Política de Privacidade
A B2BTAX Consultoria respeita sua privacidade e trata dados pessoais em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD), o Marco Civil da Internet e o Código de Defesa do Consumidor.
Esta Política descreve, de forma objetiva, quais dados pessoais coletamos por meio da plataforma FuturFiscal ( copilot.b2btax.com.br), para quais finalidades, com quem compartilhamos, por quanto tempo retemos e como você pode exercer seus direitos como titular.
1. Controlador e Encarregado (DPO)
O controlador dos dados pessoais coletados é:
B2BTAX Consultoria
CNPJ: 54.777.514/0001-87
Rua Tenente Brito Melo, 433, Sala 301 — Barro Preto
Belo Horizonte/MG, CEP 30180-072
O Encarregado pela Proteção de Dados (DPO) pode ser contatado pelo e-mail contato@b2btax.com.br, com o assunto "LGPD — FuturFiscal — [sua solicitação]".
2. Dados pessoais coletados
Coletamos apenas os dados estritamente necessários para a operação da plataforma e para o cumprimento das finalidades descritas nesta Política. Não coletamos dados sensíveis (LGPD art. 5º, II) por meio da plataforma.
2.1. Conta de usuário
Quando você recebe credenciais de acesso à plataforma, registramos:
- Nome de usuário e nome completo
- E-mail (opcional, usado para comunicações operacionais e fluxo de definição/recuperação de senha)
- Senha hash (bcrypt cost 10 — nunca armazenamos a senha em texto)
- Papel (admin_plbr, consultor_b2btax, cliente, parceiro) e vínculos com empresas-cliente
- Data e hora do último login (auditoria)
2.2. Dados fiscais carregados
Quando você (ou consultor autorizado) carrega arquivos da empresa-cliente:
- NF-e modelo 55 e NFS-e — chave, emitente, destinatário, itens, tributos, CFOP, NCM
- ECF — DRE referencial RFB, balanço patrimonial, LALUR
- ECD — série histórica mensal de receita, custos, despesas, folha
- EFD Contribuições — entradas e aquisições agregadas, fornecedores e operações por UF/CFOP/NCM
- Premissas operacionais — mix B2B/B2C, prazo de recebimento/pagamento, top fornecedores/clientes (cadastrados manualmente quando não há EFD)
Esses dados podem incluir nomes, CPFs e endereços de fornecedores e clientes da empresa. A B2BTAX atua como operadora desses dados — a empresa-cliente permanece como controladora.
2.3. Dados de uso da plataforma
Independentemente das ações do usuário, registramos automaticamente:
- Endereço IP de origem
- Data, hora e duração do acesso
- Tipo de navegador e sistema operacional
- Páginas visitadas dentro da plataforma
- Logs de eventos sensíveis (criação de empresa, redefinição de senha, exclusão de dados — auditoria)
A retenção de logs de conexão por 6 meses é obrigação legal imposta pelo Marco Civil da Internet (Lei 12.965/2014, art. 15).
3. Finalidades e bases legais
Cada dado coletado tem finalidade específica e base legal definida pela LGPD (art. 7º):
| Finalidade | Base legal (LGPD) |
|---|---|
| Autenticar usuários, controlar acesso e auditar operações sensíveis | Art. 7º, V — execução de contrato/serviço |
| Processar arquivos fiscais carregados pelo cliente para gerar simulações, dashboards e relatórios | Art. 7º, V — execução de contrato |
| Comunicações operacionais por e-mail (definição/recuperação de senha, atualizações da plataforma) | Art. 7º, V — execução de contrato |
| Cumprir obrigação de retenção de logs e dados fiscais | Art. 7º, II — cumprimento de obrigação legal |
| Garantir segurança da plataforma (prevenção de acesso não autorizado, fraude, abuso) | Art. 7º, IX — legítimo interesse |
Não utilizamos seus dados para finalidades incompatíveis com aquelas informadas no momento da coleta. Não realizamos perfilamento, marketing direto sem consentimento ou compartilhamento com fins comerciais.
4. Compartilhamento com terceiros
Não vendemos, alugamos ou comercializamos seus dados pessoais. Compartilhamos dados apenas com prestadores de serviço essenciais para operação da plataforma, atuando como operadores (LGPD art. 5º, VII):
- Vercel, Inc.Hospedagem da aplicação Next.js e edge runtime. Processa requisições HTTP e logs de acesso. Sede: Estados Unidos. Política: vercel.com/legal/privacy-policy
- Neon, Inc.Banco de dados Postgres gerenciado. Armazena toda a base operacional (usuários, empresas, dados fiscais carregados). Datacenter na América do Sul (São Paulo). Política: neon.tech/privacy-policy
- Cloudflare, Inc.CDN, proteção contra ataques (WAF) e armazenamento de backups (R2). Sede: Estados Unidos. Política: cloudflare.com/privacypolicy
- Functional Software, Inc. (Sentry)Captura de exceções e telemetria de performance. Configurada com
sendDefaultPii: false— não envia IPs, cookies ou user agents. Sede: Estados Unidos. Política: sentry.io/privacy - Vercel AnalyticsColeta agregada de Web Vitals (latência, tempo de resposta) e contagem anônima de page views para monitoramento de performance. Não coleta IP, cookies, identificadores de usuário nem PII em sua configuração padrão. Operada pela própria Vercel, Inc. (mesma sede dos serviços de hospedagem). Política: vercel.com/legal/privacy-policy
- Google LLC (Gemini API)Análise qualitativa de impacto e busca de NCM/NBS por descrição. Recebe apenas o texto da consulta — não tem acesso aos dados fiscais carregados na plataforma. Política: policies.google.com/privacy
Poderemos compartilhar dados com autoridades públicas quando houver obrigação legal, ordem judicial ou requisição regulatória fundamentada.
5. Transferência internacional de dados
Parte dos operadores listados (Vercel + Vercel Analytics, Cloudflare, Sentry, Google) tem sede e infraestrutura em jurisdição estrangeira, notadamente os Estados Unidos. Isso configura transferência internacional de dados, permitida pela LGPD (art. 33):
- Execução de contrato entre titular e controlador (art. 33, V)
- Cumprimento de obrigação legal (art. 33, III)
- Quando o titular fornece consentimento específico (art. 33, VIII)
Os dados primários da plataforma (usuários, empresas-cliente, arquivos fiscais carregados) são armazenados em datacenter na América do Sul (São Paulo) via Neon, mantendo os dados sensíveis em jurisdição brasileira sempre que tecnicamente viável.
Os operadores adotam salvaguardas contratuais (Standard Contractual Clauses ou equivalentes) e padrões internacionais de segurança da informação (ISO 27001, SOC 2).
6. Armazenamento, segurança e retenção
6.1. Medidas de segurança
Adotamos medidas técnicas e organizacionais compatíveis com a sensibilidade dos dados:
- Comunicação criptografada via TLS 1.3 (HTTPS) em toda a plataforma
- Senhas armazenadas com hash bcrypt (cost 10) — nunca em texto claro
- Sessão via JWT assinado com AUTH_SECRET de 32+ caracteres
- Proteção contra bots e ataques automatizados via Cloudflare WAF
- Backups semanais criptografados em repouso (Cloudflare R2 — AES-256)
- Monitoramento contínuo de exceções e disponibilidade (Sentry + UptimeRobot)
- Acesso administrativo restrito a colaboradores B2BTAX com necessidade profissional
- Auditoria de eventos sensíveis (criação de empresa, redefinição de senha, exclusão de dados)
6.2. Prazos de retenção
| Categoria | Prazo |
|---|---|
| Conta de usuário ativa | Enquanto durar o vínculo + 12 meses (auditoria) |
| Dados fiscais de empresa-cliente vinculada | Duração do vínculo + 5 anos (CDC art. 27 e Decreto-Lei 486/1969) |
| Lotes "livres" de XMLs (sem vínculo a empresa) | 180 dias (eliminação automática via job semanal) |
| Backups semanais | 8 semanas (eliminação por lifecycle rule) |
| Logs de auditoria de eventos sensíveis | 5 anos |
| Logs de conexão | 6 meses (Marco Civil, art. 15) |
Após o prazo de retenção, os dados são eliminados ou anonimizados de forma irreversível, exceto quando houver obrigação legal de guarda por prazo superior.
8. Direitos do titular
Conforme o art. 18 da LGPD, você tem os seguintes direitos em relação aos seus dados pessoais:
- Confirmação da existência de tratamento
- Acesso aos dados tratados
- Correção de dados incompletos, inexatos ou desatualizados
- Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade
- Portabilidade a outro fornecedor de serviço
- Eliminação dos dados tratados com base em consentimento
- Informação sobre entidades com as quais seus dados são compartilhados
- Informação sobre a possibilidade de não fornecer consentimento e suas consequências
- Revogação do consentimento
- Oposição a tratamento realizado em desconformidade com a LGPD
Para exercer qualquer um desses direitos, envie solicitação para contato@b2btax.com.br com o assunto "LGPD — FuturFiscal — Solicitação do titular".
Responderemos em até 15 (quinze) dias corridos, conforme art. 19, § 1º da LGPD. Poderemos solicitar informações adicionais para confirmar sua identidade antes de executar a solicitação.
9. Dados de crianças e adolescentes
A plataforma é direcionada exclusivamente a profissionais e empresas. Não coletamos dados pessoais de crianças ou adolescentes de forma intencional. Se identificarmos a coleta inadvertida desses dados, procederemos à eliminação imediata, salvo em hipóteses previstas na LGPD (art. 14, § 3º).
10. Alterações desta Política
Esta Política pode ser atualizada para refletir mudanças regulatórias, operacionais ou tecnológicas. Em caso de alteração material, publicaremos a nova versão nesta página com a data de vigência atualizada e notificaremos os usuários ativos por e-mail.
O histórico de versões está disponível mediante solicitação ao Encarregado.
11. Contato
Dúvidas, solicitações ou reclamações relacionadas a esta Política devem ser dirigidas ao Encarregado:
Assunto sugerido: "LGPD — FuturFiscal — [sua solicitação]"
Você também pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) — gov.br/anpd.