Conformidade com a LGPD

Seção 1

Nosso Compromisso

O Fiscalia está comprometido com a proteção de dados pessoais e com o respeito à privacidade de todos os envolvidos em sua operação — Usuários (escritórios), membros de equipe e, indiretamente, os Clientes dos escritórios que utilizam a Plataforma.

Nossa abordagem à conformidade com a LGPD é estrutural, não formal: as medidas de proteção de dados são construídas nos fundamentos da plataforma, não adicionadas como camada posterior.

Base Legal — LGPD

Lei Geral de Proteção de Dados Pessoais (LGPD): Lei nº 13.709, de 14 de agosto de 2018

Marco Civil da Internet: Lei nº 12.965, de 23 de abril de 2014

Autoridade Nacional de Proteção de Dados (ANPD): www.gov.br/anpd/pt-br

1.1 Princípios da LGPD que Adotamos (art. 6º)

O Fiscalia observa os seguintes princípios no tratamento de dados pessoais:

Finalidade: dados coletados para fins específicos e informados — ex: nome e e-mail para criar conta; histórico de conversas para prestar o serviço de atendimento.
Adequação: o tratamento é compatível com a finalidade declarada — ex: não usamos dados de uso para exibir publicidade de terceiros.
Necessidade: coletamos apenas o mínimo necessário — ex: não pedimos CPF ou CNPJ além do necessário para identificação fiscal.
Livre acesso: o titular pode consultar, a qualquer momento, quais dados temos sobre ele pelo e-mail do DPO ou pelo formulário nesta página.
Qualidade dos dados: mantemos os dados atualizados e permitimos ao Usuário corrigir informações incorretas diretamente no painel ou via solicitação.
Transparência: esta página, a Política de Privacidade e os Termos de Uso descrevem de forma clara como e por que tratamos os dados.
Segurança: criptografia TLS 1.3 em trânsito, AES em repouso, JWT com expiração, RBAC e monitoramento 24/7.
Prevenção: adotamos Privacy by Design — a proteção de dados foi considerada desde o primeiro dia de desenvolvimento, não adicionada depois.
Não discriminação: dados pessoais nunca são usados para criar perfis ou tomar decisões discriminatórias sobre titulares.
Responsabilização e prestação de contas: temos DPO designado, contratos com suboperadores e esta documentação pública para demonstrar conformidade.

Seção 2

Papéis no Tratamento de Dados

A LGPD distingue claramente os papéis dos agentes de tratamento de dados. A seguir, como o Fiscalia se posiciona nesse ecossistema:

2.1 Fiscalia como Controlador

O Fiscalia atua como Controlador (art. 5º, VI, LGPD) em relação aos dados pessoais dos Usuários que contratam diretamente a Plataforma — ou seja, os dados dos próprios escritórios e de seus colaboradores (atendentes). Nessa qualidade, o Fiscalia determina as finalidades e os meios de tratamento desses dados.

2.2 Fiscalia como Operador

O Fiscalia atua como Operador (art. 5º, VII, LGPD) em relação aos dados pessoais dos Clientes dos escritórios — as pessoas físicas ou jurídicas atendidas pelos escritórios via Plataforma. Nessa qualidade, o Fiscalia trata esses dados exclusivamente conforme as instruções dos Usuários (Controladores), sem determinar finalidades ou tomar decisões autônomas sobre esses dados.

2.3 Escritórios como Controladores

Os escritórios que utilizam o Fiscalia (Usuários) são Controladores em relação aos dados pessoais de seus próprios Clientes. Isso significa que:

O escritório é o responsável pela base legal para o tratamento;
O escritório deve ter sua própria Política de Privacidade para seus Clientes;
O escritório deve atender às solicitações de exercício de direitos dos titulares (art. 18, LGPD);
O escritório responde perante a ANPD por incidentes que envolvam dados de seus Clientes.

Responsabilidade dos Escritórios Usuários

Os escritórios usuários do Fiscalia assumem integralmente a responsabilidade pelo tratamento dos dados pessoais de seus clientes, devendo manter sua própria política de privacidade, garantir as bases legais adequadas e atender às exigências da LGPD em relação aos titulares de dados que interagem com a Plataforma por meio do escritório.

O Fiscalia, na qualidade de Operador, processará os dados dos Clientes dos escritórios nos estritos limites das instruções recebidas e nunca os utilizará para finalidades próprias ou comerciais.

Seção 3

Dados Pessoais Tratados

Categoria	Dados Específicos	Titular	Papel do Fiscalia	Finalidade
Identificação do Usuário	Nome, e-mail, CPF/CNPJ, telefone	Escritório (Usuário)	Controlador	Criação e gestão de conta
Credenciais de Acesso	E-mail, hash de senha (não armazenamos senha em texto plano)	Escritório / Atendentes	Controlador	Autenticação e segurança
Dados de Equipe	Nome, e-mail e função dos atendentes cadastrados	Atendentes do escritório	Controlador	Gestão de equipe na Plataforma
Dados de Faturamento	Histórico de pagamentos, status de assinatura (dados de cartão ficam no Stripe)	Escritório (Usuário)	Controlador	Gestão de assinatura e cobrança
Logs de Uso	IP, ações realizadas, timestamps de acesso	Escritório / Atendentes	Controlador	Segurança, auditoria, obrigação legal
Mensagens de WhatsApp	Conteúdo das conversas entre escritório e seus clientes	Clientes do escritório	Operador	Prestação do serviço de atendimento automatizado
Dados de Contato dos Clientes	Número de WhatsApp, nome de perfil do cliente	Clientes do escritório	Operador	Identificação do interlocutor no atendimento
Base de Conhecimento	Documentos, textos e informações inseridas pelo escritório (podem conter dados pessoais de terceiros)	Conforme o conteúdo inserido pelo escritório	Operador	Treinamento da IA para atendimento

Seção 4

Bases Legais Utilizadas (art. 7º, LGPD)

Cada operação de tratamento de dados realizada pelo Fiscalia está fundamentada em uma base legal específica prevista no art. 7º da LGPD:

Base Legal	Artigo LGPD	Aplicação
Execução de Contrato	Art. 7º, V	Tratamento necessário para execução do contrato de SaaS: gestão de conta, prestação do serviço, integração com WhatsApp, geração de respostas pela IA.
Cumprimento de Obrigação Legal	Art. 7º, II	Retenção de logs de acesso por 6 meses (art. 15, Lei nº 12.965/2014); obrigações fiscais relacionadas a transações financeiras.
Legítimo Interesse	Art. 7º, IX	Segurança da plataforma, prevenção a fraudes, melhoria do serviço com base em dados agregados, envio de comunicações operacionais essenciais. O Fiscalia realiza teste de balanceamento de interesses em cada caso.
Consentimento	Art. 7º, I	Envio de comunicações de marketing e novidades sobre a plataforma. O consentimento pode ser retirado a qualquer momento.

Seção 5

Direitos dos Titulares (art. 18, LGPD)

Direito	Descrição	Como Exercer
Confirmação de Tratamento Art. 18, I	Confirmar se o Fiscalia realiza tratamento de seus dados pessoais.	Enviar e-mail para: privacidade@fiscalia.ia.br Ou usar o formulário no final desta página. Prazo: 15 dias úteis
Acesso aos Dados Art. 18, II	Obter cópia completa dos dados pessoais tratados pelo Fiscalia.
Correção Art. 18, III	Solicitar a atualização de dados incompletos, inexatos ou desatualizados.
Anonimização Art. 18, IV	Solicitar a anonimização de dados desnecessários ou excessivos.
Bloqueio ou Eliminação Art. 18, IV	Solicitar bloqueio ou exclusão de dados tratados em desconformidade com a LGPD.
Portabilidade Art. 18, V	Receber dados em formato estruturado e interoperável para transferência a outro fornecedor.
Eliminação de Dados (Consentimento) Art. 18, VI	Solicitar eliminação dos dados tratados com base no consentimento.
Informação sobre Compartilhamento Art. 18, VII	Saber com quais entidades o Fiscalia compartilhou seus dados.
Não Sujeição a Decisão Automatizada Art. 18, § 1º	Solicitar revisão humana de decisões tomadas exclusivamente com base em tratamento automatizado de dados pessoais.	privacidade@fiscalia.ia.br
Revogação do Consentimento Art. 18, IX	Retirar o consentimento a qualquer momento, sem prejuízo dos tratamentos anteriores realizados com base nessa autorização.	privacidade@fiscalia.ia.br ou painel da conta
Petição à ANPD Art. 18, VIII	Peticionar à Autoridade Nacional de Proteção de Dados em face do Fiscalia.	gov.br/anpd/pt-br

Seção 6

Medidas Técnicas e Organizacionais de Segurança

O Fiscalia adota medidas de segurança técnicas e organizacionais proporcionais ao risco dos dados tratados, em conformidade com o art. 46 da LGPD:

Medida	Descrição
Criptografia em Trânsito	Todas as comunicações entre o navegador do usuário e os servidores do Fiscalia utilizam TLS 1.3 (Transport Layer Security), o protocolo de criptografia mais atual e seguro disponível.
Criptografia em Repouso	Dados armazenados no banco de dados Neon PostgreSQL são criptografados em repouso. Senhas de usuários nunca são armazenadas em texto plano — utilizamos hash criptográfico com salt.
Autenticação com JWT	Tokens de autenticação (JSON Web Tokens) com expiração automática. Sessões inativas são encerradas automaticamente. Controle de múltiplas sessões ativas por conta.
Controle de Acesso por Papéis (RBAC)	Cada membro da equipe acessa apenas as funcionalidades e dados necessários para sua função. Administradores têm acesso completo; atendentes têm acesso limitado às conversas atribuídas.
Princípio do Menor Privilégio	Colaboradores internos do Fiscalia têm acesso restrito aos dados dos Usuários, limitado ao estritamente necessário para suporte técnico, mediante autorização formal.
Logs de Auditoria	Registro de todas as operações sensíveis realizadas na Plataforma (acesso a dados, exportações, alterações de configuração, ações administrativas), com carimbo de data/hora e identificação do responsável.
Backups Automáticos	Cópias de segurança automáticas e periódicas dos dados armazenados, com retenção e procedimentos de recuperação testados regularmente.
Monitoramento Contínuo	Monitoramento 24/7 de disponibilidade, performance e eventos de segurança. Alertas automáticos para comportamentos anômalos ou tentativas de acesso não autorizado.
Privacidade desde a Concepção (Privacy by Design)	Privacidade e proteção de dados foram consideradas desde o primeiro dia de desenvolvimento da Plataforma, não como uma camada adicionada depois. Na prática: o banco de dados foi modelado com minimização de dados, o controle de acesso foi desenhado antes das funcionalidades, e cada nova feature passa por análise de impacto de privacidade antes de ir ao ar — conforme recomendação da ANPD e art. 46 da LGPD.

Seção 7

Suboperadores e Terceiros

O Fiscalia contrata suboperadores (fornecedores de tecnologia) para a operação da Plataforma. Todos os suboperadores são selecionados com base em critérios de segurança, confiabilidade e conformidade com legislações de proteção de dados.

Fornecedor	Finalidade	País	Garantias	Política
Google (Gemini / Cloud)	Processamento de IA e inferência de linguagem natural	EUA / Global	SCCs, ISO 27001, SOC 2	Link
Stripe	Processamento de pagamentos e assinaturas	EUA	PCI DSS Nível 1, SCCs	Link
Railway	Hospedagem do servidor de aplicação (backend)	EUA	SOC 2, contratos de dados	Link
Neon PostgreSQL	Banco de dados principal (armazenamento persistente)	EUA	Criptografia em repouso, SOC 2	Link
WhatsApp / Meta	Canal de mensageria entre escritório e clientes	EUA / Global	Termos WhatsApp Business	Link
Brevo (e-mail)	Envio de e-mails transacionais	França / UE	GDPR, SCCs, ISO 27001	Link
Vercel	Hospedagem do frontend estático	EUA	SOC 2, contratos de dados	Link

Seção 8

Transferência Internacional de Dados

A operação do Fiscalia envolve transferências internacionais de dados pessoais, principalmente para os Estados Unidos da América, onde a maioria dos fornecedores de tecnologia de nuvem está sediada. Essas transferências são realizadas com as salvaguardas adequadas exigidas pelos arts. 33 a 36 da LGPD:

Google Gemini — Processamento de IA no Exterior

O processamento de linguagem natural pela IA Gemini ocorre em servidores do Google localizados fora do Brasil. Esta é a transferência internacional mais relevante na operação do Fiscalia, pois envolve o conteúdo das mensagens dos Clientes dos escritórios.

Mecanismo de transferência: Cláusulas Contratuais Padrão (Standard Contractual Clauses — SCCs) da União Europeia, reconhecidas como salvaguarda adequada por autoridades de proteção de dados internacionais.

O Google se compromete, nos termos de seus contratos de processamento de dados, a não utilizar os dados submetidos via API do Gemini para treinar modelos de IA (sujeito às configurações específicas do contrato).

Referência: cloud.google.com/terms/data-processing-addendum

Dados dos Clientes dos Escritórios também vão para o exterior

As mensagens de WhatsApp trocadas entre seu escritório e seus clientes são transferidas para servidores da Meta Platforms (WhatsApp) nos Estados Unidos. Isso é inerente ao funcionamento do WhatsApp e não pode ser evitado pelo Fiscalia — é uma condição do próprio serviço de mensageria da Meta.

Adicionalmente, essas mensagens também passam pela Google Cloud (IA Gemini) para geração de respostas automatizadas, conforme descrito acima.

Se a transferência de dados de clientes para os EUA for inaceitável para sua operação ou para a natureza dos dados que você trata (ex: dados de saúde, dados sigilosos de processos), você não deve utilizar a Plataforma — ou deve configurá-la de forma que dados sensíveis nunca sejam inseridos nas conversas.

Para os demais fornecedores (Stripe, Railway, Neon, Vercel), as transferências são baseadas em contratos que incluem as salvaguardas aplicáveis (SCCs, certificações internacionais de segurança e compliance), observando as orientações da ANPD sobre transferências internacionais.

Seção 9

Retenção e Descarte Seguro de Dados

9.1 Prazos de Retenção

Dado	Prazo de Retenção	Fundamento
Dados de conta ativa	Durante a vigência da assinatura	Execução de contrato
Dados após encerramento da conta	90 dias (para reativação ou exportação), depois excluídos	Interesse legítimo
Logs de acesso	6 meses (mínimo legal)	Art. 15, Marco Civil da Internet
Dados de faturamento/transações	5 anos	Obrigação fiscal
Histórico de conversas	Enquanto conta ativa + 90 dias	Execução de contrato
Dados de suporte/reclamações	3 anos	Interesse legítimo (defesa em processos)

9.2 Procedimentos de Descarte

Ao término dos prazos de retenção, os dados pessoais são descartados de forma segura e irrecuperável:

Dados estruturados no banco de dados: exclusão definitiva com sobrescrita segura com múltiplas passagens (padrão NIST SP 800-88), garantindo que os dados não possam ser recuperados após a operação;
Arquivos e documentos: exclusão permanente e irrecuperável dos sistemas de armazenamento;
Backups: expurgados conforme a política de ciclo de vida dos backups, com verificação de completude da exclusão;
Dados em poder de suboperadores: exclusão formalmente solicitada conforme os contratos de processamento vigentes, com confirmação de descarte.

Seção 10

Notificação de Incidentes

Em caso de incidente de segurança que resulte em acesso não autorizado, destruição, perda, alteração ou qualquer forma de tratamento inadequado de dados pessoais, o Fiscalia adotará os seguintes procedimentos:

Prazo ANPD — Incidentes de Alto Risco

Para incidentes de segurança com dados pessoais que possam acarretar risco ou dano relevante aos titulares, o Fiscalia notificará a Autoridade Nacional de Proteção de Dados (ANPD) em até 72 horas após a ciência do incidente, conforme Resolução CD/ANPD nº 15/2023 e art. 48 da LGPD.

Os titulares de dados afetados serão notificados de forma clara e oportuna, com informações sobre a natureza do incidente, os dados afetados, as medidas adotadas e as orientações para proteção.

10.1 Procedimento de Detecção e Notificação

Detecção (contínua): monitoramento 24/7 com alertas automáticos para comportamentos anômalos — acessos incomuns, volume atípico de requisições, erros de autenticação em massa;
Análise inicial (até 4 horas): a equipe de segurança analisa o alerta, confirma se é incidente real e classifica a severidade (baixo, médio, alto risco para titulares);
Contenção imediata: isolamento do sistema afetado, revogação de credenciais comprometidas e bloqueio de vetores de ataque identificados;
Notificação à ANPD (até 72h): para incidentes de alto risco, o DPO notifica formalmente a ANPD dentro de 72 horas após a confirmação do incidente, conforme Resolução CD/ANPD nº 15/2023;
Notificação aos Usuários (escritórios): os escritórios afetados são notificados por e-mail com: descrição do incidente, dados possivelmente afetados, medidas adotadas pelo Fiscalia e orientações de proteção;
Obrigação dos Usuários como Controladores: ao receber a notificação do Fiscalia, os escritórios devem informar seus próprios clientes cujos dados foram afetados, cumprindo suas obrigações como Controladores (art. 48, LGPD);
Erradicação e Recuperação: eliminação da causa raiz, restauração dos sistemas a partir de backups íntegros e verificação de completude;
Revisão pós-incidente: análise das causas, atualização dos controles de segurança e documentação do incidente para fins de prestação de contas.

Seção 11

Encarregado de Proteção de Dados (DPO)

Nos termos do art. 41 da LGPD, o Fiscalia designou um Encarregado de Proteção de Dados (Data Protection Officer — DPO), que atua como canal de comunicação entre o Fiscalia, os titulares de dados e a ANPD.

Dados do Encarregado

E-mail: privacidade@fiscalia.ia.br

Tempo de resposta: até 15 dias úteis a partir do recebimento da solicitação

Para agilizar o atendimento, informe sempre: seu nome completo, o tipo de solicitação e uma descrição detalhada do seu pedido.

Use o formulário abaixo para entrar em contato diretamente com o Encarregado de Dados:

Formulário de Contato — LGPD

Preencha os campos abaixo para exercer seus direitos ou esclarecer dúvidas sobre privacidade e dados pessoais.

Solicitação enviada com sucesso. Retornaremos em até 15 dias úteis.

Nome completo *

E-mail *

Tipo de Solicitação *

Descrição *

Seção 12

Perguntas Frequentes sobre LGPD

Sim. O Fiscalia foi desenvolvido com a LGPD como requisito fundamental, não como adição posterior. Adotamos medidas técnicas (criptografia TLS/AES, JWT, RBAC) e organizacionais (DPO designado, políticas documentadas, contratos com suboperadores) para garantir conformidade com a Lei nº 13.709/2018.

Mantemos esta página atualizada com informações sobre como implementamos os princípios da LGPD e como os titulares podem exercer seus direitos.
Seu escritório é o Controlador dos dados pessoais dos seus clientes que passam pela plataforma. Isso significa que você define as finalidades do tratamento, é responsável pela base legal adequada e deve ter sua própria Política de Privacidade informando seus clientes sobre o uso da IA no atendimento.

O Fiscalia atua como Operador — processamos os dados dos seus clientes apenas conforme suas instruções, para prestar o serviço contratado, sem utilizá-los para fins próprios.
Sim. O art. 20 da LGPD estabelece o direito dos titulares de solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado de dados. Além disso, boas práticas de transparência e o princípio da transparência (art. 6º, VI, LGPD) exigem que seus clientes saibam que estão interagindo com um sistema de IA.

Recomendamos que seu escritório inclua na sua Política de Privacidade uma cláusula específica informando que o atendimento inicial é automatizado via IA, e que deixe isso claro no início de cada conversa pelo WhatsApp.
Conforme os termos de uso da API do Google para uso empresarial (Google Cloud / Vertex AI), o Google não usa os dados submetidos via API para treinar modelos de IA por padrão. Isso se aplica ao uso da API do Gemini pelo Fiscalia.

O Fiscalia tampouco utiliza conversas dos Clientes dos escritórios para qualquer tipo de treinamento de modelos próprios. Os dados são processados exclusivamente para gerar as respostas no atendimento.
Você pode solicitar a exclusão dos seus dados a qualquer momento pelo e-mail privacidade@fiscalia.ia.br ou usando o formulário nesta página. Após o cancelamento da conta, seus dados ficam disponíveis por 90 dias para eventual reativação ou exportação, após os quais são excluídos definitivamente.

Atenção: alguns dados podem ser retidos por prazo maior em razão de obrigações legais (logs por 6 meses conforme o Marco Civil, dados fiscais por 5 anos).
Em caso de encerramento do Fiscalia, os Usuários seriam notificados com antecedência mínima de 30 dias e teriam a oportunidade de exportar todos os seus dados antes do encerramento definitivo. Após a exportação, os dados seriam eliminados de forma segura de todos os sistemas do Fiscalia e de seus suboperadores, conforme os contratos vigentes.
Sim. O direito à portabilidade (art. 18, V, LGPD) é garantido. Você pode solicitar a exportação dos dados do seu escritório — incluindo histórico de conversas, cadastro de clientes e Base de Conhecimento — pelo e-mail privacidade@fiscalia.ia.br. Os dados são disponibilizados em formato estruturado (JSON ou CSV) em até 15 dias úteis.
O Fiscalia responde a todas as solicitações de exercício de direitos em até 15 dias úteis a partir do recebimento. Em casos de maior complexidade — como portabilidade de grande volume de dados ou análise de tratamentos com múltiplas bases legais — o prazo pode ser prorrogado por igual período (mais 15 dias úteis), com notificação ao titular informando o motivo.

Para agilizar sua solicitação: use o formulário ao final desta página ou envie e-mail para privacidade@fiscalia.ia.br informando seu nome completo, o tipo de solicitação e uma descrição detalhada do seu pedido.
Em caso de incidente de segurança com dados pessoais, o Fiscalia tem um Plano de Resposta a Incidentes que prevê: contenção imediata, avaliação do impacto, notificação à ANPD em até 72 horas (para incidentes de alto risco) e comunicação aos titulares afetados com orientações de proteção.

O Fiscalia notificaria os escritórios Usuários para que estes, por sua vez, possam notificar seus próprios clientes afetados, cumprindo suas obrigações como Controladores.