedor.
- Eliminação dos dados tratados com consentimento: revogar consentimento e pedir exclusão.
- Informação sobre compartilhamento: saber com quem compartilhamos seus dados.
- Oposição: opor-se a tratamento feito com base em legítimo interesse, se entender que seus direitos prevalecem.
Resposta em até 15 dias úteis. Em casos complexos, podemos estender o prazo justificando.
9. Segurança
Medidas técnicas e organizacionais que aplicamos:
- Senhas com hash argon2id (recomendação OWASP 2024+).
- Autenticação por JWT com refresh tokens rotacionados e revogáveis.
- Bloqueio progressivo após tentativas de login com senha errada.
- Rate limiting em endpoints sensíveis (login, signup, reset de senha).
- Proteção contra ataques comuns: XSS, CSRF, SQL injection, SSRF, force browsing.
- Logs de auditoria de todas as ações relevantes (quem fez, quando, IP).
- Acesso restrito por perfil dentro da empresa-cliente.
- HTTPS obrigatório em produção.
Em caso de incidente de segurança que possa causar risco aos titulares, comunicaremos a ANPD e os titulares afetados nos prazos da LGPD.
10. Crianças e adolescentes
Os serviços da M2 Digital são B2B (consultoria e software para empresas). Não direcionamos nem coletamos intencionalmente dados de menores de 18 anos. Se você acreditar que coletamos dados de menor, contate-nos para remoção imediata.
11. Mudanças nesta política
Esta política pode ser atualizada para refletir mudanças no produto, na legislação ou em parceiros operacionais. Mudanças significativas serão comunicadas por e-mail aos administradores das contas ativas com pelo menos 15 dias de antecedência. Mudanças cosméticas (correção de redação, atualização de contato) podem entrar em vigor imediatamente.
O histórico de versões fica disponível mediante solicitação.
12. Encarregado de dados (DPO) e contato
O encarregado pelo tratamento de dados pessoais é:
Pablo Martins
M2 Digital — Consultoria
E-mail: pablo.martins@m2solucoes.com.br
Telefone: +55 31 9 7252 9096
LinkedIn: /in/pablo-martins
Para exercer qualquer direito LGPD, use este e-mail e descreva a solicitação. Respondemos em até 15 dias úteis.
Você também pode acionar a Autoridade Nacional de Proteção de Dados (ANPD) em gov.br/anpd.
13. Lei aplicável e foro
Esta política é regida pela Lei nº 13.709/2018 (LGPD) e demais normas brasileiras aplicáveis. Fica eleito o foro da comarca do domicílio do titular para dirimir eventuais controvérsias.