📄 Anexo de Tratamento de Dados (DPA – LGPD) — NFeLink

Última atualização: Outubro de 2025

Partes:

• Cliente (Controlador): Pessoa jurídica que contrata e utiliza a plataforma NFeLink.
• Contratada (Operadora): AGILITE SISTEMAS E INFORMÁTICA LTDA, CNPJ 33.216.155/0001-19, com sede Rua José Carbonari, 80, Jd Tereza, Itatiba-SP.

1. Objeto e relação com os Termos de Uso

Este Anexo de Tratamento de Dados (“DPA”) complementa e integra os Termos e Condições de Uso do NFeLink, definindo obrigações das Partes quanto ao tratamento de dados pessoais, em conformidade com a Lei nº 13.709/2018 (LGPD). Em caso de conflito, prevalecerá o que for mais protetivo aos titulares, sem prejuízo dos limites de responsabilidade e demais previsões dos Termos de Uso.

2. Papéis sob a LGPD

• O Cliente atua como Controlador dos dados pessoais inseridos, enviados ou gerados no uso do NFeLink.
• A Contratada atua como Operadora, tratando dados pessoais somente conforme instruções documentadas do Controlador e para execução dos serviços contratados.

3. Definições

Aplicam-se as definições da LGPD, incluindo “dados pessoais”, “dados pessoais sensíveis”, “tratamento”, “controlador”, “operador”, “encarregado” e “incidente de segurança”.

4. Finalidades e natureza do tratamento

A Contratada tratará dados pessoais unicamente para:

• Prover o acesso e as funcionalidades do NFeLink (web e API);
• Emitir e gerenciar documentos fiscais eletrônicos integrados à SEFAZ e Prefeituras;
• Autenticar usuários e gerenciar perfis, permissões e tokens de API;
• Registrar logs de auditoria, segurança e operação;
• Executar suporte técnico, manutenção, monitoramento, prevenção a fraudes e melhorias do serviço;
• Atender obrigações legais e regulatórias aplicáveis.

5. Categorias de dados e titulares

• Dados de identificação e contato (p.ex., nome, e-mail corporativo, telefone profissional);
• Dados fiscais e empresariais (p.ex., CNPJ, IE, endereço, informações para emissão de DF-e);
• Dados de acesso (credenciais, tokens de API, IP, user agent, logs);
• Dados de transação (registros de cobrança, status de pagamento via PIX/cartão – processados por intermediários);
• Titulares: usuários do Cliente, representantes, contatos comerciais e contrapartes de documentos fiscais.

Observação: O NFeLink é destinado a pessoas jurídicas; dados sensíveis não são intencionalmente coletados. Caso o Controlador insira dados sensíveis, o fará sob sua exclusiva responsabilidade, devendo assegurar base legal específica.

6. Instruções documentadas do Controlador

A Contratada tratará dados conforme as instruções documentadas do Controlador (incluindo configurações feitas no painel e integrações de API). Caso alguma instrução viole a LGPD, a Contratada comunicará o Controlador, podendo suspender sua execução até esclarecimento.

7. Medidas de segurança

A Contratada adota medidas técnicas e administrativas adequadas, considerando a natureza dos dados e os riscos do tratamento, incluindo:

• Criptografia em trânsito (TLS) e, quando aplicável, em repouso;
• Controle de acesso baseado em perfil, autenticação e rotação de chaves/tokens;
• Segregação lógica de ambientes e registros (logs) de segurança e auditoria;
• Backups regulares e estratégias de continuidade (RPO e RTO compatíveis com o serviço);
• Monitoramento, detecção de anomalias e procedimentos de resposta a incidentes;
• Políticas de atualização e correção de vulnerabilidades.

8. Suboperadores

O Controlador autoriza a Contratada a engajar suboperadores estritamente necessários (p.ex., provedores de nuvem, e-mail, monitoramento, pagamentos), desde que sujeitos a obrigações contratuais equivalentes de segurança e confidencialidade.

A Contratada manterá lista de suboperadores atualizada em https://nfelink.com.br/dpa e notificará alterações com antecedência razoável (ex.: 10 dias). O Controlador poderá se opor por escrito, indicando justificativa técnica; na ausência de acordo, poderá rescindir o contrato sem penalidade quanto à parcela não executada.

9. Transferências internacionais

Os dados podem ser armazenados e processados fora do Brasil por suboperadores (ex.: provedores de nuvem). A Contratada assegurará que tais transferências observem a LGPD, com garantias adequadas de proteção.

10. Confidencialidade

A Contratada assegura que pessoas autorizadas ao tratamento se comprometeram a manter sigilo e estão sujeitas a obrigações contratuais e políticas de segurança.

11. Direitos dos titulares e cooperação

Mediante solicitação do Controlador, a Contratada prestará suporte razoável para viabilizar o atendimento a requisições de titulares (acesso, correção, portabilidade, eliminação, oposição, revisão de decisões automatizadas, quando aplicável), dentro de prazo legal (recomenda-se resposta em até 15 dias).

12. Incidentes de segurança

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a Contratada comunicará o Controlador sem demora injustificada e preferencialmente em até 72 horas após a ciência, fornecendo informações disponíveis sobre: natureza do incidente, categorias de dados afetados, titulares potencialmente impactados, medidas adotadas e plano de mitigação.

O Controlador é responsável por comunicações à ANPD e aos titulares, quando exigidas, com apoio razoável da Contratada.

13. Retenção e eliminação

Os dados pessoais serão tratados enquanto necessário para execução dos serviços, cumprimento de obrigações legais e exercício regular de direitos. Após o término contratual, a Contratada manterá cópia de conveniência por até 180 dias (conforme Termos de Uso) para exportação. Findo o prazo, os dados serão eliminados, salvo obrigação legal de guarda superior.

14. Auditorias e comprovação

Mediante solicitação escrita e aviso prévio de 15 dias, o Controlador poderá:

• Solicitar relatórios de conformidade, políticas de segurança e evidências razoáveis;
• Realizar avaliação documental ou entrevista remota. Auditorias in loco serão excepcionais, previamente acordadas, durante horário comercial, sem interferir na operação e poderão gerar custos reembolsáveis.

15. Obrigações do Controlador

• Fornecer bases legais adequadas e instruções lícitas;
• Informar e obter consentimentos quando necessários;
• Parametrizar corretamente o sistema para fins fiscais e de acesso;
• Não inserir dados excessivos ou desnecessários, especialmente sensíveis, sem base legal idônea.

16. Responsabilidade e limites

As Partes respondem na medida de sua culpa e de acordo com a LGPD. Aplicam-se os limites e exclusões de responsabilidade previstos nos Termos de Uso, ressalvados os casos de dolo ou culpa grave.

17. Vigência

Este DPA vigora enquanto a Contratada tratar dados pessoais por conta do Controlador no âmbito do NFeLink.

18. Comunicações

Para assuntos de privacidade e proteção de dados, utilize: atendimento@nfelink.com.br.

19. Lei aplicável e foro

Aplica-se a legislação brasileira. Fica eleito o Foro da Comarca de Itatiba/SP, com renúncia de qualquer outro, por mais privilegiado que seja.

AGILITE SISTEMAS E INFORMÁTICA LTDA
CNPJ 33.216.155/0001-19 — https://nfelink.com.br
📧 atendimento@nfelink.com.br