VOLTAR

Relatório de Impacto a Proteção de Dados Pessoais (RIPD)

Conforme Art. 38 da LGPD (Lei 13.709/2018)

Última atualização: 12 de abril de 2026

1. Identificação do Controlador

O Controlador de Dados e a instituição de ensino (escola ou faculdade) que contratou a plataforma Voz Segura para operar como canal de denúncias. A Escola e responsável pelas decisões referentes ao tratamento de dados pessoais coletados por meio da plataforma, nos termos do Art. 5, VI da LGPD.

Cada instituição contratante deve manter seus dados de identificação atualizados, incluindo razão social, CNPJ e endereco, conforme exigido pela ANPD.

2. Identificação do Operador

O Operador de Dados e o desenvolvedor da plataforma Voz Segura, que realiza o tratamento de dados pessoais exclusivamente conforme as instruções do Controlador (Art. 5, VII da LGPD).

Encarregado de Dados (DPO): Victor Thiago da Costa Oliveira (privacidade@dobby.com.br)

3. Descrição do tratamento

A plataforma Voz Segura e um canal digital de denúncias anônimas e identificadas voltado para situações de violência escolar e doméstica envolvendo crianças e adolescentes.

O tratamento abrange:

  • Coleta e armazenamento de dados de denúncias (anônimas e identificadas)
  • Triagem automática de urgência com score de priorização
  • Coleta de dados demográficos opcionais para fins estatísticos
  • Comunicação bidirecional entre denúnciante e equipe escolar
  • Geração de analytics agregados e anonimizados
  • Alertas de urgência para a equipe escolar
  • Logs de auditoria das ações administrativas

4. Dados pessoais tratados

4.1 Dados comuns

  • Nome do agressor (opcional)
  • Descrição detalhada do incidente
  • Local da ocorrência
  • Frequência da ocorrência
  • Tipo de ocorrência, meio utilizado e motivação percebida

4.2 Dados identificados (denúncia identificada)

  • Nome completo do denúnciante
  • Série escolar
  • Turno do aluno

4.3 Dados sensíveis

  • Raça/cor (autodeclaração conforme IBGE)
  • Saúde mental: indicador emocional, pensamentos de automutilação
  • Deficiencia (PcD)

4.4 Dados de menores

  • Faixa etária
  • Gênero
  • Série/Ano

4.5 Dados automáticos

  • Endereço IP (logs do painel administrativo)
  • Timestamps de ações
  • Hash de PIN (para acompanhamento de denúncia anônima)

5. Necessidade e proporcionalidade

5.1 Princípio da minimização

A grande maioria dos campos do formulario de denúncia e opcional. Denúncias anônimas nao coletam nenhum dado pessoal do denúnciante. Campos demográficos sao sempre opcionais e servem exclusivamente para fins estatísticos agregados.

5.2 Finalidade

A finalidade primaria do tratamento e a proteção da vida e incolumidade de crianças e adolescentes, tanto no ambiente escolar quanto domestico.

5.3 Dados sensíveis

Os dados sensíveis coletados (raca/cor, saude mental, deficiencia) sao necessarios para:

  • Compliance com fichas obrigatorias do SINAN (Sistema de Informação de Agravos de Notificação)
  • Detecção de padroes de discriminação racial, de genero ou contra PcD
  • Priorização de atendimento em casos de risco a saude mental

6. Base legal

O tratamento de dados pessoais na plataforma Voz Segura fundamenta-se nas seguintes bases legais da LGPD:

  • Art. 7, II -- Obrigação legal: Escolas sao obrigadas por lei a combater bullying e violência escolar (Lei 13.185/2015, ECA Art. 56, Lei 14.811/2024) e comunicar ao Conselho Tutelar casos de suspeita de maus-tratos (ECA Art. 13).
  • Art. 7, VII -- Proteção da vida: As denúncias visam proteger a segurança e a incolumidade fisica de alunos.
  • Art. 11, II, "e" -- Proteção da vida (dados sensíveis): Dados sensíveis sao tratados sem consentimento quando necessarios para proteção da vida ou incolumidade fisica do titular ou de terceiro.
  • Art. 14 -- Melhor interesse do menor: Todo o tratamento e realizado priorizando o bem-estar de crianças e adolescentes.
  • Art. 14, par.3 -- Proteção da criança: Dados de crianças podem ser coletados sem consentimento parental quando necessario para proteção da criança, incluindo denúncias de violência doméstica.

7. Riscos identificados e medidas de mitigação

Risco Mitigação
Acesso nao autorizado ao painel Clerk (SSO + 2FA); JWT HS256 com tokenVersao rotacionavel (logout invalida tokens antigos); CORS restrito a domínios autorizados; Helmet.js com CSP/HSTS; rate limiting em login (10/15min).
Vazamento de dados sensíveis no banco Criptografia AES-256-GCM em repouso aplicada a ~30 campos: descricao, nome do aluno, nome de testemunhas, dados do agressor, tipo de ocorrência, saude mental, dados demográficos (raca/cor/genero/PcD), impacto academico, contexto, chat, nome de arquivos, conteúdo binario, detalhes dos logs. Chave de 32 bytes armazenada em variavel de ambiente (nunca no codigo).
Identificação do denúnciante anonimo Denúncias anônimas nao coletam nome/email/telefone. IP nao e registrado na denúncia (apenas em logs de rate limit, com TTL de 15min). Nome do funcionario e ocultado no retorno ao aluno ("Equipe Voz Segura" / "Órgão competente").
Brute-force no PIN de acesso PIN de 8 caracteres alfanumericos sem caracteres ambiguos (espaco ~8.5x10^11). Hash bcrypt cost 12. Bloqueio automático por 1h apos 5 tentativas erradas por registro (contador no proprio doc). Rate limit adicional por IP (10 tentativas/15min).
Uso indevido por equipe escolar RBAC com 7 roles (admin, diretor, coordenador, administrativo, orgao_admin, orgao_usuario, pendente) + sistema de cargos customizaveis com 13 permissoes granulares. Hierarquia protegida (nao-admin nao pode promover ninguem ao seu nível ou acima). Logs imutaveis com hash SHA-256 de integridade capturam toda ação.
Cross-tenant leak (escola ver denúncia de outra) Todo endpoint protegido injeta req.escolaId/req.orgaoId a partir do usuario autenticado; queries filtram estritamente por este escopo. Admin global e o unico com acesso cross-tenant, com justificativa em logs.
Acesso publico a arquivos anexados Endpoint /uploads/:filename exige autenticação. 3 paths: (1) aluno com ?registro=&pin= (bcrypt validado); (2) staff da escola dona / orgao destinatario (Clerk ou JWT); (3) super admin. Arquivos legados sem metadata ficam restritos ao super admin.
Injecao (SQL / NoSQL / XSS) MongoDB parametrizado (nao concatenação de string). sanitize-html em todos os campos de HTML livre. Validação regex estrita em registros (/^D[AI]-[A-Z0-9]{3,8}$/). Whitelist de mimetypes em uploads.
Transferencia internacional MongoDB Atlas (EUA) e Clerk (EUA) com clausulas contratuais padrao. Dados mais sensíveis ja criptografados antes de sair do servidor (AES-256-GCM).
Retencao excessiva (violação Art. 6 III) TTL automático no MongoDB: denúncias/encaminhamentos/arquivos 2 anos, alertas/logs 1 ano. Configuravel via DENUNCIA_TTL_DAYS. Exclusao automática — nao requer ação manual.
Falha na revogação de consentimento Tela de Solicitações LGPD no painel admin permite processar pedidos de exclusao/anonimização em ate 15 dias uteis (Art. 18).
Credenciais expostas em histórico git .env nunca foi commitado (verificado via git log --all). .env.example documenta todas as env vars. Chaves sao 32 bytes hex gerados com crypto.randomBytes. Rotação de JWT_SECRET invalida todas as sessoes de orgao imediatamente.

8. Medidas tecnicas de segurança (Art. 46 LGPD)

  • AES-256-GCM em repouso: criptografia de ~30 campos sensíveis e do conteúdo binario dos arquivos. Chave de 256 bits armazenada em ENCRYPTION_KEY (nunca no codigo/repo).
  • TLS 1.2+ em transito: HTTPS obrigatorio via HSTS no Helmet.js.
  • bcrypt cost 12: PIN de denúncia (8 chars alfanum) e senhas de orgao.
  • Bloqueio por registro: apos 5 PINs errados, denúncia bloqueada por 1h.
  • JWT HS256 rotacionavel: tokenVersao por usuario de orgao; logout incrementa e invalida todas as sessoes anteriores.
  • Helmet.js: CSP restritiva, HSTS, X-Frame-Options: DENY, X-Content-Type-Options: nosniff, Referrer-Policy: no-referrer.
  • CORS: whitelist de origens (dobby.com.br + previews do proprio projeto). Removido wildcard *.vercel.app que aceitava previews de terceiros.
  • Rate limiting: /api/denúncia 20/15min, /api/consultar 10/15min, /api/orgao/login 10/15min, + bloqueio por registro.
  • sanitize-html: em todos os campos com HTML livre (chat).
  • Validação de entrada: regex estrita para registros, validação de email, whitelist de mimetypes em uploads, limite de 5MB.
  • Logs de auditoria: hash SHA-256 de integridade calculado com dados em claro (Decreto 8.771/2016 Art. 14); detalhes e nomeUsuario criptografados em repouso.
  • TTL automático: indice TTL no MongoDB deleta denúncias/arquivos/encaminhamentos apos 2 anos; logs/alertas apos 1 ano.
  • Arquivos com vinculo: /uploads/:filename verifica vinculo (denúnciaRegistro/encaminhamentoId/escolaId/orgaoId) antes de servir.
  • Anonimato funcional: nome do funcionario e removido das respostas antes de retornar ao aluno (sanitizeForStudent).
  • Permissoes granulares: 13 permissoes (ver_denúncias, responder, alterar_status, encaminhar, ver_analytics, ver_encaminhamentos, responder_encaminhamento, gerenciar_usuarios/escolas/órgãos/cargos, ver_logs, ver_alertas) aplicadas via middleware requirePermission.

9. Direitos dos titulares

Os titulares (ou seus responsaveis legais, no caso de menores) podem exercer os direitos previstos no Art. 18 da LGPD (confirmação, acesso, correcao, anonimização, portabilidade, eliminação, informação sobre compartilhamento, revogação de consentimento).

Canal: Email para privacidade@dobby.com.br com o número de registro da denúncia (DA-XXXXXX ou DI-XXXXXX) e o PIN.

Processamento interno: as solicitações aparecem na secao "Solicitações LGPD" do painel do super administrador para atendimento.

Prazo de resposta: Ate 15 dias uteis (Art. 19 LGPD).

10. Parecer final

Considerando a análise realizada neste Relatório de Impacto, conclui-se que o tratamento de dados pessoais pela plataforma Voz Segura e:

  • Necessario: A proteção de crianças e adolescentes contra violência escolar e doméstica exige canais seguros de denúncia
  • Proporcional: A coleta de dados e minimizada, com a maioria dos campos opcionais e anonimato como opcao padrao
  • Adequado: As medidas tecnicas e organizacionais implementadas sao compativeis com os riscos identificados

O tratamento atende ao melhor interesse do menor (Art. 14 da LGPD) e esta em conformidade com as obrigações legais da instituição de ensino.