1. Informações Coletadas
Coletamos as informações mínimas necessárias para fornecer o serviço:
- Dados de cadastro: Nome, email e informações da organização
- Dados de classificação: Descrições de produtos e resultados NCM
- Dados de uso: Logs de acesso, timestamps, IP (anonimizado)
- Dados financeiros: Processados por parceiros PCI-DSS (não armazenamos dados de cartão)
2. Base Legal e Uso dos Dados
- Execução de contrato (Art. 7º, V): Fornecer o serviço de classificação NCM
- Legítimo interesse (Art. 7º, IX): Melhorar acurácia da IA com dados anonimizados e agregados
- Consentimento (Art. 7º, I): Comunicações de marketing e novidades
- Obrigação legal (Art. 7º, II): Conformidade com regulamentações fiscais e auditoria
3. Direitos do Titular (LGPD)
Conforme a Lei Geral de Proteção de Dados (Lei nº 13.709/2018), você tem os seguintes direitos:
- Confirmação da existência de tratamento de dados
- Acesso aos seus dados pessoais
- Correção de dados incompletos, inexatos ou desatualizados
- Anonimização, bloqueio ou eliminação de dados desnecessários
- Portabilidade dos dados a outro fornecedor
- Eliminação dos dados tratados com consentimento
- Revogação do consentimento a qualquer momento
- Oposição ao tratamento em caso de descumprimento da LGPD
Para exercer seus direitos, entre em contato com nosso Encarregado de Dados (seção 9). Responderemos em até 15 dias, nos termos do art. 19 da LGPD e da Resolução CD/ANPD nº 2/2022.
4. Retenção de Dados
Retemos seus dados pelo tempo necessário para fornecer o serviço e cumprir obrigações legais. Dados de classificação são mantidos por 5 anos (conformidade fiscal). Dados de conta são excluídos 30 dias após solicitação de encerramento, exceto quando obrigado legalmente.
5. Segurança
Implementamos medidas técnicas e organizacionais de segurança:
- Criptografia em trânsito (HTTPS/TLS 1.3) e em repouso (AES-256)
- Autenticação com tokens JWT e refresh tokens
- Hospedagem em infraestrutura Amazon Web Services (AWS), certificada SOC 2 Type II e ISO 27001. A Bussola Fiscal implementa controles próprios de segurança alinhados a essas normas (criptografia, controle de acesso, logs de auditoria, backups), mas não possui, neste momento, certificação formal própria — a obtenção da certificação SOC 2 Type II faz parte do nosso roadmap de conformidade.
- Monitoramento contínuo com alertas automáticos
- Backups diários com retenção de 30 dias
- Controle de acesso baseado em papéis (RBAC)
6. Compartilhamento de Dados
Não vendemos seus dados. Compartilhamos apenas com os sub-processadores estritamente necessários à prestação do serviço:
- Amazon Web Services (AWS): infraestrutura de cloud computing (hospedagem, banco de dados, armazenamento). Base legal: execução de contrato (LGPD art. 7º, V).
- Provedor de IA generativa (Estados Unidos): inferência semântica de classificação NCM a partir da descrição comercial do produto. Aplicamos camada de minimização técnica que remove dados pessoais sensíveis eventualmente presentes na descrição livre (CPF, nome de pessoa física, endereço, e-mail) antes de qualquer envio ao provedor — apenas o conteúdo comercial do produto (marca, modelo, especificações técnicas) chega ao modelo. Base legal: execução de contrato (LGPD art. 7º, V).
- PostHog (Estados Unidos): product analytics — análise agregada de uso, funis de conversão e identificação de erros de UX, com identificador anônimo de sessão. Carregado apenas após consentimento do usuário via banner de cookies. Base legal: consentimento (LGPD art. 7º, I).
- Microsoft Clarity (Estados Unidos): heatmaps e gravação de sessão com mascaramento automático de campos sensíveis (senha, CPF, dados financeiros). Carregado apenas após consentimento do usuário via banner de cookies. Base legal: consentimento (LGPD art. 7º, I).
- Processadores de pagamento: transações financeiras, com parceiros PCI-DSS certificados (não armazenamos dados de cartão em nossos sistemas).
- Autoridades competentes: quando exigido por lei ou ordem judicial.
7. Transferência Internacional
Seus dados podem ser processados em servidores nos Estados Unidos (AWS região us-east-2, Ohio) e por sub-processadores sediados nos EUA (provedor de IA generativa, PostHog, Microsoft Clarity). Essas transferências são realizadas com base em cláusulas contratuais padrão e garantias adequadas de proteção conforme Art. 33 da LGPD. Para o provedor de IA, aplicamos adicionalmente filtro automatizado de remoção de dados pessoais sensíveis (CPF, nome de pessoa física, endereço, e-mail) antes de qualquer envio, conforme detalhado na seção 6.
8. Cookies e Tecnologias
Utilizamos as seguintes tecnologias:
- Cookies essenciais: Autenticação e preferências (access_token, cookie-consent)
- Local Storage: Estado da aplicação e cache de dados
- Cookies analíticos (opcionais — exigem seu consentimento): utilizamos PostHog e Microsoft Clarity para entender como os usuários interagem com o produto, identificar pontos de fricção e melhorar a experiência. Esses cookies só são instalados após você aceitar no banner de consentimento. Você pode rejeitá-los sem prejuízo das funcionalidades essenciais e revogar o consentimento a qualquer momento via banner (rodapé) ou contato com o Encarregado de Dados.
8.1. Campanhas Promocionais
Quando você acessa um link promocional (ex.: bussolafiscal.com.br/?ref=BLACKFRIDAY26) ou digita um cupom no formulário de cadastro, tratamos os seguintes dados com base no legítimo interesse (LGPD art. 7º, IX):
- Código da campanha (não-PII): persistido em cookie
bf_ref com TTL de 1 hora, sameSite=lax. - IP em hash SHA-256 com salt (não IP cru), apenas para anti-fraude. Não permite re-identificação reversa.
- UTM parameters (utm_source, utm_medium, utm_campaign) coletados da URL para atribuição de canal.
- Email do cadastro (PII): vinculado à campanha para mensurar conversão. Após 12 meses ou mediante solicitação de eliminação, o email é anonimizado (NULL) preservando apenas o agregado da campanha.
A avaliação completa de legítimo interesse (LIA) está documentada no repositório interno docs/lgpd/lia-campaigns.md e disponível mediante solicitação ao Encarregado.
9. Encarregado de Dados (DPO)
Conforme Art. 41 da LGPD, nosso Encarregado de Proteção de Dados é:
Nome: Gabriel Urzeda
E-mail: dpo@bussolafiscal.com.br
E-mail backup: urzedag@gmail.com
Prazo de resposta: até 15 dias a contar do recebimento (LGPD art. 19 e Resolução CD/ANPD nº 2/2022).
Sede do controlador: Goiânia/GO, Brasil.
10. Contato
Para questões sobre privacidade ou para exercer seus direitos LGPD:
Email geral: bussulafiscal@gmail.com
Email DPO: dpo@bussolafiscal.com.br
Resposta: até 15 dias, nos termos do art. 19 da LGPD e da Resolução CD/ANPD nº 2/2022.
Última atualização: 30 de março de 2026