1. DEFINIÇÕES E ÂMBITO DE APLICAÇÃO. Para os fins do presente instrumento, aplicam-se as seguintes definições, em consonância com a Lei Federal nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais — LGPD), o Marco Civil da Internet (Lei nº 12.965/2014), o Regulamento Geral sobre a Proteção de Dados da União Europeia (RGPD/GDPR, em caráter suplementar de boas práticas) e legislação eleitoral pertinente, notadamente as resoluções do Tribunal Superior Eleitoral (TSE) vigentes à época da coleta. "Controlador" significa o Gabinete do Deputado Estadual Gildevanio Ilso dos Santos Diniz, inscrito sob matrícula funcional nº 300627 perante a Assembleia Legislativa do Estado de São Paulo (ALESP), responsável pelas decisões referentes ao tratamento de dados pessoais coletados por meio desta plataforma digital e de quaisquer canais digitais correlatos. "Titular de Dados" significa a pessoa natural identificada ou identificável cujos dados pessoais são objeto de tratamento pelo Controlador, doravante denominado "Usuário" ou simplesmente "Titular", nos termos e para os efeitos da LGPD. "Dado Pessoal" significa qualquer informação relacionada a pessoa natural identificada ou identificável, incluindo, mas não se limitando a: nome completo, endereço de correio eletrônico, número de telefone celular e dados de geolocalização inferidos a partir do número de Código de Endereçamento Postal (CEP) fornecido voluntariamente. "Dado Pessoal Sensível" significa dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. "Tratamento" significa toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. "Consentimento" significa manifestação livre, informada e inequívoca pela qual o Titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada, conforme estabelecido no inciso I do art. 7º da LGPD e nos termos do art. 8º do mesmo diploma legal. 2. NATUREZA E FINALIDADES DO TRATAMENTO DE DADOS PESSOAIS. O Controlador realiza o tratamento dos dados pessoais fornecidos voluntariamente pelo Titular mediante preenchimento do formulário de adesão disponível na plataforma digital, para as seguintes e exclusivas finalidades: Constituição e manutenção de cadastro de apoiadores e simpatizantes do mandato parlamentar, com fins de comunicação direta e transparente sobre atividades legislativas; Envio de comunicações eletrônicas periódicas contendo informações sobre votações nominais, projetos de lei, requerimentos, pareceres e demais atos parlamentares perante a ALESP; Transmissão de notificações via plataformas de mensageria instantânea (WhatsApp Business API, conforme disponibilidade técnica e contratual) acerca de eventos, audiências públicas, comissões e iniciativas legislativas de interesse público; Segmentação geoestatística por município e bairro para fins de mensuração do alcance territorial do mandato, estritamente de caráter interno e não vinculativo a qualquer processo eleitoral; Cumprimento de obrigações legais decorrentes da legislação eleitoral e da legislação de proteção de dados, incluindo prestação de contas a órgãos reguladores competentes. O Controlador declara expressamente que os dados coletados não serão utilizados para: (i) elaboração de perfis comportamentais automatizados com efeitos jurídicos; (ii) transferência onerosa a terceiros não autorizados; (iii) utilização em campanhas eleitorais cujo financiamento seja vedado pela legislação vigente; ou (iv) quaisquer finalidades incompatíveis com as ora declaradas. 3. BASES LEGAIS PARA O TRATAMENTO. O tratamento dos dados pessoais pelo Controlador fundamenta-se nas seguintes bases legais previstas no art. 7º e no art. 11 da Lei nº 13.709/2018: (a) Consentimento (art. 7º, I — LGPD): O tratamento dos dados identificadores (nome, e-mail, telefone) e dados de endereço repousa primordialmente no consentimento livre, informado, inequívoco e específico manifestado pelo Titular. (b) Legítimo Interesse (art. 7º, IX — LGPD): O tratamento de dados para fins de comunicação sobre atividades parlamentares de interesse público enquadra-se no legítimo interesse do Controlador, observados os limites da razoabilidade. (c) Cumprimento de Obrigação Legal (art. 7º, II — LGPD): Na hipótese de solicitação por autoridade pública competente. 4. CATEGORIAS DE DADOS COLETADOS E ARMAZENAMENTO. Dados Coletados Diretamente do Titular: nome completo (dado obrigatório); endereço de correio eletrônico (dado facultativo, mas condicionalmente obrigatório conforme regra de negócio implementada); número de telefone celular com código de área (DDD), preferencialmente vinculado ao aplicativo WhatsApp; dados de endereço residencial: logradouro, número, complemento, bairro, município, unidade federativa e Código de Endereçamento Postal (CEP), todos de caráter integralmente facultativo. Dados Coletados Automaticamente: O sistema pode coletar automaticamente o endereço de protocolo de internet (IP) do dispositivo do Titular, submetido a processo de pseudoanonimização após t+72h da coleta. Armazenamento e Prazo de Retenção: Os dados são armazenados em infraestrutura de banco de dados relacional gerenciada pela Supabase Inc. (Delaware, EUA), com camada de Row Level Security (RLS) ativa e criptografia em repouso (AES-256). O prazo de retenção é de 5 (cinco) anos contados da data da coleta ou até o exercício do direito de exclusão pelo Titular. 5. COMPARTILHAMENTO DE DADOS COM TERCEIROS. O Controlador poderá compartilhar dados pessoais dos Titulares estritamente com as seguintes categorias de operadores: Supabase Inc.: plataforma de hospedagem do banco de dados relacional, na qualidade de Operador, submetida aos termos de Data Processing Agreement (DPA) conforme requerido pelo RGPD/GDPR; Vercel Inc.: plataforma de hospedagem da aplicação web; Meta Platforms Ireland Limited: exclusivamente na hipótese de utilização da API oficial do WhatsApp Business para envio de notificações; Autoridades Públicas Competentes: em cumprimento de ordem judicial, requisição de autoridade policial, Ministério Público, Tribunal Superior Eleitoral ou Tribunal Regional Eleitoral. Fica expressamente vedado o compartilhamento, venda, cessão ou transferência dos dados a qualquer título oneroso a terceiros não elencados acima. 6. DIREITOS DO TITULAR DE DADOS. Em conformidade com o art. 18 da LGPD, o Titular possui os seguintes direitos: confirmação e acesso, correção, anonimização/bloqueio/eliminação, portabilidade, eliminação, revogação do consentimento, oposição e informação sobre compartilhamento. 7. SEGURANÇA DAS INFORMAÇÕES E MEDIDAS TÉCNICAS. O Controlador implementa medidas técnicas e organizacionais adequadas para proteger os dados pessoais, incluindo: criptografia TLS/SSL 1.3 em trânsito; criptografia AES-256 em repouso; RBAC com RLS em todas as tabelas; MFA para acesso administrativo; logs de auditoria completos; pseudoanonimização de IPs após 72h. Em caso de incidente de segurança, o Controlador compromete-se a notificar a ANPD no prazo máximo de 72 horas. 8. TRANSFERÊNCIA INTERNACIONAL DE DADOS. Em razão da utilização de provedores internacionais (Supabase Inc. — EUA; Vercel Inc. — EUA), poderá ocorrer transferência internacional de dados pessoais, com as salvaguardas adequadas. 9. COOKIES, RASTREAMENTO E TECNOLOGIAS CORRELATAS. A plataforma poderá utilizar cookies estritamente necessários, analíticos e de funcionalidade. 10. ENCARREGADO DE DADOS (DPO) E CANAIS DE CONTATO. Encarregado: Equipe de Assessoria Parlamentar do Gabinete. Contato: privacidade@gildiniz.com.br. Prazo de resposta: até 15 dias úteis. 11. VIGÊNCIA, REVISÕES E NOTIFICAÇÃO DE ALTERAÇÕES. O presente instrumento entra em vigor na data de seu aceite pelo Titular. O Controlador reserva-se o direito de revisar unilateralmente este instrumento a qualquer tempo, com notificação aos Titulares com antecedência mínima de 15 dias. 12. FORO E LEGISLAÇÃO APLICÁVEL. Foro da Comarca da Capital do Estado de São Paulo. Legislação aplicável: Lei Federal nº 13.709/2018 (LGPD), Lei nº 12.965/2014, Lei nº 10.406/2002 e Lei nº 8.078/1990. Versão 1.2 — Vigência: 01/01/2025 — © Gabinete do Dep. Est. Gildevanio Ilso dos Santos Diniz — ALESP — Matrícula 300627.