Política de Privacidade

1. Sobre este documento

Esta Política de Privacidade descreve como o UpDocs — plataforma de entrega de documentos fiscais eletrônicos operada pela Código Up Sistemas, com sede na Rua José Augusto de Abreu, 169, Muriaé/MG, CEP 36.883-031 — coleta, armazena, trata e exclui dados pessoais e empresariais que transitam pelo sistema.

O UpDocs opera no modelo white-label multi-tenant: a Código Up Sistemas disponibiliza a plataforma para Revendedores (escritórios contábeis e empresas de tecnologia contábil), que por sua vez a oferecem aos seus próprios Clientes (empresas contribuintes) e Contadores. Cada ator tem responsabilidades distintas sobre os dados que manipula.

2. Papéis no tratamento de dados (LGPD)

Conforme a Lei Geral de Proteção de Dados (Lei nº 13.709/2018):

Ator	Papel LGPD	Responsabilidade
Código Up Sistemas	Operador	Mantém a infraestrutura, processa dados conforme instruções dos Revendedores e aplica medidas técnicas de segurança.
Revendedor	Controlador	Define quais dados são coletados de seus Clientes e Contadores, configura integrações e é responsável pela base legal do tratamento perante seus usuários finais.
Cliente / Contador	Titular dos dados	Tem direito de acesso, correção, portabilidade e eliminação dos seus dados, a serem exercidos perante o Revendedor com quem tem vínculo contratual.

3. Dados que coletamos

3.1 Dados cadastrais de empresa

CNPJ, razão social, nome fantasia
Regime tributário (Simples Nacional, Lucro Presumido, Lucro Real, MEI)
E-mail e telefone de contato
Data de vencimento da assinatura

3.2 Dados de acesso

Endereço de e-mail utilizado como identificador de login. Senha armazenada exclusivamente em formato hash bcrypt — a senha original jamais é salva ou recuperável pelo sistema.
Tokens JWT de sessão (stateless, sem persistência em banco de dados).
API tokens para integração de ERP — gerados aleatoriamente, sem vínculo com senha.

3.3 Documentos fiscais

Arquivos XML de Nota Fiscal Eletrônica (NF-e / NFC-e), incluindo dados do emitente, destinatário, valores, itens e chave de acesso.
Arquivos SPED (EFD Contribuições, EFD ICMS/IPI, ECF) e Sintegra — gerados e enviados pelo ERP do cliente via integração automatizada.
Guias fiscais: DAS, DARF, GPS, ISS, ICMS-ST e similares.

3.4 Configurações de e-mail (SMTP)

Quando o Revendedor configura notificações por e-mail, armazenamos as credenciais SMTP fornecidas (host, porta, usuário, senha) no banco de dados do tenant. Essas credenciais pertencem ao servidor de e-mail do próprio Revendedor ou Cliente — não a servidores da Código Up.

3.5 Tokens OAuth do Google Drive

Se o Revendedor configurar a integração com o Google Drive, armazenamos o token de acesso e o refresh token OAuth 2.0 da conta Google autorizada. Usados exclusivamente para enviar arquivos à pasta "[Revendedor] Arquivos" no Drive conectado.

3.6 Logs de auditoria

Registramos automaticamente as ações realizadas no sistema: criação e edição de cadastros, uploads, exclusões e alterações de configuração. Cada registro inclui o identificador do usuário, o tipo de ação, data/hora e endereço IP. Esses logs não são compartilhados externamente.

3.7 Fingerprint de dispositivo (agente desktop)

O agente desktop que envia arquivos automaticamente registra um identificador único do dispositivo — gerado localmente e usado apenas para vincular o dispositivo ao cliente correspondente.

4. Para que usamos os dados

Receber, organizar e disponibilizar documentos fiscais para download.
Notificar o contador e o revendedor quando um arquivo é processado (via SMTP).
Arquivar documentos com mais de 6 meses no Google Drive do Revendedor, se configurado.
Registrar trilha de auditoria de todas as ações para fins de conformidade.
Autenticar usuários e controlar acesso por papel (superadmin, revendedor, contador, cliente).
Exibir branding personalizado do Revendedor para seus usuários finais.

Não usamos dados para fins publicitários, perfilamento, venda a terceiros ou qualquer finalidade além das descritas acima.

5. Retenção e exclusão de dados

Atenção: O UpDocs é um portal de entrega de documentos fiscais, não um serviço de armazenamento permanente ou backup. Os arquivos têm prazo de retenção limitado e são excluídos automaticamente após esse período.

Dado	Retenção
Arquivos fiscais (XML, SPED, Sintegra, guias)	6 meses a partir do upload. Após esse prazo são removidos permanentemente do servidor. Se o Google Drive estiver configurado, o arquivo é enviado ao Drive antes da exclusão local.
Dados cadastrais (clientes, contadores, usuários)	Enquanto a conta estiver ativa. Removidos mediante solicitação ou encerramento do contrato.
Logs de auditoria	Mínimo de 1 ano, conforme prazo contratual com o Revendedor.
Tokens OAuth (Google Drive)	Enquanto a integração estiver ativa. Revogados e excluídos ao desconectar.
Credenciais SMTP	Enquanto a configuração de e-mail estiver ativa para o cliente.

6. Compartilhamento com terceiros

Google Drive — quando configurado pelo Revendedor. Os arquivos enviados estão sujeitos à Política de Privacidade do Google. A responsabilidade pela conta é do Revendedor.
Cloudflare — quando o Revendedor usa domínio personalizado. O tráfego passa pela rede Cloudflare para proteção DDoS e SSL. Nenhum conteúdo de arquivo é armazenado pela Cloudflare.
Servidor SMTP do Revendedor — as notificações são enviadas via servidor configurado pelo próprio Revendedor. A Código Up não opera servidores de e-mail para envio de notificações de clientes.

7. Segurança

Senhas armazenadas em bcrypt (custo mínimo 10).
Autenticação via JWT com assinatura HMAC-SHA256.
Tokens de API gerados com entropia criptográfica.
Comunicação via HTTPS (TLS 1.2+) em produção.
Isolamento por tenant — cada Revendedor acessa exclusivamente seus próprios dados.
Logs de auditoria para rastreabilidade completa de ações.

Em caso de incidente de segurança que afete dados pessoais, notificaremos os Revendedores afetados nos prazos previstos na LGPD.

8. Direitos dos titulares (LGPD — Art. 18)

Confirmar a existência de tratamento de seus dados.
Acessar os dados que mantemos sobre eles.
Corrigir dados incompletos, inexatos ou desatualizados.
Solicitar anonimização, bloqueio ou eliminação de dados desnecessários.
Portabilidade dos dados a outro fornecedor.
Informação sobre com quem os dados são compartilhados.
Revogar consentimento a qualquer momento.

Como o UpDocs opera em modelo white-label, os titulares devem exercer seus direitos diretamente com o Revendedor com quem têm vínculo contratual.

9. Cookies e rastreamento

O UpDocs não utiliza cookies de rastreamento, analytics de terceiros ou pixels de publicidade. O estado de sessão é mantido via localStorage do navegador, exclusivamente para autenticação JWT. Nenhum dado de navegação é enviado a terceiros.

10. Alterações nesta política

Esta política pode ser atualizada para refletir mudanças no sistema, na legislação ou nas práticas de tratamento. Mudanças relevantes serão comunicadas aos Revendedores por e-mail com antecedência mínima de 15 dias.

11. Contato e encarregado (DPO)

Dúvidas sobre esta política ou exercício de direitos LGPD:

E-mail: lucas@codigoup.com
Assunto: LGPD — [sua solicitação]
Endereço: Rua José Augusto de Abreu, 169 — Muriaé/MG, CEP 36.883-031

Para solicitações relativas a dados tratados por um Revendedor específico, contate diretamente o Revendedor responsável pelo seu acesso.