// política de privacidade
Política de Privacidade e Proteção de Dados
1. Quem somos
A 3X Tecnologia Ltda., CNPJ 21.025.760/0001-23, é uma empresa de tecnologia fiscal que opera como Operadora de dados (LGPD Art. 5º, VII) em relação aos dados fiscais processados por conta dos Parceiros (Software Houses) e como Controladora (LGPD Art. 5º, VI) em relação aos dados que coleta diretamente de usuários da Plataforma e do site.
2. Dados que coletamos e para quê
2.1 Dados de Parceiros (Controladores B2B)
| Dado | Finalidade | Base legal (LGPD) | Retenção |
|---|---|---|---|
| Nome, e-mail, telefone do representante | Cadastro, autenticação e comunicação | Execução de contrato (Art. 7º, V) | Duração do contrato + 5 anos |
| CNPJ e dados da empresa Parceira | KYC, emissão de notas e faturamento | Obrigação legal (Art. 7º, II) + Contrato | 10 anos (tributário) |
| API Keys e logs de acesso | Segurança, auditoria e rate limiting | Legítimo interesse (Art. 7º, IX) | 30 dias (logs) / duração do contrato (keys) |
| Dados de pagamento (Stripe) | Cobrança de assinatura | Execução de contrato (Art. 7º, V) | Gerenciado pelo Stripe (PCI-DSS) |
2.2 Dados de Emissores (processados como Operadora)
Quando o Parceiro cadastra Emissores (seus clientes) na Plataforma, a engineAPI age como Operadora e processa dados sob instrução do Parceiro (Controlador). Esses dados incluem:
- CNPJ e dados cadastrais do Emissor (razão social, endereço, IE)
- Certificado Digital A1 (armazenado criptografado, acesso apenas para assinatura)
- XMLs de documentos fiscais e DANFE/PDF
- CPF/CNPJ de destinatários e pagadores (presentes nos documentos fiscais)
A engineAPI não usa esses dados para finalidade própria. O Parceiro é responsável por informar seus Emissores sobre este processamento (LGPD Art. 37).
2.3 Dados de visitantes do site (engineapi.com.br)
| Dado | Finalidade | Base legal | Retenção |
|---|---|---|---|
| Cookies essenciais de sessão | Autenticação no dashboard | Legítimo interesse (Art. 7º, IX) | Sessão |
| Endereço IP (logs do servidor) | Segurança e diagnóstico | Legítimo interesse (Art. 7º, IX) | 30 dias |
Não utilizamos Google Analytics, Hotjar, Meta Pixel ou qualquer ferramenta de rastreamento comportamental sem consentimento explícito. Se isso mudar, este documento será atualizado e o banner de cookies será ativado.
3. Compartilhamento de dados
Compartilhamos dados apenas nas seguintes hipóteses:
3.1 Suboperadores (Subprocessors)
| Empresa | Finalidade | Localização | Garantias |
|---|---|---|---|
| Stripe, Inc. | Processamento de pagamentos | EUA | PCI-DSS, SCCs UE, DPA público |
| Sentry (Functional Software) | Monitoramento de erros | EUA | SCCs UE, GDPR compliant |
| Provedor de cloud (AWS / infra) | Hospedagem e armazenamento | Brasil (sa-east-1) | ISO 27001, SOC 2 |
| SEFAZ / Prefeituras | Transmissão de documentos fiscais | Brasil | Obrigação legal |
Não vendemos dados pessoais para terceiros. Jamais.
3.2 Autoridades públicas
Podemos divulgar dados a autoridades fiscais, judiciais ou administrativas quando houver determinação legal (LGPD Art. 7º, II e VI).
4. Transferência internacional de dados
Dados processados pelo Stripe e Sentry podem ser transferidos para fora do Brasil. Essas transferências são amparadas por cláusulas contratuais padrão (SCCs) e mecanismos equivalentes, conforme LGPD Art. 33, II.
5. Segurança
Adotamos as seguintes medidas técnicas e organizacionais:
- Criptografia em trânsito (TLS 1.2+) e em repouso (AES-256) para certificados A1
- Autenticação via JWT com expiração configurável + API Keys com hash SHA-256
- Isolamento de dados por tenant (issuerId) — nenhum Parceiro acessa dados de outro
- Logs de acesso com retenção de 30 dias e alertas de anomalia
- Backup diário com retenção de 30 dias e testes de restore mensais
- Monitoramento 24/7 via Sentry e alertas de infraestrutura
Em caso de incidente de segurança com dados pessoais, notificaremos a ANPD e os titulares afetados no prazo de 72 horas (LGPD Art. 48).
6. Direitos dos titulares (LGPD Art. 18)
Como titular de dados pessoais, você tem os seguintes direitos, que podem ser exercidos pelo e-mail dpo@engineapi.com.br:
| Direito | O que significa | Prazo de resposta |
|---|---|---|
| Confirmação e acesso (Art. 18, I e II) | Saber se tratamos seus dados e obter cópia | 15 dias úteis |
| Correção (Art. 18, III) | Corrigir dados incompletos ou inexatos | 15 dias úteis |
| Anonimização ou exclusão (Art. 18, IV) | Anonimizar ou apagar dados desnecessários | 15 dias úteis |
| Portabilidade (Art. 18, V) | Receber seus dados em formato interoperável | 30 dias úteis |
| Revogação de consentimento (Art. 18, IX) | Revogar consentimento dado anteriormente | Imediato |
| Oposição (Art. 18, § 2º) | Opor-se a tratamento com base em legítimo interesse | 15 dias úteis |
Para exercer direitos relacionados a dados fiscais processados como Operadora (dados de Emissores), o pedido deve ser encaminhado ao Parceiro que cadastrou o Emissor, pois ele é o Controlador desses dados (LGPD Art. 18 e 37).
7. Encarregado de Dados (DPO)
Nosso Encarregado de Proteção de Dados pode ser contatado por:
- E-mail: dpo@engineapi.com.br
- Correio: 3X Tecnologia Ltda. (engineAPI), att. DPO — Jandaia, GO, Brasil
8. Cookies
Utilizamos apenas cookies estritamente necessários para:
- Sessão autenticada — manter o login no dashboard (HttpOnly, Secure, SameSite=Strict)
- Preferências de interface — tema e idioma (localStorage, sem envio ao servidor)
Não utilizamos cookies de terceiros para rastreamento ou publicidade. Se no futuro implementarmos ferramentas de analytics, exibiremos um banner de consentimento antes de ativar qualquer cookie não essencial.
9. Retenção de dados
| Tipo de dado | Prazo | Base |
|---|---|---|
| XMLs de documentos fiscais (NFe, NFSe, CTe, MDFe) | 5 anos (mínimo legal) | IN RFB 1.252/2012 + legislações estaduais |
| DANFEs e PDFs | 5 anos | Mesmo acima |
| Dados cadastrais de Emissores | 10 anos após encerramento | Código Tributário Nacional |
| Logs de API | 30 dias | Legítimo interesse (segurança) |
| Dados de Parceiros (conta) | 5 anos após cancelamento | Prescrição contratual (CC Art. 206) |
| Certificados A1 | Até vencimento + 30 dias | Necessidade operacional |
10. Alterações desta Política
Esta política pode ser atualizada periodicamente. Em caso de alterações relevantes, notificaremos por e-mail e exibiremos aviso no site. A data de "última atualização" sempre refletirá a versão vigente.
11. Contato e reclamações
Para questões sobre privacidade: dpo@engineapi.com.br
Você também pode peticionar à Autoridade Nacional de Proteção de Dados (ANPD) em gov.br/anpd.