Política de Privacidade

Última atualização: 02/04/2026

Esta Política de Privacidade descreve como a BidSys ("nós", "nosso") coleta, utiliza, armazena e protege os dados pessoais dos usuários ("você", "titular") em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — LGPD).

1. Controlador dos Dados

O controlador responsável pelo tratamento dos seus dados pessoais é:

Plataforma: BidSys — Gestão Inteligente de Licitações
Site: bidsys.com.br
Contato do Encarregado (DPO): privacidade@bidsys.com.br

2. Dados Pessoais Coletados

Coletamos as seguintes categorias de dados:

2.1 Dados cadastrais

Fornecidos diretamente por você no registro ou configuração da conta:

Nome completo, e-mail, telefone, senha (armazenada em hash)
CNPJ, razão social, endereço da empresa
Dados de representantes legais (nome, CPF, RG)
Dados de responsáveis técnicos (nome, CPF, formação, registro profissional)

2.2 Documentos enviados

Arquivos carregados voluntariamente por você para uso nas funcionalidades do sistema:

Editais, termos de referência e anexos (PDF, DOCX)
Documentos de habilitação
Propostas comerciais
Contratos e aditivos
Foto de perfil

2.3 Dados de uso

Gerados automaticamente durante a utilização da plataforma:

Registros de acesso (data, hora, IP)
Funcionalidades utilizadas
Configurações de monitoramento PNCP (estados, palavras-chave)

3. Finalidade e Base Legal do Tratamento

Finalidade	Dados utilizados	Base Legal (Art. 7º LGPD)
Criar e manter sua conta	Nome, e-mail, senha	Execução de contrato (II)
Prestar o serviço de gestão de licitações	Dados cadastrais, documentos	Execução de contrato (II)
Análise de editais e geração de propostas com IA	Documentos enviados	Consentimento (I)
Monitoramento de oportunidades no PNCP	Configurações de busca	Execução de contrato (II)
Processamento de pagamento	E-mail, dados da transação	Execução de contrato (II)
Envio de alertas e notificações	E-mail	Legítimo interesse (IX)
Segurança e prevenção de fraude	IP, registros de acesso	Legítimo interesse (IX)

4. Compartilhamento de Dados

Seus dados podem ser compartilhados com os seguintes terceiros, exclusivamente para as finalidades descritas:

Google (Gemini AI): O conteúdo textual dos documentos enviados para análise por IA é processado pela API Google Gemini para extração de informações e geração de propostas. A Google processa esses dados conforme sua política de privacidade e termos de uso de API.
Cakto (Gateway de pagamento): Seu e-mail é compartilhado para processamento de cobranças e gestão da assinatura.

Não vendemos, alugamos ou compartilhamos seus dados pessoais com terceiros para fins de marketing.

5. Transferência Internacional de Dados

Os documentos processados pela funcionalidade de IA são enviados para servidores da Google, que podem estar localizados fora do Brasil. Essa transferência é realizada com base no Art. 33, II da LGPD, mediante cláusulas contratuais padrão e garantias adequadas de proteção fornecidas pela Google.

6. Retenção e Exclusão

Conta ativa: Seus dados são mantidos enquanto sua conta estiver ativa e o serviço estiver sendo prestado.
Após cancelamento: Dados são mantidos por até 30 dias para possibilitar reativação, após o que são excluídos permanentemente.
Trial expirado: Dados são preservados por 90 dias após a expiração do período de teste, permitindo que você assine sem perder informações.
Obrigações legais: Registros de acesso são mantidos conforme exigido pelo Marco Civil da Internet (Lei nº 12.965/2014).

7. Seus Direitos (Art. 18 LGPD)

Como titular dos dados, você tem direito a:

Confirmação e acesso: Saber se tratamos seus dados e obter cópia deles.
Correção: Solicitar a correção de dados incompletos, inexatos ou desatualizados.
Anonimização, bloqueio ou eliminação: Solicitar quando os dados forem desnecessários ou tratados em desconformidade.
Portabilidade: Solicitar a transferência dos seus dados a outro fornecedor.
Eliminação: Solicitar a exclusão dos dados tratados com base no consentimento.
Revogação do consentimento: Revogar o consentimento a qualquer momento, sem afetar a licitude do tratamento anterior.

Para exercer qualquer desses direitos, envie um e-mail para privacidade@bidsys.com.br. Responderemos em até 15 dias úteis.

8. Segurança dos Dados

Adotamos medidas técnicas e organizacionais para proteger seus dados:

Criptografia em trânsito: Todo o tráfego utiliza HTTPS/TLS.
Senhas: Armazenadas com hash bcrypt (nunca em texto plano).
Isolamento multi-tenant: Cada empresa possui um ambiente isolado — dados de um tenant não são acessíveis por outro.
Proteção contra ataques: CSRF tokens, rate limiting, validação de entrada, headers de segurança (CSP, HSTS).
Controle de acesso: Autenticação por sessão com flags HttpOnly, Secure e SameSite.

9. Cookies

O BidSys utiliza apenas cookies estritamente necessários para o funcionamento do sistema:

Cookie de sessão: Identifica sua sessão autenticada (HttpOnly, Secure).
Cookie CSRF: Proteção contra ataques de falsificação de requisição.

Não utilizamos cookies de rastreamento, analytics ou publicidade.

10. Alterações nesta Política

Podemos atualizar esta Política de Privacidade periodicamente. Alterações significativas serão comunicadas por e-mail ou aviso no sistema. A versão mais recente estará sempre disponível nesta página.

11. Contato

Para dúvidas, solicitações ou reclamações sobre o tratamento de dados pessoais:

E-mail do DPO: privacidade@bidsys.com.br
E-mail geral: contato@bidsys.com.br

Caso não obtenha resposta satisfatória, você pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD).