← Voltar ao início

Política de Privacidade

Última atualização: 25 de abril de 2026

1. Quem somos

Voxel Group é a controladora dos dados pessoais tratados nesta plataforma, um ERP de gestão de produção para estúdios criativos brasileiros. Esta política descreve como coletamos, usamos, armazenamos e compartilhamos dados pessoais, em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD — Lei 13.709/2018) e as orientações da Autoridade Nacional de Proteção de Dados (ANPD).

Para questões relacionadas à privacidade ou exercício de direitos, contate o encarregado de dados (DPO) em dpo@voxelgroup.com.br.

2. Dados que tratamos

Coletamos e tratamos as seguintes categorias de dados:

2.1. Operadores do ERP (você, usuário interno)

  • Identificação: nome, e-mail, telefone (opcional).
  • Credenciais: senha (armazenada com hash bcrypt — irrecuperável).
  • Função: papel atribuído (ADMIN, OPERADOR, FINANCEIRO etc.).
  • Logs de uso: ações realizadas no sistema, com timestamp e IP — base legal: legítimo interesse para auditoria.

2.2. Clientes finais do estúdio

  • Identificação: nome, CPF/CNPJ, e-mail, telefone.
  • Endereço: logradouro, cidade, estado, CEP — finalidade fiscal/logística.
  • Histórico de pedidos: compras, valores, anexos de arte.
  • Comunicações: e-mails transacionais (confirmação de pedido, cobrança, NPS).

2.3. Dados fiscais e financeiros

  • Notas fiscais eletrônicas (NF-e) — emissão e arquivamento por 5 anos (CONFAZ SINIEF).
  • Extratos bancários OFX/CSV importados pelo operador para conciliação.
  • Movimentações de crédito do cliente (A/R interno).

3. Para que usamos seus dados (finalidades)

Execução de contrato de prestação de serviços

Base legal: Art. 7º, V — execução de contrato

Dados: Identificação, endereço, histórico de pedidos, dados fiscais

Cumprimento de obrigação legal/regulatória

Base legal: Art. 7º, II — obrigação legal (Receita Federal, SEFAZ)

Dados: Documentos fiscais (NF-e, XML, DANFE), CPF/CNPJ

Comunicação transacional

Base legal: Art. 7º, V — execução de contrato

Dados: E-mail, telefone, status do pedido

Pesquisa de satisfação (NPS)

Base legal: Art. 7º, IX — legítimo interesse, com opt-out

Dados: E-mail, score NPS, comentário voluntário

Auditoria e segurança

Base legal: Art. 7º, IX — legítimo interesse

Dados: Logs de ação (AuditLog), IP, timestamp, identificador do operador

Cobrança e processamento de pagamentos

Base legal: Art. 7º, V — execução de contrato

Dados: CPF/CNPJ, valor, identificador externo do provedor de pagamento

4. Compartilhamento com terceiros (operadores)

Compartilhamos dados pessoais estritamente necessários com os seguintes operadores, todos sob contrato com cláusulas de proteção de dados conforme art. 39 da LGPD:

  • Supabase (banco de dados PostgreSQL) — armazenamento principal. Servidores em São Paulo (Brasil) ou regiões EUA. Dados em repouso são criptografados.
  • Vercel (hospedagem da aplicação web) — servidores em GRU1 (São Paulo). Logs de acesso retidos por 30 dias.
  • Asaas (gateway de pagamento) — recebe CPF/CNPJ, e-mail e valor para emissão de cobrança Pix/boleto. Política própria em asaas.com/politicas/privacidade.
  • Brevo (envio de e-mails transacionais) — recebe e-mail, nome e conteúdo da mensagem. Servidores na União Europeia (GDPR + LGPD).
  • Provedor fiscal (NF-e) — Sandbox/Focus/eNotas conforme configuração. Recebe dados completos do destinatário e itens da nota para autorização SEFAZ.
  • Sentry (monitoramento de erros) — pode receber payloads de erro com identificadores anonimizados. Não recebemos PII nominal nesses payloads (filtros aplicados).
  • Banco Central do Brasil (PTAX) — consultas anônimas de cotação cambial, sem envio de dados pessoais.
  • Mercado Livre (quando integrado pelo operador) — sincronização de anúncios e pedidos. Dados do comprador chegam pela API do ML e são tratados conforme política deles.

Não vendemos, alugamos ou cedemos dados pessoais a terceiros para fins comerciais.

5. Transferência internacional

Alguns dos operadores acima possuem infraestrutura nos Estados Unidos e União Europeia. A transferência ocorre amparada pelo art. 33, II e VIII da LGPD (cláusulas contratuais padrão e consentimento específico do titular ao usar serviços que dependem desses provedores). Sempre que possível, priorizamos regiões de processamento no Brasil.

6. Tempo de retenção

CategoriaPrazo
Documentos fiscais (NF-e, XML, DANFE)5 anos (CONFAZ SINIEF)
Logs de auditoria (AuditLog)5 anos para fins de auditoria contábil
Cadastro de cliente (sem operações em 24 meses)Anonimizado em até 90 dias após inatividade ou solicitação
Comunicações transacionais (e-mails)12 meses no provedor (Brevo); arquivos no banco indefinidamente para histórico
Sessões e magic-links30 dias após o último acesso
Backups operacionais30 dias rolling window

7. Seus direitos como titular (Art. 18 LGPD)

Você pode, a qualquer momento, exercer os seguintes direitos:

  1. Confirmação e acesso — saber se tratamos seus dados e obter cópia.
  2. Correção — atualizar dados incompletos, inexatos ou desatualizados.
  3. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade.
  4. Portabilidade — exportação em formato estruturado (JSON).
  5. Eliminação dos dados tratados com seu consentimento (exceto retenção fiscal).
  6. Informação sobre entidades com quem compartilhamos seus dados.
  7. Revogação do consentimento, quando aplicável.
  8. Oposição ao tratamento baseado em legítimo interesse.

Clientes finais com login no portal podem exercer os direitos 1, 4 e 5 diretamente em /portal/privacy (exportação JSON e solicitação de remoção). Os demais direitos podem ser exercidos escrevendo para dpo@voxelgroup.com.br.

Resposta em até 15 dias corridos, conforme art. 19 da LGPD.

8. Cookies e tecnologias similares

Usamos apenas cookies estritamente necessários:

  • next-auth.session-token — autenticação do operador no ERP.
  • voxel_portal_session — sessão do portal do cliente (HMAC-assinado, 30 dias).
  • Cookies técnicos do Vercel para roteamento de servidores.

Não utilizamos cookies de marketing, rastreamento publicitário ou redes sociais.

9. Segurança da informação

Aplicamos as seguintes medidas técnicas e organizacionais:

  • Criptografia em trânsito (HTTPS/TLS 1.2+) e em repouso (AES-256 no Supabase).
  • Controle de acesso granular por papel (RBAC) com auditoria imutável.
  • Senhas armazenadas com hash bcrypt (custo 12).
  • Rate-limiting em endpoints sensíveis (login, upload, fiscal).
  • Multi-tenancy com escopo obrigatório por organizationId em todas as queries.
  • Monitoramento de erros (Sentry) com filtros para evitar vazamento de PII em logs.

10. Crianças e adolescentes

O serviço é destinado exclusivamente a maiores de 18 anos para uso profissional. Não tratamos intencionalmente dados de crianças ou adolescentes.

11. Alterações nesta política

Podemos atualizar esta política para refletir mudanças legais, operacionais ou de produto. A data de "última atualização" no topo desta página é o indicador oficial. Mudanças materiais serão comunicadas por e-mail aos titulares ativos com pelo menos 30 dias de antecedência.

12. Reclamações à ANPD

Caso entenda que seus direitos não estão sendo respeitados, você pode apresentar reclamação à Autoridade Nacional de Proteção de Dados:

gov.br/anpd · Canal de denúncias: gov.br/anpd/pt-br/canais_atendimento