Política de Privacidade

1. Introdução

A Mei.ai ("nós", "nosso" ou "Controlador") é uma plataforma de gestão financeira e fiscal para Microempreendedores Individuais (MEI), acessível em meiai.com.br. Estamos comprometidos com a transparência e com a proteção dos seus dados pessoais em todas as etapas do tratamento.

Esta Política de Privacidade descreve quais dados coletamos, para quais finalidades os utilizamos, com quem os compartilhamos, por quanto tempo os retemos e quais são os seus direitos como titular dos dados, em conformidade com a LGPD e demais normas aplicáveis.

Ao criar uma conta ou utilizar a plataforma Mei.ai, você declara ter lido e compreendido esta Política. Caso não concorde com seus termos, não utilize nossos serviços.

2. Controlador de Dados

O controlador responsável pelo tratamento dos seus dados pessoais é:

O Encarregado pelo Tratamento de Dados Pessoais (DPO — Data Protection Officer) é o ponto de contato oficial para questões relacionadas a privacidade e ao exercício dos seus direitos como titular.

3. Dados Coletados

Coletamos dados pessoais nas seguintes categorias, conforme as funcionalidades utilizadas:

3.1 Dados de Identificação e Cadastro

• Nome completo
• Endereço de e-mail
• CNPJ (número de inscrição MEI)
• Atividade econômica principal (CNAE)
• Município de operação
• Foto de perfil (opcional, enviada pelo usuário)

3.2 Dados Financeiros

• Registros de receitas (data, valor, categoria, descrição, cliente)
• Registros de despesas (data, valor, categoria, fornecedor)
• Notas fiscais de serviço (NFS-e) emitidas, incluindo dados do tomador de serviço
• Histórico de pagamentos de DAS (Documento de Arrecadação do Simples Nacional)
• Simulações tributárias e estimativas de imposto
• Dados cadastrais de clientes e fornecedores informados pelo usuário

3.3 Dados de Pagamento (Assinatura)

• CPF ou CNPJ para faturamento
• Dados de cartão de crédito (processados exclusivamente pelo Asaas — não armazenamos dados brutos de cartão)
• Histórico de cobranças e status de assinatura

3.4 Dados de Uso e Navegação

• Páginas visitadas e funcionalidades acessadas (analytics interno)
• Endereço IP (anonimizado para análises)
• Tipo de dispositivo, navegador e sistema operacional
• Data e hora de acesso
• Referenciador de origem (como chegou à plataforma)

3.5 Comunicações

• Mensagens enviadas ao assistente de IA (Contador Virtual), incluindo perguntas e contexto de uso
• Preferências de notificações por e-mail (DAS, limites, vencimentos)
• Histórico de e-mails transacionais enviados pela plataforma

3.6 Dados Coletados Automaticamente

• Cookies de sessão e autenticação (necessários para o funcionamento)
• Tokens de sessão do Supabase Auth
• Logs de acesso e erros do sistema (para segurança e diagnóstico)

4. Finalidade do Tratamento

Seus dados são utilizados para as seguintes finalidades, em conformidade com o Art. 7º da LGPD:

5. Base Legal para o Tratamento

Todo tratamento de dados realizado pela Mei.ai está fundamentado em ao menos uma das bases legais previstas no Art. 7º da LGPD:

• Consentimento (Art. 7º, I): Para envio de comunicações de marketing, uso do assistente de IA e coleta de dados analíticos não essenciais. Você pode revogar o consentimento a qualquer momento.
• Execução de Contrato (Art. 7º, V): Para dados necessários à prestação dos serviços contratados, como cadastro, gestão financeira, emissão de NFS-e e processamento de pagamentos.
• Cumprimento de Obrigação Legal (Art. 7º, II): Para retenção de dados exigida por legislação fiscal, trabalhista ou regulatória aplicável.
• Legítimo Interesse (Art. 7º, IX): Para segurança da plataforma, prevenção a fraudes, melhoria do serviço (dados agregados) e comunicações essenciais sobre a conta, desde que não prevaleçam sobre os seus direitos fundamentais.
• Proteção ao Crédito (Art. 7º, X): Quando aplicável, para verificação cadastral relacionada a cobranças.

6. Compartilhamento de Dados com Terceiros

A Mei.ai não vende, aluga ou comercializa seus dados pessoais. O compartilhamento ocorre exclusivamente com operadores de dados que nos auxiliam na prestação do serviço, conforme descrito abaixo:

Todos os fornecedores acima atuam como operadores de dados e estão sujeitos a obrigações contratuais de confidencialidade e proteção de dados. O compartilhamento com autoridades governamentais ocorre somente quando exigido por lei ou ordem judicial.

7. Direitos do Titular dos Dados

Conforme o Art. 18 da LGPD, você tem os seguintes direitos em relação aos seus dados pessoais:

• Acesso (Art. 18, I e II): Confirmar se tratamos seus dados e obter uma cópia completa dos dados que mantemos sobre você.
• Correção (Art. 18, III): Solicitar a correção de dados incompletos, inexatos ou desatualizados. Você pode atualizar a maioria das informações diretamente no painel em "Perfil".
• Anonimização, Bloqueio ou Eliminação (Art. 18, IV): Solicitar a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
• Portabilidade (Art. 18, V): Receber seus dados em formato estruturado e legível por máquina (CSV ou JSON) para transferência a outro fornecedor de serviços.
• Eliminação após Revogação (Art. 18, VI): Solicitar a exclusão dos dados tratados com base no seu consentimento, após revogar esse consentimento.
• Informação sobre Compartilhamento (Art. 18, VII): Obter informação sobre as entidades públicas e privadas com as quais compartilhamos seus dados.
• Informação sobre Não Consentimento (Art. 18, VIII): Ser informado sobre a possibilidade de não fornecer consentimento e as consequências da negativa.
• Revogação do Consentimento (Art. 18, IX): Revogar o consentimento a qualquer momento, de forma gratuita e facilitada, sem prejuízo das operações realizadas anteriormente com base no consentimento previamente fornecido.
• Oposição (Art. 18, § 2º): Opor-se ao tratamento realizado com base em legítimo interesse, caso entenda que ele viola a LGPD.
• Revisão de Decisões Automatizadas (Art. 20): Solicitar revisão de decisões tomadas exclusivamente com base em tratamento automatizado que afetem seus interesses.
• Exclusão da Conta: Excluir sua conta a qualquer momento através das configurações de perfil. Os dados serão eliminados conforme a política de retenção descrita na Seção 8.

Para exercer qualquer desses direitos, entre em contato com nosso DPO pelo e-mail privacidade@meiai.com.br. Atenderemos sua solicitação no prazo de até 15 dias úteis, podendo ser prorrogado por igual período em casos complexos, com devida justificativa.

8. Retenção de Dados

Retemos seus dados pelo tempo necessário para as finalidades descritas nesta Política ou conforme exigido por lei:

• Dados de cadastro e conta: Durante toda a vigência da relação contratual e por até 5 anos após o encerramento da conta, para fins de auditoria e obrigações legais.
• Dados financeiros (receitas, despesas, notas fiscais): Por até 5 anos após o encerramento da conta, conforme exigido pela legislação fiscal brasileira (Código Tributário Nacional).
• Dados de pagamento: Por até 5 anos, conforme legislação aplicável e exigência da instituição financeira parceira (Asaas).
• Conversas com o assistente de IA: Por até 90 dias após o encerramento da conta, salvo obrigação legal específica.
• Logs de acesso e segurança: Por até 6 meses, conforme o Marco Civil da Internet (Lei nº 12.965/2014).
• Dados analíticos agregados: Mantidos indefinidamente, pois não permitem a identificação individual dos titulares.

Após exclusão da conta, iniciamos o processo de eliminação dos dados pessoais dentro de 30 dias. Dados sujeitos a obrigações legais de retenção serão mantidos pelo período mínimo exigido e depois eliminados de forma segura.

9. Segurança dos Dados

Adotamos medidas técnicas e organizacionais adequadas para proteger seus dados contra acesso não autorizado, perda, alteração ou divulgação:

• Criptografia em trânsito: Toda comunicação entre seu navegador e nossos servidores é protegida por TLS 1.2+ (HTTPS).
• Criptografia em repouso: Dados armazenados no banco de dados são criptografados pelo Supabase (PostgreSQL com criptografia em disco via AWS).
• Autenticação segura: Autenticação gerenciada pelo Supabase Auth, com suporte a autenticação multifator (MFA) e tokens de sessão com expiração.
• Controle de acesso: Políticas de Row-Level Security (RLS) no banco de dados garantem que cada usuário acesse apenas seus próprios dados.
• Isolamento de dados: Dados de diferentes usuários são completamente isolados por políticas de segurança no nível do banco de dados.
• Backups regulares: O Supabase realiza backups automáticos diários com retenção de 7 dias.
• Monitoramento e logs: Logs de acesso e eventos de segurança são monitorados continuamente para detecção de atividades suspeitas.
• Acesso restrito: Apenas membros da equipe com necessidade operacional têm acesso a sistemas de produção, com autenticação forte obrigatória.

Em caso de incidente de segurança que resulte em risco ou dano relevante aos titulares, notificaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os usuários afetados dentro do prazo legal, conforme o Art. 48 da LGPD.

10. Cookies e Tecnologias Similares

Utilizamos cookies e tecnologias similares para garantir o funcionamento da plataforma e melhorar sua experiência:

10.1 Cookies Essenciais (sempre ativos)

• Sessão de autenticação: Tokens do Supabase Auth que mantêm você conectado entre navegações. Expiram automaticamente ou ao sair da conta.
• Preferências de tema: Armazenam sua escolha de tema claro ou escuro.
• Segurança CSRF: Tokens de proteção contra ataques de falsificação de requisição entre sites.

10.2 Cookies Analíticos (com consentimento)

• Analytics de páginas: Registramos anonimamente as páginas visitadas e o tempo de uso para entender como a plataforma é utilizada e identificar áreas de melhoria. Não utilizamos Google Analytics ou ferramentas de rastreamento de terceiros nas áreas autenticadas.

Você pode gerenciar cookies através das configurações do seu navegador. A desativação de cookies essenciais pode impedir o funcionamento correto da plataforma.

11. Transferência Internacional de Dados

Alguns dos nossos fornecedores operam servidores fora do Brasil, o que implica transferência internacional de dados pessoais:

• Supabase: Infraestrutura hospedada na Amazon Web Services (AWS) nos Estados Unidos e/ou outras regiões. A Supabase mantém cláusulas contratuais padrão compatíveis com as exigências da LGPD e do GDPR europeu.
• Resend: Serviço de envio de e-mails operado nos Estados Unidos, sujeito às leis norte-americanas de proteção de dados.
• MiniMax: Processamento de linguagem natural com servidores que podem estar localizados fora do Brasil.

As transferências são realizadas com as salvaguardas adequadas previstas no Art. 33 da LGPD, incluindo cláusulas contratuais padrão e avaliação do nível de proteção do país de destino.

12. Menores de Idade

A plataforma Mei.ai é destinada exclusivamente a pessoas maiores de 18 anos que sejam titulares de CNPJ MEI. Não coletamos intencionalmente dados de menores de idade. Caso identifique que dados de menor foram coletados inadvertidamente, entre em contato imediatamente pelo e-mail privacidade@meiai.com.br para exclusão.

13. Alterações nesta Política

Podemos atualizar esta Política de Privacidade periodicamente para refletir mudanças nos nossos serviços, na legislação aplicável ou nas nossas práticas de privacidade.

Quando realizarmos alterações relevantes, notificaremos você por:

• E-mail enviado ao endereço cadastrado, com pelo menos 15 dias de antecedência
• Aviso em destaque no painel da plataforma
• Atualização da data de versão no topo desta página

A versão mais recente sempre estará disponível em meiai.com.br/privacidade. O uso continuado da plataforma após a data de vigência das novas condições implica aceitação das alterações.

14. Contato do Encarregado (DPO)

Para exercer seus direitos como titular de dados, esclarecer dúvidas sobre esta Política ou reportar qualquer preocupação com o tratamento dos seus dados pessoais, entre em contato com nosso Encarregado pelo Tratamento de Dados (DPO):