Política de Privacidade

Coletamos dados estritamente necessários ao funcionamento do ERP. Em geral:

• Dados cadastrais da empresa contratante</strong>: razão social, CNPJ, endereço, e-mail e telefone do responsável.

• Dados de usuários</strong>: nome, e-mail, cargo, dados de autenticação (senha cifrada com bcrypt), foto opcional.

• Dados operacionais inseridos pela empresa</strong>: clientes finais, produtos, faturas, contratos, pagamentos, agendamentos, anamneses (quando aplicável ao nicho), etc. Estes dados são de titularidade exclusiva da empresa contratante</strong>, e o Elyxa atua como operador</strong> na forma da LGPD.

• Dados técnicos</strong>: endereço IP, dispositivo, versão do navegador, registros de acesso. Mantidos por 6 meses para fins de segurança.

• Dados de pagamento</strong>: tratados pelo gateway (Mercado Pago / Banco Inter); o Elyxa não armazena dados de cartão</strong>.

Tratamos dados com base em:

• Execução de contrato</strong> (LGPD art. 7º, V): para prestar o serviço contratado.

• Cumprimento de obrigação legal</strong> (art. 7º, II): retenção fiscal de NFe por 5 anos (CTN art. 173), retenção contábil pelo prazo legal.

• Legítimo interesse</strong> (art. 7º, IX): segurança da plataforma, prevenção a fraudes, melhoria do produto.

• Consentimento</strong> (art. 7º, I): aceite explícito do contrato no primeiro login do proprietário do tenant.

• Criptografia em trânsito</strong> (TLS 1.2+) e em repouso (AES-256 onde aplicável).

• Senhas armazenadas</strong> com hash bcrypt (custo 12).

• Isolamento por tenant</strong>: cada empresa tem suas tabelas filtradas por `tenantId`, sem mistura.

• Backups automáticos diários</strong>, retenção 30 dias, off-server.

• Logs de auditoria</strong> para acesso a dados sensíveis (impersonação de suporte é registrada e visível ao cliente).

• Vedação de acesso de suporte sem rastro</strong>: equipe Elyxa só acessa contas de clientes em modo registrado e com bloqueios obrigatórios (não pode trocar senha, emitir NFe, movimentar dinheiro).

Não vendemos nem alugamos seus dados. Compartilhamos apenas com operadores essenciais</strong>:

• Provedor de nuvem</strong> (servidores onde a plataforma roda).

• Gateway de pagamento</strong> (Mercado Pago, Banco Inter) — apenas para processar cobranças.

• Provedor de e-mail transacional</strong> (envio de notificações).

• Provedor de WhatsApp Business</strong> (Evolution API/UazAPI) — quando o cliente ativa.

• Cumprimento de ordem judicial ou requisição legal válida</strong>.

Você tem direito a:

• Confirmar</strong> se tratamos seus dados.

• Acessar</strong> os dados que temos sobre você.

• Corrigir</strong> dados incompletos ou desatualizados.

• Anonimizar, bloquear ou eliminar</strong> dados desnecessários.

• Portabilidade</strong>: exportar seus dados em formato estruturado (CSV/JSON). Disponível em /dashboard/configuracoes/cancelar-conta</strong> (botão Baixar backup</strong> — não precisa cancelar pra usar).

• Eliminação após cancelamento</strong>: 30 dias após cancelar, dados são anonimizados (exceto NFe que tem retenção fiscal de 5 anos).

• Revogar consentimento</strong> a qualquer momento.

• Opor-se</strong> a tratamento baseado em legítimo interesse.

• Solicitar revisão</strong> de decisão automatizada.

Disponibilizamos exportação completa dos seus dados em formato ZIP (CSV + JSON) a qualquer momento, sem custo. Acesse /dashboard/configuracoes/cancelar-conta → Baixar backup</strong>. O download não exige cancelamento prévio.

Cancelamento sem barreiras</strong> (CDC art. 49 + Lei 14.181/2021): você cancela em /dashboard/configuracoes/plano</strong> ou /dashboard/configuracoes/cancelar-conta</strong>, sem precisar ligar ou enviar e-mail.

Após cancelamento:

• 30 dias</strong> com acesso somente-leitura para sacar dados.

• Após 30 dias: dados anonimizados, exceto retenção fiscal obrigatória (NFe — 5 anos).

• Você pode reativar</strong> dentro dos 30 dias sem perder nada.

Usamos cookies estritamente necessários para autenticação (`elyxa_token`, HttpOnly, Secure, SameSite=Lax) e preferências de UI (sidebar recolhida).

Não usamos cookies de rastreamento publicitário, fingerprinting nem repassamos dados a redes de anúncio.

Contato do Encarregado: dpo@elyxa.com.br</strong>

Para exercer qualquer direito como titular, envie e-mail descrevendo a solicitação. Resposta em até 15 dias úteis</strong> (LGPD art. 19).

Esta política pode ser atualizada periodicamente. Quando houver mudança material, notificamos via e-mail no endereço cadastrado pelo proprietário do tenant. A versão atual fica sempre disponível em /privacidade</strong> com data da última revisão.

Foro da Comarca de Londrina/PR para dirimir questões oriundas desta política.