Política de Privacidade da Plataforma knotty

1.A Quem Esta Política se Aplica

Esta Política se aplica a todos os Usuários que acessam ou utilizam a plataforma knotty, incluindo Colaboradores, Gestores e Administradores vinculados a uma Empresa Contratante, bem como aos representantes da Empresa Contratante.

Os termos definidos nos Termos de Uso (como Usuário, Empresa Contratante, Tenant, Despesa, Comprovante, IA, Omie, entre outros) se aplicam também a esta Política.

2.Papéis no Tratamento de Dados Pessoais

No contexto da prestação do serviço:

• a Empresa Contratante atua como controladora dos dados pessoais de seus colaboradores e demais titulares relacionados à sua operação;
• a knotty atua como operadora desses dados pessoais, tratando-os em nome e conforme instruções da Empresa Contratante;
• a knotty atua como controladora em relação a dados estritamente necessários para gestão da própria conta, segurança, faturamento, suporte, auditoria, prevenção de fraude e cumprimento de obrigações legais.

A definição precisa de papéis pode ser ajustada em contrato específico entre a knotty e a Empresa Contratante.

3.Dados Pessoais Tratados

A knotty trata as seguintes categorias de dados pessoais:

Dados de identificação e cadastro

• nome completo;
• e-mail corporativo;
• cargo ou função;
• empresa/tenant ao qual o Usuário pertence;
• nome da empresa contratante, CNPJ e dados cadastrais correlatos.

Dados de acesso e autenticação

• credenciais de acesso (senha armazenada com hash criptográfico);
• tokens de sessão;
• registros de login, logout e troca de senha.

Dados de uso da plataforma

• ações realizadas (lançamento, aprovação, rejeição, endosso);
• entidades acessadas e modificadas;
• preferências de configuração;
• progresso na implantação guiada.

Dados financeiros e operacionais inseridos pelos Usuários

• descrições, valores, datas e categorias de Despesas;
• Comprovantes e anexos;
• saldos de Caixinha;
• centros de custo, projetos e demais campos de classificação.

Dados técnicos e de telemetria

• endereço IP;
• informações do navegador e dispositivo;
• logs de erro e diagnóstico;
• eventos de produto para fins de melhoria contínua.

Dados de suporte

• conteúdo de chamados abertos pelos Usuários;
• imagens ou documentos anexados em tickets;
• informações técnicas anexadas automaticamente pela plataforma para acelerar o atendimento, conforme princípio da minimização.

4.Finalidades do Tratamento

Os dados pessoais são tratados para as seguintes finalidades:

• operar, manter e disponibilizar a plataforma;
• autenticar Usuários e controlar permissões de acesso;
• permitir o lançamento, aprovação e gestão de Despesas e Caixinhas;
• armazenar e exibir Comprovantes;
• executar integrações com sistemas externos contratados pela Empresa Contratante;
• aplicar recursos de IA para auxiliar na análise de Despesas e Comprovantes, com revisão humana obrigatória conforme os Termos de Uso;
• prestar suporte técnico e operacional;
• gerar logs, trilhas de auditoria e histórico de atividades;
• garantir segurança, prevenir fraudes e detectar incidentes;
• atender obrigações legais, regulatórias e contratuais;
• realizar comunicações operacionais relacionadas ao serviço;
• gerar métricas internas, eventos de produto e indicadores agregados para melhoria contínua da plataforma.

5.Bases Legais

O tratamento de dados pessoais é realizado com fundamento nas seguintes bases legais previstas na LGPD:

• execução de contrato ou de procedimentos preliminares (art. 7º, V), para viabilizar o funcionamento da plataforma;
• cumprimento de obrigação legal ou regulatória pelo controlador (art. 7º, II);
• legítimo interesse (art. 7º, IX), para fins de segurança, prevenção de fraude, melhoria do serviço e operação técnica, observados os direitos e expectativas dos titulares;
• consentimento (art. 7º, I), quando aplicável e expressamente solicitado;
• exercício regular de direitos em processos administrativos, judiciais ou arbitrais (art. 7º, VI).

A Empresa Contratante é responsável por garantir base legal adequada ao tratamento de dados pessoais que realiza por meio da plataforma, na qualidade de controladora.

6.Compartilhamento de Dados

A knotty compartilha dados pessoais nas seguintes hipóteses:

Com suboperadores e provedores de tecnologia

Fornecedores de infraestrutura em nuvem, armazenamento, e-mail transacional, serviços de IA, autenticação, monitoramento e observabilidade. Estes fornecedores tratam dados pessoais em nome e sob instruções da knotty, mediante obrigações contratuais de confidencialidade e segurança.

Com sistemas integrados contratados pela Empresa Contratante

Quando a Empresa Contratante configura integrações com sistemas externos (incluindo o ERP Omie), os dados necessários à execução da integração são transmitidos para esses sistemas, conforme configurado pela própria Empresa Contratante.

Por exigência legal ou regulatória

Mediante ordem judicial, requisição de autoridade competente ou para cumprimento de obrigações legais aplicáveis.

Em caso de operação societária

Em hipóteses de reorganização societária, fusão, aquisição ou venda de ativos, observadas as obrigações legais aplicáveis.

7.Transferência Internacional

Alguns suboperadores podem estar localizados fora do Brasil. Nesses casos, a knotty observa os requisitos da LGPD relativos à transferência internacional, incluindo a adoção de salvaguardas contratuais e técnicas adequadas e a verificação do nível de proteção de dados do país de destino.

8.Armazenamento e Segurança

Os dados pessoais são armazenados em ambientes de nuvem contratados pela knotty, com medidas técnicas e organizacionais razoáveis de segurança, incluindo:

• comunicação criptografada em todos os domínios da plataforma;
• criptografia em repouso para Comprovantes armazenados em nuvem;
• autenticação baseada em token com expiração e validação de escopo;
• armazenamento de senhas com hash criptográfico;
• isolamento lógico de dados entre Tenants;
• registros de log para auditoria e detecção de incidentes;
• backups periódicos do banco de dados;
• controle de acesso interno baseado em necessidade de conhecimento.

Apesar das medidas adotadas, nenhum sistema é absolutamente imune a falhas. A knotty compromete-se a investigar incidentes de segurança e comunicar a Empresa Contratante e, quando aplicável, a Autoridade Nacional de Proteção de Dados, conforme exigências legais.

9.Retenção e Eliminação

Os dados pessoais são retidos enquanto durar a relação contratual entre a knotty e a Empresa Contratante.

Após o encerramento da relação contratual, os dados poderão ser mantidos pelo prazo necessário para:

• cumprimento de obrigações legais, regulatórias ou fiscais;
• exercício regular de direitos em processos judiciais, administrativos ou arbitrais;
• segurança, prevenção de fraude e auditoria;
• atendimento a prazos de retenção previstos em contrato específico.

Após esses prazos, os dados são eliminados, anonimizados ou arquivados em ambiente segregado, conforme política interna da knotty e legislação aplicável.

Backups de segurança podem reter cópias de dados por períodos operacionais técnicos, mesmo após a eliminação dos dados primários, sendo posteriormente sobrescritos no ciclo regular de rotação.

10.Direitos dos Titulares

Conforme a LGPD, o titular de dados pessoais tem direito a:

• confirmação da existência de tratamento;
• acesso aos dados;
• correção de dados incompletos, inexatos ou desatualizados;
• anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
• portabilidade dos dados a outro fornecedor, observados os segredos comercial e industrial;
• eliminação dos dados pessoais tratados com base no consentimento, ressalvadas as hipóteses legais de manutenção;
• informação sobre entidades públicas e privadas com as quais a knotty tenha compartilhado seus dados;
• informação sobre a possibilidade de não fornecer consentimento e suas consequências;
• revogação do consentimento, nas hipóteses cabíveis;
• oposição a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento da LGPD;
• revisão de decisões tomadas unicamente com base em tratamento automatizado que afetem seus interesses.

Quando o tratamento for realizado pela knotty na qualidade de operadora, as solicitações deverão preferencialmente ser dirigidas à Empresa Contratante, que atua como controladora. A knotty apoiará a Empresa Contratante no atendimento dessas solicitações, conforme os recursos técnicos disponíveis na plataforma.

Quando a knotty atuar como controladora, as solicitações poderão ser enviadas diretamente ao Encarregado pelo e-mail indicado nesta Política.

A knotty poderá solicitar informações adicionais para confirmação de identidade do titular antes de atender a solicitações que envolvam acesso ou alteração de dados pessoais.

11.Cookies e Tecnologias Similares

A plataforma utiliza cookies e tecnologias similares para finalidades essenciais, incluindo:

• manter a sessão do Usuário autenticado;
• armazenar preferências de uso;
• coletar dados técnicos para diagnóstico de erros;
• gerar métricas internas de uso e estabilidade.

A knotty não utiliza cookies de marketing ou de rastreamento publicitário de terceiros para os fins desta plataforma.

12.Crianças e Adolescentes

A plataforma é destinada a uso corporativo por pessoas maiores de 18 anos. A knotty não realiza tratamento intencional de dados pessoais de crianças e adolescentes.

13.Encarregado pelo Tratamento de Dados Pessoais (DPO)

A knotty designou Encarregado pelo Tratamento de Dados Pessoais, nos termos do art. 41 da LGPD, com competência para:

• receber comunicações da Autoridade Nacional de Proteção de Dados (ANPD) e dos titulares;
• orientar funcionários e contratados sobre práticas de proteção de dados;
• executar as demais atribuições previstas em lei.

14.Alterações desta Política

Esta Política poderá ser atualizada periodicamente para refletir mudanças legais, regulatórias, operacionais ou tecnológicas.

Alterações relevantes serão comunicadas aos Usuários ou à Empresa Contratante pela plataforma, por e-mail ou por outro canal apropriado, com antecedência razoável quando aplicável.

A versão vigente desta Política estará sempre acessível em domínio público da knotty.

15.Contato

Para dúvidas, solicitações ou comunicações sobre privacidade e proteção de dados pessoais: