Política de Privacidade

A Lavrante Tecnologia Fiscal LTDA. ("Lavrante", "nós") é pessoa jurídica de direito privado, inscrita no CNPJ sob o nº 45.123.456/0001-78, com sede na Avenida Paulista, nº 1.000, 7º andar, Bela Vista, São Paulo/SP, CEP 01310-100.

Atuamos como operadora de dados nos termos do art. 5º, VII, da Lei nº 13.709/2018 (LGPD), tratando dados pessoais por conta e ordem dos escritórios contábeis e advocatícios parceiros ("Partners"), que figuram como controladores. Em alguns casos específicos (cadastro do Partner, relacionamento contratual direto), atuamos como controladora.

Encarregado pelo Tratamento de Dados Pessoais (DPO): Felipe Preseti · email: dpo@lavrante.com.br· resposta em até 15 dias úteis conforme art. 19, §2º da LGPD.

Adotamos as definições da LGPD (art. 5º):

• Dado pessoal: informação relacionada a pessoa natural identificada ou identificável.
• Dado pessoal sensível: origem racial/étnica, convicção religiosa, opinião política, dados de saúde, dados genéticos ou biométricos.
• Titular: pessoa natural a quem se referem os dados pessoais.
• Tratamento: toda operação realizada com dados pessoais (coleta, uso, armazenamento, transferência, eliminação).
• Controlador: a quem competem as decisões sobre o tratamento.
• Operador: realiza o tratamento por conta do controlador.
• Encarregado (DPO): pessoa indicada para canal de comunicação titular/ANPD.

Tratamos as seguintes categorias de dados pessoais:

3.1 Dados cadastrais (de você ou da sua equipe)

• Nome completo
• CPF (apenas para autenticação gov.br quando aplicável)
• Email corporativo e telefone profissional
• Cargo/função na empresa
• Empresa de vinculação (CNPJ)
• Fotografia/avatar (opcional · upload pelo próprio titular)

3.2 Dados fiscais e contábeis da empresa

• SPED (Contribuições, Fiscal, ECD, ECF, Reinf)
• Notas fiscais (NFe, NFSe, NFCe, CTe)
• Demonstrações contábeis (balanço, DRE, LALUR)
• DARFs, GIAs, GRUs e demais comprovantes de recolhimento
• Procurações eletrônicas (e-CAC)
• Resultados de submissões à Receita (PER/DCOMP, ações administrativas/judiciais)

3.3 Dados de uso da plataforma

• Endereço IP, navegador, sistema operacional, dispositivo
• Cidade/Estado aproximado (via geolocalização IP)
• Páginas visitadas, ações realizadas, timestamps
• Logs de autenticação e tentativas de acesso
• Conteúdo de mensagens trocadas entre você e o Partner pelo chat interno

3.4 Dados que não tratamos

• Dados sensíveis (origem racial, religião, saúde) · exceto se você os submeter voluntariamente em campo livre
• Dados biométricos (não solicitamos)
• Dados de crianças e adolescentes (plataforma é B2B · uso somente por adultos)

Cada finalidade de tratamento tem uma base legal específica conforme art. 7º (ou art. 11º para dados sensíveis) da LGPD:

• Diretamente de você: ao cadastrar conta, preencher formulários, enviar documentos.
• Do Partner que te convidou: seu Partner contábil pode pré-cadastrar você com email e nome.
• Automaticamente: cookies, logs de uso, geolocalização IP.
• Da Receita Federal: via procuração e-CAC que você autorizou (SPED, DARFs, declarações).
• De fontes públicas: Cartão CNPJ, situação cadastral · base Receita.

Compartilhamos dados estritamente necessários com:

• Partner contratante (controlador): escritório contábil/advocatício que te atende.
• Autoridades fiscais: Receita Federal, SEFAZs, prefeituras · cumprimento legal.
• Subprocessadores tecnológicos: AWS (infraestrutura), Sentry (logs), Stripe (pagamentos). Lista completa em /trust-center/subprocessadores.
• Auditores externos (KPMG, EY) com sua autorização: apenas leitura · escopo documentado.
• Autoridades em caso de ordem judicial: mediante decisão fundamentada conforme art. 11, II, "d" da LGPD.

Nunca vendemos seus dados. Não há compartilhamento com fins comerciais.

Toda a infraestrutura de armazenamento e processamento opera em datacenters localizados no Brasil(AWS São Paulo, região sa-east-1). Não realizamos transferência internacional de dados pessoais.

Subprocessadores específicos (ex: Stripe para pagamentos com cartão internacional) podem realizar processamento fora do Brasil. Para esses casos, mantemos cláusulas contratuais padrão e garantias adequadas conforme art. 33 da LGPD.

• Dados cadastrais: durante a vigência do contrato com o Partner + 5 anos após encerramento.
• Dados fiscais e contábeis: 10 anos a partir do encerramento do exercício (art. 173 do CTN).
• Logs de auditoria: 7 anos (alinhado com SOX para grandes contratos).
• Logs de uso (analítica): 180 dias.
• Cookies analíticos: 13 meses · com opt-out a qualquer momento.
• Backups criptografados: 90 dias adicionais após eliminação primária.

Ao encerrar o contrato, você pode solicitar exportação completa (formato CSV/JSON/PDF) ou eliminação antecipada conforme art. 18 da LGPD em /portal/conta.

Adotamos controles técnicos e administrativos:

• Criptografia AES-256 em repouso · TLS 1.3 em trânsito
• MFA obrigatório (TOTP ou WebAuthn) para todos os usuários
• RBAC granular · princípio do menor privilégio
• Segregação dev/staging/prod · VPCs isoladas
• Monitoramento 24/7 com SIEM · Datadog + CloudWatch
• Backup contínuo (RPO 5 min) · DR cross-region · teste mensal
• Pentest semestral OWASP por terceiros
• Em auditoria ISO 27001 e SOC 2 Type II (certificação prevista Q3/2026)

Detalhes em /trust-center.

Você tem direito a:

• I — Confirmação da existência de tratamento
• II — Acesso aos dados
• III — Correção de dados incompletos, inexatos ou desatualizados
• IV — Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade
• V — Portabilidade dos dados a outro fornecedor, conforme regulamentação ANPD
• VI — Eliminação dos dados tratados com base em consentimento (exceto retenção legal)
• VII — Informação sobre entidades públicas e privadas com as quais houve uso compartilhado
• VIII — Informação sobre a possibilidade de não fornecer consentimento e suas consequências
• IX — Revogação do consentimento

Para exercer qualquer direito: email dpo@lavrante.com.brou pelo portal em /portal/conta. Resposta em até 15 dias úteis.

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicamos:

• Aos titulares afetados: em prazo razoável (regra interna: 24 horas da confirmação).
• À ANPD (Autoridade Nacional de Proteção de Dados): conforme art. 48 LGPD.
• Ao Partner controlador: em até 24 horas.

Histórico público em /trust-center.

A plataforma Lavrante é destinada exclusivamente a uso B2B por adultos representando pessoas jurídicas. Não coletamos dados de menores de 18 anos. Se identificarmos tal coleta, eliminamos imediatamente.

Usamos três categorias de cookies:

• Necessários: autenticação, sessão. Não podem ser desabilitados.
• Funcionais: preferência de tema (dark/light), idioma. Opt-out disponível.
• Analíticos: Plausible (sem coleta de PII · sem fingerprinting). Opt-out: /portal/conta > cookies.

Não usamos cookies de marketing ou publicidade comportamental.

Esta política pode ser atualizada periodicamente. Mudanças materiais são comunicadas com 30 dias de antecedência via email aos usuários ativos e banner na plataforma. Histórico de versões disponível mediante solicitação ao DPO.