Argo
Voltar ao início

Política de Privacidade · LGPD

Como o Argo trata seus dados.

Documento técnico-legal sob a Lei Geral de Proteção de Dados (Lei nº 13.709/2018). Última atualização: 25 de maio de 2026.

Dúvidas? Escreva para o DPO em dpo@basis.app.br.

Resumo executivo

  • Não lemos seu cofre. Senhas, notas e segredos são criptografados no seu navegador antes de saírem (AES-GCM 256, chave derivada da sua senha mestra). Nem o Argo, nem ordem judicial expõem o conteúdo — não temos como descriptografar.
  • Coletamos o mínimo. Nome, e-mail, nome da organização, dados de cobrança (via Stripe) e logs de auditoria. Só.
  • Você é dono dos dados. Pode acessar, corrigir, exportar (JSON) e apagar a qualquer momento, sem precisar dar motivo.
  • Hospedamos no Brasil. Banco de dados em São Paulo (Neon · AWS sa-east-1). Provedores fora do Brasil (Vercel, Stripe, Resend) operam sob Cláusulas-Padrão Contratuais reconhecidas pela ANPD.
  • Sem cookies de tracking. Apenas o cookie de sessão (essencial pra você ficar logado). Sem Google Analytics, sem pixels de terceiros.

1. Quem somos

O Argo é um produto da BasisApp (CNPJ: a ser inserido), uma empresa brasileira que constrói ferramentas de segurança e produtividade pra pequenas e médias empresas.

Pra esta política, dois papéis importam:

  • Operador (art. 5º, VII, LGPD) — quando a sua empresa contrata o Argo pra gerir senhas do time, nós atuamos como operador dos dados que vocês confiam a nós. A sua empresa é o controlador — define finalidade, prazo, e responde perante o titular (seus colaboradores).
  • Controlador — pros seus próprios dados de cadastro (e-mail, nome, dados de cobrança), o Argo é o controlador.

Encarregado pelo Tratamento de Dados (DPO): Yuri Mundin Ferreira, advogado inscrito na OAB/PR, com MBA em TechLaw pela USP. Contato direto: dpo@basis.app.br.

2. Que dados tratamos

Identificaçãonome, e-mailobrigatório pra criar conta e enviar convites
Cadastro da organizaçãonome da empresa, slug, logo (se enviado)obrigatório pra criar a área de trabalho da equipe
Conteúdo do cofresenhas, notas, chaves APIarmazenamos CRIPTOGRAFADO. Não lemos.
Auditoriaação + ator + alvo + timestamp + IP do servidorregistro de quem fez o quê (LGPD art. 37)
FinanceirosID do cliente Stripe, status da assinaturanúmero do cartão NUNCA toca nossos servidores — fica só na Stripe
Material criptográficohash bcrypt da senha mestra, salt, chave pública RSA, chave privada CRIPTOGRAFADA com a sua senhanecessário pra autenticar e desbloquear seu cofre
Telemetriapageviews e Web Vitals agregadosVercel Analytics — sem cookies, sem IP individual, respeita Do-Not-Track

3. Por que tratamos (bases legais)

A LGPD exige uma base legal pra cada tratamento (art. 7º). As nossas:

Art. 7º, V — execução de contratoTudo necessário pro serviço funcionar: criar conta, autenticar, armazenar cofre criptografado, processar pagamento.
Art. 7º, II — cumprimento de obrigação legalAudit logs (LGPD art. 37, exige registro de operações de tratamento). Notas fiscais (legislação fiscal).
Art. 7º, VI — exercício regular de direitosLogs e backups por 5 anos pra defender o Argo ou nossos clientes em eventuais demandas administrativas/judiciais.
Art. 7º, IX — legítimo interesseTelemetria agregada (Vercel Analytics) e rate limiting (proteção contra abuso). Sem PII, sem perfilamento.

4. Suboperadores (quem mais vê)

Não tratamos seus dados sozinhos. Suboperadores que processam dados em nosso nome:

VercelHospedagem do app + Analytics + Blob (logos)EUA · SCCs
Neon (Database)Banco de dados Postgres (cadastro, audit logs, cofre criptografado)AWS sa-east-1 (São Paulo) preferencialmente
StripeProcessamento de pagamento (cartão NUNCA toca nossos servidores)EUA · SCCs · PCI-DSS Level 1
ResendEnvio de e-mail transacional (convites, notificações)EUA · SCCs
UpstashCache Redis pra rate limiting (sem PII, só contadores de IP/email)AWS · SCCs

Cada suboperador opera sob contrato (DPA — Data Processing Agreement) que reflete obrigações equivalentes às da LGPD. A lista é atualizada nesta página quando muda.

5. Por quanto tempo guardamos

Cadastro ativo (user + org)Enquanto o contrato estiver vigente
Conteúdo do cofreEnquanto você quiser. Apagar item = remoção permanente (não temos lixeira no MVP)
Audit logs5 anos após o evento (LGPD + prática de auditoria)
Backups do banco30 dias rotativos
Exclusão da organizaçãoSoft delete 30 dias (pra desfazer) + purge irreversível
Comprovantes fiscais (notas, pagamentos)5 anos (legislação tributária brasileira)
Telemetria agregada VercelAté 12 meses, sem identificação individual

6. Transferência internacional

Hospedamos o banco de dados no Brasil (São Paulo) sempre que possível. Os demais suboperadores (Vercel, Stripe, Resend, Upstash) operam parte da infraestrutura em servidores fora do país — todos sob Cláusulas-Padrão Contratuais reconhecidas pela ANPD como salvaguarda adequada (LGPD art. 33, II).

Você pode solicitar a relação atualizada de regiões processando seus dados pelo e-mail do DPO.

7. Seus direitos como titular

A LGPD garante (art. 18):

Confirmação e acessosaber se tratamos seus dados, e quais. Resposta em até 15 dias
Correçãoatualizar dados incorretos ou desatualizados
Anonimização ou eliminaçãoremoção definitiva (exceto retenções obrigatórias — fiscal, audit)
Portabilidadeexport em formato estruturado (JSON) — disponível em /settings
Informação sobre compartilhamentolista atualizada acima na seção 4
Revogação de consentimentoaplicável apenas a tratamentos baseados em consentimento (raro no Argo)
Oposiçãoa tratamentos por legítimo interesse, com motivação

Pra exercer qualquer direito, escreva pra dpo@basis.app.br. Resposta em até 15 dias úteis (art. 19, §1º).

8. Cookies e tracking

Usamos apenas cookies estritamente necessários — não pedimos consent porque não há tracking de marketing.

authjs.session-token / __Secure-authjs.session-tokenCookie de sessão. HttpOnly, Secure, SameSite=Lax. Sem ele você não fica logadoessencial
argo_impersonationToken raro, usado apenas quando staff BasisApp acessa sua org a seu pedido (suporte)essencial

Não usamos: Google Analytics, Meta Pixel, cookies de terceiros, fingerprinting. A telemetria de performance (Vercel Analytics) é cookieless e respeita o cabeçalho DNT (Do-Not-Track).

9. Incidentes de segurança

Em caso de incidente que possa causar risco ou dano relevante aos titulares:

  • Detecção via monitoramento contínuo (logs, alertas, rate limiting).
  • Notificação à ANPD em até 48 horas (LGPD art. 48), preferencialmente em prazo menor.
  • Notificação aos titulares afetados sempre que houver risco material — via e-mail registrado e banner in-app.
  • Canal aberto: dpo@basis.app.br ou diretamente à ANPD.

A arquitetura zero-knowledge do cofre limita drasticamente o impacto de um vazamento de banco de dados: o conteúdo está criptografado com chave que nunca está nos nossos servidores. Um atacante que copiasse o banco inteiro teria blobs criptografados ininteligíveis.

10. Crianças e adolescentes

O Argo é uma ferramenta corporativa B2B, não destinada nem divulgada a menores de 18 anos. Não coletamos dados de crianças e adolescentes intencionalmente. Caso identifiquemos cadastro de menor, removeremos imediatamente.

11. Mudanças nesta política

Esta política pode mudar conforme adicionamos suboperadores, features ou bases legais. Mudanças materiais (alteração de finalidade, novo suboperador, prazo de retenção) são notificadas por:

  • E-mail registrado de todos os usuários ativos
  • Banner na tela inicial do app por no mínimo 30 dias

Mudanças não-materiais (correção ortográfica, ajuste editorial, adição de exemplos) atualizam apenas a data no topo desta página. O histórico de versões é mantido internamente e pode ser solicitado.

12. Contato

Encarregado pelo Tratamento de Dados (DPO):

Yuri Mundin Ferreira
Advogado · OAB/PR · MBA TechLaw USP
dpo@basis.app.br

Controlador (BasisApp):

BasisApp
CNPJ: a ser inserido
basis.app.br

Autoridade reguladora:

Autoridade Nacional de Proteção de Dados (ANPD)
www.gov.br/anpd

Documento jurídico · Argo · BasisAppÚltima atualização: 25 de maio de 2026