Voltar para Documentos legaisLegal

Termo de Tratamento de Dados Pessoais (LGPD)

Nosso DPA: define como o AutoNFS-e atua como Operador dos dados pessoais que o Cliente, na condição de Controlador, nos confia.

Última atualização: 03/05/2026Versão: 1.0
Sumário do documento

Este Termo de Tratamento de Dados Pessoais ("Termo" ou "DPA") complementa o Contrato de Licenciamento de Software firmado entre INBRAK SOFTWARE HOUSE LTDA, inscrita no CNPJ sob o nº 66.180.437/0001-62 ("Inbrak" ou "AutoNFS-e"), e o Cliente Contratante ("Cliente"), e regula o tratamento de dados pessoais realizado pelo AutoNFS-e em nome do Cliente, em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados, "LGPD").

Considera-se que o serviço AutoNFS-e é uma solução híbrida, composta por (i) infraestrutura em nuvem mantida pela Inbrak e (ii) aplicativo instalado em máquina Windows sob responsabilidade do Cliente. Este Termo aplica-se ao tratamento realizado em ambas as pontas pela Inbrak.

Em caso de conflito entre este Termo e outros documentos contratuais, prevalecerá este Termo nas matérias relativas ao tratamento de dados pessoais.

1.Definições

  • Dado pessoal: informação relacionada a pessoa natural identificada ou identificável.
  • Dado pessoal sensível: dado sobre origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, dados de saúde ou de vida sexual, genéticos ou biométricos, quando vinculados a uma pessoa natural.
  • Tratamento: toda operação realizada com dados pessoais (coleta, armazenamento, uso, transmissão, eliminação, etc.).
  • Controlador: pessoa a quem competem as decisões referentes ao tratamento dos dados pessoais.
  • Operador: pessoa que realiza o tratamento dos dados pessoais em nome do Controlador.
  • Subprocessador: terceiro contratado pelo Operador para tratar dados pessoais em apoio à prestação do serviço.
  • Titular: pessoa natural a quem se referem os dados pessoais.
  • ANPD: Autoridade Nacional de Proteção de Dados.
  • Incidente: qualquer evento adverso, confirmado ou suspeito, que afete a confidencialidade, integridade ou disponibilidade de dados pessoais.

2.Papéis das partes

2.1 O Cliente é o Controlador

O Cliente, na qualidade de Controlador, é responsável pela definição das finalidades e dos meios de tratamento dos dados pessoais inseridos na Plataforma, incluindo, especialmente:

  • Dados de seus próprios clientes finais (CNPJs, dados fiscais, NFS-e);
  • Credenciais de acesso ao Portal Nacional da NFS-e (gov.br/nfse): login gov.br, certificado digital ICP-Brasil ou outros mecanismos de autenticação suportados pelo portal;
  • Confirmar que possui base legal e autorização adequadas para coletar e fornecer esses dados ao AutoNFS-e.

2.2 O AutoNFS-e é Operador

O AutoNFS-e, na qualidade de Operador, trata os dados pessoais fornecidos pelo Cliente exclusivamente conforme as instruções desse último e para a prestação dos serviços contratados, observando estritamente os limites deste Termo, da legislação aplicável e das boas práticas de segurança da informação.

2.3 Tratamento como Controlador (relação direta com o Cliente)

Para os dados estritamente relacionados ao relacionamento contratual entre o Cliente e o AutoNFS-e (cadastro do contratante, faturamento, suporte), o AutoNFS-e atua como Controlador, conforme descrito na Política de Privacidade.

3.Categorias de dados pessoais tratados

Para a execução do serviço, o AutoNFS-e poderá tratar as seguintes categorias de dados pessoais:

  • Dados cadastrais de pessoas físicas vinculadas ao Cliente e seus clientes finais (nome, CPF, e-mail, telefone, cargo);
  • Identificação dos usuários nomeados habilitados pelo Cliente (nome, e-mail, cargo) e respectivos identificadores de licença;
  • Dados fiscais e financeiros constantes nas NFS-e baixadas (tomadores, prestadores, valores, retenções);
  • Credenciais de acesso ao Portal Nacional da NFS-e (login gov.br, certificado digital ICP-Brasil quando aplicável);
  • Logs de execução, datas, horários e identificação técnica das operações realizadas;
  • Dados técnicos da estação Windows onde o aplicativo está instalado (versão de SO, identificador do dispositivo, dados de licenciamento e telemetria);
  • Dados técnicos do uso da Plataforma (IP, navegador, dispositivo).

Não tratamos dados pessoais sensíveis no escopo deste serviço, salvo se inadvertidamente constarem em campos abertos das NFS-e.

4.Finalidades específicas e duração do tratamento

Os dados pessoais serão tratados apenas para as seguintes finalidades:

  • Acessar o Portal Nacional da NFS-e em nome do Cliente para baixar NFS-e dos municípios aderentes;
  • Organizar arquivos e gerar relatórios consolidados de notas e retenções;
  • Disponibilizar painéis e ferramentas de visualização ao Cliente;
  • Garantir a segurança da Plataforma e prevenir incidentes;
  • Cumprir obrigações legais e regulatórias aplicáveis.

Duração: o tratamento ocorrerá durante a vigência do contrato, podendo prosseguir após o término apenas nos prazos legais de retenção (em regra, 5 anos para dados fiscais e 6 meses para logs de acesso), ou pelo prazo necessário ao cumprimento de obrigação legal.

5.Subprocessadores

O AutoNFS-e poderá contratar subprocessadores para apoiar a execução do serviço (ex.: hospedagem em nuvem, gateway de pagamento, ferramentas de e-mail transacional, monitoramento e suporte). Os subprocessadores estarão obrigados, contratualmente, a observar:

  • Os mesmos níveis de proteção de dados previstos neste Termo;
  • Confidencialidade;
  • Tratamento limitado às finalidades autorizadas;
  • Cooperação com auditorias e respostas a incidentes.

A lista atualizada de subprocessadores está disponível em /legal/subprocessadores e pode ser solicitada a qualquer momento pelos canais ao final deste Termo. Mudanças relevantes serão comunicadas com antecedência mínima razoável, permitindo ao Cliente questionar ou rejeitar fundamentadamente.

6.Medidas técnicas e organizacionais de segurança

O AutoNFS-e adota medidas técnicas e organizacionais razoáveis e proporcionais aos riscos, incluindo:

6.1 Medidas técnicas

  • Criptografia em trânsito (TLS 1.2 ou superior);
  • Criptografia em repouso de credenciais e dados sensíveis;
  • Controle de acesso por papéis (RBAC) e princípio do menor privilégio;
  • Autenticação forte para administradores e acessos críticos;
  • Backups periódicos com retenção apropriada;
  • Monitoramento contínuo, logs de auditoria e alertas de segurança;
  • Atualizações regulares de dependências e revisões de vulnerabilidades.

6.2 Medidas organizacionais

  • Política interna de proteção de dados e segurança da informação;
  • Acordos de confidencialidade com colaboradores e fornecedores;
  • Treinamento periódico de equipes em LGPD e segurança;
  • Avaliação de fornecedores e subprocessadores;
  • Plano de resposta a incidentes.

7.Direitos dos titulares

O AutoNFS-e cooperará razoavelmente com o Cliente para atender solicitações de titulares no exercício de seus direitos previstos na LGPD (acesso, correção, eliminação, portabilidade, etc.). O ponto de contato primário do titular é o Controlador (Cliente); o AutoNFS-e atenderá o Cliente em prazo razoável, normalmente em até 15 (quinze) dias úteis.

8.Notificação de incidentes

Em caso de incidente de segurança envolvendo dados pessoais tratados em nome do Cliente, o AutoNFS-e:

  • Comunicará o Cliente em até 48 (quarenta e oito) horas após a confirmação do incidente;
  • Fornecerá informações disponíveis sobre natureza, dados afetados, possíveis impactos e medidas tomadas;
  • Cooperará com o Cliente nas comunicações exigidas à ANPD e aos titulares afetados, observados os prazos e formatos legais;
  • Implementará medidas corretivas para conter o incidente e mitigar riscos.

9.Auditoria

Mediante solicitação justificada e com antecedência razoável, o AutoNFS-e disponibilizará ao Cliente informações suficientes para demonstrar o cumprimento deste Termo, incluindo relatórios de segurança, certificações pertinentes ou questionários técnicos. Auditorias presenciais ou por terceiros independentes ficam sujeitas a acordo prévio entre as partes, observando confidencialidade, segurança e custos.

10.Transferência internacional de dados

Quando a prestação do serviço envolver subprocessadores fora do Brasil, o AutoNFS-e garantirá que a transferência ocorra mediante mecanismos legais válidos previstos na LGPD, com nível adequado de proteção.

11.Devolução e eliminação de dados ao término do contrato

Encerrado o contrato (por qualquer motivo), o AutoNFS-e disponibilizará ao Cliente, mediante solicitação, export dos seus dados em formato estruturado (CSV ou similar) durante prazo razoável após o término, em regra, 30 (trinta) dias.

Após esse prazo, todos os dados pessoais tratados em nome do Cliente serão eliminados dos sistemas do AutoNFS-e, ressalvada a manutenção estritamente necessária ao cumprimento de obrigação legal, regulatória ou para exercício regular de direitos. Cópias de backup seguirão o ciclo natural de retenção até a próxima rotação.

12.Confidencialidade

O AutoNFS-e tratará todas as informações e dados do Cliente como confidenciais, adotando medidas razoáveis para evitar acesso, uso ou divulgação não autorizados, durante e após a vigência do contrato.

13.Encarregado pelo Tratamento de Dados (DPO)

Encarregado de Proteção de Dados

Nome: Lucas Inácio

E-mail do DPO: dpo@inbrak.com.br

14.Vigência e alterações

Este Termo entra em vigor na data de aceitação do contrato pelo Cliente e permanece vigente enquanto houver tratamento de dados pessoais do Cliente pelo AutoNFS-e. Atualizações materiais serão comunicadas com antecedência mínima de 15 (quinze) dias por e-mail ou pela Plataforma.

15.Contato

Institucional

INBRAK Software House LTDA

CNPJ 66.180.437/0001-62

contato@inbrak.com.br

inbrak.com.br · autonfse.com.br

Ver outros documentos legaisVersão 1.0 · Atualizado em 03/05/2026