Política de Privacidade Empresarial

Última atualização: 12 de fevereiro de 2026 — Versão 1.0

1. Controlador e operador

Nos termos da Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD), as partes envolvidas nos projetos de desenvolvimento de software B2B se qualificam conforme segue:

Controlador dos dados do projeto: O Cliente (Contratante), que define as finalidades e os meios de tratamento dos dados pessoais de seus próprios clientes e usuários que venham a integrar o escopo do software
Operador dos dados do projeto: SETUP AUTOMATIZADO LTDA (CNPJ: 54.246.473/0001-00), que trata os dados exclusivamente conforme as instruções do Controlador e para a finalidade de execução do contrato de desenvolvimento

Para dados coletados diretamente pela plataforma FinanciaDev (cadastro, autenticação, dados do contratante), a SETUP AUTOMATIZADO LTDA atua como Controladora, conforme descrito na Política de Privacidade geral da plataforma.

2. Dados tratados

Durante a execução de projetos B2B, a Contratada poderá ter acesso e tratar os seguintes tipos de dados:

Dados técnicos do projeto:

Código-fonte e código compilado
Documentação técnica, diagramas e especificações
Briefings, wireframes e protótipos
Configurações de ambiente e credenciais de acesso a serviços do projeto
Registros de deploy e logs de aplicação

Dados de comunicação:

Mensagens trocadas na plataforma (portal do cliente)
E-mails de comunicação sobre o projeto
Comentários em milestones e entregas
Registros de aprovação e feedback

Dados pessoais do contratante:

Nome completo ou razão social
CPF ou CNPJ
E-mail de contato
Dados de pagamento (processados por terceiros — Stripe)

Dados pessoais de terceiros (quando aplicável): Se o escopo do software envolver tratamento de dados pessoais de clientes ou usuários do Contratante, estes serão tratados exclusivamente conforme as instruções do Controlador e as finalidades previstas no contrato.

3. Finalidade

Os dados são tratados exclusivamente para as seguintes finalidades:

Execução do contrato: Desenvolvimento, teste, implantação e manutenção do software conforme a proposta comercial aceita
Comunicação sobre o projeto: Troca de informações necessárias ao andamento do trabalho, aprovações de milestones e feedback
Obrigações legais e fiscais: Emissão de notas fiscais, cumprimento de obrigações tributárias e contábeis
Segurança e auditoria: Registro de acessos, logs de atividade e controle de versão para fins de rastreabilidade e segurança

Os dados do projeto nunca serão utilizados para finalidades estranhas ao contrato, marketing, perfilamento, venda a terceiros ou qualquer outro propósito não expressamente previsto.

4. Bases legais

O tratamento de dados no contexto de projetos B2B fundamenta-se nas seguintes bases legais previstas na LGPD:

Execução de contrato (Art. 7º, V): Base legal principal — os dados são necessários para a execução do contrato de desenvolvimento de software firmado entre as partes
Cumprimento de obrigação legal (Art. 7º, II): Para obrigações fiscais, tributárias e regulatórias (emissão de NFS-e, retenção de impostos)
Legítimo interesse (Art. 7º, IX): Para segurança da informação, prevenção de fraudes e auditoria de acesso

No caso de dados pessoais de terceiros (clientes do Contratante), a base legal é determinada pelo Controlador (Contratante), sendo a Contratada responsável apenas pelo tratamento conforme as instruções recebidas.

5. Medidas de segurança

A Contratada implementa as seguintes medidas técnicas e administrativas para proteção dos dados:

Medidas técnicas:

Criptografia AES-256: Dados sensíveis em repouso (credenciais, chaves de acesso, certificados digitais)
mTLS: Comunicação criptografada mútua para integrações com serviços financeiros (Sicredi PIX, NFS-e)
RBAC: Controle de acesso baseado em função — cada membro da equipe acessa apenas os projetos a que está alocado
Repositórios privados: Todo código-fonte é armazenado em repositórios privados no GitHub com acesso controlado por colaborador
Backup criptografado: Backups diários com criptografia em trânsito e em repouso
Monitoramento de acessos: Registro de todos os acessos a repositórios e ambientes de desenvolvimento

Medidas administrativas:

Política de senhas fortes e autenticação multifator (2FA) obrigatória para toda a equipe
Acordo de confidencialidade (NDA) com todos os membros da equipe que acessam dados de projetos
Segregação de ambientes (desenvolvimento, homologação, produção)
Revisão periódica de permissões de acesso

6. Subprocessadores

A Contratada utiliza os seguintes serviços de terceiros (subprocessadores) que podem ter acesso a dados do projeto:

GitHub (Microsoft): Hospedagem de repositórios privados de código-fonte — servidores nos EUA, conformidade com SCCs (Standard Contractual Clauses)
Provedor de hospedagem (infraestrutura): Servidores para deploy de ambientes de homologação e produção — localização conforme projeto
CI/CD (GitHub Actions): Pipelines de integração e deploy contínuo — execução em ambiente efêmero e seguro
Stripe: Processamento de pagamentos — certificado PCI DSS Nível 1, sem armazenamento de dados de cartão pela Contratada

A Contratada se compromete a: (i) selecionar subprocessadores que ofereçam garantias adequadas de proteção de dados; (ii) notificar o Contratante sobre a inclusão de novos subprocessadores; (iii) manter contratos que vinculem os subprocessadores às mesmas obrigações de proteção de dados.

7. Retenção

Os dados do projeto são retidos conforme os seguintes critérios:

Durante o contrato: Todos os dados são mantidos integralmente enquanto o contrato estiver vigente
Após a entrega final: Backup de segurança mantido por 12 (doze) meses após a entrega final do projeto, para fins de garantia e suporte
Dados fiscais e contábeis: Retidos por 5 (cinco) anos conforme legislação tributária brasileira
Após o período de retenção: Os dados são eliminados de forma segura, incluindo backups, salvo obrigação legal de retenção

O Contratante pode solicitar a exclusão antecipada dos dados do projeto a qualquer momento após a entrega final, ressalvados os dados necessários ao cumprimento de obrigações legais.

8. Transferência internacional

Alguns dados do projeto podem ser armazenados ou processados em servidores fora do Brasil, especificamente:

GitHub: Repositórios de código-fonte hospedados em servidores nos Estados Unidos
Provedores de hospedagem: Ambientes de produção podem estar em datacenters internacionais, conforme necessidade do projeto

As transferências internacionais são realizadas com base nas seguintes salvaguardas, conforme Art. 33 da LGPD:

Cláusulas contratuais padrão (SCCs): Contratos com subprocessadores incluem cláusulas que asseguram nível de proteção equivalente ao da LGPD
Conformidade do destinatário: Seleção de subprocessadores que operem em jurisdições com legislação de proteção de dados adequada ou que demonstrem conformidade equivalente

9. Incidentes

Em caso de incidente de segurança que envolva dados pessoais tratados no âmbito do projeto, a Contratada se compromete a:

Notificar o Contratante em até 72 (setenta e duas) horas após a ciência do incidente, conforme Art. 48 da LGPD
Comunicar as seguintes informações: natureza dos dados afetados, titulares envolvidos, medidas técnicas de mitigação adotadas, riscos identificados e recomendações ao Contratante
Colaborar com o Contratante na comunicação à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados, quando aplicável
Adotar medidas corretivas para prevenir a recorrência do incidente

A notificação será realizada via e-mail para o responsável designado pelo Contratante e registrada na plataforma.

10. Direitos do cliente

O Contratante possui os seguintes direitos em relação aos dados de seu projeto:

Acesso: Solicitar relatório completo dos dados tratados no âmbito do projeto a qualquer momento
Portabilidade: Solicitar a entrega de todo o código-fonte, documentação e dados do projeto em formato estruturado e de uso corrente (repositório Git, arquivos exportáveis)
Exclusão: Solicitar a eliminação de todos os dados do projeto após a entrega final e encerramento do período de garantia, ressalvados dados necessários a obrigações legais
Retificação: Solicitar a correção de dados pessoais incompletos, inexatos ou desatualizados
Informação: Ser informado sobre os subprocessadores utilizados e as medidas de segurança adotadas
Oposição: Opor-se ao tratamento de dados que exceda as finalidades previstas no contrato

As solicitações devem ser realizadas por meio do portal do cliente ou via e-mail para privacidade@financiadev.com.br. O prazo de resposta é de até 15 (quinze) dias úteis.

11. DPO (Encarregado de Proteção de Dados)

O Encarregado de Proteção de Dados (DPO) da SETUP AUTOMATIZADO LTDA é responsável por receber comunicações dos titulares, da ANPD e por orientar a empresa sobre práticas de proteção de dados:

Guilherme Jansen

Encarregado de Proteção de Dados (DPO)

E-mail: privacidade@financiadev.com.br

SETUP AUTOMATIZADO LTDA — CNPJ: 54.246.473/0001-00

Rio de Janeiro — RJ, Brasil

Para questões gerais sobre a plataforma ou o contrato, utilize o e-mail contato@financiadev.com.br. Para assuntos específicos de proteção de dados e privacidade, utilize o canal do DPO acima.

Consulte também os Termos de Serviço Empresariais para informações sobre confidencialidade, propriedade intelectual e demais condições contratuais.