Registro de Operações de Tratamento de Dados (ROPA)
Conforme Art. 37 da LGPD (Lei 13.709/2018)
Última atualização: 12 de abril de 2026
Visão geral
Este documento registra todas as operações de tratamento de dados pessoais realizadas pela plataforma Voz Segura, conforme exigido pelo Art. 37 da LGPD. O registro e mantido tanto pelo Controlador (instituição de ensino) quanto pelo Operador (desenvolvedor da plataforma).
Operações de tratamento
| # | Operação | Dados | Base Legal | Finalidade | Retenção | Compartilhamento |
|---|---|---|---|---|---|---|
| 1 | Denúncia anônima (DA-XXXXXX) | Descricao, o-que-fez, quem-fez, relação c/ agressor, sexo/idade do agressor, meio utilizado, motivação, local específico, sala, turno, bairro, frequencia, data e hora da ocorrência, desde quando, testemunhas, provas. Todos criptografados AES-256-GCM. | Art. 7 II, VII; Art. 14 | Proteção de alunos | 2 anos (TTL auto) | Equipe escolar autorizada |
| 2 | Denúncia identificada (DI-XXXXXX) | Idem #1 + nome, serie/ano, turno do aluno. Todos criptografados. | Art. 7 II, VII; Art. 14 | Proteção com acompanhamento individual | 2 anos (TTL auto) | Equipe escolar autorizada |
| 3 | Triagem de urgência | Como se sente (bem/mal/muito mal), sentindo-se seguro, precisa de ajuda (urgente/esperar/nao), ideação de automutilação. Dado de saude mental criptografado. | Art. 7 VII; Art. 11 II "e" (proteção da vida) | Priorização de atendimento e score de urgência | Junto a denúncia (2 anos) | Equipe escolar + alerta automático se score >=5 |
| 4 | Dados demográficos sensíveis | Faixa etária, genero, raca/cor, PcD. Criptografados (LGPD Art. 5 II). | Art. 14; Art. 11 II "e" | Analytics agregado para orientar políticas | Junto a denúncia | Agregado/anonimizado; individual so para equipe |
| 5 | Impacto academico/social | Pais/responsaveis sabem, ja contou a alguem, a quem contou, notas cairam, faltou a aula, quantas faltas. Criptografados. | Art. 7 VII; Art. 14 | Avaliação de impacto e planejamento | Junto a denúncia | Equipe escolar |
| 6 | PIN de acesso do denúnciante | 8 caracteres alfanumericos. Hash bcrypt (cost 12) — o PIN em claro so e exibido uma vez ao aluno e nao e armazenado. | Art. 7 II (obrigação legal); Art. 46 (segurança) | Autenticação do titular para consultar/responder | Junto a denúncia | Nunca compartilhado |
| 7 | Autenticação administrativa (escolas) | Email, clerkId, nome (via Clerk), role, escolaId, cargoId | Art. 7 V (execucao contrato) | Controle de acesso ao painel | Enquanto usuario ativo | Clerk (operador) — TLS; cross-border com SCC |
| 8 | Autenticação órgãos competentes | Email, nome, orgaoId, PIN temporario (30d, bcrypt cost 12) e/ou senha (bcrypt cost 12), tokenVersao. JWT (HS256) assinado com JWT_SECRET de 32 bytes. | Art. 7 V; Art. 13 ECA (CT); LC 80/1994 (DP) | Acesso autonomo para órgãos que nao usam Clerk | Enquanto ativo | Interno |
| 9 | Logs de auditoria | UID, ação, detalhes criptografados (PII de aluno/agressor), nomeUsuario criptografado, IP, timestamp, hash SHA-256 de integridade (Decreto 8.771/2016 Art. 14) | Art. 7 II (obrigação legal) | Rastreabilidade e compliance | 1 ano (TTL auto) | Interno |
| 10 | Alertas urgentes (Lei 15.231/2025) | Registro, escola, nível (CRITICO/ALTO), motivos (automutilação, nao se sente seguro, ajuda urgente), score | Art. 7 VII; Lei 15.231/2025 | Notificação imediata a direcao escolar | 1 ano (TTL auto) | Equipe escolar autorizada |
| 11 | Solicitações LGPD (direitos do titular) | Nome, email, registro da denúncia, tipo (acesso/correcao/exclusao/portabilidade/anonimização/revogação), status | Art. 18 | Atendimento aos direitos do titular | 5 anos (prazo prescricional LGPD) | DPO + super admin |
| 12 | Arquivos anexados (provas e chat) | Conteúdo do arquivo criptografado AES-256-GCM em repouso, nome original criptografado, mimetype, tamanho, vinculo (denúnciaRegistro/encaminhamentoId/escolaId/orgaoId) | Art. 7 II, VII; Art. 46 | Prova/evidencia das ocorrências | 2 anos (TTL auto) | Apenas quem tem vinculo (aluno com PIN, equipe da escola, orgao com encaminhamento) |
| 13 | Chat aluno <-> escola (respostas) | Mensagens criptografadas, nome do admin criptografado. Aluno recebe apenas "Equipe Voz Segura" (funcionario anonimo). | Art. 7 II, VII | Acompanhamento bidirecional do caso | Junto a denúncia (2 anos) | Partes envolvidas |
| 14 | Encaminhamentos para órgãos competentes | Referencia a denúncia (registro), orgaoId, status, explicação criptografada, mensagens do chat escola<->orgao criptografadas, cor personalizada do orgao | Art. 7 II, VII; ECA Art. 13 (CT); LC 80/1994 (DP) | Levar o caso a autoridade competente | 2 anos (TTL auto) | Escola + orgao destinatario |
| 15 | Cargos e permissoes customizadas | Codigo, nome, 13 permissoes granulares (ver_denúncias, responder, alterar_status, encaminhar, ver_analytics, ver_encaminhamentos, responder_encaminhamento, gerenciar_usuarios/escolas/órgãos/cargos, ver_logs, ver_alertas), escopo (global/escola/orgao) | Art. 7 V | Controle de acesso granular (Zero Trust) | Enquanto ativo | Interno |
Informações complementares
Controlador
Instituição de ensino contratante da plataforma Voz Segura.
Operador
Desenvolvedor da plataforma Voz Segura. DPO: privacidade@dobby.com.br
Suboperadores
- MongoDB Atlas (EUA): Armazenamento de dados — DPA assinado conforme cláusulas contratuais padrão (LGPD Art. 33 II). Dados em repouso adicionalmente cifrados em AES-256-GCM pela Voz Segura antes do envio.
- Clerk (EUA): Autenticação de usuários administrativos (diretores, coordenadores, super admin). Recebe email + nome do staff. DPA padrão GDPR/CCPA aplicável.
- Vercel (EUA): Hospedagem serverless da aplicação. Não armazena dados pessoais persistentes — apenas logs de servidor (TTL 30 dias).
- Google Fonts (EUA): Servir família tipográfica Poppins via CDN. Google recebe automaticamente IP do visitante + User-Agent ao carregar a fonte. Mitigação prevista: migrar para self-hosting de woff2 local no próximo sprint. Enquanto isso, declarado como suboperador para transparência (LGPD Art. 33).
- VLibras (Governo Federal — Brasil): Widget de tradução para Libras carregado de
vlibras.gov.br. Atende Lei 13.146/2015 Art. 63. Operador é público federal, sob LGPD direta. - SendGrid / SES / Mailgun (a definir, EUA): SMTP para envio de comunicação ao Conselho Tutelar (ECA Art. 13). Recebe email do CT + texto do comunicado. DPA específico a ser assinado pela escola contratante.
Transferencia internacional (Art. 33 LGPD)
Os dados podem ser transferidos para servidores nos Estados Unidos (MongoDB Atlas, Clerk, Vercel, Google, SendGrid) com base em cláusulas contratuais padrão conforme Art. 33 II da LGPD. Cada suboperador acima possui DPA (Data Processing Agreement) público disponível em seus sites. A escola contratante recebe cópia desses DPAs no onboarding.
Dado mais sensível (conteúdo das denúncias, identidades de menores, comunicações chat) é criptografado pela Voz Segura em AES-256-GCM antes de chegar a qualquer suboperador — operador estrangeiro nunca tem acesso a texto plano.
Medidas de segurança (Art. 46 LGPD)
- Criptografia em repouso: AES-256-GCM em ~30 campos sensíveis das denúncias, mensagens do chat, explicações de encaminhamento, nome de arquivos e conteúdo binario dos arquivos, detalhes dos logs.
- Criptografia em transito: TLS 1.2+ (HSTS via Helmet.js).
- Autenticação: Clerk (painel admin) com 2FA suportado; JWT HS256 proprio para órgãos com rotação de tokenVersao em logout.
- Senhas: bcrypt cost 12.
- PIN de denúncia: 8 chars alfanumericos (~8.5x10^11 combinacoes), hash bcrypt, bloqueio automático apos 5 tentativas erradas por 1h.
- Autorização: controle de acesso baseado em roles + cargos customizaveis com 13 permissoes granulares; multi-tenancy por escola/orgao estritamente isolado.
- Hardening: Helmet.js (CSP, HSTS, X-Content-Type-Options, X-Frame-Options), CORS restrito a domínios autorizados, sanitize-html em inputs de HTML, validação regex de registros, rate limiting (publico 20/15min, consulta 10/15min, login orgao 10/15min), limite de upload 5MB por arquivo, whitelist de mimetypes.
- Anonimato funcional: no retorno ao aluno, nome do funcionario nunca e exposto — aparece apenas "Equipe Voz Segura" ou "Órgão competente".
- Arquivos protegidos: endpoint /uploads exige autenticação; aluno usa PIN, staff usa Clerk/JWT + validação de vinculo.
- Auditoria imutavel: logs com hash SHA-256 de integridade (Decreto 8.771/2016 Art. 14).
- TTL automático: denúncias/arquivos/encaminhamentos 2 anos; alertas/logs 1 ano (LGPD Art. 6 III — necessidade).