Esta política descreve, de forma direta, como o site coronelulysses.ac e o painel administrativo admin.coronelulysses.ac coletam, usam, retêm e protegem seus dados pessoais, em conformidade com a Lei Geral de Proteção de Dados — Lei 13.709/2018 (LGPD).

1. Quem é o controlador

JTI Ltda.
CNPJ: 65.442.145/0001-98
Endereço: Sobradinho II, AR 9, Conjunto 7, Lote 14 — Brasília-DF, Brasil
Site institucional: jtisolucoes.com
Contato: [email protected]

A JTI Ltda. é a controladora dos dados pessoais tratados em ambos os domínios acima e responde pelas decisões de tratamento aqui descritas.

2. Encarregado pelo Tratamento de Dados (DPO)

João Arthur, em nome da JTI Ltda.
E-mail: [email protected]

Use este canal para exercer seus direitos da LGPD, esclarecer dúvidas sobre tratamento de dados ou reportar suspeita de incidente de segurança.

3. Escopo desta política

Esta política cobre dois ambientes operados pela JTI Ltda.:

• Site público (coronelulysses.ac) — informativo, acessado por visitantes anônimos. Contém formulário de contato.
• Painel administrativo (admin.coronelulysses.ac) — restrito a editores autorizados do Gabinete para gestão de conteúdo (notícias, fotos, configurações).

A API interna (api.coronelulysses.ac) serve ambos e não recebe acessos diretos de usuários finais; o tratamento que ela faz está descrito como parte dos ambientes acima.

4. Dados coletados no site público

4.1. Formulário de contato

Quando você preenche o formulário e clica em Enviar, coletamos:

• Nome completo (obrigatório)
• E-mail (obrigatório, para resposta)
• Cidade (opcional)
• Assunto (opcional)
• Conteúdo da mensagem (obrigatório)

O envio é processado pelo serviço Formspree (Reazoned LLC, Estados Unidos), que encaminha o conteúdo ao e-mail oficial do Gabinete.

4.2. Logs técnicos de infraestrutura

Ao acessar o site, sua visita gera registros técnicos automáticos pela Cloudflare, Inc. (provedora de hospedagem e proteção):

• Endereço IP
• Identificação do navegador e sistema operacional (User-Agent)
• Data e horário do acesso
• Páginas visitadas

Esses registros têm finalidade exclusiva de segurança (mitigação de ataques, detecção de bots) e operação técnica. Retenção controlada pela Cloudflare (aproximadamente 30 dias para o plano contratado).

4.3. Carregamento de fontes externas

O site usa fontes do Google Fonts. Quando seu navegador busca essas fontes nos servidores do Google (fonts.googleapis.com e fonts.gstatic.com), o Google pode receber automaticamente seu IP e User-Agent. Esse comportamento é padrão da CDN do Google e está fora do controle direto da JTI Ltda.

5. Dados coletados no painel administrativo

O painel admin.coronelulysses.ac é acessível apenas a editores autorizados (membros do Gabinete previamente convidados). Para estes usuários, coletamos:

5.1. Dados de cadastro

• E-mail (obrigatório — identificação e magic link de login)
• Nome (opcional)
• Papel (admin ou editor)
• Data do último login

5.2. Tokens de autenticação

Para suportar o fluxo de magic link (login sem senha) e a sessão persistente, armazenamos temporariamente:

• Token do magic link — válido por 15 minutos, uso único
• Token de sessão — válido por 7 dias com renovação automática enquanto ativo
• Em cada token: IP e User-Agent da criação

Tokens expirados ou consumidos são purgados periodicamente (rotina de manutenção a cada ~30 dias).

5.3. Log de auditoria

Toda operação de escrita feita no painel (criar, editar, arquivar) é registrada em log de auditoria contendo:

• Identificador do editor responsável
• Tipo de ação (criar, atualizar, arquivar)
• Entidade afetada (notícia, foto, configuração, etc.)
• Snapshot do estado antes e depois
• IP e User-Agent
• Data e horário

Política de retenção do log de auditoria (medidas de minimização aplicadas em respeito ao princípio da necessidade, art. 6º III da LGPD):

• 180 dias após o registro: IP e User-Agent são anonimizados (substituídos por NULL). Mantemos identificador do editor, tipo de ação e entidade afetada para histórico operacional.
• 730 dias (2 anos) após o registro: o registro inteiro é eliminado.

6. Cookies

O site público (coronelulysses.ac) não utiliza cookies próprios de qualquer tipo — nem analíticos, nem publicitários, nem funcionais.

A Cloudflare, como camada de proteção, pode setar cookies próprios em situações específicas:

• __cf_bm — cookie de gerenciamento anti-bot. Sob nosso plano (Cloudflare Free), só é setado quando o sistema de proteção identifica necessidade de validar a origem da requisição (challenge). Não é setado em visitas normais. Duração: aproximadamente 30 minutos.

O painel administrativo (admin.coronelulysses.ac) usa um único cookie próprio, classificado como estritamente necessário:

• cms_session — cookie de sessão autenticada, assinado criptograficamente (HMAC SHA-256), com atributos HttpOnly, Secure e SameSite=Lax. Duração: 7 dias com renovação automática durante o uso. Sem este cookie, o login não funciona.

Por estes cookies serem estritamente necessários ou de terceiros para segurança, não exibimos banner de consentimento. Esta política substitui o banner com transparência integral.

7. Subprocessadores e transferência internacional

A JTI Ltda. utiliza os seguintes subprocessadores para operar o sistema:

• Cloudflare, Inc. (Estados Unidos) — hospedagem, CDN, proteção contra ataques, e armazenamento do banco de dados (Cloudflare D1) e dos arquivos de mídia (Cloudflare R2). Política de privacidade.
• Resend (Resend.com Inc., Estados Unidos) — envio dos e-mails de magic link de login do painel administrativo. Política de privacidade.
• Reazoned LLC (Formspree) (Estados Unidos) — processa o formulário de contato do site público. Política de privacidade.
• Google LLC (Google Fonts) (Estados Unidos) — entrega das fontes tipográficas. Política de privacidade.

Todos os subprocessadores acima são empresas com sede nos Estados Unidos da América. Os dados pessoais aqui descritos podem ser transferidos para fora do território brasileiro durante o tratamento.

Base legal para a transferência internacional (LGPD art. 33):

• Art. 33, II — garantias contratuais específicas firmadas com cada subprocessador na forma de Data Processing Addendum (DPA) aceito por adesão ao registrar conta em cada plataforma. Os DPAs aplicáveis estão publicamente disponíveis nos respectivos endereços abaixo e foram aceitos no momento da contratação dos serviços:
  • Cloudflare: cloudflare.com/cloudflare-customer-dpa
  • Resend: resend.com/legal/dpa
  • Formspree: formspree.io/legal/dpa
  • Google: cobertos pelo Google Cloud Data Processing Terms aplicáveis ao Google Fonts
• Art. 33, V — execução de contrato do qual o titular é parte (no caso do formulário de contato, processar a mensagem é executar o serviço solicitado).
• Art. 33, IX — atendimento de interesses legítimos do controlador para operação técnica do serviço.

Não vendemos seus dados. Não os compartilhamos para fins comerciais ou publicitários. Não os transferimos a terceiros fora dos subprocessadores acima.

8. Finalidades do tratamento

• Mensagens do formulário de contato: responder à demanda, encaminhar ao setor competente do Gabinete e manter histórico institucional.
• Cadastro de editores no painel: identificação, autenticação e controle de acesso por papel (admin/editor).
• Tokens de autenticação: viabilizar o login sem senha (magic link) e manter sessão segura por 7 dias.
• Log de auditoria: rastreabilidade de operações de escrita no painel para integridade do conteúdo, investigação de incidentes e atendimento de obrigações de prestação de contas (accountability).
• Logs técnicos de infraestrutura: segurança, mitigação de ataques, detecção de bots, troubleshooting.

9. Base legal (LGPD art. 7º e art. 11)

• Consentimento (art. 7º, I) — para o envio do formulário de contato. O preenchimento e envio do formulário caracterizam a manifestação livre, informada e inequívoca do titular.
• Execução de contrato (art. 7º, V) — para o cadastro e autenticação de editores no painel administrativo, no contexto do vínculo contratual com o Gabinete.
• Cumprimento de obrigação legal ou regulatória (art. 7º, II) — para o log de auditoria, alinhado a obrigações de prestação de contas pública.
• Legítimo interesse (art. 7º, IX) — para os logs técnicos de infraestrutura (segurança e operação) e tokens de autenticação durante o período estritamente necessário.

Não tratamos dados pessoais sensíveis (art. 5º, II) nem realizamos perfilamento ou decisão automatizada com efeitos jurídicos.

10. Prazos de retenção

Dado	Prazo
Mensagens do formulário	Até pedido de exclusão ou pelo prazo legal aplicável (em geral, 5 anos)
Logs técnicos Cloudflare	~30 dias (controlado pela Cloudflare)
Cookie cms_session	7 dias (renovado automaticamente durante o uso)
Cookie __cf_bm (CF)	~30 minutos quando setado
Magic links	15 minutos (uso único, depois purgado em ~30 dias)
Cadastro de editor	Durante o vínculo + 5 anos após desligamento (prestação de contas)
Log de auditoria — IP/UA	Anonimizados após 180 dias
Log de auditoria — registro completo	Eliminado após 730 dias (2 anos)

11. Seus direitos (LGPD art. 18, 19 e 20)

Você pode, a qualquer momento, exercer os seguintes direitos sobre seus dados:

• Confirmação da existência de tratamento
• Acesso aos dados
• Correção de dados incompletos, inexatos ou desatualizados
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD
• Portabilidade a outro fornecedor de serviço
• Eliminação dos dados tratados com base em consentimento
• Informação sobre entidades públicas e privadas com as quais compartilhamos seus dados
• Informação sobre a possibilidade de não fornecer consentimento e as consequências da negativa
• Revogação do consentimento previamente dado
• Oposição ao tratamento realizado com fundamento em hipótese de dispensa de consentimento, em caso de descumprimento da LGPD
• Revisão de decisões automatizadas que afetem seus interesses (art. 20) — observação: a JTI Ltda. não realiza decisões automatizadas com efeitos jurídicos
• Reclamação à Autoridade Nacional de Proteção de Dados (ANPD)

12. Como exercer seus direitos

Envie e-mail para [email protected] com o assunto "LGPD — [tipo de solicitação]".

Prazo de resposta: até 15 dias a contar da requisição (LGPD art. 19, §2º).

Para sua proteção, podemos solicitar informações que confirmem sua identidade antes de atender pedidos sobre dados específicos.

13. Tratamento de dados de menores (LGPD art. 14)

Este site não é direcionado a crianças (menores de 12 anos) nem a adolescentes (12 a 17 anos). Não solicitamos nem incentivamos o envio de dados pessoais por menores.

Caso identifiquemos que recebemos dados pessoais de menor sem o consentimento prévio e específico de pelo menos um dos pais ou do responsável legal, esses dados serão eliminados imediatamente.

Pais e responsáveis que identifiquem que seu filho enviou dados podem solicitar acesso, correção ou eliminação pelo canal do Encarregado (DPO) listado acima.

14. Segurança técnica

Adotamos medidas técnicas e administrativas razoáveis para proteger seus dados:

• Conexões HTTPS obrigatórias (HSTS habilitado)
• Headers de segurança aplicados (Content-Security-Policy, X-Content-Type-Options, Referrer-Policy, Permissions-Policy)
• Cookies de sessão assinados criptograficamente (HMAC SHA-256), com HttpOnly e Secure
• Login do painel sem senha (magic link) — elimina risco de senhas vazadas ou reaproveitadas
• Rate limiting nas rotas de autenticação para mitigar ataques de força bruta
• Auditoria completa de todas as escritas no painel administrativo
• Infraestrutura com proteção DDoS e WAF (Cloudflare)
• Princípio do menor privilégio: editores não têm acesso administrativo; administradores não têm acesso a outros tenants
• Backups regulares e procedimento de restauração testado
• Atualizações de dependências monitoradas semanalmente (Dependabot)

15. Notificação de incidentes (LGPD art. 48)

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a JTI Ltda. tomará as seguintes providências em prazo razoável (na prática, até 2 dias úteis a contar da ciência, conforme orientação da ANPD):

• Contenção imediata do incidente
• Comunicação formal à ANPD pelo canal oficial em gov.br/anpd
• Comunicação direta aos titulares afetados, descrevendo natureza do incidente, dados envolvidos, medidas de mitigação adotadas e recomendações práticas
• Registro interno para apuração de causa raiz e implementação de melhorias preventivas

16. Alterações nesta política

Esta política pode ser atualizada para refletir mudanças legais, técnicas ou operacionais. Alterações materiais serão sinalizadas com destaque na página inicial.

Histórico de versões

• 2.1 — 17 de maio de 2026: ajuste da seção 7 para listar publicamente os DPAs (Data Processing Addenda) aplicáveis com cada subprocessador (Cloudflare, Resend, Formspree, Google), aceitos por adesão no momento da contratação.
• 2.0 — 17 de maio de 2026: revisão completa para conformidade detalhada com a LGPD. Inclusão do painel administrativo no escopo; criação de seção específica de cookies; declaração da política de retenção do log de auditoria com anonimização (180 dias) e eliminação (730 dias); seção de transferência internacional com base legal explícita; seção de tratamento de menores; seção de notificação de incidentes; correção do prazo de resposta para "15 dias" conforme art. 19 §2º; CNPJ e endereço do controlador; canal institucional do Encarregado sob o domínio da controladora ([email protected]).
• 1.0 — 15 de maio de 2026: versão inicial.

17. Contato

Dúvidas sobre esta política, sobre o tratamento dos seus dados ou para exercer seus direitos:

• Encarregado (DPO) / contato institucional: [email protected]
• Site institucional do controlador: jtisolucoes.com
• Endereço físico do controlador: ver seção 1 acima