DRAP — Systems & Automation

Documento legal

Política de Privacidade

Última atualização: Maio de 2026

Esta Política de Privacidade (“Política”) descreve como o DRAP, operado por DRAP Soluções em Tecnologia, CNPJ 64.759.314/0001-55, com sede em R. Baquite, sn - Parque Amazonia, Goiânia - GO, 74835-330 (“DRAP”, “nós”), trata os dados pessoais dos Usuários da Plataforma, em conformidade com a Lei Geral de Proteção de Dados Pessoais — Lei nº 13.709/2018 (“LGPD”), o Marco Civil da Internet (Lei nº 12.965/2014) e demais normas aplicáveis.

Esta Política integra e deve ser lida em conjunto com os Termos de Uso da Plataforma.

Resumo executivo. Coletamos apenas o necessário para operar a Plataforma (autenticação, lançamentos financeiros, configuração de empresa, dados de pagamento gerenciados pelo Stripe). Não vendemos dados. Compartilhamos com fornecedores essenciais (Supabase, Stripe, Vercel, Google) sob contratos de proteção de dados. Você tem direito de acessar, corrigir, eliminar ou portar seus dados a qualquer momento, conforme a LGPD.

1. Quem é o Controlador

Para os fins da LGPD, o Controlador dos dados pessoais coletados pela Plataforma é:

  • Razão social: DRAP Soluções em Tecnologia
  • CNPJ: 64.759.314/0001-55
  • Endereço: R. Baquite, sn - Parque Amazonia, Goiânia - GO, 74835-330
  • E-mail de contato: drap@drap.app.br

Quanto aos dados de terceiros que o Usuário insere na Plataforma (p. ex.: nomes de clientes, fornecedores, sócios, contrapartes em lançamentos financeiros), o Tenant é o Controlador e o DRAP atua como Operador nos termos do art. 5º, VII, da LGPD, processando os dados conforme instruções do Usuário e exclusivamente para a finalidade de operar a Plataforma. Cabe ao Tenant assegurar que possui base legal adequada para coletar e inserir tais dados na Plataforma.

2. Encarregado de Dados (DPO)

Em cumprimento ao art. 41 da LGPD, designamos como Encarregado pelo Tratamento de Dados Pessoais:

  • Nome: Marcelo Carvalho Furtado Junior
  • E-mail: departamento_dadospessoais@drap.app.br

O Encarregado é o canal de comunicação entre o Controlador, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD).

3. Dados que Coletamos

A Plataforma coleta apenas os dados estritamente necessários para operação. Categorizamos os dados em:

3.1. Dados de cadastro

  • Nome ou razão social da empresa (Tenant);
  • E-mail;
  • Senha (armazenada de forma criptografada — hash);
  • Função do usuário no Tenant (admin, membro, visualizador);
  • Permissões granulares de acesso configuradas pelo administrador do Tenant.

3.2. Dados financeiros e de operação

  • Lançamentos financeiros: data, descrição, valor, categoria, contraparte (cliente/fornecedor), centro de custo, responsável, status de pagamento, observações;
  • Configurações da empresa: lista de responsáveis, centros de custo, categorias contábeis, tema visual, integrações;
  • Logs de auditoria: histórico de alterações em lançamentos (quem, quando, o que mudou) — armazenados pelo período legal de guarda fiscal aplicável.

Importante. O DRAP não coleta dados bancários completos (número de conta, senha bancária). A importação OFX, quando utilizada, processa arquivos previamente baixados pelo Usuário do site do banco, sem acesso direto à conta.

3.3. Dados de pagamento

Pagamentos são processados exclusivamente pelo intermediador Stripe Payments. O DRAP recebe apenas informações limitadas: identificador opaco do cliente Stripe (ID), status da assinatura, plano contratado, datas de cobrança e eventos de pagamento (sucesso/falha). Dados completos de cartão de crédito não são armazenados em nossos sistemas — o tratamento desses dados é regido pela Política de Privacidade do Stripe.

3.4. Dados de uso e técnicos

  • Endereço IP de acesso;
  • Tipo de navegador e sistema operacional (User-Agent);
  • Logs de requisição (data/hora, rota acessada, código de retorno);
  • Cookies essenciais (autenticação) e, se aplicável, cookies de análise — descritos na seção 11.

3.5. Dados de integrações opcionais

Quando o Usuário ativa integrações, dados adicionais são processados:

  • Google Sheets: tokens OAuth para acesso à planilha autorizada, ID da planilha, conteúdo sincronizado. O usuário pode revogar a permissão a qualquer momento na conta Google;
  • Importação OFX: conteúdo do arquivo OFX carregado pelo Usuário (transações bancárias);
  • Stripe (assinatura): conforme item 3.3.

4. Finalidades do Tratamento

Os dados pessoais são tratados para as seguintes finalidades:

  1. Execução do contrato: autenticar o Usuário, operar a Plataforma, prestar o serviço contratado, processar pagamentos, atender solicitações de suporte;
  2. Cumprimento de obrigação legal: emissão de documentos fiscais, atendimento a determinações de autoridades competentes, guarda de logs pelo prazo legal (Marco Civil da Internet);
  3. Legítimo interesse: prevenção de fraude, proteção da Plataforma contra abusos, melhoria contínua do produto, análises estatísticas anonimizadas;
  4. Consentimento (quando aplicável): envio de comunicações de marketing, ativação de cookies não essenciais, funcionalidades opcionais;
  5. Proteção do crédito: análise de inadimplência e suspensão proporcional do acesso conforme Termos de Uso.

5. Bases Legais

Cada operação de tratamento é fundamentada em uma base legal da LGPD (art. 7º), conforme tabela abaixo:

  • Execução de contrato (art. 7º, V): cadastro, autenticação, prestação do serviço, processamento de pagamentos;
  • Cumprimento de obrigação legal (art. 7º, II): guarda de registros, atendimento a ordens judiciais e fiscais;
  • Legítimo interesse (art. 7º, IX): prevenção de fraude, segurança da informação, melhoria do produto, comunicação operacional;
  • Consentimento (art. 7º, I): cookies não essenciais, comunicações de marketing.

Para dados de terceiros inseridos pelo Usuário (clientes, fornecedores, sócios), cabe ao Tenant garantir a base legal adequada para a coleta e tratamento, nos termos do art. 6º, IV (transparência) e do art. 8º da LGPD.

6. Compartilhamento e Subprocessadores

O DRAP compartilha dados pessoais apenas com fornecedores essenciais à operação da Plataforma, mediante contrato de proteção de dados (DPA) e garantias adequadas:

  • Supabase (banco de dados, autenticação, armazenamento) — provedor de infraestrutura;
  • Vercel (hospedagem da aplicação web, edge network) — provedor de infraestrutura;
  • Stripe Payments (processamento de pagamentos e gestão de assinaturas) — controlador independente para fins de prevenção de fraude e cumprimento regulatório;
  • Google LLC (Google Workspace para comunicação corporativa; Google Sheets quando integração ativa) — operador parcial sob nossas instruções, controlador para serviços próprios;
  • Resend / SendGrid / Postmark (envio de e-mails transacionais, quando configurado) — operador.

Esta lista pode ser atualizada à medida que adicionamos ou substituímos fornecedores. A versão vigente desta Política indica os subprocessadores em uso.

O DRAP não vende, aluga, comercializa ou compartilha dados pessoais com terceiros para fins de marketing.

Excepcionalmente, o DRAP poderá compartilhar dados:

  • Em cumprimento de ordem judicial, requisição da ANPD ou de autoridade competente, nos limites legais;
  • Em caso de fusão, aquisição ou reorganização societária, sendo os Usuários previamente comunicados;
  • Para defesa de direitos do DRAP em processos judiciais ou administrativos.

7. Transferência Internacional

Alguns dos nossos fornecedores (notadamente Stripe, Vercel, Supabase, Google) processam dados em servidores localizados fora do Brasil, em países que podem ter regimes jurídicos distintos do brasileiro.

Tais transferências internacionais ocorrem com fundamento no art. 33 da LGPD, observando ao menos uma das seguintes garantias: (i) cláusulas contratuais padrão; (ii) certificação do destinatário em programa reconhecido de proteção de dados; (iii) execução do contrato com o titular; ou (iv) consentimento específico do titular, quando exigido.

8. Retenção de Dados

Os dados pessoais são retidos enquanto:

  • Houver relação contratual ativa entre o Usuário e o DRAP;
  • For necessário cumprir obrigação legal ou regulatória (ex.: prazo prescricional civil de 5 anos, prazo decadencial fiscal, Marco Civil exige guarda de logs por 6 meses);
  • For necessário para exercício regular de direitos em eventual processo judicial ou administrativo.

Após o encerramento da conta e o decurso dos prazos legais aplicáveis, os dados pessoais são eliminados ou anonimizados, de forma irreversível, no curso ordinário de operação.

O Usuário pode solicitar a eliminação antecipada nos termos do art. 18, VI, da LGPD, ressalvadas as hipóteses legais que exigem a retenção (art. 16 da LGPD).

9. Seus Direitos como Titular

Conforme o art. 18 da LGPD, você, como titular de dados pessoais, tem os seguintes direitos:

  • Confirmação da existência de tratamento;
  • Acesso aos dados que possuímos sobre você;
  • Correção de dados incompletos, inexatos ou desatualizados;
  • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
  • Portabilidade dos dados a outro fornecedor de serviço, em formato estruturado e interoperável;
  • Eliminação dos dados pessoais tratados com base no consentimento;
  • Informação sobre entidades públicas e privadas com as quais compartilhamos seus dados;
  • Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
  • Revogação do consentimento, a qualquer tempo;
  • Revisão de decisões tomadas unicamente com base em tratamento automatizado de dados que afetem seus interesses.

Esses direitos podem sofrer limitações decorrentes de obrigações legais ou de exercício regular de direitos do DRAP.

10. Como Exercer seus Direitos

Para exercer qualquer dos direitos da seção 9, você pode:

  1. Acessar configurações da sua conta na Plataforma e utilizar funcionalidades disponibilizadas (alteração de cadastro, exportação de dados, encerramento de conta);
  2. Enviar e-mail ao Encarregado: departamento_dadospessoais@drap.app.br informando claramente sua solicitação e dados que permitam sua identificação como titular.

Responderemos em até 15 (quinze) dias, podendo o prazo ser prorrogado nos termos da legislação. Em caso de impossibilidade técnica ou jurídica de atender ao pedido, forneceremos resposta fundamentada.

Para garantir a segurança das informações, podemos solicitar documentos ou informações adicionais para confirmar sua identidade antes de atender ao pedido.

11. Cookies e Tecnologias Similares

A Plataforma utiliza cookies e tecnologias similares para funcionamento, segurança e melhoria da experiência:

  • Cookies essenciais (estritamente necessários): autenticação, manutenção de sessão, preferências de tema. Não exigem consentimento prévio (art. 7º, V, LGPD);
  • Cookies funcionais: lembrar configurações de UI;
  • Cookies de análise (opcionais): métricas agregadas de uso, somente após consentimento por banner.

Você pode gerenciar cookies pelas configurações do seu navegador. A desativação de cookies essenciais pode comprometer o funcionamento da Plataforma.

12. Segurança da Informação

Adotamos medidas técnicas e organizacionais razoáveis e adequadas para proteger os dados pessoais contra acesso não autorizado, perda, alteração, divulgação ou destruição indevida, incluindo:

  • Criptografia em trânsito (HTTPS/TLS) e em repouso para dados sensíveis;
  • Controle de acesso baseado em papéis (RBAC) e isolamento multi-tenant via Row Level Security no banco de dados;
  • Senhas armazenadas exclusivamente em forma de hash criptográfico irreversível;
  • Logs de auditoria de operações sensíveis;
  • Avaliação periódica de fornecedores e subprocessadores.

Apesar disso, nenhum sistema é 100% imune a falhas. Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos a ANPD e os titulares afetados, nos termos do art. 48 da LGPD.

O Usuário é igualmente responsável pela segurança de suas credenciais e por informar imediatamente o DRAP em caso de suspeita de comprometimento (art. 50, §2º, II, b, LGPD).

13. Crianças e Adolescentes

A Plataforma não é destinada a pessoas com idade inferior a 18 (dezoito) anos. Não coletamos intencionalmente dados pessoais de crianças e adolescentes. Caso tomemos conhecimento de que dados de menores foram coletados sem o consentimento adequado dos responsáveis legais (art. 14 da LGPD), procederemos à sua eliminação imediata.

14. Alterações nesta Política

Esta Política pode ser atualizada periodicamente para refletir mudanças legais, regulatórias, operacionais ou na Plataforma. A versão vigente está sempre publicada nesta página, com indicação da data da última revisão no topo.

Alterações materiais (ampliação significativa de finalidades, novos compartilhamentos, redução de direitos) serão comunicadas com antecedência razoável por e-mail ou por notificação na Plataforma.

15. Contato e ANPD

Para dúvidas, solicitações, reclamações ou exercício de direitos relacionados a dados pessoais, contate o Encarregado:

  • E-mail (DPO): departamento_dadospessoais@drap.app.br
  • E-mail (geral): drap@drap.app.br
  • Endereço postal: R. Baquite, Lt 17, Qd 163 - Parque Amazonia, Goiânia - GO, 74835-330

Caso entenda que seus direitos não foram adequadamente atendidos, você pode apresentar reclamação à Autoridade Nacional de Proteção de Dados — ANPD:

  • Site: www.gov.br/anpd
  • E-mail institucional da ANPD para canais de denúncia, conforme indicação no site oficial.

Última revisão desta Política: 06/05/2026. Este documento é eletrônico, dispensando assinatura física, e produz efeitos a partir de sua publicação.

Termos de UsoVoltar pra home