Esta Política de Privacidade explica como a Numih Sistemas e Serviços LTDA, inscrita no CNPJ nº 42.471.833/0001-80 ("Numih", "nós"), trata dados pessoais no contexto do sistema de gestão empresarial (ERP) que oferecemos ("Plataforma", "Serviço").
Escrevemos este documento pensando em você, usuário da Plataforma. Nosso objetivo é que fique claro quais dados tratamos, por quê, com quem compartilhamos e quais são os seus direitos, em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados – LGPD).
1. Um ponto importante antes de começar: nossos dois papéis
A Numih atua de duas formas diferentes dependendo do dado, e isso determina a quem você deve recorrer para exercer seus direitos:
- Quando somos Controladores. Em relação aos dados da sua conta e cadastro de acesso (por exemplo, seu nome, e-mail corporativo, credenciais de login e registros de uso da Plataforma), é a Numih quem decide como esses dados são tratados. Aqui, você fala diretamente conosco.
- Quando somos Operadores. Em relação aos dados que a empresa contratante (sua organização, o "tenant") insere e gerencia dentro da Plataforma — como cadastros de clientes, fornecedores, informações financeiras, folha de pagamento e documentos —, quem decide as finalidades e os meios do tratamento é a sua organização. Nesse caso, a Numih apenas processa esses dados seguindo as instruções da sua organização. Se você quer exercer direitos sobre esses dados, o ponto de contato correto costuma ser o encarregado ou o responsável de privacidade da sua própria organização. Ainda assim, podemos ajudar a direcionar o pedido.
Sempre que possível, indicamos ao longo deste documento em qual papel estamos atuando.
2. Definições rápidas
- Dado pessoal: informação relacionada a pessoa natural identificada ou identificável.
- Dado pessoal sensível: dado sobre origem racial ou étnica, convicção religiosa, opinião política, saúde, vida sexual, dado genético ou biométrico, entre outros previstos na LGPD.
- Titular: a pessoa natural a quem o dado se refere (você).
- Controlador: quem decide sobre o tratamento dos dados.
- Operador: quem trata os dados em nome do controlador.
- Tenant: a empresa/organização cliente que contrata e utiliza a Plataforma.
3. Quais dados tratamos
3.1. Dados da sua conta e do seu uso da Plataforma (Numih como Controladora)
- Identificação e contato: nome, e-mail, telefone.
- Credenciais de acesso: o acesso à Plataforma é feito exclusivamente por SSO (login único) e chaves de acesso, com a identidade gerenciada por nosso provedor de autenticação. Não armazenamos senhas de login de usuário.
- Perfil de acesso: cargo, funções e permissões dentro da Plataforma.
- Dados técnicos e de uso: endereço IP, registros (logs) de acesso e de atividade, data e hora de operações.
3.2. Dados inseridos na Plataforma pela sua organização (Numih como Operadora)
Estes dados são fornecidos e controlados pela sua organização. Podem incluir, por exemplo:
- Cadastro de clientes e fornecedores (nome, CPF/CNPJ, endereço, contato).
- Dados financeiros e bancários.
- Dados de folha de pagamento.
- Documentos fiscais (notas fiscais e afins).
- Dados pessoais sensíveis, quando a sua organização opta por inseri-los na Plataforma (por exemplo, informações de saúde ou dados biométricos, conforme o uso que cada organização faz do sistema).
Sobre dados sensíveis: quando dados sensíveis são inseridos pela sua organização, é ela quem define a finalidade e a base legal desse tratamento (art. 11 da LGPD). A Numih atua como Operadora, aplicando medidas técnicas de proteção e tratando esses dados exclusivamente conforme as instruções da sua organização.
3.3. Dados de uso para melhoria do Serviço
Coletamos informações sobre as buscas realizadas no módulo de busca e sobre como os agentes de inteligência artificial utilizam nossa interface de dados (MCP). Utilizamos esses dados para operar, manter e aprimorar a Plataforma. Veja a base legal na Seção 5.
4. Integrações e acessos a fontes externas
A Plataforma pode se conectar a serviços externos quando a sua organização ativa e autoriza cada integração. Ao conectar uma integração, poderemos acessar:
- WhatsApp (API Oficial): mensagens trocadas por meio da integração. Na modalidade "coexistence" (coexistência), o acesso pode abranger todo o histórico de conversas da conta conectada.
- E-mail: histórico e conteúdo de mensagens da caixa conectada.
- Arquivos: documentos armazenados em SharePoint, OneDrive, Google Drive e serviços equivalentes.
Esses acessos ocorrem apenas mediante autorização expressa no momento da conexão de cada integração, e o escopo do acesso é apresentado nesse momento. A sua organização pode revogar as autorizações e desconectar as integrações a qualquer tempo.
5. Para que usamos os dados e com qual base legal
| Finalidade | Base legal (LGPD) |
|---|
| Criar e manter sua conta; autenticar acessos; operar a Plataforma | Execução de contrato (art. 7º, V) |
| Garantir segurança, prevenir fraudes e registrar logs | Legítimo interesse / cumprimento de obrigação legal (art. 7º, IX e II) |
| Processar dados inseridos pela sua organização | Tratamento em nome do Controlador (a base legal é definida pela sua organização) |
| Coletar buscas e uso da IA/MCP para operar e aprimorar o Serviço | Execução de contrato — tratamento essencial à prestação do Serviço (art. 7º, V) / aprimoramento |
| Cumprir obrigações legais, fiscais e regulatórias | Cumprimento de obrigação legal (art. 7º, II) |
6. Inteligência Artificial e acesso via MCP
A Plataforma oferece uma interface (MCP – Model Context Protocol) que permite que agentes ou modelos de inteligência artificial escolhidos e operados por você ou pela sua organização acessem dados da Plataforma para realizar consultas e análises.
Nesse fluxo, é importante entender:
- A Numih fornece o meio de acesso (a interface MCP), aplicando os controles de isolamento e permissão descritos na Seção 9.
- Quem direciona os dados para uma IA é você/sua organização, ao conectar um agente ou modelo de sua escolha. O tratamento realizado por esse modelo de IA de terceiro — inclusive eventual transferência dos dados para os servidores desse provedor — ocorre sob a responsabilidade de quem o conecta e opera, conforme os termos do respectivo provedor de IA.
- Recomendamos avaliar cuidadosamente as políticas do provedor de IA que você conectar, especialmente quanto a retenção e uso dos dados.
7. Com quem compartilhamos dados (operadores e subprocessadores)
Para operar a Plataforma, contamos com prestadores de serviço que tratam dados em nosso nome, sob obrigações de confidencialidade e segurança:
- Google Cloud Platform (GCP): infraestrutura de hospedagem e processamento.
- Microsoft: integrações de e-mail, SharePoint e OneDrive (via Microsoft Graph).
- Clerk: gestão de identidade e autenticação de acesso à Plataforma. O acesso ocorre exclusivamente por SSO (login único) e chaves de acesso — não utilizamos senhas de login próprias.
Não vendemos dados pessoais. Compartilhamentos adicionais ocorrem apenas para cumprir obrigação legal ou ordem de autoridade competente.
8. Transferência internacional de dados
Alguns dos nossos provedores (por exemplo, de infraestrutura em nuvem) podem processar ou armazenar dados em servidores localizados fora do Brasil. Além disso, quando você conecta um agente de IA de terceiro via MCP, os dados acessados podem ser transmitidos para servidores desse provedor, que podem estar no exterior.
Nesses casos, adotamos as salvaguardas exigidas pela LGPD (arts. 33 a 36) para assegurar proteção adequada aos dados transferidos.
9. Segurança da informação
Adotamos medidas técnicas e organizacionais para proteger os dados, entre elas:
- Isolamento por organização (tenant): cada organização opera em um espaço de dados segregado, com isolamento em nível de banco de dados (schema por tenant) e controle de acesso por linha (Row-Level Security), de forma que os dados de uma organização não sejam acessíveis por outra.
- Autenticação gerenciada: o acesso à Plataforma ocorre exclusivamente por SSO e chaves de acesso, com a identidade gerida por provedor especializado (Clerk); não armazenamos senhas de login de usuário.
- Proteção de segredos e certificados: credenciais de integração com serviços de terceiros (por exemplo, das APIs da Meta) e certificados digitais utilizados para a emissão de notas fiscais são armazenados de forma cifrada e com acesso restrito.
- Controle de acesso baseado em permissões e perfis.
- Registros de acesso e atividade (logs).
Nenhum sistema é 100% imune a incidentes. Em caso de incidente de segurança relevante, seguiremos os procedimentos de comunicação previstos na LGPD.
10. Por quanto tempo guardamos os dados
Os prazos de retenção dos dados inseridos na Plataforma são definidos por cada organização (tenant), de acordo com suas necessidades e obrigações legais. A Numih trata esses dados enquanto durar a relação contratual e a autorização da organização.
Para dados sob nossa responsabilidade como Controladora (conta e uso), mantemos os dados pelo tempo necessário às finalidades desta Política ou para cumprimento de obrigações legais, após o que são eliminados ou anonimizados.
11. Seus direitos como titular
Nos termos do art. 18 da LGPD, você pode solicitar, entre outros:
- Confirmação da existência de tratamento;
- Acesso aos seus dados;
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade;
- Portabilidade;
- Informação sobre com quem compartilhamos seus dados;
- Revogação do consentimento, quando esta for a base legal aplicável.
Lembre-se da Seção 1: para dados em que a Numih é Operadora, o pedido em geral deve ser dirigido à sua organização, que é a Controladora desses dados. Nós auxiliaremos no que for cabível.
12. Como falar conosco (Encarregado pela Proteção de Dados)
Para exercer seus direitos ou tirar dúvidas sobre esta Política, entre em contato com o nosso Encarregado (DPO) pelo e-mail:
suporte@numih.com.br
13. Cookies e tecnologias semelhantes
Não usamos cookies para rastreamento de atividades dos usuários.
14. Alterações nesta Política
Podemos atualizar esta Política periodicamente. Quando houver mudanças relevantes, comunicaremos pelos canais adequados e atualizaremos a data no topo do documento.
Este documento trata de dados pessoais nos termos da LGPD (Lei nº 13.709/2018).