Privacidade · LGPD · Privacy by Design

Política de Privacidade

Como coletamos e tratamos dados de uso para aprimorar as apresentações do CEDIS, respeitando a LGPD e o Privacy by Design.

Última revisão: 14/07/2026.

1. Quem somos

Este serviço é operado pelo Centro de Estudos, Desenvolvimento e Inovação em Software (CEDIS) da Universidade de Brasília. É um sistema de publicação de apresentações HTML para aulas, palestras e oficinas. Encarregado de Proteção de Dados (DPO): cedis@unb.br.

2. Base legal

O tratamento de dados anonimizados de uso (learning analytics) é fundamentado no legítimo interesse (art. 7º, IX, LGPD), com finalidade estritamente pedagógica e institucional: avaliar quais materiais são efetivos, identificar lacunas de aprendizagem e melhorar decks futuros. Respostas enviadas às atividades são tratadas para a execução da atividade pedagógica e o legítimo interesse educacional. Dados de contas administrativas (login) são tratados sob execução de contrato/serviço (art. 7º, V) e consentimento quando aplicável.

2.1 Público-alvo

Este serviço é operado pelo CEDIS/UnB e é destinado a estudantes maiores de idade (graduação, pós-graduação, extensão universitária) e a público de eventos abertos organizados pelo CEDIS. Se você é menor de 18 anos, não envie identificação pessoal nas atividades — utilize os campos "Nome ou identificação opcional" e "Equipe opcional" apenas em branco, ou não envie a resposta.

Docentes que desejam utilizar o sistema com público menor de idade (ex.: cursos de extensão para secundaristas, eventos com escolas parceiras) devem obter consentimento parental específico e em destaque conforme art. 14 §1º da LGPD, e entrar em contato com o DPO (cedis@unb.br) antes do início da atividade para orientação sobre o fluxo de coleta.

3. O que coletamos

Ao visitar apresentações e a página inicial (visitantes anônimos): registramos apenas eventos agregados. Cada evento contém:

Ao responder uma atividade: armazenamos o deck, a atividade, o tipo, a resposta, a data/hora e, somente se você preencher, nome/identificação e equipe. IP e User-Agent completos não são armazenados com a resposta. Para aplicar o limiar de privacidade, armazenamos somente um HMAC não reversível, restrito ao par deck/atividade, de um identificador aleatório da sessão do navegador; o identificador original não é armazenado e não usa cookie. Sem JavaScript, o HMAC usa sinais reduzidos apenas como fallback. As respostas individuais ficam disponíveis apenas a docentes autorizados no painel; o resumo público mostra totais e distribuições de questões fechadas somente após ao menos 3 participantes distintos. Abaixo desse limiar, até o total exato é ocultado. Respostas abertas nunca são publicadas no resumo ao vivo.

Ao avaliar voluntariamente um deck: armazenamos a nota de 1 a 5, o deck e um HMAC não reversível de um identificador aleatório do navegador. O identificador original fica em um cookie funcional HttpOnly, criado somente depois do primeiro voto, e permite atualizar a nota sem contabilizar votos duplicados do mesmo navegador. Ele não contém IP, nome, e-mail ou User-Agent e não é usado para analytics ou publicidade.

Ao usar o painel administrativo (usuários autenticados): nome, e-mail, foto de perfil opcional, vínculo institucional, telefone, URL pessoal e senha (armazenada com Argon2id). Registramos ações administrativas em log de auditoria (quem fez o quê e quando). Para proteção da conta e responsabilização, sessões e logs administrativos também podem conter IP e User-Agent completos, com acesso restrito a administradores; esses dados não são usados no learning analytics dos visitantes. Registros de sessão são removidos depois de expirarem.

4. Como protegemos você

5. Retenção

6. Compartilhamento com terceiros e transferência internacional

Transferência internacional (art. 33 LGPD): quando o Google Analytics estiver ativado, os dados agregados de pageview (com IP anonimizado no lado do cliente pelo próprio GA4) são transferidos para a Google LLC (Estados Unidos). Essa transferência é fundamentada nas cláusulas contratuais padrão publicadas pela Google (Data Processing Terms), acompanhadas das garantias contratuais e das medidas técnicas descritas na documentação da plataforma. A base legal para a transferência é o art. 33 §1º, VII da LGPD (cláusulas contratuais específicas). Se o CEDIS optar por desativar o Google Analytics (configuração padrão do repositório), nenhuma transferência internacional de dados é realizada por este serviço.

7. Direitos do titular (art. 18 LGPD)

Eventos de analytics não permitem identificar diretamente um visitante. Se você informou identificação opcional ao responder uma atividade, pode solicitar acesso ou exclusão ao DPO, indicando deck, atividade, identificação e período aproximado para localizar o registro. Para dados de conta administrativa, o titular tem direito a:

Contato para exercício de direitos: cedis@unb.br.

8. Como opt-out

9. Atualizações desta política

Alterações materiais serão anunciadas no rodapé da página inicial. A data no topo desta página reflete a última revisão.