Em uma frase
Cada prefeitura é a controladora dos dados pessoais coletados em seu município. A Axium Analytics, fornecedora do Polidomos, atua como operadora. Trata os dados em nome da prefeitura, conforme suas instruções e os limites do Aviso de Privacidade.
Papéis das partes
| Papel | Quem é | O que faz |
|---|---|---|
| Controlador | Prefeitura contratante | Define finalidades e meios do tratamento; responde diretamente ao titular. |
| Operador | Axium Analytics (Polidomos) | Trata os dados em nome do controlador, seguindo instruções e contrato. |
| Encarregado (DPO) do controlador | Indicado pela prefeitura | Canal direto entre titular, controlador e ANPD. |
| Encarregado (DPO) do operador | Axium Analytics | Recebe comunicações relativas à plataforma. |
| Titular | Cidadão cujo dado é tratado | Exerce os direitos do Art. 18 da LGPD. |
| ANPD | Autoridade Nacional de Proteção de Dados | Fiscaliza e aplica a LGPD. |
Direitos do titular (LGPD Art. 18)
O titular dos dados pessoais tem direito, gratuitamente e mediante requisição:
- Confirmação da existência de tratamento de seus dados pessoais;
- Acesso aos dados pessoais tratados;
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei;
- Portabilidade a outro fornecedor, observados segredo comercial e industrial;
- Eliminação dos dados tratados com base em consentimento, ressalvadas as hipóteses legais de retenção;
- Informação sobre entidades públicas e privadas com as quais o controlador realizou uso compartilhado;
- Informação sobre a possibilidade de não fornecer consentimento e suas consequências;
- Revogação do consentimento, quando aplicável;
- Revisão de decisões automatizadas que afetem seus interesses.
Como exercer seus direitos
A LGPD direciona o titular ao controlador, ou seja, à prefeitura contratante.
Caminho recomendado:
- Identifique a prefeitura controladora dos dados (em geral, o município onde foi feita a inscrição na fila).
- Acesse a área de transparência ativa do município na plataforma. A indicação do Encarregado (DPO) e o canal oficial estão publicados ali.
- Em caso de dúvida operacional sobre a plataforma, escreva ao operador no e-mail dpo@polidomos.com.br. Solicitações que dependam de ação do controlador serão encaminhadas e o titular informado do redirecionamento.
Bases legais utilizadas
A plataforma opera predominantemente sobre bases legais não dependentes de consentimento, adequadas à execução de política pública e ao cumprimento de obrigações regulatórias:
| Base legal (LGPD Art. 7º) | Quando se aplica |
|---|---|
| II: Cumprimento de obrigação legal ou regulatória | Auditoria, prestação de contas, integração com Caixa. |
| III: Execução de política pública | Operação da fila habitacional e dos sorteios. |
| VI: Exercício regular de direitos em processo | Atendimento a requisição de órgão de controle. |
| IX: Legítimo interesse | Acesso de servidores autorizados; segurança da informação. |
| I: Consentimento | Comunicações opcionais ao cidadão (e-mail informativo). |
Compartilhamento e operadores
Os subprocessadores contratados pela Axium Analytics para operar a plataforma estão listados a seguir e tratam os dados sob obrigações contratuais equivalentes às deste centro:
| Subprocessador | Função | Localização | Categoria de dado |
|---|---|---|---|
| Supabase (Supabase Inc. + AWS) | Banco de dados PostgreSQL gerenciado | Brasil (São Paulo · sa-east-1) | Todos os dados estruturais |
| Supabase Storage | Armazenamento de PDFs (dossiês) e fotos de imóveis | Brasil (São Paulo · sa-east-1) | Documentos digitalizados, fotos |
| Vercel | Hospedagem da aplicação web (Next.js) | Brasil (São Paulo · gru1) | Dados em trânsito; logs operacionais 7 dias |
| Resend | Envio de e-mail transacional (convite, recuperação de senha) | Estados Unidos | Nome e e-mail do destinatário |
| Google Maps Embed | Mapa do endereço da família na ficha do beneficiário | Estados Unidos | Endereço (string) — sem identificador único |
Residência nacional: dados estruturais (banco) e binários (documentos, fotos) ficam integralmente em território brasileiro. Transferências internacionais limitam-se a serviços de comunicação operacional (Resend) e visualização cartográfica (Google Maps), amparadas por cláusulas contratuais padrão (Art. 33 LGPD). Há plano de substituição por provedores brasileiros para essas duas dependências.
Atualizações relevantes desta lista são comunicadas às prefeituras controladoras com antecedência razoável.
Retenção e descarte
Dados pessoais são retidos pelo prazo necessário às finalidades declaradas e às obrigações legais de guarda documental (Lei nº 14.133/2021, Marco Civil da Internet). Após o término da retenção, são anonimizados ou eliminados, conforme orientação do controlador.
Segurança e incidentes
A plataforma adota medidas técnicas e organizacionais proporcionais ao risco: cifragem em trânsito e em repouso, isolamento entre municípios, trilha de auditoria imutável, controle de acesso por função.
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a Axium Analytics comunica a prefeitura controladora em prazo razoável para que ela cumpra os deveres de comunicação à ANPD e ao titular previstos no Art. 48 da LGPD.
Decisões automatizadas
A plataforma executa sorteios determinísticos com semente publicada e algoritmo verificável de forma independente. Não há decisão automatizada arbitrária ou baseada em modelo opaco. O resultado é reproduzível por qualquer parte interessada com acesso ao algoritmo e à semente.
A pontuação na fila habitacional segue critérios definidos pela prefeitura controladora. O titular pode solicitar revisão da pontuação atribuída ao seu cadastro, conforme o inciso X do Art. 18 da LGPD.
Transferências internacionais
A operação rotineira da plataforma ocorre integralmente em território brasileiro. Eventuais transferências internacionais ocorrem apenas em hipóteses específicas (por exemplo, envio de e-mail transacional via fornecedor com infraestrutura também na União Europeia) e seguem as garantias previstas no Art. 33 da LGPD.
Reclamações e ANPD
O titular pode dirigir reclamações à Autoridade Nacional de Proteção de Dados (gov.br/anpd), autoridade competente para a aplicação da LGPD.