Jurídico
Vigência: 24 de junho de 2026
Coletamos o mínimo necessário para operar o serviço: os dados da sua conta, os dados somente leitura de cada CNPJ que você conecta e — apenas se você consentir — métricas de navegação focadas em privacidade no site. Nunca vendemos nem alugamos os seus dados, nunca os compartilhamos para publicidade, nunca rodamos rastreadores de anúncios e nunca movimentamos dinheiro. Nunca usamos os seus dados financeiros para treinar modelos. Ao desconectar ou encerrar a sua conta, apagamos a nossa cópia somente leitura.
O controlador é David Leme Tiba, operando como Composenz (contato: david@composenz.com). Quanto aos dados de cada CNPJ do seu grupo, você é o controlador e a Composenz atua como operadora, nos termos do Adendo de Tratamento de Dados e da LGPD (Lei 13.709/2018).
Dados de conta: nome, e-mail, senha (armazenada apenas como hash forte), configurações de verificação em duas etapas.
Dados financeiros conectados (somente leitura): plano de contas, lançamentos, notas e registros correlatos extraídos dos arquivos OFX, XML de NF-e modelo 55, NFS-e nacional e planilha-modelo de cada CNPJ que você autoriza — apenas os objetos necessários para consolidar e narrar o seu grupo.
Dados de cobrança: tratados pela Asaas. Nunca vemos nem armazenamos os números completos do seu cartão.
Métricas de site: somente depois que você aceitar o banner de consentimento, usamos o PostHog para entender quais páginas ajudam os visitantes. Se você recusar, nada carrega.
E-mail de suporte: as mensagens que você nos envia.
Feedback e reclamações: se você optar por enviar feedback ou uma reclamação pelo widget do produto, guardamos o texto livre que você escreve, um rótulo de tema (por exemplo bug, cobrança, reclamação ou elogio) e um sentimento indicativo (positivo, neutro ou negativo). Dados pessoais óbvios, como e-mails e números de cartão, são removidos antes de a mensagem ser salva; a mensagem em si é então criptografada em repouso e só pode ser lida pelo controlador.
Para prestar o serviço (consolidar o seu grupo e entregar os Resultados — execução de contrato). Para proteger o serviço (prevenção de fraude e abuso — legítimo interesse). Para melhorar o site (métricas — consentimento). Para cumprir obrigações legais (registros fiscais e contábeis via Asaas).
Para tratar o feedback e as reclamações que você optar por enviar: processamos a mensagem que você escreve com base no seu consentimento — você marca uma caixa confirmando que quer enviá-la — e nos apoiamos no legítimo interesse para revisar tema e sentimento e assim melhorar o produto. Você pode retirar o consentimento a qualquer momento.
Criptografia em trânsito (TLS) e em repouso. As credenciais de acesso às suas fontes de dados — o dado mais sensível que guardamos — são adicionalmente protegidas com criptografia de envelope (AES-256-GCM) e uma chave de criptografia de chaves separada, de modo que uma linha de banco de dados furtada não possa ser lida. Os dados de cada cliente são isolados na camada de banco com segurança em nível de linha, de forma que um cliente nunca veja os dados de outro. Aplicamos acesso de privilégio mínimo, oferecemos verificação em duas etapas e verificamos senhas contra listas conhecidas de vazamentos.
Vamos notificar os clientes afetados e, quando exigido, a Autoridade Nacional de Proteção de Dados (ANPD) sem demora indevida após tomarmos ciência de um incidente de segurança que afete os seus dados pessoais.
Quando você conecta os dados de um CNPJ (OFX, NF-e e NFS-e), o nosso acesso, uso, armazenamento e divulgação limitam-se a prestar a Composenz a você, em modo somente leitura. Lemos para consolidar e narrar — nunca para escrever, emitir nota, gerar SPED ou tocar no seu certificado digital.
Nunca usamos os seus dados financeiros para treinar modelos de aprendizado de máquina — nossos ou de terceiros. Para escrever a narrativa, enviamos um conjunto limitado de números já apurados e verificados pelo motor, mais um contexto mínimo, a um provedor de infraestrutura sob termos que proíbem usar os seus dados para treinar os modelos dele; o provedor consta na página de Suboperadores.
Nunca vendemos nem alugamos as suas informações pessoais, nunca as compartilhamos para publicidade comportamental e nunca as usamos para finalidades incompatíveis com a prestação do Serviço.
Desconectar uma fonte (em Ajustes → Conexões) tem efeito imediato: paramos de sincronizar aquele CNPJ e revogamos e apagamos as credenciais de acesso armazenadas para ele. Em seguida, apagamos a cópia somente leitura dos dados daquele CNPJ que guardávamos, em até 30 dias, exceto o mínimo que devemos reter por lei (por exemplo, registros de cobrança) ou em forma anonimizada/agregada que não mais identifique você.
Encerrar a sua conta apaga a sua conta e os dados conectados em até 30 dias do seu pedido, sujeito à mesma exceção de retenção legal. Em todo o processo, a sua escrituração permanece sempre intacta nas suas próprias fontes — nós sempre mantivemos apenas uma cópia somente leitura.
Usamos uma lista curta de provedores de infraestrutura sob contratos de tratamento de dados — hospedagem, banco de dados, pagamentos, e-mail, métricas e geração da narrativa. A lista atual, com finalidades e localizações, está na página de Suboperadores. Avisamos os clientes antes de adicionar ou substituir suboperadores que tratem dados financeiros.
Os dados de conta e os dados financeiros são mantidos enquanto a sua conta estiver ativa e apagados conforme descrito na seção 7 quando você desconecta ou encerra a conta. Feedback e reclamações enviados pelo produto são mantidos por até 365 dias a partir do envio, após o que são apagados. Você pode pedir que apaguemos uma mensagem antes disso, ou exercer sobre ela os direitos da seção 10 — escreva para david@composenz.com e nós a apagamos.
Conforme a LGPD (e, se aplicável a você, o GDPR, o UK GDPR e a CCPA/CPRA), você pode ter direito de confirmar o tratamento, acessar, corrigir, exportar (portabilidade), anonimizar, bloquear ou eliminar os seus dados pessoais, de se opor a um tratamento e de revogar o consentimento a qualquer momento. Escreva para david@composenz.com — respondemos em até 30 dias e não discriminamos você por exercer os seus direitos.
Você também pode peticionar à Autoridade Nacional de Proteção de Dados (ANPD) ou ao órgão de proteção de dados do seu país.
Os nossos provedores de infraestrutura operam principalmente nos Estados Unidos e na Europa. Quando os dados saem da sua jurisdição, as transferências apoiam-se em salvaguardas reconhecidas, como cláusulas contratuais padrão, conforme detalhado no contrato de tratamento de cada provedor e nos termos da LGPD.
A Composenz é uma ferramenta empresarial não dirigida a crianças. Não coletamos, conscientemente, dados pessoais de quem tenha menos de 18 anos. Se você acredita que um menor nos forneceu dados, escreva para david@composenz.com e nós os apagaremos.
Mudanças relevantes nesta política são anunciadas por e-mail e no changelog antes de entrarem em vigor.
Escreva para a gente — uma pessoa responde em até um dia útil. david@composenz.com