Política de Privacidade

1. Introdução

A FBR Soluções & Tecnologia está comprometida com a proteção da sua privacidade e dos seus dados pessoais. Esta Política de Privacidade explica como coletamos, usamos, armazenamos e protegemos suas informações em todos os pontos de contato com a FBRST.

O escopo desta política cobre:

• Site institucional — fbrst.net e suas páginas (institucional, SGT, SGP, calculadora, política).
• Plataforma SGT — Sistema de Gestão de Terceiros — solução web contratada por empresas para credenciamento de fornecedores, gestão de contratos e compliance LGPD.
• Plataforma SGP — Sistema de Gestão de Produtividade — solução web contratada por empresas para apropriação de produtividade industrial (RDC, RDO, EVM, qualidade, HSE) em construção naval, óleo & gás e montagem industrial.
• Aplicativo móvel SGT Mobile — disponível na Apple App Store (iOS) e na Google Play Store (Android), complementar à plataforma SGT, voltado a gestores e responsáveis por contratos com fornecedores.
• Aplicativo móvel SGP Mobile — disponível na Apple App Store (iOS) e na Google Play Store (Android), complementar à plataforma SGP, com operação offline para uso em canteiros de obra.

Esta política está em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018), com o Marco Civil da Internet (Lei 12.965/2014), com as diretrizes da Apple App Store e do Google Play sobre privacidade de aplicativos, e com demais regulamentações aplicáveis.

2. Informações que Coletamos

2.1 Informações Fornecidas Voluntariamente (Site fbrst.net)

• Formulário de Contato: Nome, email, assunto e mensagem
• Comunicação: Informações fornecidas em emails ou contatos telefônicos

2.2 Informações Coletadas Automaticamente (Site fbrst.net)

• Cookies Técnicos: Dados de sessão e funcionamento do site
• Logs de Acesso: Endereço IP, navegador, páginas visitadas (com consentimento)
• Dados de Segurança: Informações do Google reCAPTCHA para proteção anti-spam

2.3 Dados Processados na Plataforma SGT

O SGT — Sistema de Gestão de Terceiros é uma plataforma contratada por empresas clientes. No contexto do SGT, a FBR Soluções & Tecnologia atua como Operadora de Dados (conforme art. 5º, VII da LGPD), processando dados sob instrução e responsabilidade do cliente (Controlador). Os dados tratados no SGT podem incluir:

• Dados de Fornecedores e Prestadores: Razão social, CNPJ, inscrições estaduais, endereço, dados bancários e documentos societários
• Dados de Autônomos e MEIs: Nome completo, CPF, RG, dados de contato, notas fiscais e certidões
• Dados de Contratos: Informações contratuais, valores, prazos, aditivos e documentos relacionados
• Dados de Validação em Bases Públicas: Consultas automatizadas ao TCU (Tribunal de Contas da União), CNJ (Conselho Nacional de Justiça), CEIS (Cadastro de Empresas Inidôneas e Suspensas) e CNEP (Cadastro Nacional de Empresas Punidas)
• Documentos Digitalizados: Certidões, alvarás, licenças, atestados e demais documentos submetidos ao sistema
• Logs de Auditoria: Registro de todas as ações realizadas na plataforma para fins de rastreabilidade

O tratamento dos dados na plataforma SGT é regido pelo Contrato de Prestação de Serviços celebrado com cada cliente, que é o Controlador responsável pelas finalidades e bases legais do tratamento.

2.4 Dados Processados na Plataforma SGP (Web)

O SGP — Sistema de Gestão de Produtividade é uma plataforma contratada por empresas de construção naval, óleo & gás e montagem industrial. Assim como no SGT, a FBR atua como Operadora de Dados, sob instrução do cliente (Controlador). Pela natureza industrial do produto, o SGP trata um volume maior de dados operacionais e regulatórios. Os dados podem incluir:

• Dados de Cadastros: Projetos, empresas (BR e estrangeiras), disciplinas, turnos, cargos, equipes, colaboradores (CPF/passaporte), equipamentos, almoxarifados, materiais e ordens de produção (OPs)
• Apropriação de Produtividade (RDC/RDO): Horas trabalhadas por colaborador, atividades produtivas e improdutivas, empréstimos entre equipes, hora extra com justificativa, quantidade física executada, paralisações, acidentes e ocorrências
• Cronograma e Recursos: WBS, atividades, dependências, baselines, calendários de projeto, alocação de recursos e curvas de mobilização
• Materiais e Estoque: Catálogo, BOM por OP, requisições, vales de retirada, recebimento de NFe, movimentações, lotes, corridas de aço e certificados de material
• Custos e EVM: Snapshots imutáveis de custo de mão de obra, orçamentos versionados, BMC (Boletim de Medição Cliente) e indicadores Earned Value (PV/EV/AC/CPI/SPI)
• Qualidade Industrial: Juntas de solda, WPS/PQR, qualificação de soldadores, ensaios não destrutivos (NDE), NCR, ações corretivas (CAPA), spools, linhas de tubulação, testes de pressão, calibração de instrumentos e inspeções dimensionais
• HSE — Saúde, Segurança e Meio Ambiente: Permissões de Trabalho (PTW), Atestados de Saúde Ocupacional (ASO), entrega e devolução de EPI, Análises Preliminares de Risco (APR/JSA), investigações de incidentes (CAPA), e controle de acesso por crachá / biometria com decisão granted/denied auditada
• Compliance Naval: Sociedade Classificadora (IACS), surveys, certificados, class items, milestones contratuais, handover/RFSU e warranty claims
• Gestão de Documentos (GED): Documentos de engenharia (drawings, especificações, IFC), revisões, transmittals, distribuição matriz, data books e certificados de fabricação
• BIM/IFC e IoT: Modelos IFC com elementos vinculados à WBS/OP, telemetria de máquinas de solda (MQTT/REST/CSV), arc-on time, heat input e detecção de desvios vs. WPS
• Logs de Auditoria: Registro completo de quem alterou o quê e quando — base de qualquer auditoria de cliente, classificadora ou órgão regulador

Quando o cliente habilita integrações, o SGP também processa dados em trânsito com sistemas externos (Primavera P6, AVEVA ERM, TOTVS Protheus, MS Project, SEFAZ-NFe, Active Directory/Azure AD para SSO, INMET e Open-Meteo para dados meteorológicos), sempre dentro do escopo autorizado pelo Contrato de Prestação de Serviços.

2.5 Dados Coletados pelos Aplicativos Móveis (SGT Mobile e SGP Mobile)

A FBR distribui dois aplicativos móveis oficiais — SGT Mobile e SGP Mobile — ambos disponíveis gratuitamente na Apple App Store (iOS) e na Google Play Store (Android). Cada aplicativo é complementar à respectiva plataforma web e segue os mesmos princípios de privacidade.

Permissões comuns aos dois aplicativos

Ambos os aplicativos solicitam permissões de forma contextual — o titular pode conceder ou revogar a qualquer momento nas configurações do dispositivo:

• Câmera: Captura de fotos como evidência operacional (anexadas ao registro local até a sincronização com o servidor). As imagens são comprimidas pelo aplicativo antes de subir, mantendo o original em qualidade total no servidor.
• Notificações Push: Avisos de aprovação, rejeição, vencimento de credenciais e ocorrências do projeto. O serviço de push é o oficial de cada plataforma — APNs (Apple Push Notification service) e FCM (Firebase Cloud Messaging — Google).
• Biometria / Face ID / Touch ID (opcional): Quando o usuário habilita autenticação biométrica como segundo fator, o aplicativo usa a API nativa do dispositivo (LocalAuthentication no iOS, BiometricPrompt no Android) para validar a identidade localmente. Nenhum template biométrico é transmitido para o servidor.
• Telemetria de Falhas: Em caso de erro inesperado, o aplicativo pode enviar metadados anônimos (modelo do dispositivo, sistema operacional e descrição técnica do erro) para diagnóstico. Não inclui dados pessoais do titular.

Específico do SGT Mobile

O SGT Mobile tem quase todas as funções da plataforma web — apenas a parte de configuração permanece exclusiva do navegador. O app agiliza as operações do dia a dia e atende três perfis distintos, com dados acessados conforme o perfil de permissão configurado pelo Controlador:

• Para usuários terceiros (responsáveis das empresas terceirizadas): anexar documentos (foto ou galeria), verificar pendências, verificar motivos de rejeição de documentos e cadastrar novos colaboradores — todos vinculados à própria empresa terceirizada.
• Para usuários internos (equipe administrativa do contratante): cadastrar novas empresas via pré-cadastro, solicitar acesso de pessoas e veículos a unidades organizacionais e acompanhar agendamentos.
• Para auditores de documentos (time de auditoria interna e fiscalização): realizar análises documentais (aprovar ou rejeitar com motivo padronizado) e verificar a homologação de colaboradores em área (validade de documentação para trabalhar em determinada unidade).

Permissões e dados adicionais do SGT Mobile:

• Anexos / Galeria de Fotos: Upload de documentos diretamente do dispositivo (foto da câmera ou arquivo da galeria), com validação automática de formato e tamanho pelo sistema.
• Acesso aos dados da plataforma SGT: Empresas, colaboradores, autônomos, veículos, documentos, agendamentos e fluxos de aprovação — sempre limitado ao escopo de permissão configurado pelo Controlador na plataforma web. Tudo o que é feito pelo app fica registrado no mesmo histórico de auditoria da versão web.

Específico do SGP Mobile

Voltado a operadores de campo — encarregados, supervisores, soldadores, inspetores, fiscais e usuários de leitura — que precisam registrar e consultar produção mesmo em áreas sem cobertura de rede. Por isso, este aplicativo tem permissões adicionais voltadas à operação offline:

• Geolocalização (opcional): Apenas quando o cliente Controlador habilita o georreferenciamento em relatórios diários ou em eventos de acesso e permissão de trabalho. O aplicativo pede permissão de uso enquanto em utilização ("while-in-use"), nunca em segundo plano.
• Armazenamento offline ampliado: O aplicativo mantém um banco offline embutido com a parcela do modelo da empresa necessária à operação em campo (cadastros, relatórios em rascunho, fotos pendentes de upload). Os dados são removidos automaticamente após o logout ou ao desinstalar o aplicativo.
• Sincronização inteligente: Os dados ficam armazenados localmente até que haja conexão; depois sobem ao servidor de forma automática, sem duplicação.

O que os aplicativos NÃO coletam

Nem o SGT Mobile nem o SGP Mobile coletam: contatos da agenda, microfone, mensagens SMS, conta do Google ou da Apple, lista de aplicativos instalados, identificadores de publicidade (IDFA / GAID), nem qualquer dado para fins de marketing ou rastreamento entre aplicativos. Ambos cumprem integralmente as diretrizes de App Tracking Transparency da Apple e a Política de Privacidade do Google Play.

3. Como Utilizamos suas Informações

3.1 Dados do Site (fbrst.net)

• Responder às suas solicitações de contato e fornecer suporte
• Enviar informações sobre nossos serviços (quando solicitado)
• Garantir a segurança e funcionamento adequado do site
• Cumprir obrigações legais e regulatórias
• Melhorar nossos serviços com base em feedback (anonimizado)

3.2 Dados da Plataforma SGT

• Credenciamento e validação de fornecedores, prestadores e autônomos
• Gestão do ciclo de vida de contratos e documentos
• Consulta automática em bases governamentais (TCU, CNJ, CEIS, CNEP) para verificação de conformidade
• Geração de relatórios e dashboards executivos para os clientes
• Envio de alertas e notificações sobre vencimentos e não conformidades
• Manutenção de logs de auditoria para garantia de rastreabilidade e conformidade

3.3 Dados da Plataforma SGP

• Apropriação diária de produtividade (RDC) e consolidação ao nível de obra (RDO) com fluxo tripartite emitente → fiscalização → cliente
• Cálculo automático de Earned Value (PV / EV / AC / CPI / SPI / EAC) e curva S de HH, custo, EV e cronograma
• Validação cross-RDC para evitar duplo lançamento de HH e gerenciar empréstimos entre equipes
• Geração de PDFs regulatórios congelados por hash SHA-256 (RDO, BMC, certificados de marco contratual, Data Book)
• Avaliação de qualidade industrial: liberação de juntas só com WPS válida e qualificação de soldador vigente; amostragem N-133; emissão de relatórios NDE
• Bloqueios automáticos de HSE: PTW vencida, ASO inapto, EPI sem CA válido ou APR de alto risco sem assinatura HSE impedem a execução da atividade
• Geração de Boletim de Medição Cliente (BMC) mensal com base em OPs executadas, milestones atingidos e change orders aprovados
• Distribuição automática de documentos de engenharia conforme matriz tipo × disciplina, com supersedure de holders e auditoria de transmittals
• Avaliação de prontidão para entrega (handover/RFSU) via Class Readiness Score, status de classificadora e zero punchlist crítico aberto
• Integração bidirecional com Primavera P6, AVEVA ERM, TOTVS Protheus e MS Project — sempre com dry-run obrigatório, field-level audit e rollback
• Manutenção de logs de auditoria completos para auditoria de cliente, IACS e órgãos reguladores

3.4 Dados do Aplicativo Móvel SGT Mobile

O SGT Mobile reproduz no celular quase todas as operações do dia a dia da plataforma web (a parte de configuração do sistema permanece exclusivamente na versão web). Os dados são utilizados conforme o perfil do usuário:

• Terceiros — anexar documentos com captura por câmera ou seleção da galeria; verificar pendências e prazos; consultar motivos de rejeição com instruções de correção; cadastrar novos colaboradores da própria empresa terceirizada.
• Equipe interna — iniciar pré-cadastro de novas empresas terceirizadas e acompanhar a aprovação tripartite; solicitar acesso de pessoas e veículos a unidades organizacionais; acompanhar agendamentos e validações de entrada.
• Auditores de documentos — realizar análises documentais (aprovar/rejeitar com motivo padronizado); verificar homologação de colaboradores em área (validade de documentação por unidade organizacional).
• Notificações push de pendências, aprovações, rejeições e vencimentos relacionados ao escopo do usuário.
• Autenticação em dois fatores via código temporário e/ou biometria local — quando habilitada pelo titular.

3.5 Dados do Aplicativo Móvel SGP Mobile

• Lançamento offline de relatório diário, análise de risco, permissão de trabalho, não conformidade, punchlist, recebimento de nota fiscal e inspeções de campo
• Captura de fotos de evidência operacional (anexadas ao registro local até a sincronização com o servidor)
• Notificações push de aprovação, rejeição, vencimento de credenciais (exames ocupacionais, EPI, qualificação de soldador) e ocorrências do próprio projeto
• Autenticação em dois fatores via código temporário e/ou biometria local (Face ID, Touch ID ou impressão digital) — quando habilitada pelo titular
• Sincronização inteligente com o servidor da empresa (idempotente, sem duplicação), executada automaticamente quando há rede disponível

Em ambos os aplicativos, os dados ficam segregados por empresa exatamente como na plataforma web. O usuário só visualiza o que a empresa Controladora autoriza por meio do sistema de permissões — gestor de contrato vê seus contratos, encarregado vê apenas relatórios da própria equipe, e assim por diante.

4. Base Legal para Processamento

Processamos seus dados pessoais com base nas seguintes bases legais:

• Consentimento: Para comunicações de marketing e cookies não essenciais
• Interesse Legítimo: Para responder contatos e melhorar serviços
• Execução de Contrato: Para fornecimento de serviços contratados
• Cumprimento Legal: Para atender obrigações legais

5. Cookies e Tecnologias Similares

5.1 Tipos de Cookies Utilizados

• Cookies Necessários: Essenciais para funcionamento básico (sempre ativos)
• Cookies de Segurança: Google reCAPTCHA para proteção contra spam
• Cookies de Preferências: Armazenam configurações do usuário

5.2 Gerenciamento de Cookies

Você pode gerenciar suas preferências de cookies através do banner que aparece em sua primeira visita ou através das configurações do seu navegador.

6. Papel da FBR como Operadora de Dados (SGT e SGP)

Quando a FBR Soluções & Tecnologia processa dados pessoais em nome de seus clientes no âmbito das plataformas SGT e SGP (incluindo o aplicativo móvel SGP), atua na qualidade de Operadora de Dados, conforme definido no art. 5º, VII da LGPD. Nessa condição:

• O cliente contratante é o Controlador e define as finalidades e bases legais do tratamento
• A FBR processa os dados exclusivamente conforme as instruções e o contrato celebrado com o cliente
• Medidas técnicas e organizacionais adequadas são mantidas para proteger os dados processados, incluindo Row-Level Security em PostgreSQL para isolamento por tenant, criptografia em trânsito (TLS 1.3) e em repouso, e auditoria completa (audit log com quem, quando, valor antigo e valor novo)
• Suboperadores (infraestrutura de nuvem, push providers, integradores ERP) são utilizados somente com garantias equivalentes de proteção
• Os clientes são notificados sobre quaisquer suboperadores relevantes
• Para o SGP, o congelamento por hash SHA-256 de RDO, BMC e certificados é parte da estratégia de não-repúdio: uma vez congelado, o documento é imutável até para a própria FBR — qualquer tentativa de alteração é bloqueada por trigger PostgreSQL nativo

Para exercer direitos relativos a dados processados dentro do SGT ou do SGP (acesso, correção, exclusão), os titulares devem contatar diretamente o cliente contratante (Controlador), que é o responsável pelo atendimento dessas solicitações. A FBR colabora com o Controlador no atendimento ao titular dentro dos prazos legais.

7. Compartilhamento de Informações

Não vendemos, alugamos ou compartilhamos suas informações pessoais com terceiros, exceto:

• Prestadores de Serviço do Site: Google (reCAPTCHA), provedores de email
• Infraestrutura das Plataformas SGT e SGP: Contabo Inc. (hospedagem, Estados Unidos) e Amazon Web Services (backup e relay de e-mail). Para o SGP, opcionalmente clientes podem optar por hospedagem on-premise no próprio data center, eliminando totalmente a transferência internacional
• Bases Governamentais (SGT): Consultas automatizadas ao TCU, CNJ, CEIS e CNEP para validação de fornecedores (somente leitura, conforme autorizado pelo cliente)
• SEFAZ — NFe (SGP): Validação de NFe com xmlseclibs (XML-DSig) para recebimento de materiais
• Integrações ERP (SGP): Bidirecional com Primavera P6, AVEVA ERM, TOTVS Protheus e MS Project, somente quando habilitadas pelo cliente Controlador, com escopo de dados configurado no contrato
• SSO e Identity (SGP): Active Directory ou Azure AD via OAuth2/OIDC, quando o cliente habilita SSO corporativo
• Push Providers (Apps Mobile SGT e SGP): APNs (Apple Push Notification service) e Firebase Cloud Messaging (Google), apenas para entrega de notificações operacionais nos dois aplicativos
• Sociedade Classificadora (SGP): Dados de surveys, certificados e class items podem ser exportados ao próprio cliente para envio à classificadora (ABS, BV, DNV, LR, etc.); a FBR não envia dados diretamente à classificadora
• Obrigações Legais: Quando exigido por lei ou autoridades competentes
• Proteção Legal: Para proteger nossos direitos, propriedade ou segurança

8. Seus Direitos

De acordo com a LGPD, você tem os seguintes direitos:

• Confirmação: Saber se processamos seus dados
• Acesso: Obter cópia dos dados que processamos
• Correção: Corrigir dados incompletos ou inexatos
• Anonimização/Eliminação: Solicitar remoção de dados desnecessários
• Portabilidade: Transferir dados para outro fornecedor
• Revogação: Retirar consentimento a qualquer momento
• Informação: Saber com quem compartilhamos seus dados

9. Segurança dos Dados

Implementamos medidas técnicas e organizacionais adequadas para proteger seus dados:

• Criptografia SSL/TLS para transmissão de dados
• Acesso restrito às informações pessoais
• Monitoramento regular de segurança
• Backups seguros e procedimentos de recuperação

10. Retenção de Dados

Mantemos seus dados pessoais apenas pelo tempo necessário para:

• Cumprir as finalidades para as quais foram coletados
• Atender obrigações legais e regulatórias
• Resolver disputas e fazer cumprir acordos

Dados de contato são mantidos por até 5 anos após o último contato, exceto se houver obrigação legal para retenção por período maior.

11. Transferência Internacional

Para garantir a melhor performance, segurança e disponibilidade de nossos serviços, utilizamos fornecedores internacionais de infraestrutura:

11.1 Hospedagem Principal

• Provedor: Contabo Inc. (Estados Unidos)
• Finalidade: Hospedagem dos servidores e aplicações web do site, do SGT e do SGP
• Localização: Data centers nos Estados Unidos da América
• Proteção: Cláusulas contratuais específicas de proteção de dados conforme LGPD, criptografia em trânsito (TLS 1.3) e em repouso, certificações de segurança e backups redundantes
• Base legal para transferência internacional (LGPD art. 33): Cláusulas contratuais específicas firmadas com o provedor que asseguram nível de proteção compatível com a LGPD, conforme inciso II
• Alternativa on-premise: Clientes podem optar por hospedagem em data center próprio (no Brasil ou em outra jurisdição de sua preferência), eliminando totalmente qualquer transferência internacional

11.2 Serviços de E-mail e Backup

• Provedor: Amazon Web Services (AWS)
• Finalidade: Relay de e-mails e backup dos servidores da FBR Soluções & Tecnologia
• Localização: Regiões AWS com adequação LGPD
• Proteção: Certificações de segurança SOC, ISO 27001 e adequação LGPD

11.3 Distribuição dos Apps Mobile (Apple App Store e Google Play)

Os aplicativos SGT Mobile e SGP Mobile são distribuídos pelas lojas oficiais Apple App Store (Apple Inc., Estados Unidos) e Google Play Store (Google LLC, Estados Unidos). A simples distribuição implica que metadados mínimos do dispositivo (Apple ID / Google Account, modelo, sistema operacional, país da loja) sejam tratados pelas próprias plataformas conforme suas políticas:

• Apple — Política de Privacidade: apple.com/legal/privacy
• Google — Política de Privacidade: policies.google.com/privacy

A FBR só recebe das lojas relatórios agregados de instalação, retenção e crashes — nunca dados pessoais do usuário final. As notificações push de ambos os aplicativos são enviadas via APNs (Apple Push Notification service) e FCM (Firebase Cloud Messaging — Google), com tokens anônimos por dispositivo e sem conteúdo sensível no payload.

11.4 Provedores de Dados Meteorológicos (SGP)

• INMET — Instituto Nacional de Meteorologia (Brasil) — fonte primária de dados históricos de estações automáticas. Acesso público via API oficial.
• Open-Meteo — Provedor europeu de previsão meteorológica usado como fallback. Coordenadas (latitude, longitude) do projeto são enviadas para retorno de previsão; nenhum dado pessoal é transmitido.

12. Menores de Idade

Nossos serviços são direcionados para empresas e profissionais. Não coletamos intencionalmente dados de menores de 18 anos. Se tomarmos conhecimento de coleta inadvertida, removeremos tais informações imediatamente.

13. Atualizações desta Política

Esta Política de Privacidade pode ser atualizada periodicamente. Mudanças significativas serão notificadas através do site ou por email. A data da última atualização está indicada no topo desta página.