← Voltar

Política de Privacidade

Versão 2.0 — vigente desde 11 de junho de 2026. Em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD), a Resolução CD/ANPD nº 15/2024 e o Marco Civil da Internet (Lei nº 12.965/2014).

1. Quem somos e contato do Encarregado (DPO)

AGUIA FISCAL SOLUCOES TECNOLOGICAS LTDA, inscrita no CNPJ sob o nº 67.283.759/0001-08, nome fantasia Águia Fiscal("nós", "Plataforma"), com sede na Av. Brigadeiro Faria Lima, nº 1572, Sala 1022, Jardim Paulistano, São Paulo/SP, CEP 01451-917, é um serviço de Software como Serviço (SaaS) destinado a contabilidades para cálculo e gestão de obrigações fiscais de empresas optantes pelo Simples Nacional, acessível pelo domínio aguiafiscal.com.br.

Atuamos como controlador dos dados de cadastro dos escritórios contratantes e seus usuários, e como operador dos dados de Clientes finais (empresas) que os contadores inserem no sistema, conforme art. 5º, VI e VII, da LGPD.

Encarregado pelo Tratamento de Dados Pessoais (DPO): dpo@aguiafiscal.com.br. O Encarregado é o canal único para exercício de direitos do titular, reclamações e esclarecimentos sobre o tratamento de dados, conforme art. 41 da LGPD.

2. Dados que coletamos

2.1. Dados de cadastro do escritório e dos usuários

  • Nome completo, e-mail, nome de usuário, telefone (opcional)
  • Dados do escritório: razão social, CNPJ, CRC do contador responsável
  • Logotipo enviado pelo escritório (uso em relatórios e e-mails transacionais)
  • Assinatura digitalizada (opcional, para relatórios)
  • Senha (armazenada com hash bcrypt, jamais em texto claro)
  • Segredo TOTP (quando o 2FA é habilitado), criptografado em repouso

2.2. Dados fiscais de Clientes finais (empresas) inseridos pelo contador

  • Razão social, CNPJ, data de início de atividade, atividades CNAE
  • Faturamento mensal, folha de pagamento agregada, anexos do Simples Nacional
  • Apurações mensais (DAS, alíquotas, fator R), notas fiscais importadas
  • Declarações acessórias transmitidas (PGDAS-D, DEFIS)
  • Débitos e parcelamentos consultados via SERPRO
  • Certificado digital (e-CNPJ/e-CPF) — quando enviado, armazenado em bucket privado isolado por escritório

2.3. Dados técnicos, de segurança e auditoria

  • Endereço IP, User-Agent (navegador, sistema operacional, versão)
  • Logs de acesso, de alterações em apurações e de chamadas ao SERPRO
  • Cookies estritamente essenciais para autenticação e sessão
  • Registro de aceite dos Termos de Uso e desta Política (IP, data, hora, versão)

2.4. Dados de cobrança

  • Dados de pagamento (cartão, PIX) são processados diretamente pela Stripe, que atua como controladora independente desses dados. A Águia Fiscal armazena apenas o identificador do cliente Stripe, status da assinatura e últimos 4 dígitos do cartão (token).

Não coletamos dados pessoais sensíveis (art. 5º, II, LGPD) como origem racial, convicção religiosa, opinião política, dado biométrico ou de saúde. Não tratamos dados de crianças e adolescentes — a Plataforma é destinada exclusivamente a profissionais maiores de 18 anos.

3. Finalidades e bases legais (Art. 7º LGPD)

FinalidadeBase legal (LGPD)
Prestar o serviço contratado (cálculo fiscal, gestão de clientes)Execução de contrato (art. 7º, V)
Manter histórico de apurações e trilha de auditoriaCumprimento de obrigação legal (art. 7º, II — legislação fiscal e art. 195 CTN)
Segurança, prevenção a fraudes, registro de IP/UALegítimo interesse (art. 7º, IX) e Marco Civil da Internet (art. 15)
Cobrança, faturamento, gestão de assinatura, suporteExecução de contrato (art. 7º, V)
Atendimento a requisições de autoridades públicasCumprimento de obrigação legal (art. 7º, II)
Comunicações de marketing, novidades de produtoConsentimento (art. 7º, I) — opt-in revogável a qualquer tempo

4. Compartilhamento com terceiros (operadores e sub-operadores)

Não vendemos dados pessoais. Compartilhamos exclusivamente com operadores essenciais à prestação do serviço, sob contrato de tratamento de dados (DPA) e obrigações de sigilo:

OperadorFinalidadeLocalização
Lovable Cloud (Supabase)Banco de dados, armazenamento de arquivos, autenticaçãoEUA (sob cláusulas-padrão e SCC)
Cloudflare WorkersExecução de funções servidoras (edge)Rede global
RenderProxy mTLS para SERPRO (não armazena dados de negócio)EUA
SERPROIntegração com Receita Federal (Integra Contador)Brasil
StripeProcessamento de pagamentos recorrentesEUA / Irlanda
Provedor de e-mail transacionalEnvio de confirmação, redefinição de senha, convitesEUA

Autoridades públicas: compartilhamos apenas mediante ordem judicial ou requisição legal formal, sempre verificando legalidade e proporcionalidade.

5. Transferência internacional de dados (Art. 33 LGPD)

Parte da infraestrutura está localizada fora do Brasil. A transferência internacional é realizada com base em uma das hipóteses do art. 33 da LGPD:

  • Cláusulas contratuais específicas (Standard Contractual Clauses) celebradas com cada operador internacional;
  • Execução de contrato e prestação do serviço solicitado pelo titular;
  • Quando aplicável, transferência para país com nível de proteção adequado reconhecido pela ANPD.

6. Retenção e eliminação (Art. 15 e 16 LGPD)

  • Dados fiscais de Clientes finais (apurações, faturamento, folha): mantidos por 5 anos após o último lançamento, conforme prazos decadenciais da legislação tributária (art. 173 CTN; art. 195, parágrafo único, CF/88 para contribuições previdenciárias).
  • Logs de chamadas ao SERPRO (consumo): 24 meses, eliminados automaticamente por rotina diária. Cobre comparativo anual completo no relatório de custos.
  • Logs de auditoria (alterações em apurações): 5 anos, em consonância com a guarda de documentos fiscais.
  • Logs de acesso (IP, data, hora, sessão): mínimo de 6 meses, conforme art. 15 do Marco Civil da Internet, podendo ser ampliado a pedido de autoridade.
  • Dados de cadastro do escritório e usuários: mantidos enquanto a conta estiver ativa. Conta inativa por mais de 6 meses pode ser desativada após aviso prévio por e-mail.
  • Backups: podem persistir por até 90 dias adicionais após a exclusão dos dados primários, para fins de recuperação contra incidentes; após esse prazo, são sobrescritos.
  • Aceites de Termos e Política: mantidos pelo prazo prescricional aplicável (10 anos — art. 205 CC), por servir de prova de manifestação de vontade.
  • Eliminação imediata (hard delete): disponível para empresas individualmente, mediante solicitação registrada no painel, com confirmação por CNPJ. Ressalvam-se dados cuja guarda seja obrigatória por lei (art. 16, I, LGPD).

7. Direitos do titular (Art. 18 LGPD)

O titular dos dados pode, a qualquer momento, solicitar gratuitamente:

  1. Confirmação da existência de tratamento;
  2. Acesso aos dados;
  3. Correção de dados incompletos, inexatos ou desatualizados;
  4. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
  5. Portabilidade dos dados (exportação em formato estruturado CSV/JSON);
  6. Eliminação dos dados pessoais tratados com base no consentimento;
  7. Informação sobre as entidades públicas e privadas com as quais houve compartilhamento;
  8. Informação sobre a possibilidade de não fornecer o consentimento e as consequências;
  9. Revogação do consentimento;
  10. Oposição a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento da LGPD;
  11. Revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais (art. 20).

7.1. Como exercer

Envie sua solicitação para dpo@aguiafiscal.com.br identificando-se (nome completo, CPF e relação com a Plataforma) e descrevendo o pedido. Para administradores de escritório, há as funções "Exportar dados (LGPD)" e "Excluir empresa (LGPD)" diretamente no painel.

7.2. Prazo de resposta

Atendemos as solicitações em até 15 dias contados do recebimento da requisição, conforme art. 19, §3º, da LGPD. Pedidos complexos podem demandar prazo adicional comunicado e justificado ao titular.

7.3. Reclamação à ANPD

Sem prejuízo dos direitos acima, o titular pode peticionar diretamente à Autoridade Nacional de Proteção de Dados (ANPD) por meio de www.gov.br/anpd.

8. Cookies

Utilizamos exclusivamente cookies estritamente essenciais, necessários para manter a sessão autenticada, prevenir ataques CSRF e garantir a segurança da navegação. Não utilizamos cookies publicitários, de rastreamento entre sites ou de análise de comportamento não consentida. Por se tratar de cookies essenciais, dispensa-se solicitação prévia de consentimento (Guia ANPD sobre Cookies, 2024).

9. Decisões automatizadas (Art. 20 LGPD)

A Plataforma realiza cálculos automatizados (DAS, Fator R, alíquota efetiva) que não constituem decisão automatizada com efeito jurídico ou impacto significativo sobre os titulares — trata-se de ferramenta de apoio sujeita à conferência final do contador habilitado. Ainda assim, o titular tem direito a solicitar revisão dos critérios de cálculo por intermédio do DPO.

10. Segurança da informação

Aplicamos medidas técnicas e organizacionais proporcionais ao risco, incluindo:

  • Criptografia em trânsito (TLS 1.2+) e em repouso (AES-256)
  • Isolamento por escritório via Row Level Security no banco de dados
  • Senhas armazenadas com hash bcrypt e verificação contra vazamentos públicos (Have I Been Pwned)
  • Comprimento mínimo de senha configurado no provedor de autenticação
  • Confirmação obrigatória de e-mail no cadastro
  • Autenticação de dois fatores (2FA) opcional via aplicativo TOTP
  • Validação de assinatura HMAC em todos os webhooks externos
  • Trilha de auditoria detalhada de alterações em apurações e dados sensíveis
  • Permissões granulares por usuário definidas pelo administrador do escritório
  • Backups automáticos diários com retenção mínima de 7 dias
  • Monitoramento de uptime e alertas de incidente
  • Princípio do menor privilégio aplicado a todos os processos servidores

11. Incidentes de segurança (Art. 48 LGPD)

Em caso de incidente que possa acarretar risco ou dano relevante aos titulares, comunicaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados em prazo razoável, observado o prazo de até 3 (três) dias úteis estabelecido pela Resolução CD/ANPD nº 15/2024 para comunicação à autoridade.

A comunicação conterá, no mínimo:

  • Descrição da natureza dos dados pessoais afetados;
  • Informações sobre os titulares envolvidos;
  • Medidas técnicas e de segurança utilizadas para proteção dos dados;
  • Riscos relacionados ao incidente;
  • Motivos da demora, no caso de comunicação não imediata;
  • Medidas adotadas ou a serem adotadas para reverter ou mitigar os efeitos.

12. Alterações desta Política

Esta política pode ser atualizada. A versão e a data de vigência ficam sempre indicadas no topo. Mudanças materiais — alteração de finalidade, base legal, compartilhamento ou retenção — serão comunicadas por e-mail e exigirão novo aceite no próximo acesso.

13. Contato

Encarregado pelo Tratamento de Dados (DPO): dpo@aguiafiscal.com.br.

Assuntos comerciais e contratuais: contato@aguiafiscal.com.br.