Política de Privacidade — Trib Control
Versão 3 · vigente desde 28 de junho de 2026
Esta Política de Privacidade ("Política") descreve como o Trib Control trata dados pessoais e quais são os direitos dos titulares. Ela cobre os dados que tratamos na qualidade de controlador — cadastro, conta, cobrança, navegação e suporte. Os dados pessoais contidos nos documentos fiscais que o cliente submete à Plataforma são tratados na qualidade de operador, em nome do cliente, e regidos pelo Acordo de Tratamento de Dados (DPA), conforme detalhado na Seção 3.
1. Quem somos e a quem esta Política se aplica
1.1. O Trib Control é operado por Bruno Cabral de Vasconcellos, inscrito no CNPJ sob o nº 45.689.382/0001-40, com sede na Rua Narciso Baldini, 200, Jaú/SP, acessível em https://tribcontrol.com.br ("Trib Control", "nós"). Para os fins desta Política, atuamos como controlador dos dados pessoais nela descritos.
1.2. Esta Política aplica-se aos visitantes do nosso site, aos usuários da Plataforma (incluindo os Usuários Autorizados de empresas e escritórios de contabilidade) e aos contatos comerciais que se relacionam conosco.
1.3. Tratamos dados pessoais em conformidade com a Lei Geral de Proteção de Dados — LGPD (Lei nº 13.709/2018) e com o Marco Civil da Internet (Lei nº 12.965/2014).
2. Definições
Para os fins desta Política, e em coerência com os Termos de Uso e o DPA, aplicam-se as seguintes definições:
- Titular: a pessoa natural a quem se referem os dados pessoais.
- Dados Pessoais: informação relacionada a pessoa natural identificada ou identificável.
- Dados Pessoais Sensíveis: dados sobre origem racial ou étnica, convicção religiosa, opinião política, saúde, vida sexual, dado genético ou biométrico, entre outros previstos no art. 11 da LGPD.
- Tratamento: toda operação realizada com dados pessoais, como coleta, uso, acesso, armazenamento, compartilhamento e eliminação.
- Controlador: quem decide sobre as finalidades e os meios do tratamento.
- Operador: quem realiza o tratamento em nome do controlador, conforme suas instruções.
- Encarregado (DPO): pessoa indicada para atuar como canal de comunicação entre o controlador, os titulares e a ANPD.
- ANPD: Autoridade Nacional de Proteção de Dados.
3. Quais dados coletamos
3.1. Dados de cadastro e conta — nome, e-mail, telefone, cargo, empresa, CNPJ e credenciais de login, necessários para criar e manter a conta e autenticar o acesso.
3.2. Dados de cobrança — razão social e dados fiscais da empresa contratante e o meio de pagamento. O processamento do pagamento ocorre no gateway Stripe: os dados completos do cartão ficam armazenados no Stripe, e o Trib Control persiste apenas referências (por exemplo, stripeCustomerId e payment_ref), nunca o número completo do cartão.
3.3. Dados de uso e navegação — registros de acesso à aplicação, endereço IP, dispositivo, páginas e ações realizadas na Plataforma, guardados nos termos do art. 15 do Marco Civil da Internet.
3.4. Dados de suporte — o conteúdo dos tickets, mensagens e comunicações que você nos envia.
3.5. Cookies e tecnologias similares — conforme descrito na Seção 9.
3.6. Dados pessoais contidos nos documentos fiscais (papel de operador) — ao utilizar a Plataforma, o cliente submete documentos fiscais eletrônicos que podem conter dados pessoais de terceiros (por exemplo, CPF/CNPJ, nomes e endereços de emitentes e destinatários). Em relação a esses dados, o Trib Control atua como operador (ou suboperador), tratando-os exclusivamente em nome e conforme as instruções do cliente (controlador), sem finalidade própria, na forma do DPA. Esclarecemos que não armazenamos o arquivo XML original e que o CPF do destinatário não é persistido; o conteúdo estruturado restante é mantido (incluindo o campo raw_parsed) para viabilizar a validação e os relatórios.
4. Para que usamos os dados (finalidades)
4.1. Os dados que tratamos como controlador são usados para: criar e manter a conta; autenticar o acesso; processar a cobrança; prestar suporte; comunicar avisos e mudanças do serviço; garantir a segurança e prevenir fraudes; cumprir obrigações legais e regulatórias; e melhorar o produto por meio de métricas agregadas.
4.2. Vedação de uso secundário. Os dados pessoais contidos nos documentos fiscais dos clientes não são utilizados para finalidades próprias do Trib Control — incluindo, sem limitação, treinar modelos ou algoritmos de inteligência artificial, vender dados ou gerar relatórios para terceiros —, salvo mediante autorização específica e por escrito do controlador.
5. Com que base legal tratamos (LGPD, arts. 7º e 11)
5.1. Cada finalidade está amparada em uma base legal:
- Execução de contrato (art. 7º, V) — criar e manter a conta e prestar o serviço.
- Cumprimento de obrigação legal ou regulatória (art. 7º, II) — guarda dos registros de acesso (Marco Civil) e retenção de natureza fiscal.
- Legítimo interesse (art. 7º, IX) — segurança, prevenção a fraude e melhoria do produto, observados o teste de proporcionalidade e os direitos do titular.
- Consentimento (art. 7º, I) — comunicações de marketing e cookies não essenciais.
5.2. Em regra, não tratamos dados pessoais sensíveis (art. 11) na qualidade de controlador. Caso algum dado sensível venha a ser tratado, ele observará base legal específica e medidas de segurança reforçadas.
6. Compartilhamento de dados
6.1. Compartilhamos dados com provedores de infraestrutura (suboperadores), todos hospedados fora do Brasil, estritamente para a prestação do serviço:
| Subprocessador | Função | Dados acessados | Localização |
|---|---|---|---|
| Supabase | Banco de dados PostgreSQL e autenticação | Dados de conta, cadastro, navegação e o conteúdo estruturado dos documentos fiscais | Fora do Brasil |
| Vercel | Hospedagem da aplicação | Dados de tráfego e requisições da aplicação | Fora do Brasil |
| Resend | Envio de e-mail transacional e de autenticação | Nome e e-mail do destinatário | Fora do Brasil |
| Stripe | Processamento da cobrança (planos e add-on de créditos de NF-e) | Dados de cobrança e identificadores de pagamento | Fora do Brasil |
6.2. No momento não utilizamos ferramentas de analytics ou de rastreamento de terceiros.
6.3. Também podemos compartilhar dados com autoridades, quando exigido por lei ou ordem judicial, limitando-nos ao mínimo necessário, e em hipótese de reorganização societária (fusão, aquisição ou cessão), com manutenção das obrigações desta Política.
6.4. Não vendemos dados pessoais.
7. Transferência internacional de dados
7.1. Os subprocessadores listados na Seção 6 — Supabase, Vercel, Resend e Stripe — armazenam e processam dados pessoais fora do Brasil, configurando transferência internacional nos termos do art. 33 da LGPD.
7.2. A transferência apoia-se na salvaguarda do art. 33, II, da LGPD, mediante cláusulas contratuais-padrão (CPC) nos moldes da Resolução CD/ANPD nº 19/2024, ou em garantias equivalentes adotadas pelos fornecedores. Comprometemo-nos a manter salvaguarda equivalente caso venhamos a substituir qualquer fornecedor.
8. Por quanto tempo guardamos (retenção)
8.1. Dados de conta — mantidos enquanto durar a relação contratual e, após o seu término, pelo prazo prescricional aplicável (art. 16, I, da LGPD).
8.2. Registros de acesso — guardados por 6 meses, nos termos do art. 15 do Marco Civil da Internet.
8.3. Dados e documentos fiscais — a obrigação legal de guarda (em regra cerca de 5 anos, conforme os arts. 173 e 174 do Código Tributário Nacional) recai, em regra, sobre o cliente (controlador). O Trib Control retém esses dados apenas pelo prazo do contrato e do DPA e procede à sua eliminação após esse período.
8.4. Encerrada a contratação, asseguramos uma janela de 30 dias para exportação dos dados, findos os quais estes poderão ser eliminados de forma segura, ressalvadas as hipóteses de guarda legal obrigatória (art. 16 da LGPD).
9. Cookies e tecnologias de rastreamento
9.1. Atualmente utilizamos apenas cookies essenciais de sessão, necessários para a autenticação e o funcionamento da Plataforma (Supabase Auth). Não empregamos cookies de analytics ou de rastreamento de terceiros.
9.2. Caso venhamos a adotar tecnologias não essenciais, atualizaremos esta seção, a tabela de subprocessadores e o canal de consentimento aplicável.
10. Segurança da informação
10.1. Adotamos medidas técnicas e administrativas para proteger os dados pessoais, incluindo criptografia em trânsito (TLS) e em repouso, controle de acesso por mínimo privilégio, segregação entre clientes (multi-tenant, por Row Level Security), backups e monitoramento.
10.2. Essas medidas observam o art. 47 da LGPD e os guias de segurança da informação da ANPD como patamar de referência. O detalhamento técnico aplicável ao tratamento na qualidade de operador consta do DPA.
11. Direitos do titular (LGPD, art. 18)
11.1. O titular pode, a qualquer tempo, requerer: a confirmação da existência de tratamento; o acesso aos dados; a correção de dados incompletos, inexatos ou desatualizados; a anonimização, o bloqueio ou a eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei; a portabilidade; a informação sobre o compartilhamento; a informação sobre a possibilidade de não consentir e suas consequências; a revogação do consentimento; e a revisão de decisões tomadas unicamente com base em tratamento automatizado (art. 20).
11.2. As solicitações podem ser dirigidas ao canal indicado na Seção 12.
11.3. Dados fiscais de terceiros. Quando a solicitação envolver dados pessoais contidos nos documentos fiscais (em que atuamos como operador), o titular deve direcioná-la ao controlador (o cliente que submeteu os dados). Caso recebamos diretamente uma solicitação dessa natureza, comunicamos o controlador e cooperamos com ele, sem agir isoladamente, na forma do DPA.
12. Encarregado (DPO) e canal de contato
12.1. O Encarregado pelo tratamento de dados pessoais (DPO) é Bruno Cabral de Vasconcellos.
12.2. As solicitações de titulares e demais comunicações relativas a esta Política podem ser enviadas para contato@tribcontrol.com.br.
12.3. O titular tem o direito de apresentar reclamação à ANPD, especialmente quando a solicitação ao controlador não for solucionada.
13. Alterações desta Política
13.1. Podemos atualizar esta Política a qualquer tempo para refletir mudanças no serviço, na infraestrutura ou na legislação aplicável.
13.2. As alterações materiais serão comunicadas pelos canais cadastrados, com indicação da nova versão e da respectiva data de vigência.
Versão 2 · vigente a partir de 2026.
