Acordo de Tratamento de Dados (DPA) — Trib Control
Versão 3 · vigente desde 28 de junho de 2026
Este Acordo de Tratamento de Dados ("DPA") rege o tratamento de dados pessoais realizado pelo Trib Control, na qualidade de operador, em nome e por conta do Cliente, no âmbito da prestação do Serviço. O DPA é anexo e parte integrante dos Termos de Uso (TU) e tem por objeto, em especial, os dados pessoais contidos nos documentos fiscais eletrônicos submetidos à Plataforma. Em caso de conflito entre os documentos quanto à proteção de dados pessoais, prevalecem as disposições deste DPA. Os dados que o Trib Control trata na qualidade de controlador (cadastro, conta, cobrança, navegação e suporte) são regidos pela Política de Privacidade e estão fora do escopo deste DPA.
1. Definições e enquadramento
1.1. Aplicam-se a este DPA as definições da Lei Geral de Proteção de Dados — LGPD (Lei nº 13.709/2018), em especial: Agentes de Tratamento, Controlador, Operador, Suboperador, Titular, Dados Pessoais, Dados Pessoais Sensíveis, Tratamento, Incidente de Segurança, Transferência Internacional, Organismo Internacional e Autoridade Nacional de Proteção de Dados (ANPD). Os termos iniciados em maiúscula não definidos aqui têm o significado que lhes é atribuído nos Termos de Uso.
1.2. Este DPA é acessório aos Termos de Uso e a eles se integra. Prevalece sobre os demais documentos exclusivamente no que se refere à proteção de dados pessoais.
1.3. Definição de papéis. Em relação aos dados pessoais contidos nos documentos fiscais submetidos à Plataforma, o Cliente atua como Controlador — ou como operador, quando se tratar de escritório de contabilidade que repassa dados pessoais de seus próprios clientes — e o Trib Control atua como Operador (ou Suboperador, na hipótese de escritório), tratando os dados exclusivamente em nome e conforme as instruções do Controlador. Os papéis são avaliados pela realidade do tratamento: o Cliente decide quais documentos submeter e quais empresas monitorar; o Trib Control apenas processa o que lhe é submetido.
2. Objeto, natureza, finalidade e duração do tratamento
2.1. Natureza e operações. O tratamento consiste no recebimento dos documentos fiscais eletrônicos, no seu parse (interpretação) em memória — sem armazenamento do arquivo XML original —, na persistência do conteúdo estruturado e dos campos derivados, na validação de conformidade tributária (com referência à Lei Complementar nº 214/2025 e à NT 2025.002) e na geração de relatórios, dashboards e simulações.
2.2. Finalidade. O tratamento destina-se exclusivamente à execução do Serviço contratado (validação fiscal de IBS e CBS, validação da classificação tributária cClassTrib, monitoramento, dashboards e alertas). É vedado ao Operador qualquer tratamento para finalidade própria.
2.3. Duração. O tratamento perdura enquanto vigorar os Termos de Uso, acrescida da janela de exportação e do procedimento de exclusão previstos na Seção 11.
2.4. Tipos de dados tratados. Identificadores fiscais (CPF e CNPJ), nome e razão social, endereço e dados das operações comerciais constantes dos documentos fiscais (valores, itens, NCM, CFOP e classificação tributária cClassTrib).
2.5. Categorias de titulares. Emitentes e destinatários dos documentos fiscais, incluindo destinatários pessoa física identificados por CPF, bem como representantes e sócios cujos dados constem dos documentos.
2.6. Dados pessoais sensíveis. No fluxo previsto do Serviço não há tratamento de dados pessoais sensíveis (art. 11 da LGPD). O conteúdo efetivamente tratado depende do que o Controlador submete; caso o Controlador submeta dados sensíveis, deverá assegurar base legal específica e comunicar o Operador.
2.7. Dados de pagamento. Os dados relativos à cobrança processada pelo Stripe (por exemplo, stripeCustomerId e payment_ref) são tratados pelo Trib Control na qualidade de controlador, regidos pela Política de Privacidade e fora do escopo deste DPA, sendo aqui mencionados apenas para coerência entre os documentos e porque o Stripe figura como suboperador no Anexo II.
3. Instruções do Controlador
3.1. O Operador trata os dados pessoais somente conforme as instruções documentadas do Controlador. Constituem instruções documentadas o uso das funcionalidades da Plataforma, os Termos de Uso e este DPA.
3.2. Caso o Operador entenda que uma instrução do Controlador viola a LGPD ou outra norma de proteção de dados, comunicará o Controlador, sem prejuízo de poder suspender o cumprimento da instrução até o seu esclarecimento.
3.3. Cláusula de ouro — vedação de uso secundário. O Operador não venderá, não compartilhará, não cederá, não utilizará para finalidade diversa, não gerará relatórios para terceiros nem utilizará para treinar modelos ou algoritmos de inteligência artificial os dados pessoais tratados em nome do Controlador, salvo mediante autorização prévia e expressa deste.
4. Obrigações do Operador
4.1. O Operador obriga-se a: (a) tratar os dados pessoais apenas para a finalidade contratada; (b) assegurar a confidencialidade dos dados, inclusive por parte de seus colaboradores, sujeitos a termos de sigilo; (c) implementar e manter as medidas de segurança da Seção 6; (d) manter registro das operações de tratamento que realizar (art. 37 da LGPD), apoiando a prestação de contas do Controlador; (e) auxiliar o Controlador no atendimento às requisições de titulares e às solicitações da ANPD, na forma das Seções 7 e 8; e (f) não tomar decisões sobre os elementos essenciais do tratamento, que competem ao Controlador.
5. Suboperadores
5.1. O Controlador autoriza o Operador a contratar os suboperadores (provedores de infraestrutura) constantes do Anexo II, sob o modelo de lista pré-aprovada.
5.2. O Operador comunicará ao Controlador, com antecedência mínima de 30 (trinta) dias, a inclusão ou substituição de suboperadores, assegurado ao Controlador o direito de oposição fundamentada; persistindo a oposição, o Controlador poderá rescindir a contratação sem ônus, na forma dos Termos de Uso.
5.3. O Operador assegura que cada suboperador esteja vinculado a obrigações de proteção de dados não inferiores às deste DPA e permanece responsável perante o Controlador pelos atos dos suboperadores que contratar.
6. Medidas de segurança
6.1. O Operador adota medidas técnicas e administrativas de segurança aptas a proteger os dados pessoais, observado o art. 47 da LGPD e os guias de segurança da informação da ANPD como patamar de referência, incluindo:
- Criptografia dos dados em trânsito (TLS) e em repouso;
- Controle de acesso por mínimo privilégio e autenticação dos acessos;
- Segregação entre clientes em arquitetura multilocação (multi-tenant), implementada por Row Level Security (RLS) no Supabase;
- Acesso técnico de suporte mediante credencial administrativa (
service_role/admin do Supabase), restrito à equipe autorizada e sujeito a sigilo, declarado expressamente neste DPA; - Armazenamento de senhas exclusivamente sob a forma de hash, vedado o armazenamento em texto claro;
- Backups e plano de recuperação;
- Registros (logs) e monitoramento de segurança;
- Gestão de vulnerabilidades e atualização dos sistemas;
- Treinamento e termos de confidencialidade da equipe.
6.2. O Operador compromete-se a declarar apenas medidas efetivamente implementadas e a revisá-las periodicamente, mantendo-as adequadas aos riscos do tratamento.
7. Direitos dos titulares — cooperação
7.1. Caso receba diretamente requisição de titular relativa aos dados tratados em nome do Controlador, o Operador comunicará o Controlador em até 2 (dois) dias úteis e não agirá isoladamente perante o titular ou a ANPD.
7.2. O Operador fornecerá ao Controlador os meios técnicos para que este atenda às requisições de acesso, correção, eliminação, portabilidade e demais direitos previstos no art. 18 da LGPD.
7.3. O deferimento das requisições de titulares é decisão do Controlador.
8. Incidentes de segurança
8.1. O Operador notificará o Controlador sem demora injustificada após ter ciência de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, no prazo de 24 a 48 horas contado da ciência. O prazo curto justifica-se porque o Controlador dispõe de apenas 3 (três) dias úteis para comunicar a ANPD e os titulares, nos termos do art. 48 da LGPD e da Resolução CD/ANPD nº 15/2024, dependendo da informação do Operador.
8.2. A notificação conterá, no mínimo: a natureza do incidente, as categorias e o volume estimado de titulares e de dados afetados, as medidas adotadas e as medidas recomendadas de mitigação.
8.3. O Operador cooperará com o Controlador na investigação e na mitigação do incidente e não comunicará os titulares diretamente nem representará o Controlador perante a ANPD, salvo instrução em contrário.
9. Transferência internacional de dados
9.1. Os suboperadores listados no Anexo II — Supabase, Vercel, Resend e Stripe — armazenam e processam dados pessoais fora do Brasil, configurando transferência internacional nos termos do art. 33 da LGPD.
9.2. A transferência apoia-se na salvaguarda do art. 33, II, da LGPD, mediante cláusulas contratuais-padrão (CPC) nos moldes da Resolução CD/ANPD nº 19/2024, ou em garantias equivalentes adotadas pelos fornecedores. O Operador compromete-se a manter salvaguarda equivalente caso venha a substituir qualquer fornecedor.
10. Auditoria
10.1. A verificação da conformidade do Operador dá-se preferencialmente mediante relatórios e questionários de segurança e a apresentação de certificações e atestados dos suboperadores (por exemplo, SOC 2), de modo a não comprometer a segurança e a confidencialidade dos demais clientes.
10.2. Auditoria presencial somente será admitida em caso de incidente grave ou por exigência da ANPD, mediante aviso prévio, agendamento e às custas do solicitante.
11. Término — devolução ou exclusão
11.1. Ao término do tratamento, o Operador, conforme escolha do Controlador, devolverá ou eliminará de forma segura os dados pessoais e suas cópias, inclusive em backups, ressalvadas as hipóteses de guarda legal obrigatória (art. 16 da LGPD).
11.2. O Controlador disporá de uma janela de 30 (trinta) dias, a contar do término da contratação, para exportar os dados, findos os quais estes poderão ser eliminados de forma segura.
11.3. O Operador fornecerá atestado de exclusão mediante solicitação do Controlador.
12. Responsabilidade e ressarcimento
12.1. A responsabilidade do Operador por tratamento irregular observa os limites do art. 42, §1º, I, da LGPD, respondendo solidariamente apenas quando descumprir as obrigações de proteção de dados ou deixar de seguir as instruções lícitas do Controlador — sendo este DPA a evidência do cumprimento de tais instruções.
12.2. Perante os titulares e a ANPD, o regime do art. 42 da LGPD não pode ser afastado contratualmente; as disposições desta Seção organizam o direito de regresso entre as partes, sem excluir a responsabilidade legal de cada uma.
12.3. A responsabilidade por violação da legislação de proteção de dados não se sujeita ao limite de responsabilidade previsto nos Termos de Uso (cláusula 11.3 do TU).
12.4. Cada parte indenizará a outra pelos danos a que der causa, assegurado o direito de regresso da parte inocente. O Operador responde pelos atos de seus suboperadores.
13. Disposições gerais
13.1. A vigência deste DPA está atrelada à dos Termos de Uso; as obrigações de sigilo e segurança subsistem após o término do tratamento.
13.2. Este DPA pode ser atualizado mediante nova versão e data de vigência, sem necessidade de reabrir os Termos de Uso, observada a comunicação prévia das mudanças materiais.
13.3. Este DPA é regido pela legislação brasileira. Fica eleito o foro da comarca de Jaú/SP, com renúncia a qualquer outro, por mais privilegiado que seja.
13.4. Integram este DPA o Anexo I — Descrição do tratamento e o Anexo II — Suboperadores.
Anexo I — Descrição do tratamento
Natureza das operações: recebimento dos documentos fiscais eletrônicos; parse (interpretação) do XML em memória; persistência do conteúdo estruturado e de campos derivados; validação de conformidade tributária (IBS, CBS e cClassTrib); geração de relatórios, dashboards e simulações.
Finalidade: execução do Serviço contratado, vedado o uso para finalidade própria.
Tipos de dados pessoais: CPF e CNPJ, nome e razão social, endereço, valores, itens, NCM, CFOP e classificação tributária cClassTrib.
Categorias de titulares: emitentes e destinatários (incluindo destinatários pessoa física identificados por CPF), representantes e sócios cujos dados constem dos documentos.
Sobre os dados persistidos: o arquivo XML original não é armazenado e o CPF do destinatário (pessoa física) não é persistido — ele é utilizado apenas durante a validação em memória e descartado antes da gravação. O conteúdo estruturado restante é persistido, incluindo o campo raw_parsed, em formato JSON, limitado ao necessário para a validação de conformidade e a geração de relatórios.
Duração: enquanto vigorar os Termos de Uso, acrescida da janela de exportação e do procedimento de exclusão (Seção 11).
Anexo II — Suboperadores
Os suboperadores abaixo, idênticos aos subprocessadores informados na Seção 6 da Política de Privacidade, hospedam e processam dados fora do Brasil, com a salvaguarda de transferência internacional descrita na Seção 9.
| Subprocessador | Função | Dados acessados | Localização |
|---|---|---|---|
| Supabase | Banco de dados PostgreSQL e autenticação | Dados de conta, cadastro, navegação e o conteúdo estruturado dos documentos fiscais | Fora do Brasil |
| Vercel | Hospedagem da aplicação | Dados de tráfego e requisições da aplicação | Fora do Brasil |
| Resend | Envio de e-mail transacional e de autenticação | Nome e e-mail do destinatário | Fora do Brasil |
| Stripe | Processamento da cobrança (planos e add-on de créditos de NF-e) | Dados de cobrança e identificadores de pagamento | Fora do Brasil |
Versão 2 · vigente a partir de 2026.
