Política de Privacidade — Notavia (LGPD)
Versão 2026-06-v1, vigente desde 13/06/2026.
1. Quem somos
PCORP DESENVOLVIMENTO DE SISTEMAS LTDA, CNPJ 43.636.483/0001-28 ("Notavia"), operadora da plataforma de emissão de NF-e Notavia. Encarregado (DPO): Adriana A. da Silva Melo, contato privacidade@notavia.com.br.
2. Papéis sob a LGPD
- Controladora: dados de cadastro e uso dos usuários da Plataforma (conta, autenticação, cobrança, logs, comunicação).
- Operadora: dados pessoais contidos nos documentos fiscais e cadastros do Cliente (ex.: destinatários pessoa física — nome, CPF, endereço). Nesses dados, o Cliente é o controlador e o tratamento segue suas instruções e o DPA.
3. Dados tratados e finalidades
| Dados | Finalidade | Base legal (art. 7º LGPD) |
|---|---|---|
| Nome, e-mail, identificador do provedor de login (Google/Microsoft) | Conta, autenticação, 2FA | Execução de contrato (V) |
| Códigos de verificação, segredo TOTP | Segurança da conta | Execução de contrato (V); legítimo interesse (IX) |
| Dados de cobrança (via Stripe; não armazenamos cartão) | Faturamento | Execução de contrato (V); obrigação legal (II) |
| Certificado A1 e senha (cifrados) | Assinatura e transmissão de NF-e | Execução de contrato (V) |
| Documentos fiscais (XML), cadastros de clientes/produtos do Cliente | Prestação do serviço (como operadora) | Instrução do controlador; obrigação legal (II) p/ guarda do XML |
| Logs de auditoria (login, ações administrativas, emissões) | Segurança, rastreabilidade, LGPD | Legítimo interesse (IX); obrigação legal (II) |
| E-mail para lista de espera/comunicações | Marketing próprio | Consentimento (I) — revogável |
Não tratamos dados sensíveis (art. 5º, II) por finalidade própria; não realizamos decisões automatizadas com efeito jurídico sobre titulares; não vendemos dados.
4. Compartilhamento
Suboperadores e destinatários: provedor de nuvem/banco (Neon (PostgreSQL gerenciado)), Stripe (pagamentos), provedor de e-mail transacional (Brevo), SEFAZ e autoridades fiscais (transmissão dos documentos — obrigação legal), autoridades mediante ordem válida. Lista de suboperadores mantida atualizada em https://app.notavia.com.br/juridico/suboperadores; transferências internacionais seguem o art. 33 da LGPD (cláusulas contratuais).
5. Segurança
Criptografia em trânsito (TLS) e em repouso para segredos (certificados e senhas cifrados via
ASP.NET Core Data Protection; produção com cofre de chaves gerenciado), isolamento lógico por
tenant (filtros globais por TenantId), autenticação sem senha local com 2FA, controle de acesso
por papéis (Admin/Operador), trilha de auditoria, princípio do menor privilégio.
6. Retenção
- XML autorizado e eventos: 5 anos (obrigação legal — art. 16 da LC 87/96 e legislação correlata).
- Dados de conta: enquanto a conta existir; após encerramento, 90 dias para exportação e então eliminação ou anonimização, salvo guarda legal.
- Logs de auditoria: 2 anos.
- Lista de espera/marketing: até revogação do consentimento.
7. Direitos do titular (art. 18)
Confirmação de tratamento, acesso, correção, anonimização/eliminação, portabilidade, informação sobre compartilhamento, revogação de consentimento. Canal: privacidade@notavia.com.br, resposta em até 15 dias. Quando a Notavia atuar como operadora, encaminharemos a solicitação ao Cliente controlador.
8. Cookies
A Plataforma usa apenas cookies essenciais (sessão/autenticação e antifraude). Não utilizamos cookies de publicidade nem analytics de terceiros.
9. Alterações e contato
Alterações comunicadas com 30 dias de antecedência. Dúvidas: privacidade@notavia.com.br. Autoridade Nacional de Proteção de Dados (ANPD): gov.br/anpd.