Z-Sign

Política de Privacidade

Última atualização: março de 2025. Esta política descreve como o Z-Sign trata dados pessoais em conformidade com a Lei Geral de Proteção de Dados (LGPD).

1. Controlador e Encarregado (DPO)

Identificação do responsável pelo tratamento e canal para exercício de direitos.

O controlador dos dados pessoais tratados no âmbito do serviço Z-Sign é a organização que contrata o produto (seu empregador ou a empresa que gerencia a conta). Para questões sobre tratamento de dados, entre em contato com o Encarregado de Proteção de Dados (DPO) da sua organização. O Z-Sign atua como operador quando processa dados em nome do controlador (assinaturas, documentos, signatários).

2. Dados tratados

Quais dados são coletados e para que finalidade.

  • Conta e usuários: nome, e-mail, identificador do provedor de identidade (login), organização/tenant.
  • Documentos e assinaturas: título do documento, tipo, hash do conteúdo, signatários (nome, e-mail, CPF mascarado quando aplicável), datas de assinatura, evidências de assinatura (ex.: certificado digital).
  • Pagamento: dados de cobrança são processados pelo gateway de pagamento (Z-Pay); o Z-Sign não armazena dados completos de cartão.
  • Verificação pública: na página de verificação de assinatura são exibidos apenas dados necessários à comprovação (status, signatários de forma anonimizada quando aplicável, hash da transação na blockchain).

3. Base legal e finalidades

O tratamento tem como bases legais a execução do contrato de prestação do serviço de assinatura eletrônica, o cumprimento de obrigações legais e, quando cabível, o legítimo interesse do controlador. As finalidades incluem: provisionar e operar o serviço, gerar provas de assinatura e integridade (incluindo ancoragem em blockchain), permitir a verificação pública de autenticidade, cobrança e suporte, e cumprir obrigações de retenção e auditoria.

4. Retenção e tabela de prazos

Prazos de guarda conforme política interna e obrigações legais.

Os dados são mantidos pelo tempo necessário às finalidades e às obrigações legais. Referência de prazos (a confirmar pelo controlador):

  • Documentos e evidências de assinatura: conforme plano contratado; mínimo para comprovação e obrigações fiscais/jurídicas (ex.: 5 anos).
  • Dados de signatários: enquanto vigente o contrato e o período de retenção do documento; após pedido de exclusão (Art. 18 LGPD), anonimização com preservação da validade jurídica da assinatura.
  • Logs e auditoria: conforme política de segurança (ex.: 1 ano).

5. Verificação pública de assinatura

O Z-Sign oferece uma página pública de verificação em que qualquer pessoa pode conferir a autenticidade de um documento assinado informando o ID da assinatura ou o hash da transação na blockchain. Nessa página são exibidos apenas: status da assinatura, tipo de documento, signatários (com possibilidade de anonimização) e dados da transação na blockchain. Não são expostos e-mail completo, dados de pagamento nem dados internos do tenant. O acesso à página de verificação pode estar sujeito a limite de taxa (rate limit) e verificação de segurança (CAPTCHA) para evitar abuso.

6. Direitos do titular (LGPD)

Você pode solicitar confirmação de tratamento, acesso, correção, anonimização, portabilidade ou eliminação dos seus dados pessoais, bem como revogar consentimento quando este for a base do tratamento. Para exercer esses direitos ou enviar dúvidas, entre em contato com o DPO da organização responsável pelos dados. O portal Z-Sign oferece o fluxo "Esquecer meus dados" (pedido de anonimização por e-mail e CPF) para signatários que desejam que seus dados pessoais sejam removidos após o período legal de retenção.

7. Alterações

Esta política pode ser atualizada. Alterações relevantes serão comunicadas por meio do portal ou por e-mail. A data da última atualização consta no início desta página.