Política de Privacidade

O ConforME(“nós”, “nosso”, “plataforma”) leva a privacidade dos seus dados muito a sério. Esta Política de Privacidade descreve como coletamos, usamos, armazenamos e protegemos suas informações pessoais, em conformidade com a Lei Geral de Proteção de Dados (LGPD) — Lei nº 13.709/2018.

O ConforME atua como controlador dos dados pessoais coletados, nos termos do Art. 5º, VI da LGPD.

1. Dados Pessoais que Coletamos

Coletamos apenas os dados necessários para fornecer nossos serviços de compliance fiscal:

1.1 Dados fornecidos diretamente por você

• Cadastro: nome completo, e-mail, senha (criptografada)
• Empresa: CNPJ, razão social, nome fantasia, data de abertura, CNAE, endereço completo, telefone
• Fiscais: obrigações (DAS, DASN-SIMEI, FGTS, eSocial), histórico de pagamentos, comprovantes (PDF), score de conformidade
• Pagamento: comprovantes de transferência Pix (não armazenamos dados bancários)

1.2 Dados coletados automaticamente

• Acesso: endereço IP, tipo de dispositivo, sistema operacional, navegador, idioma
• Navegação: páginas acessadas, tempo de permanência, cliques (anonimizado via Vercel Analytics)
• Logs: timestamps, user-agent, status HTTP (segurança e debugging)

1.3 Dados de fontes externas

• Receita Federal / APIs públicas (cnpja.com, BrasilAPI): dados públicos do CNPJ
• Google OAuth (se utilizado): nome, e-mail, foto de perfil (conforme permissões concedidas)

1.4 Dados tratados por terceiros em nosso nome

• Sentry: endereço IP, stack traces, dados pessoais em relatórios de erro (sendDefaultPii: true) — para monitoramento de erros
• Vercel Analytics: dados de navegação anonimizados — para métricas de uso
• Tawk.to: dados de navegação, mensagens do chat — para suporte ao cliente
• Cloudflare Turnstile: endereço IP, dados de comportamento — para verificação anti-bot
• Stripe: dados de pagamento — para processamento de transações
• Resend: endereço e-mail — para envio de comunicações transacionais

2. Para que Usamos seus Dados

• Fornecer o serviço de monitoramento de obrigações fiscais
• Enviar alertas de vencimento de DAS, DASN-SIMEI e outras obrigações
• Gerar relatórios de conformidade fiscal
• Processar e validar pagamentos via Pix
• Comunicar atualizações importantes do serviço
• Prevenir fraudes e garantir a segurança da plataforma
• Cumprir obrigações legais e regulatórias
• Exercer regularmente nossos direitos em processos judiciais ou administrativos
• Envio de comunicações de marketing (somente com seu consentimento prévio e revogável)

3. Base Legal para o Tratamento (LGPD)

Tratamos seus dados com base nas seguintes hipóteses legais da LGPD:

• Execução de contrato (Art. 7º, V): prestação do serviço SaaS, comunicações transacionais, processamento de pagamentos
• Consentimento (Art. 7º, I): comunicações de marketing — revogável a qualquer tempo
• Cumprimento de obrigação legal (Art. 7º, II): retenção de dados fiscais por 5 anos, atendimento a ordens judiciais
• Exercício regular de direitos (Art. 7º, VI): defesa em processos judiciais, administrativos ou arbitrais, cobrança de inadimplentes
• Legítimo interesse (Art. 7º, IX): segurança, prevenção de fraudes, métricas de uso e melhoria do serviço

Quando o tratamento for baseado no seu consentimento, você poderá revogá-lo a qualquer tempo, sem prejuízo da licitude do tratamento anterior.

4. Como Protegemos seus Dados

Implementamos medidas técnicas e organizativas adequadas (LGPD, Art. 46):

• Criptografia em trânsito: HTTPS/TLS (TLS 1.2 ou superior) para toda comunicação
• Criptografia em repouso: dados criptografados no banco de dados (Supabase/PostgreSQL)
• Senhas criptografadas: hash bcrypt para armazenamento seguro de senhas
• Row-Level Security (RLS): cada usuário acessa apenas seus próprios dados
• Autenticação segura: Supabase Auth com suporte a MFA
• CSRF Protection: tokens HMAC-SHA256 para proteção contra ataques
• Content Security Policy (CSP): headers de segurança para prevenir XSS
• Rate Limiting: limitação de requisições para prevenir abuso
• Backups automáticos: backups diários criptografados
• Minimização: coletamos apenas dados estritamente necessários
• Controle de acesso: princípio do menor privilégio para equipe interna

5. Compartilhamento de Dados

Não vendemos seus dados. Compartilhamos dados pessoais apenas quando necessário:

5.1 Operadores e prestadores de serviço

• Supabase (EUA): infraestrutura de banco de dados e autenticação
• Vercel (EUA): hospedagem e infraestrutura
• Resend (EUA): envio de e-mails transacionais
• Stripe (EUA): processamento de pagamentos
• Sentry (EUA): monitoramento de erros e debugging
• Tawk.to (EUA): chat de suporte ao cliente
• Cloudflare (EUA): verificação anti-bot e segurança

5.2 Fontes externas para consulta

• cnpja.com e BrasilAPI: consulta de dados públicos do CNPJ

5.3 Por obrigação legal

Podemos compartilhar dados quando exigidos por lei, ordem judicial ou determinação de autoridade competente.

6. Transferência Internacional de Dados

Alguns de nossos provedores (Supabase, Vercel, Resend, Stripe, Sentry, Tawk.to, Cloudflare) processam dados nos Estados Unidos da América.

Garantimos que as transferências internacionais observam: contratos de processamento de dados (DPAs) com cada operador; compromissos de medidas de segurança equivalentes à LGPD; e verificações de certificações de segurança (SOC 2, ISO 27001).

7. Retenção de Dados

Mantemos seus dados apenas pelo tempo necessário:

• Dados fiscais e tributários: 5 anos após encerramento da conta (obrigação legal — CTN Art. 173; Código Civil Art. 177)
• Dados de cadastro e perfil: enquanto conta ativa + 30 dias após solicitação de exclusão
• Logs de acesso e segurança: 6 meses (Marco Civil da Internet, Art. 15)
• Registros de aceite de termos: 5 anos (prova contratual)
• Solicitações de privacidade: 3 anos após conclusão

Após o prazo de retenção, os dados são excluídos permanentemente ou anonimizados.

8. Seus Direitos como Titular (LGPD)

Nos termos do Art. 18 da LGPD, você tem os seguintes direitos:

• Confirmação: saber se tratamos seus dados
• Acesso: solicitar cópia dos seus dados
• Correção: retificar dados incompletos, inexatos ou desatualizados
• Anonimização/bloqueio: solicitar anonimização de dados desnecessários
• Eliminação: excluir dados tratados com consentimento
• Portabilidade: exportar seus dados em formato estruturado
• Revogação do consentimento: retirar o consentimento a qualquer tempo
• Informação sobre compartilhamento: saber com quem compartilhamos seus dados

Para exercer seus direitos, acesse a Central de Privacidade LGPD no dashboard (Configurações > Privacidade) ou entre em contato: privacidade@conformeapp.com.

Respondemos solicitações em até 15 dias úteis, conforme Art. 18, §4º da LGPD.

9. Cookies e Tecnologias Similares

Utilizamos cookies e tecnologias similares para:

• Essenciais: autenticação (supabase-auth-token), segurança CSRF e verificação anti-bot (Cloudflare Turnstile) — não podem ser desativados
• Analytics: Vercel Analytics para métricas de uso (anonimizado) — pode ser desativado nas configurações do navegador
• Funcionais: Tawk.to para chat de suporte — pode ser desativado

Você pode gerenciar cookies nas configurações do seu navegador. A desativação de cookies essenciais pode impedir o funcionamento da plataforma.

10. Segurança e Incidentes

Em caso de incidente de segurança que possa acarretar risco aos titulares, o ConforME notificará a ANPD e os titulares afetados, nos termos do Art. 48 da LGPD.

Se você tiver conhecimento de acesso não autorizado à sua conta, notifique-nos: privacidade@conformeapp.com.

11. Alterações nesta Política

Podemos atualizar esta Política periodicamente. Alterações materiais serão comunicadas com antecedência mínima de 30 dias. O uso continuado constitui aceitação.

12. Autoridade Nacional de Proteção de Dados (ANPD)

Caso entenda que seus direitos não foram atendidos, você pode apresentar reclamação à ANPD: www.gov.br/anpd.

13. Encarregado de Dados (DPO) e Contato

Para dúvidas sobre privacidade ou exercício de direitos:

• E-mail DPO: privacidade@conformeapp.com
• E-mail geral: contato@conformeapp.com
• Central de Privacidade: Dashboard > Configurações > Privacidade
• Prazo de resposta: até 15 dias úteis