Política de Privacidade – Tributus Assessoria Financeira LTDA

Introdução

Esta Política de Privacidade descreve as práticas adotadas pela Tributus Assessoria Financeira LTDA ("Tributus", "nós"), responsável pela operação da marca e das soluções ConformiDoc, em relação à coleta, ao uso, ao armazenamento, à proteção e ao compartilhamento de dados pessoais.

A Tributus está comprometida com a proteção da privacidade, com a transparência e com o cumprimento integral da Lei Geral de Proteção de Dados Pessoais (LGPD – Lei nº 13.709/2018) e demais normas aplicáveis.

2. Controladora, Operadora e âmbito de aplicação

2.1. Controladora

Para os fins desta Política, a Tributus é a controladora dos dados pessoais de: (i) usuários que acessam nossos sites e plataformas digitais; (ii) leads, prospects e contatos comerciais; (iii) representantes de clientes, parceiros e fornecedores; e (iv) demais pessoas naturais que interajam com a Tributus em contexto comercial, contratual ou institucional.

2.2. Operadora

Quando a Tributus realiza o tratamento de dados pessoais em nome de clientes corporativos, em decorrência da prestação de serviços contratados, atua na qualidade de operadora, seguindo exclusivamente as instruções documentadas do cliente, na qualidade de controlador, e nos termos dos contratos firmados.

2.3. Abrangência

Esta Política se aplica a todas as operações de tratamento de dados pessoais realizadas pela Tributus em meios físicos ou digitais, incluindo: navegação em sites, aplicativos e plataformas; contato por formulários, e-mail, canais de atendimento ou redes sociais; e atividades comerciais, administrativas e operacionais relacionadas à prestação de serviços.

3. Cenário do Produto: OFX, conciliação, instância dedicada e IA

Para transparência técnica e jurídica, esclarecemos que, no contexto de módulos que operem conciliação por importação de extratos:

• A Plataforma não inicia transferências financeiras, não movimenta recursos e não executa operações bancárias em nome do Cliente.

• A conciliação ocorre por importação de extratos no padrão OFX (quando disponível).

• Não armazenamos credenciais bancárias (senhas, tokens de internet banking, chaves de autenticação ou equivalentes).

• Cada cliente opera em instância dedicada, com segregação lógica voltada ao isolamento por cliente.

• Arquivos OFX e dados derivados (estritamente necessários à conciliação) ficam armazenados em servidores no Brasil por 30 (trinta) dias (ver Seção 10).

• Uso de modelos de linguagem (LLM), quando aplicável: adotamos pipeline de parse determinístico no Brasil e sanitização/minimização antes de qualquer processamento por LLM; por padrão, OFX bruto não é enviado a LLM (ver Seção 7).

4. Categorias de dados pessoais tratados e fontes

4.1. Dados de contato e relacionamento

Podemos tratar, de acordo com a interação realizada: nome completo; e-mail profissional e/ou pessoal; telefone comercial ou celular; cargo, área de atuação e empresa; e outros dados fornecidos voluntariamente pelo titular em campos de formulário, e-mails ou contatos de atendimento.

4.2. Dados de navegação e uso de serviços digitais

Durante o acesso a nossos sites e plataformas, podemos coletar: endereço IP; data e hora de acesso; tipo e versão de navegador; sistema operacional e dispositivo utilizado; páginas visitadas, tempo de permanência e cliques; identificadores eletrônicos, cookies e tecnologias semelhantes.

4.3. Dados provenientes de terceiros

Podemos receber dados pessoais provenientes de parceiros comerciais e de negócios; bases públicas e fontes oficiais; e plataformas de autenticação ou redes sociais, quando o usuário optar por se conectar por meio delas (por exemplo, dados básicos de perfil e autenticação). Nesses casos, o tratamento observará as finalidades legítimas comunicadas ao titular e as bases legais cabíveis.

4.4. Dados tratados na condição de Operadora

Ao prestar serviços para clientes corporativos, a Tributus pode ter acesso a dados de terceiros (por exemplo, dados de clientes, usuários ou funcionários de nossos clientes). Nessa hipótese: (i) o cliente é o controlador desses dados; (ii) a Tributus atua como operadora, tratando as informações conforme as instruções do controlador, as disposições contratuais e a LGPD; e (iii) não realizamos qualquer uso incompatível com as finalidades definidas pelo cliente controlador.

4.5. Dados financeiros importados via OFX (quando contratados/ativados)

Quando o Cliente utiliza conciliação por OFX, poderemos tratar dados contidos no arquivo, conforme disponibilizados pelo emissor do extrato, tais como: datas, valores, descrições/históricos de lançamentos, identificadores técnicos do lançamento (quando existirem), saldos e metadados necessários à conciliação.

Reforçamos que não coletamos nem armazenamos credenciais bancárias e não realizamos movimentações financeiras (Seção 3).

5. Finalidades do tratamento e bases legais

Os dados pessoais são tratados para finalidades específicas e legítimas, sempre com base em uma das hipóteses legais previstas na LGPD.

5.1. Atendimento, relacionamento e operação de serviços

Finalidades: cadastro de usuários, leads e contatos; atendimento a solicitações, dúvidas e registros enviados pelos canais oficiais; elaboração de propostas comerciais e contratos; execução de serviços contratados e suporte.

Bases legais: execução de contrato ou de procedimentos preliminares relacionados a contrato; e cumprimento de obrigação legal ou regulatória, quando aplicável.

5.2. Comunicação institucional e marketing

Finalidades: envio de comunicados institucionais, informativos, novidades e convites para eventos; envio de materiais de marketing, conteúdos educacionais, newsletters e campanhas.

Bases legais: consentimento do titular, quando exigido; e legítimo interesse do controlador em comunicações B2B compatíveis com a relação estabelecida, sempre com opção de descadastramento (opt-out).

5.3. Segurança, prevenção à fraude e melhoria de serviços

Finalidades: autenticação de usuários e prevenção a acessos não autorizados; monitoramento de uso para prevenção a fraudes e incidentes; melhoria da experiência do usuário, usabilidade e desempenho das plataformas; análise agregada de desempenho, estatísticas e métricas.

Bases legais: legítimo interesse do controlador; e cumprimento de obrigação legal ou regulatória, quando envolver registros exigidos por normas de segurança ou guarda de logs.

5.4. Conciliação por OFX, categorização e relatórios (quando ativados)

Finalidades: conciliação e reconciliação de lançamentos; categorização assistida; geração de relatórios e painéis gerenciais; identificação de inconsistências, duplicidades e padrões; e suporte operacional ao Cliente, quando solicitado.

Bases legais: em regra, execução de contrato e/ou legítimo interesse, conforme o caso, com observância dos princípios da necessidade e minimização.

6. Cookies e tecnologias semelhantes

Cookies são pequenos arquivos armazenados no dispositivo do usuário que permitem o reconhecimento do navegador e a coleta de determinadas informações de navegação.

Podemos utilizar cookies estritamente necessários (essenciais ao funcionamento), cookies de desempenho e analytics, cookies de funcionalidade e, quando aplicável, cookies de marketing. Cookies não essenciais podem depender de consentimento, obtido por meio de banner, pop-up ou painel de preferências.

O usuário pode gerenciar cookies diretamente em seu navegador, bloqueando-os ou apagando-os. A desativação de determinados cookies pode impactar funcionalidades e a experiência de navegação.

7. Uso de IA/LLM e pipeline de proteção aplicado a OFX

7.1. Parse determinístico no Brasil

A ConformiDoc implementa processo técnico de extração e normalização determinística ("parse") de arquivos OFX em ambiente computacional localizado no Brasil, com a finalidade de converter o conteúdo do extrato em estrutura padronizada para conciliação e relatórios. Esse processo não se conecta a internet banking e não utiliza credenciais bancárias do Usuário.

7.2. Sanitização e minimização antes de qualquer LLM

Quando funcionalidades assistivas utilizarem recursos de modelos de linguagem (LLM), adotamos medidas de minimização e sanitização para reduzir o volume e a sensibilidade dos dados processados, privilegiando o envio de dados derivados (por exemplo, somatórios, categorias e agregações) em lugar do extrato ou informações desnecessárias.

7.3. Regra de segurança por padrão

Por padrão, o arquivo OFX bruto não é enviado a LLM. Qualquer exceção, se tecnicamente necessária e juridicamente cabível, deverá ser tratada como configuração específica e documentada, com minimização reforçada e salvaguardas contratuais apropriadas.

8. Compartilhamento de dados pessoais

A Tributus poderá compartilhar dados pessoais nas seguintes hipóteses:

8.1. Fornecedores e prestadores de serviços

Com empresas que apoiam nossas operações, tais como: provedores de hospedagem e computação em nuvem; plataformas de comunicação e envio de e-mails; ferramentas de analytics e monitoramento de desempenho; soluções de CRM, suporte e atendimento; consultorias e prestadores de serviços de tecnologia ou segurança da informação.

Nesses casos, os terceiros tratam os dados pessoais em nome da Tributus e estão sujeitos a obrigações contratuais de confidencialidade, segurança e uso limitado às finalidades contratadas.

8.2. Clientes corporativos (quando atuamos como Operadora)

No contexto de prestação de serviços a clientes que são controladores, o compartilhamento e as finalidades são definidos pelo cliente, e a Tributus atua como operadora, conforme descrito na Seção 2.

8.3. Obrigações legais, processos e proteção de direitos

Podemos compartilhar dados pessoais com autoridades públicas, órgãos reguladores e órgãos do sistema de justiça, bem como com assessores jurídicos, quando necessário para cumprimento de obrigações legais ou regulatórias, resposta a processos judiciais/administrativos/arbitrais, exercício regular de direitos, prevenção à fraude e segurança de sistemas.

8.4. Operações societárias

Em casos de fusão, aquisição, reorganização societária ou operação similar, os dados pessoais poderão ser transferidos à entidade sucessora, observados os princípios da transparência e da continuidade da proteção de dados.

8.5. Suboperadores (lista e governança)

Podemos recorrer a suboperadores (por exemplo, provedores de nuvem, e-mail, observabilidade e serviços de IA) para execução de atividades necessárias à prestação dos serviços.

A ConformiDoc mantém uma Lista de Suboperadores (página ou anexo) ou a disponibiliza mediante solicitação, indicando categoria, finalidade e localidade de processamento, e adota governança para atualização e comunicação em caso de alterações relevantes.

9. Segurança da informação

A Tributus adota medidas técnicas e administrativas de segurança destinadas a proteger dados pessoais contra acessos não autorizados, vazamentos, perdas, alterações ou qualquer forma de tratamento inadequado ou ilícito. Essas medidas podem incluir controles de acesso, criptografia e/ou pseudonimização quando aplicável, políticas internas, treinamento de colaboradores e cláusulas contratuais com terceiros.

Embora sejam adotados esforços para garantir a segurança das informações, nenhum sistema é totalmente imune a riscos. Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, avaliaremos a necessidade de comunicação aos titulares e à ANPD, na forma da legislação aplicável.

10. Prazos e critérios de retenção de dados

Os dados pessoais são armazenados apenas pelo tempo necessário ao cumprimento das finalidades descritas nesta Política ou em conformidade com prazos legais e regulatórios específicos.

10.1. OFX e dados derivados (Brasil)

Arquivos OFX e dados diretamente derivados para conciliação são mantidos, como padrão, por 30 (trinta) dias em servidores localizados no Brasil, para viabilizar conciliação, auditoria de consistência e suporte operacional. Após esse prazo, os arquivos OFX são eliminados ou anonimizados, ressalvadas hipóteses legais de retenção, investigação de incidente, cumprimento de obrigação legal/regulatória ou resguardo de direitos.

10.2. Logs e trilhas de auditoria

Registros de acesso e ações relevantes (por exemplo, autenticações, importação de arquivo, execuções de conciliação, exportações e alterações de parâmetros) podem ser mantidos por 6 (seis) meses, com a finalidade de segurança, prevenção à fraude, auditoria e apuração de incidentes, observados critérios de minimização e necessidade.

10.3. Tickets e registros de atendimento

Registros de tickets e atendimentos de suporte podem ser mantidos por 12 (doze) meses, para histórico operacional, auditoria e resguardo de direitos.

10.4. Backups

A ConformiDoc não presta serviço de backup do Conteúdo do Usuário. É responsabilidade do Cliente manter, em seus próprios sistemas ou em serviços de terceiros de sua escolha, cópias de segurança atualizadas do conteúdo considerado crítico para suas operações.

11. Direitos dos titulares e canal de atendimento

Nos termos da LGPD, o titular de dados pessoais tem direito, a qualquer momento e mediante requisição, a: confirmação da existência de tratamento; acesso aos dados; correção; anonimização, bloqueio ou eliminação; portabilidade, quando aplicável; eliminação de dados tratados com base em consentimento, quando cabível; informação sobre compartilhamentos; revogação do consentimento; e oposição a tratamentos realizados com fundamento em legítimo interesse, quando houver descumprimento à LGPD.

O titular pode exercer seus direitos e esclarecer dúvidas por meio do canal do Encarregado (DPO): [email protected]. Para agilizar o atendimento, recomenda-se indicar o direito pretendido e informações que permitam identificar o titular e localizar os dados tratados.

12. Dados de crianças e adolescentes

Nossos serviços e conteúdos não são direcionados, em regra, a crianças ou adolescentes. A Tributus não realiza, de forma intencional, a coleta de dados pessoais de menores de 18 anos para finalidades incompatíveis com a legislação.

Caso seja identificado tratamento indevido de dados de crianças ou adolescentes, serão adotadas as providências necessárias para interromper o tratamento e eliminar os dados, salvo quando sua manutenção for necessária para cumprimento de obrigação legal ou para resguardo de direitos.

13. Decisões automatizadas e perfilhamento

Atualmente, a Tributus não toma decisões baseadas exclusivamente em tratamento automatizado de dados pessoais que produzam efeitos jurídicos significativos ou que afetem de forma relevante os interesses dos titulares. Caso passe a adotar esse tipo de tratamento, informará os critérios utilizados, observará o direito à revisão e atualizará esta Política.

14. Transferência internacional de dados

A Tributus pode realizar transferências internacionais de dados quando utiliza serviços tecnológicos localizados fora do Brasil, como provedores de nuvem ou plataformas de comunicação.

Nesses casos, adotaremos salvaguardas contratuais e mecanismos reconhecidos pela legislação, incluindo, quando aplicável, cláusulas contratuais padrão e governança de mudanças de suboperadores, para garantir a observância dos princípios e direitos dos titulares.

15. Encarregado (DPO) e canais de contato

A Tributus nomeou um Encarregado de Proteção de Dados (DPO), responsável por atuar como canal de comunicação entre a Tributus, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD), além de orientar sobre práticas de proteção de dados.

E-mail do Encarregado (DPO): [email protected].

16. Atualizações desta Política

Esta Política de Privacidade poderá ser atualizada periodicamente para refletir mudanças legislativas ou regulatórias, alterações em nossos serviços ou processos internos, evolução tecnológica e novas práticas de segurança e governança de dados.

A versão mais recente estará sempre disponível em nossos canais oficiais, com indicação da data de última atualização. Recomenda-se a leitura periódica deste documento.