FM Solutions

Política de privacidade

Última atualização · 27 de abril de 2026 · v2.1

1. Quem somos (controlador dos dados)

FM Solutions & Consulting USA LLC(“FM Solutions”, “nós”) é uma sociedade limitada (Limited Liability Company) constituída e registrada no estado da Flórida, Estados Unidos da América, sob:

  • Document Number: L25000331929
  • EIN (Federal Employer Identification Number): 61-2276626
  • Endereço principal: 2295 S. Hiawassee Rd #104, Orlando, FL 32835, USA
  • Data de constituição: 18 de julho de 2025
  • Status: Active (ativa)

Para fins da LGPD (Lei nº 13.709/2018), atuamos como controlador dos dados pessoais coletados via fmsolutions.ai e nos serviços operados pela FM. Para fins do GDPR (Reg. UE 2016/679), atuamos como data controller em relação a titulares na União Europeia, EEE e Reino Unido.

Quando soluções operam sob delegação de cliente B2B (ex: clínicas usando ferramentas B2B), atuamos como operador / processor do cliente, sob contrato (DPA) específico.

Encarregado de Proteção de Dados (DPO) — contactável em dpo@fmsolutions.ai. O DPO recebe e responde a todas as solicitações de titulares no prazo legal.

2. Dados que coletamos

2.1 Dados que você fornece diretamente

  • Identificação: nome, e-mail, documento fiscal (CNPJ ou equivalente internacional), telefone, cargo.
  • Empresa / operação: razão social, tamanho, setor, endereço.
  • Comunicação: mensagens via formulário de contato, chat de suporte e WhatsApp.

2.2 Dados gerados pelo uso

  • Uso da plataforma: páginas visitadas, recursos utilizados, metadados de chamadas de IA (créditos consumidos, ferramenta executada, tempo de resposta).
  • Logs de acesso e auditoria: IP, user-agent, data/hora, ações realizadas. Conservamos pelo prazo do art. 15 do Marco Civil da Internet.
  • Cookies e tecnologias similares: ver política de cookies.

2.3 Dados de pagamento

Dados de cartão são coletados, processados e armazenados exclusivamente pelo gateway Stripe. A FM Solutions recebe apenas o identificador da assinatura, status, data e valor. Não temos acesso a número de cartão, CVV ou validade.

2.4 Conteúdo enviado às ferramentas de IA

Mensagens, documentos e uploads enviados às ferramentas (LeadAPI, Compliance Analyzer, Automações, FM Workplace) são processados pelos provedores de modelo (Anthropic, OpenAI, Google) sob contratos de DPA com cláusulas de:

  • Não-treinamento: dados enviados via API NÃO são usados para treinar modelos (default declarado pelos três provedores)
  • Retenção limitada: 30 dias para abuse monitoring (default); opt-in para zero-retention disponível mediante solicitação para casos de alto sigilo

2.5 Dados pessoais sensíveis (LGPD art. 5º II + 11; GDPR art. 9)

A FM Solutions não trata dados sensíveis por design (saúde, biométricos, religiosos, etc.) em suas ferramentas atuais (LeadAPI, Compliance Analyzer, Automações, FM Workplace). Caso, no futuro, lancemos produtos que envolvam dados sensíveis, aplicaremos:

  • Base legal específica (consentimento explícito ou hipótese aplicável do art. 11 LGPD / art. 9º GDPR)
  • Contratos específicos (HIPAA BAA, etc.) quando aplicável
  • Relatório de Impacto à Proteção de Dados Pessoais (RIPD/DPIA) antes do lançamento
  • Atualização desta política com 30 dias de antecedência

Se você incluir dados sensíveis voluntariamente em qualquer ferramenta (ex: descrever condição de saúde em mensagem WhatsApp via LeadAPI), serão tratados com o mesmo padrão técnico de proteção do restante, mas você reconhece que essa inclusão é opcional e não solicitada por nós.

3. Bases legais para tratamento

Tratamos seus dados com fundamento em uma das hipóteses do art. 7º (dados comuns) e art. 11 (dados sensíveis) da LGPD, e no art. 6º do GDPR. As bases que efetivamente utilizamos hoje:

  • Execução de contrato (LGPD art. 7º V; GDPR art. 6º (1)(b)) — para entregar o serviço contratado, processar pagamentos via Stripe e enviar comunicações transacionais.
  • Cumprimento de obrigação legal (LGPD II; GDPR (1)(c)) — obrigações fiscais, contábeis, regulatórias e regulares de proteção de dados.
  • Interesse legítimo (LGPD IX; GDPR (1)(f)) — segurança da informação, prevenção a fraude, monitoramento de abuso, comunicação transacional, melhorias de produto. Sempre com teste de balanceamento (legitimate interest assessment) documentado.
  • Consentimento (LGPD I; GDPR (1)(a)) — newsletter, cookies não-essenciais, marketing direto. Você pode revogar a qualquer momento sem prejuízo do serviço básico.
  • Tutela da saúde (LGPD art. 11 II f) — reservada para futuros produtos de saúde, quando aplicável. Atualmente não em uso.

4. Decisões automatizadas e inteligência artificial

A FM Solutions é uma plataforma de IA. Algumas decisões em nossas ferramentas são tomadas automaticamente por modelos (ex: triagem de lead, geração de receituário, análise de contrato). De acordo com o art. 20 da LGPD e art. 22 do GDPR, você tem direito a:

  • Saber que a decisão foi automatizada e a lógica geral por trás dela
  • Revisão por pessoa humana a qualquer momento, mediante solicitação ao DPO
  • Não ser submetido a decisão exclusivamente automatizada que produza efeitos legais ou similarmente significativos

As decisões automatizadas executadas hoje (cobrança, cota de créditos, roteamento de modelo) são operacionais e não produzem efeitos legais sobre você. Em todos os casos onde uma ferramenta gera conteúdo que será usado em decisão jurídica ou financeira (Compliance análise contratual, Automações de cobrança, etc.), o conteúdo é revisável pelo profissional humano antes de produzir efeitos.

5. Como usamos seus dados

  • Operar o serviço contratado (autenticação, billing, catálogo de serviços)
  • Comunicação transacional (faturas, atualizações críticas, suporte)
  • Marketing e comunicações (com base em consentimento ou interesse legítimo; opt-out em todo email)
  • Compliance regulatório (fiscal, LGPD, GDPR, audit trail)
  • Analytics agregados de uso (apenas com consentimento explícito via banner de cookies)
  • Melhoria do produto e segurança (monitoramento de abuso, prevenção a fraude)

6. Compartilhamento

Não vendemos seus dados. Compartilhamos apenas com os operadores abaixo, todos sob DPA válido (lista mantida em docs/legal/dpa/ e atualizada quando há mudança):

  • Supabase (Supabase Inc., EUA) — banco de dados, autenticação, edge functions
  • Vercel (Vercel Inc., EUA) — hospedagem do site e funções serverless
  • Stripe (Stripe LLC, EUA / Stripe Payments Europe, Irlanda) — processamento de pagamento. PCI Level 1 compliant.
  • Resend (Plus Five Five Inc., EUA) — envio de emails transacionais
  • Anthropic (EUA) — modelo Claude (zero-treinamento e HIPAA-eligible quando aplicável)
  • OpenAI (EUA) — modelos GPT (zero-treinamento default desde 1/mar/2023)
  • Google Cloud / Gemini API (Google LLC, EUA) — modelo Gemini
  • Cloudflare (EUA) — DNS, mitigação de DDoS, anti-bot. DPA v6.4.

Sub-operadores: mantemos lista atualizada e notificamos mudanças materiais por email com 30 dias de antecedência. Quando houver objeção legítima de cliente, oferecemos alternativa ou rescisão sem multa.

Compartilhamos com autoridades públicas apenas quando legalmente obrigatório (ordem judicial ou pedido formal de autoridade competente). Buscamos remédios legais antes de divulgar e notificamos o titular quando legalmente permitido.

7. Transferências internacionais

A FM Solutions & Consulting USA LLC é registrada no estado da Flórida (EUA), com sede em Orlando. Nossos operadores também processam dados em servidores nos EUA, UE e outras jurisdições. Garantimos as salvaguardas exigidas pela LGPD (art. 33) e GDPR (Capítulo V):

  • Standard Contractual Clauses (SCCs) da UE 2021/914 — assinadas com Vercel, Supabase, Stripe, Resend, Anthropic, OpenAI, Google e Cloudflare. Module 2 (Controller→Processor) para titulares EU/EEE.
  • UK International Data Transfer Addendum (IDTA) — para titulares no Reino Unido.
  • EU-U.S. Data Privacy Framework (DPF) — vários operadores certificados (Resend, Cloudflare, OpenAI, Vercel, Stripe).
  • Cláusulas equivalentes para LGPD — contratos com operadores incluem cláusulas mínimas exigidas pelo art. 33 da LGPD.

8. Seus direitos como titular

A LGPD (art. 18) e o GDPR (arts. 15–22) garantem direitos sobre seus dados pessoais. Você pode exercer todos eles a qualquer momento, sem custo:

  1. Confirmação da existência de tratamento (LGPD I) — saber se tratamos dados sobre você
  2. Acesso (LGPD II; GDPR art. 15) — receber cópia em formato legível
  3. Correção (LGPD III; GDPR art. 16) — atualizar dados incompletos ou inexatos
  4. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade (LGPD IV)
  5. Portabilidade (LGPD V; GDPR art. 20) — formato estruturado e legível por máquina (JSON/CSV)
  6. Eliminaçãodos dados tratados com base no consentimento (LGPD VI; GDPR art. 17 — “direito ao esquecimento”)
  7. Informação sobre compartilhamento (LGPD VII) — saber com quais entidades compartilhamos
  8. Informação sobre não fornecimento de consentimento (LGPD VIII) — saber as consequências de negar consentimento
  9. Revogação de consentimento (LGPD IX; GDPR art. 7º (3))
  10. Oposição a tratamento baseado em interesse legítimo (LGPD § 2º; GDPR art. 21)
  11. Revisão de decisão automatizada (LGPD art. 20; GDPR art. 22)

Para exercer: página dedicada ou email para dpo@fmsolutions.ai. Respondemos em até 15 dias corridos (LGPD) ou 30 dias (GDPR), prorrogáveis por 60 dias adicionais em casos complexos com justificativa.

9. Reclamação a autoridade de controle

Se sua solicitação não for tratada adequadamente, você pode reclamar diretamente à autoridade competente:

10. Privacy by design e by default

Aplicamos os princípios do GDPR art. 25 e da LGPD art. 46 em todo desenvolvimento:

  • Minimização: coletamos apenas o necessário; campos opcionais são realmente opcionais
  • Proteção por padrão: configurações de privacidade mais restritivas são default; cookies não-essenciais ficam desativados até consentimento explícito
  • Avaliação de impacto (RIPD/DPIA): conduzimos avaliação de impacto antes de lançar features que processem dados sensíveis ou em larga escala. Documentação disponível para autoridades sob pedido.
  • Pseudonimização: usamos identificadores opacos sempre que possível
  • Segregação: RLS (Row Level Security) garante isolamento entre tenants no banco

11. Segurança

  • Criptografia em trânsito: TLS 1.3 obrigatório
  • Criptografia em repouso: AES-256 (Supabase) e AES-XTS-128 (Cloudflare)
  • Acessos: audit trail completo, autenticação multifator opcional, modelo zero-trust
  • Backups: diários automatizados, retenção 30 dias
  • Princípio do menor privilégio aplicado a acesso interno
  • Penetration testing regular por terceiros + bug bounty
  • Certificações dos operadores: SOC 2 Type 2 (todos), ISO 27001 (Cloudflare, Resend), PCI Level 1 (Stripe, Cloudflare)

12. Notificação de incidentes de segurança

Caso ocorra incidente que possa acarretar risco ou dano relevante aos titulares, notificamos:

  • ANPD: em até 2 dias úteis (LGPD art. 48; Resolução CD/ANPD nº 15/2024)
  • Autoridade de proteção de dados europeia: em até 72 horas (GDPR art. 33)
  • Titulares afetados: sem demora indevida quando o incidente representar alto risco aos seus direitos (GDPR art. 34; LGPD art. 48 § 2º)

Notificações incluem: natureza do incidente, dados envolvidos, quantitativo de titulares afetados, medidas adotadas, contato do DPO.

13. Retenção de dados

Mantemos seus dados enquanto sua conta estiver ativa, mais o tempo exigido por lei. Tabela de retenção:

  • Dados de conta ativa: enquanto durar a relação contratual
  • Registros fiscais e contábeis: 5 anos (Decreto 3.000/99 + IRS US — guarde-se o mais longo)
  • Logs técnicos detalhados: 6 meses (Marco Civil da Internet, art. 15)
  • Logs de auditoria de acesso: 12 meses (alinhado a Cloudflare DPA)
  • Dados de prospecção sem conversão: 12 meses
  • Logs de chamadas de IA: 30 dias para abuse monitoring (default dos provedores)
  • Pedido de exclusão: executamos em até 15 dias corridos (LGPD) ou 30 dias (GDPR), exceto o que estamos legalmente obrigados a reter

14. Crianças e adolescentes

A FM Solutions é uma plataforma B2B destinada a profissionais e empresas. Não coletamos intencionalmente dados de menores de 18 anos. Se identificarmos coleta inadvertida de dados de criança ou adolescente, excluímos imediatamente.

Pais ou responsáveis que identifiquem dados de menores podem solicitar exclusão pelos canais acima. Para fins de GDPR (art. 8), a idade de consentimento varia por estado-membro; aplicamos a regra mais protetiva (16 anos) por padrão.

A FM Solutions não atende menores diretamente. Se nossas ferramentas B2B forem usadas por clientes em contextos que envolvam dados de menores, é responsabilidade do cliente (controlador) obter o consentimento dos responsáveis legais e cumprir as obrigações aplicáveis.

15. Cookies

Detalhamos cada cookie em uso (categoria, provedor, finalidade, duração) em /cookies. Você controla cookies não-essenciais via banner de consentimento ou configurações do navegador.

16. Encarregado (DPO)

Para questões formais, denúncias, exercício de direitos ou contato com autoridades: dpo@fmsolutions.ai.

Mantemos registro escrito (record of processing activities — GDPR art. 30; LGPD art. 37) de todas as operações de tratamento, disponível para autoridades sob pedido.

17. Atualizações desta política

Mudanças materiais serão comunicadas por email com pelo menos 30 dias de antecedência. Mudanças não materiais (correções de redação, links, atualização de versão de operador) entram em vigor imediatamente. A versão atual fica sempre disponível nesta URL com versionamento explícito (v2.1, etc.) e datas.

Histórico de versões anteriores disponível mediante solicitação ao DPO.