Política de Privacidade
Esta Política descreve como a GestaoPay coleta, utiliza, armazena, compartilha e protege seus dados pessoais, em conformidade com a Lei nº 13.709/2018 — Lei Geral de Proteção de Dados Pessoais (LGPD).
1. Quem somos
A GestaoPay é um sistema de gestão financeira e folha de pagamento para pequenas e médias empresas brasileiras. Para fins da LGPD, somos o Controlador dos dados pessoais tratados em nossa plataforma.
Nome empresarial: GestaoPay
Site: https://gestaopay.online
Encarregado pelo Tratamento de Dados (DPO): [email protected]
2. Quais dados coletamos
Coletamos apenas os dados estritamente necessários para prestar o serviço. Dividimos em três categorias:
2.1 Dados cadastrais (você nos fornece ao criar a conta)
- Nome completo, email, senha (armazenada com hash bcrypt — nunca em texto claro)
- CNPJ/CPF e razão social da empresa (quando aplicável)
- Telefone de contato
2.2 Dados de uso da plataforma (gerados pelo seu uso)
- Contas a pagar cadastradas, fornecedores, extratos bancários importados
- Dados de folha de pagamento: colaboradores, salários, dependentes, CPF, PIS/PASEP, data de nascimento, cargo, CBO, eventos do eSocial
- Registros financeiros, relatórios gerados e arquivos exportados
2.3 Dados técnicos (coletados automaticamente)
- Endereço IP, tipo de navegador e dispositivo, sistema operacional
- Data, hora e rotas acessadas na plataforma (logs de auditoria)
- Cookies essenciais (sessão) — detalhes no item 8
2.4 Dados de pagamento (processados por gateways parceiros)
- Nome do titular, CPF/CNPJ, endereço de cobrança
- Para pagamento por cartão: dados do cartão são coletados e processados diretamente pela Stripe, em ambiente certificado PCI-DSS Nível 1. Nós não armazenamos número completo do cartão, CVV ou senha — recebemos apenas um identificador (token) e os últimos 4 dígitos para fins de exibição
- Para pagamento por boleto ou PIX: dados são processados pelo Asaas, instituição de pagamento regulada pelo Banco Central do Brasil
- Histórico de transações (valores, datas, status) para controle de assinatura e emissão de recibos fiscais
3. Base legal (Art. 7º da LGPD)
Tratamos seus dados com amparo nas seguintes hipóteses legais:
| Finalidade | Base legal |
|---|---|
| Execução do contrato de prestação do serviço | Art. 7º, V — execução de contrato |
| Cumprimento de obrigações legais e regulatórias (ex.: eSocial, FGTS, Receita Federal) | Art. 7º, II — obrigação legal |
| Envio de comunicações essenciais sobre a conta | Art. 7º, V — execução de contrato |
| Envio de comunicações de marketing opcional | Art. 7º, I — consentimento (revogável) |
| Análise antifraude e segurança da plataforma | Art. 7º, IX — legítimo interesse |
| Defesa em processos judiciais ou administrativos | Art. 7º, VI — exercício regular de direitos |
4. Para quê usamos seus dados
- Operar a plataforma: autenticação, processamento de contas a pagar, geração de folha, cálculo de INSS/IRRF, emissão de relatórios e arquivos do eSocial
- Suporte ao cliente: responder dúvidas, solucionar problemas, atender solicitações
- Melhorar o produto: análises agregadas e anônimas de uso (métricas de performance)
- Segurança: detectar fraudes, invasões, abuso de uso
- Comunicações transacionais: confirmações, alertas de vencimento, notificações críticas
- Cumprimento legal: geração de XMLs do eSocial, declarações fiscais, atendimento a ordens judiciais
5. Compartilhamento de dados
Nunca vendemos seus dados. Compartilhamos apenas com:
- Órgãos governamentais quando exigido por lei (Receita Federal, Caixa Econômica, INSS, eSocial via gov.br, Ministério do Trabalho)
- Operadores (Art. 5º, VII da LGPD) — infraestrutura e serviços contratados exclusivamente para operar a plataforma, sujeitos a contrato de confidencialidade e padrões equivalentes de segurança:
- Hostinger — hospedagem da aplicação (data center no Brasil)
- Cloudflare, Inc. — entrega de conteúdo (CDN) e proteção contra ataques DDoS/WAF
- Stripe Payments Europe, Ltd. — processamento de pagamentos por cartão de crédito. Ambiente certificado PCI-DSS Nível 1. Finalidade: execução do contrato de assinatura. Política de Privacidade da Stripe
- Asaas Gestão Financeira S.A. — processamento de pagamentos por PIX, boleto e cartão. Instituição de pagamento regulada pelo Banco Central do Brasil (BCB). Finalidade: execução do contrato de assinatura. Política de Privacidade do Asaas
- Provedor de email transacional — envio de notificações de sistema (confirmações, recuperação de senha, alertas)
- Autoridades mediante ordem judicial ou requisição formal fundamentada
5.1 Transferência internacional de dados (Art. 33 da LGPD)
Parte dos operadores processa dados fora do Brasil. Informamos expressamente:
| Operador | País | Dados transferidos | Salvaguarda |
|---|---|---|---|
| Stripe | Irlanda (UE) e EUA | Nome, email, CPF/CNPJ, endereço de cobrança, tokens de cartão | Cláusulas contratuais padrão + certificação PCI-DSS + GDPR (país com nível de proteção adequado conforme Art. 33, I) |
| Cloudflare | EUA (com cache regional no Brasil) | Endereço IP, cabeçalhos HTTP, logs de acesso | Cláusulas contratuais padrão + certificações ISO 27001, SOC 2 Tipo II (Art. 33, IX) |
As demais operações (Hostinger, Asaas, backup de banco) ocorrem integralmente em território nacional.
6. Por quanto tempo guardamos seus dados
| Tipo de dado | Prazo de retenção |
|---|---|
| Conta ativa | Enquanto durar o contrato |
| Após cancelamento da conta | 30 dias para recuperação; após isso, anonimização ou exclusão |
| Dados fiscais e trabalhistas (folha, eSocial, FGTS) | Até 10 anos, conforme CLT Art. 7º XXIX e legislação previdenciária |
| Logs de segurança e auditoria | 6 meses (Marco Civil da Internet, Art. 15) |
| Backups criptografados | 30 dias (rotativos) |
7. Seus direitos como titular (Art. 18 da LGPD)
Você pode, a qualquer momento e sem custo, solicitar:
- Confirmação da existência de tratamento de dados seus
- Acesso aos dados que tratamos
- Correção de dados incompletos, inexatos ou desatualizados
- Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos
- Portabilidade dos dados a outro fornecedor (em formato estruturado)
- Eliminação dos dados tratados com base em consentimento
- Informação sobre com quem compartilhamos seus dados
- Informação sobre a possibilidade de não fornecer consentimento e suas consequências
- Revogação do consentimento, a qualquer tempo, mediante manifestação expressa
- Oposição a tratamento realizado com base em hipótese de dispensa de consentimento, em caso de descumprimento da LGPD
Para exercer qualquer um destes direitos, envie um email para [email protected] informando seu nome completo e o direito que deseja exercer. Responderemos em até 15 dias (Art. 19 §1º).
8. Cookies e tecnologias similares
Utilizamos três categorias de cookies:
| Categoria | Finalidade | Base legal |
|---|---|---|
| Essenciais | Manter sua sessão autenticada, proteção CSRF (Sanctum), persistência de preferência de tema. Não podem ser desativados — sem eles, o sistema não funciona. | Art. 7º, V |
| Analíticos | Medir uso agregado e anônimo do site (páginas visitadas, tempo de sessão) para melhorias. Só ativados com consentimento. | Art. 7º, I — consentimento |
| Marketing | Atualmente não utilizamos cookies de marketing de terceiros. Se viermos a usar, pediremos consentimento separado. | Art. 7º, I — consentimento |
Você pode gerenciar suas preferências a qualquer momento através do banner exibido na página inicial ou pelo link Gerenciar cookies.
9. Segurança dos dados
Adotamos medidas técnicas e administrativas para proteger seus dados:
- Criptografia em trânsito: TLS 1.3 em todas as conexões (HTTPS obrigatório)
- Criptografia em repouso: banco de dados com volumes criptografados; senhas armazenadas com bcrypt (custo 12)
- Controle de acesso: autenticação por token, sessões com expiração, CORS restrito
- Isolamento de rede: MySQL e Redis sem exposição pública, acessíveis apenas por rede interna
- Backups: diários, criptografados, com retenção de 30 dias
- Auditoria: logs imutáveis de acesso e alterações sensíveis
- Política de senhas: mínimo 8 caracteres; recomendamos gerenciador de senhas e 2FA
10. Incidentes de segurança
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos à ANPD (Autoridade Nacional de Proteção de Dados) e aos titulares afetados em prazo razoável, conforme Art. 48 da LGPD, descrevendo:
- A natureza dos dados pessoais afetados
- Os titulares envolvidos
- As medidas técnicas e de segurança utilizadas
- Os riscos relacionados ao incidente
- As medidas tomadas para reverter ou mitigar os efeitos
11. Menores de idade
A GestaoPay não é destinada a menores de 18 anos. Não coletamos conscientemente dados de menores. Caso identifiquemos coleta indevida, os dados serão excluídos imediatamente.
12. Alterações nesta Política
Podemos atualizar esta Política para refletir mudanças legais ou no serviço. Alterações relevantes serão comunicadas por email e por aviso no sistema com pelo menos 30 dias de antecedência. A data da última atualização aparece no topo deste documento.
13. Contato
Encarregado pelo Tratamento de Dados (DPO)
- Email:
- [email protected]
- Assunto:
- Direitos do Titular (LGPD)
- Prazo de resposta:
- Até 15 dias (Art. 19 §1º, LGPD)
Reclamações à ANPD
Se entender que seus direitos foram violados, você pode apresentar reclamação à Autoridade Nacional de Proteção de Dados: