1. Quem somos
Esta Política descreve como o FechaFácil coleta, usa, armazena e compartilha dados pessoais. Aplica-se a todos os visitantes do site, clientes cadastrados e signatários de propostas comerciais geradas pela plataforma.
Para tratamento de dados de clientes finais (signatários), o cliente FechaFácil é controlador e o FechaFácil atua como operador, nos termos do art. 5º da LGPD (Lei 13.709/2018).
2. Que dados coletamos
2.1. Dados de cadastro do cliente
- Nome completo, e-mail, telefone (opcional), CPF/CNPJ, razão social.
- Senha (armazenada como hash bcrypt — não conseguimos recuperar).
- Logo, cores e dados de identidade visual fornecidos voluntariamente.
2.2. Dados de uso da plataforma
- Endereço IP de acesso, user-agent, sistema operacional.
- Logs de auditoria: ações realizadas, propostas criadas, mudanças de status.
- Métricas de uso agregadas (sem identificar usuário individual).
2.3. Dados de signatários (titulares dos clientes)
Ao assinar uma proposta, coletamos:
- Nome, e-mail, CPF ou CNPJ, cargo informado.
- Assinatura desenhada em canvas (imagem PNG embarcada no PDF).
- IP, user-agent, geolocalização aproximada (apenas se autorizada explicitamente).
- Timestamp da assinatura, hash SHA-256 do documento.
Esses dados compõem a trilha de auditoria exigida pelo art. 4º, II da Lei 14.063/2020 e ficam embarcados no próprio PDF assinado.
2.4. Dados de pagamento
Não armazenamos dados de cartão de crédito. Toda cobrança é processada pelo intermediador Stripe, que mantém certificação PCI-DSS Service Provider Level 1. Recebemos apenas status da cobrança (pago, vencido, cancelado).
3. Bases legais
Tratamos dados pessoais com base em uma das seguintes hipóteses do art. 7º da LGPD:
| Finalidade | Base legal |
|---|---|
| Cadastro e operação da conta | Execução de contrato (art. 7º, V) |
| Cobrança e prevenção a fraude | Execução de contrato e legítimo interesse (art. 7º, IX) |
| Coleta de evidências de assinatura | Cumprimento de obrigação legal — Lei 14.063/2020 (art. 7º, II) |
| Marketing transacional (e-mail de produto) | Legítimo interesse, com opt-out em todo e-mail |
| Cookies de analytics | Consentimento (art. 7º, I) — ver /cookies |
| Atendimento a ordem judicial / autoridade | Cumprimento de obrigação legal (art. 7º, II) |
4. Como usamos os dados
- Operar a plataforma: armazenar propostas, gerar PDFs, enviar e-mails transacionais, processar assinaturas.
- Cobrar mensalidade: comunicar com Stripe o ciclo de cobrança.
- Suporte técnico: ler logs e, com seu consentimento explícito, acessar seu workspace para diagnosticar problemas.
- Melhorar o produto: análises agregadas (nunca identificando indivíduos) sobre uso de funcionalidades.
- Cumprir obrigações legais: responder a requisições de autoridade nos termos da lei.
Não vendemos seus dados. Não compartilhamos seus dados com anunciantes. Não usamos conteúdo de propostas para treinar modelos de IA.
5. Subprocessadores e operadores
Para prestar o serviço, contratamos terceiros que atuam como operadores. Cada um trata apenas o mínimo necessário para sua função:
| Subprocessador | Função | Dados tratados | Localização |
|---|---|---|---|
| Stripe | Cobrança e gestão financeira | Nome, CNPJ, e-mail, dados de pagamento | EUA / UE / Brasil |
| Resend | E-mail transacional | Nome, e-mail, conteúdo das mensagens | EUA / UE |
| Ouzap | Follow-up via WhatsApp | Telefone, nome, link da proposta | Brasil |
| FreeTSA | Carimbo de tempo RFC 3161 | Hash SHA-256 do PDF (sem conteúdo) | Áustria |
| Hospedagem | Servidores e backups | Todos os dados, criptografados | Brasil |
A lista atualizada de subprocessadores está disponível em dpo@fechafacil.app mediante requisição.
6. Retenção e exclusão
- Conta ativa: dados retidos enquanto a conta estiver ativa.
- Após cancelamento: dados retidos por 180 dias em cold storage para permitir reativação. Após esse prazo, exclusão definitiva salvo obrigação legal de retenção.
- Logs de auditoria de assinatura: retidos por 10 anos (prazo prescricional padrão para contratos), conforme art. 205 do Código Civil.
- Logs de acesso ao sistema: retidos por 6 meses, conforme art. 15 do Marco Civil da Internet.
- Dados fiscais: 5 anos, conforme legislação tributária.
Você pode solicitar exclusão antecipada por dpo@fechafacil.app. Atendemos em até 15 dias, ressalvadas as retenções legais obrigatórias.
7. Segurança
- Criptografia em trânsito: TLS 1.3 obrigatório em todas as conexões.
- Criptografia em repouso: AES-256 em backups e banco de dados.
- Senhas: hash bcrypt com fator de custo 12.
- Isolamento de tenant: queries filtradas por
tenant_idem todos os endpoints. - Backups: diários, retidos por 30 dias, com teste de restauração mensal.
- Acesso administrativo: 2FA obrigatório para toda equipe interna, com log auditável.
Em caso de incidente de segurança que afete dados pessoais, comunicaremos a ANPD e os titulares afetados em até 72 horas, conforme art. 48 da LGPD.
8. Seus direitos
Como titular de dados, você tem direito a (art. 18 da LGPD):
- Confirmação da existência de tratamento.
- Acesso aos dados.
- Correção de dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação de dados desnecessários.
- Portabilidade — exportação em CSV/JSON via painel.
- Eliminação de dados tratados com base em consentimento.
- Informação sobre operadores compartilhadores.
- Revogação de consentimento.
Para exercer qualquer desses direitos, escreva para dpo@fechafacil.app com:
- Comprovação de identidade (foto de documento + selfie).
- Descrição clara do direito que deseja exercer.
Resposta em até 15 dias úteis, gratuitamente.
9. Contato e DPO
Encarregado pelo Tratamento de Dados (DPO):
E-mail: dpo@fechafacil.app
Para reclamações não resolvidas, você também pode contatar a
ANPD — Autoridade Nacional de Proteção de Dados.