A Hovia Tecnologia Ltda. é a responsável pela conformidade da plataforma: implementamos controles técnicos, organizacionais e contratuais para que clientes (imobiliárias) e seus titulares de dados sejam protegidos conforme a LGPD e melhores práticas de segurança da informação.
Este documento descreve nosso programa, esclarece os papéis de Controlador e Operador e indica os canais oficiais para exercício de direitos e tratamento de incidentes.
Seção 1.
Papéis: Controlador e Operador
A LGPD distingue Controlador (quem decide) de Operador (quem executa). Na relação com clientes, a Hovia assume papéis distintos conforme o fluxo:
| Fluxo | Papel da Hovia | Papel do cliente |
|---|---|---|
| Dados do site institucional Hovia e leads comerciais | Controladora | — |
| Conta e usuários da plataforma | Controladora | Titulares |
| Dados operados pela imobiliária (leads, clientes, contratos) | Operadora | Controladora |
| Cobrança e assinatura | Controladora | Titular / contratante |
Seção 2.
Responsabilidade da plataforma
A Hovia se responsabiliza por manter a plataforma em conformidade com a LGPD, incluindo:
- Programa de governança de privacidade com revisão anual;
- Encarregado (DPO) nomeado, com canal público de contato;
- Avaliação de impacto à proteção de dados (RIPD) para novos tratamentos relevantes;
- Inventário de dados e fluxos atualizado;
- Contratos com subprocessadores contendo cláusulas LGPD;
- Plano formal de resposta a incidentes, com notificação à ANPD quando aplicável;
- Treinamento periódico da equipe interna em privacidade e segurança.
Os clientes contam com ferramentas embutidas para cumprir suas obrigações como Controladores (exportação, anonimização, controle de acesso, trilhas de auditoria), mas a responsabilidade jurídica pela conformidade dos próprios fluxos permanece com cada cliente, na qualidade de Controlador.
Seção 3.
Bases legais aplicadas
| Hipótese (art. 7º da LGPD) | Aplicação típica |
|---|---|
| Execução de contrato (V) | Prestação dos serviços contratados. |
| Cumprimento de obrigação legal (II) | Guarda de logs, obrigações fiscais e regulatórias. |
| Legítimo interesse (IX) | Segurança, prevenção a fraude, melhoria do produto. |
| Consentimento (I) | Marketing direto a leads, cookies não essenciais. |
| Exercício regular de direitos (VI) | Defesa em processos administrativos, arbitrais e judiciais. |
Seção 4.
Medidas técnicas e organizacionais
| Categoria | Controles aplicados |
|---|---|
| Acesso | RBAC granular, MFA, sessões com expiração, princípio do menor privilégio. |
| Criptografia | TLS 1.2+ em trânsito; criptografia em repouso para dados sensíveis e backups. |
| Isolamento | Multi-tenancy com Row-Level Security por organização. |
| Monitoramento | Logs estruturados, métricas, alertas e trilha de auditoria imutável. |
| Backups | Snapshots periódicos com testes de restauração. |
| Desenvolvimento seguro | Revisão de código, dependências auditadas, SAST/DAST e gestão de vulnerabilidades. |
| Fornecedores | Due diligence e contratos com cláusulas LGPD; lista de subprocessadores mantida. |
| Pessoas | NDA, treinamento e revogação imediata de acessos no desligamento. |
Seção 4.1.
Recursos de privacidade integrados ao sistema
A plataforma Hovia oferece, de forma nativa, os seguintes recursos para suportar a conformidade dos clientes (Controladores) e o exercício de direitos dos Titulares:
| Recurso | Descrição |
|---|---|
| Consentimento de cookies | Banner com opções granulares (essenciais, analytics, marketing) exibido na primeira visita. |
| Registro do consentimento do usuário | Trilha imutável com data, IP, user-agent e versão da política aceita. |
| Exportação de dados em PDF/JSON | Titular ou Controlador pode exportar o conjunto de dados pessoais associados a um cadastro. |
| Exclusão mediante solicitação | Fluxo de eliminação/anonimização com confirmação e registro de evidência. |
| Logs completos de acesso | Auditoria de logins, ações sensíveis, exportações e acessos administrativos. |
| Histórico de alterações | Versionamento de registros críticos (contratos, cadastros, propostas) com autor e timestamp. |
| Controle de permissões por usuário | RBAC granular com papéis e escopos por organização (multi-tenancy). |
| Criptografia de dados sensíveis | TLS 1.2+ em trânsito e criptografia em repouso para campos sensíveis e backups. |
| Política de Privacidade integrada | Documento vigente exibido na plataforma, vinculado à versão aceita pelo usuário. |
| Termos de Uso aceitos eletronicamente | Aceite eletrônico com captura de evidência (timestamp, IP, hash da versão). |
| Registro da versão dos termos aceitos | Histórico por usuário/organização das versões de Termos e Política vigentes no momento do aceite. |
| Central de Privacidade do Titular | Portal para o Titular consultar dados, gerenciar consentimentos e abrir solicitações ao DPO. |
Seção 5.
Direitos dos Titulares
Qualquer Titular pode exercer os direitos do art. 18 da LGPD diretamente com a Hovia (quando atuamos como Controladora) ou com o cliente imobiliária (quando atuamos como Operadora). Em ambos os casos, oferecemos suporte técnico para o atendimento.
- Canal oficial: dpo@hovia.com.br
- Prazo de resposta: até 15 dias, prorrogável conforme a complexidade.
- Confirmação de identidade pode ser solicitada para evitar fraudes.
Seção 6.
Resposta a incidentes de segurança
Mantemos plano formal de resposta a incidentes, com etapas de detecção, contenção, erradicação, recuperação e lições aprendidas. Em incidentes relevantes:
- Comunicação à ANPD e aos Titulares afetados, conforme art. 48 da LGPD;
- Notificação aos clientes Controladores impactados, com detalhes técnicos;
- Investigação de causa raiz e plano de ação corretivo documentado.
Para reportar uma vulnerabilidade ou suspeita de incidente, utilize security@hovia.com.br.
Seção 7.
Subprocessadores
A lista atualizada de subprocessadores (hospedagem, pagamento, e-mail, mensageria, analytics, antifraude) está disponível mediante solicitação ao DPO. Toda alteração relevante é comunicada com antecedência razoável a clientes que tenham assinatura ativa.
Seção 8.
Acordo de Tratamento de Dados (DPA)
Disponibilizamos modelo padrão de DPA, conforme arts. 39 a 42 da LGPD, que pode ser celebrado entre Hovia e clientes que necessitem instrumento contratual específico. Solicite ao DPO.
Seção 9.
Transferência internacional
Eventuais transferências internacionais observam o art. 33 da LGPD, com prioridade para fornecedores em jurisdições com nível adequado de proteção e adoção de cláusulas-padrão contratuais quando necessário.
Seção 10.
Auditoria, certificações e melhoria contínua
A Hovia mantém roadmap de maturidade que inclui controles inspirados em NBR ISO/IEC 27001 e 27701. Clientes corporativos podem solicitar relatórios de auditoria, evidências de controles e calendário de avaliação anual de fornecedores.
Seção 11.
Encarregado (DPO) e canais
- DPO: dpo@hovia.com.br
- Segurança e incidentes: security@hovia.com.br
- ANPD: gov.br/anpd
Documentos relacionados