Política de privacidade
SOFIA SOFTWARE LTDA — CNPJ 52.433.318/0001-60Versão: 2.0Última atualização: 14 de julho de 2026Substitui: Política de Privacidade de 12 de março de 2025Legislação base: Lei nº 13.709/2018 (LGPD)---## 1. Introdução1.1. A SOFIA SOFTWARE LTDA, inscrita no CNPJ sob nº 52.433.318/0001-60 ("Sofia", "nós"), leva a sério a privacidade e a segurança dos dados tratados por meio de sua plataforma ("Plataforma"). Esta Política de Privacidade ("Política") descreve como coletamos, usamos, armazenamos, compartilhamos e protegemos dados pessoais, em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados — "LGPD").1.2. Esta Política integra e complementa os Termos de Uso da Sofia. Ao utilizar a Plataforma, você declara ter lido e compreendido esta Política.1.3. A Sofia é uma plataforma de gestão financeira multi-organização, utilizada tanto por empresas que gerenciam as próprias finanças quanto por prestadores de serviços financeiros que gerenciam as finanças de terceiros. Esse modelo determina papéis distintos no tratamento de dados, detalhados na Seção 3.1.4. Abrangência. A Sofia oferece seus serviços no Brasil. Parte da infraestrutura e dos serviços de terceiros que viabilizam a Plataforma está localizada fora do território nacional. As informações sobre esses tratamentos e sobre as transferências internacionais constam das Seções 8 e 9.- Site oficial: usesofia.com- Instagram: @usesofia.app- YouTube: @usesofia- LinkedIn: Use Sofia---## 2. Definições- Dados Pessoais: informação relacionada a pessoa natural identificada ou identificável (ex.: nome, CPF, e-mail, telefone). Dados de pessoa jurídica (ex.: CNPJ) não são, em regra, dados pessoais, salvo quando permitam identificar uma pessoa natural (ex.: MEI ou empresário individual).- Dados Pessoais Sensíveis: categorias especiais definidas no art. 5º, II, da LGPD. A Plataforma não se destina ao tratamento de dados sensíveis.- Tratamento: toda operação realizada com dados pessoais (coleta, uso, armazenamento, compartilhamento, eliminação etc.).- Titular: a pessoa natural a quem os dados pessoais se referem.- Controlador: quem decide sobre o tratamento (finalidades e meios).- Operador: quem trata dados pessoais em nome do controlador.- Encarregado (DPO): pessoa ou canal indicado para atuar na comunicação entre a Sofia, os titulares e a ANPD.- Subprocessador: terceiro contratado pela Sofia para viabilizar a Plataforma.- Cliente, Organização, Usuário e Conteúdo do Cliente: conforme definidos nos Termos de Uso.---## 3. Papéis da Sofia no tratamento de dadosDado o modelo de uso da Plataforma, a Sofia pode atuar em dois papéis distintos. Isso determina a quem cabe atender aos direitos dos titulares.| Situação | Papel da Sofia | Controlador ||---|---|---|| Dados de cadastro, cobrança, autenticação, segurança e relacionamento dos Usuários e representantes do próprio Cliente | Controladora | Sofia || Dados que o Cliente insere na Plataforma sobre as Organizações que atende e sobre terceiros (clientes, fornecedores, colaboradores dessas Organizações) | Operadora | O Cliente — ou a Organização em nome de quem o Cliente atua || Dados de navegação e uso do site | Controladora | Sofia |3.1. Quando a Sofia é operadora, ela trata os dados apenas conforme as instruções e as finalidades legítimas do Cliente e a prestação da Plataforma, incluindo as finalidades autorizadas nos Termos de Uso. As decisões sobre esses dados — inclusive a base legal e o atendimento aos titulares — cabem ao Cliente, na condição de controlador.3.2. Exercício de direitos por titulares de Organizações atendidas. Se você é titular cujos dados foram inseridos na Plataforma por um Cliente que presta serviços à sua empresa, o responsável pelo tratamento é esse Cliente. Requisições recebidas pela Sofia poderão ser encaminhadas a ele, ou você poderá ser orientado a exercer seus direitos diretamente junto ao controlador.3.3. Quando o Cliente gerencia apenas a própria Organização, Cliente e Organização coincidem, e o Cliente é o controlador dos dados de terceiros que insere na Plataforma.---## 4. Dados pessoais que tratamos4.1. Dados de cadastro e contaNome completo, CPF, e-mail, telefone (WhatsApp), cargo ou função e dados de autenticação (login e senha criptografada).4.2. Dados financeiros e bancários das OrganizaçõesDados bancários fornecidos para integração via Open Finance e histórico de transações e lançamentos financeiros (receitas, despesas e categorizações) das Organizações geridas na Plataforma.4.3. Documentos e imagensComprovantes, recibos, notas fiscais e documentos financeiros ou fiscais enviados ou armazenados na Plataforma (ex.: NF-e, NFS-e, DANFE, DARF).4.4. Dados de uso, navegação e interaçãoRegistros de acesso (endereço IP, data e hora), dados de dispositivo e navegação, e o conteúdo das interações com os assistentes (Copilot/Radar) por WhatsApp e e-mail.4.5. Dados recebidos por encaminhamento de e-mailQuando o Cliente ou a Organização configura regra de encaminhamento de mensagens para um endereço da Sofia, recebemos o conteúdo dessas mensagens e seus anexos, que podem conter dados pessoais de terceiros. Esses dados são tratados exclusivamente para as finalidades de captura e processamento de informações financeiras. Cabe ao Cliente assegurar que possui base legal para esse encaminhamento.4.6. Dados organizacionaisRazão social ou nome do titular da Organização, CPF/CNPJ, endereço e informações comerciais e financeiras (ex.: faturamento, pagamentos realizados e recebidos).4.7. Dados inseridos pelo Cliente sobre terceirosNo uso normal da Plataforma, o Cliente insere dados de Organizações e de terceiros (clientes, fornecedores e colaboradores dessas Organizações). Quanto a esses dados, a Sofia atua como operadora (Seção 3).---## 5. De onde os dados são coletados- Diretamente do titular, no cadastro, no uso da Plataforma e nas interações com os assistentes.- Do Cliente, quando insere dados das Organizações que atende e de terceiros.- De instituições financeiras via Open Finance, mediante autorização específica concedida pelo titular ou pela Organização nos fluxos regulados, por meio de agregador parceiro.- Por encaminhamento de e-mail, conforme a Seção 4.5.- De provedores de emissão fiscal e de pagamento, no processamento de notas fiscais e cobranças.- Automaticamente, por cookies e tecnologias similares no site (Seção 10).---## 6. Finalidades e bases legaisA Sofia trata dados pessoais para as finalidades abaixo, amparada nas bases legais da LGPD. Quando a Sofia atua como operadora, a base legal do tratamento é definida pelo Cliente controlador.| Finalidade | Base legal (LGPD) ||---|---|| Criar e autenticar contas; identificar usuários; viabilizar o acesso à Plataforma | Execução de contrato (art. 7º, V) || Prestar as funcionalidades contratadas: lançamentos, conciliação, emissão fiscal, relatórios, automação e inteligência artificial | Execução de contrato (art. 7º, V) || Processar cobranças e pagamentos da assinatura | Execução de contrato (art. 7º, V) || Cumprir obrigações legais, fiscais e regulatórias (ex.: guarda de documentos fiscais e de registros de acesso) | Obrigação legal ou regulatória (art. 7º, II) || Prevenir fraudes e garantir a segurança e a integridade da Plataforma | Legítimo interesse (art. 7º, IX) || Prestar suporte e comunicar informações essenciais do serviço | Execução de contrato (art. 7º, V) || Personalizar e aprimorar a Plataforma para a respectiva Organização, inclusive por customização de modelos | Execução de contrato (art. 7º, V) / Legítimo interesse (art. 7º, IX) || Produzir dados agregados e anonimizados para medir e melhorar a Plataforma | Legítimo interesse (art. 7º, IX) || Exercer direitos em processos judiciais, administrativos ou arbitrais | Exercício regular de direitos (art. 7º, VI) |---## 7. Inteligência artificial e decisões automatizadas7.1. A Plataforma utiliza inteligência artificial para capturar informações, categorizar, conciliar, sugerir e, quando o Cliente assim configurar, executar automaticamente operações financeiras. Para isso, dados podem ser processados por provedores de inteligência artificial contratados pela Sofia, relacionados na Seção 8.7.2. Treinamento de modelos de terceiros. A Sofia não utiliza os dados pessoais e financeiros dos Clientes e das Organizações para treinar modelos de inteligência artificial de terceiros. Os provedores de inteligência artificial contratados pela Sofia atuam sob condições contratuais que vedam a retenção desses dados e o seu uso para o treinamento de seus próprios modelos.7.3. Personalização de modelos. A Sofia poderá utilizar o conteúdo de uma Organização para personalizar, customizar ou ajustar modelos e automações aplicados a essa mesma Organização, com a finalidade de melhorar a qualidade e a precisão dos resultados. O conteúdo de uma Organização não é utilizado para personalizar modelos de outra Organização, salvo em formato agregado e/ou anonimizado.7.4. Revisão de decisões automatizadas. Nos termos do art. 20 da LGPD, o titular pode solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado que afetem seus interesses. Tais pedidos são atendidos pelo controlador dos dados — a Sofia, quando controladora; o Cliente, quando este for o controlador — com apoio operacional da Sofia quando cabível.7.5. Resultados gerados por inteligência artificial podem conter imprecisões e não substituem o julgamento profissional. A responsabilidade pela revisão e pelo uso das saídas é de quem opera a Plataforma.---## 8. Compartilhamento e subprocessadores8.1. A Sofia não vende dados pessoais. O compartilhamento ocorre apenas na medida necessária às finalidades desta Política, com os destinatários abaixo, todos submetidos a obrigações de segurança e confidencialidade.| Categoria de subprocessador | Função | País de destino ||---|---|---|| Provedor de nuvem — aplicação e banco de dados | Hospedagem e processamento da Plataforma | 🇨🇦 Canadá || Provedor de nuvem — armazenamento e cópias de segurança | Armazenamento de arquivos e backups | 🇺🇸 Estados Unidos || Provedores de inteligência artificial | Processamento por IA, incluindo monitoramento e observabilidade dos modelos | 🇺🇸 Estados Unidos || Plataforma de mensageria | Assistentes e comunicações via WhatsApp | 🇺🇸 Estados Unidos || Provedores de e-mail transacional | Envio de comunicações e notificações do serviço | 🇺🇸 Estados Unidos || Agregador de Open Finance | Conexão e conciliação bancária | 🇧🇷 Brasil || Emissor de notas fiscais | Emissão de NFS-e | 🇧🇷 Brasil || Gateway de pagamento | Processamento de cobranças e pagamentos | 🇧🇷 Brasil |8.2. Relação nominal. A relação atualizada dos subprocessadores, com a identificação de cada fornecedor, está disponível aos Clientes e aos titulares mediante solicitação pelo e-mail privacidade@usesofia.com, nos termos do art. 18, VII, da LGPD. A Sofia poderá substituir subprocessadores, comunicando os Clientes sobre alterações relevantes pelos canais oficiais.8.3. Autoridades. A Sofia poderá compartilhar dados para cumprimento de obrigação legal, ordem judicial ou requisição de autoridade competente.8.4. Operações societárias. Em caso de fusão, aquisição ou reorganização societária, os dados poderão ser transferidos ao sucessor, mantidas as garantias desta Política.---## 9. Transferência internacional de dados9.1. Conforme a Seção 8, parte dos subprocessadores que viabilizam a Plataforma está localizada fora do Brasil, notadamente nos Estados Unidos e no Canadá. Isso significa que dados pessoais tratados na Plataforma podem ser transferidos e processados nesses países.9.2. Essas transferências são necessárias para a execução do contrato firmado com o Cliente e para a prestação das funcionalidades contratadas, e observam os mecanismos de transferência internacional previstos nos arts. 33 a 36 da LGPD e no Regulamento de Transferência Internacional de Dados (Resolução CD/ANPD nº 19/2024).9.3. A Sofia adota, junto a seus subprocessadores, garantias contratuais de proteção de dados compatíveis com o padrão exigido pela legislação brasileira, incluindo obrigações de segurança, confidencialidade, limitação de finalidade e restrição a transferências posteriores.9.4. Mediante solicitação, a Sofia disponibilizará ao titular informações sobre as transferências internacionais realizadas e sobre os mecanismos adotados, observados os segredos comercial e industrial.---## 10. Cookies e tecnologias de rastreamento10.1. O site utiliza cookies estritamente necessários ao seu funcionamento e à autenticação do usuário. Podem ser coletados dados como endereço IP, tipo de navegador e páginas visitadas.10.2. A Sofia não utiliza, atualmente, ferramentas de analytics de terceiros para rastreamento de comportamento no site. Caso venha a utilizá-las, esta Política será atualizada e, quando exigido, será disponibilizado mecanismo de gestão de preferências de cookies.10.3. O usuário pode ajustar seu navegador para recusar ou excluir cookies, ciente de que isso pode afetar o funcionamento de partes do site.---## 11. Retenção e eliminação11.1. Os dados são mantidos pelo tempo necessário às finalidades desta Política e ao cumprimento de obrigações legais. Em regra:- Dados da conta e da contratação: durante a vigência do contrato e, após o encerramento, pelo prazo necessário à defesa de direitos, observados os prazos prescricionais aplicáveis.- Documentos e dados fiscais: pelos prazos exigidos pela legislação fiscal e tributária, em regra por, no mínimo, 5 (cinco) anos.- Registros de acesso a aplicações: pelo prazo mínimo de 6 (seis) meses, nos termos do art. 15 do Marco Civil da Internet (Lei nº 12.965/2014), e por período compatível com as finalidades de segurança e defesa de direitos.- Conteúdo do Cliente após o encerramento: disponível para exportação por 30 (trinta) dias e, em seguida, eliminado dos ambientes de produção, conforme a Cláusula 15 dos Termos de Uso. As cópias de segurança são eliminadas ou sobrescritas no ciclo normal de rotação, em prazo não superior a 6 (seis) meses.11.2. Encerrados os prazos ou a finalidade, os dados são eliminados ou anonimizados, ressalvadas as hipóteses legais de conservação.---## 12. Segurança da informação12.1. A Sofia adota medidas técnicas e organizacionais para proteger os dados contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração ou divulgação, incluindo:- Criptografia em trânsito e criptografia em repouso dos dados armazenados.- Controle de acesso ao banco de dados por autenticação com credenciais de alta complexidade, com acesso restrito a endereços IP previamente autorizados ou a servidores situados dentro da rede privada virtual (VPC) da Sofia.- Arquitetura multi-inquilino (multitenant) com isolamento e controle de acesso aplicados na camada da aplicação, de modo que cada Cliente acesse apenas os dados das Organizações sob sua responsabilidade.- Processamento de inteligência artificial realizado em serviços que operam sob política de não retenção dos dados submetidos e de não utilização desses dados para treinamento de modelos.12.2. Nenhum sistema é totalmente imune a incidentes. A Sofia mantém processos para detectar, responder e mitigar incidentes de segurança.---## 13. Direitos dos titularesNos termos do art. 18 da LGPD, o titular pode requerer, quanto aos dados tratados pela Sofia na condição de controladora:- Confirmação da existência de tratamento e acesso aos dados.- Correção de dados incompletos, inexatos ou desatualizados.- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.- Portabilidade a outro fornecedor, observada a regulamentação da ANPD.- Eliminação dos dados tratados com base em consentimento, ressalvadas as hipóteses legais de conservação.- Informação sobre as entidades com as quais os dados foram compartilhados.- Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.- Revogação do consentimento e oposição a tratamento realizado em desconformidade com a lei.- Revisão de decisões automatizadas, nos termos da Seção 7.4.13.1. Quando a Sofia atua como operadora, o exercício dos direitos deve ser dirigido ao Cliente controlador. A Sofia poderá redirecionar a requisição ao controlador e prestar-lhe o apoio necessário, conforme a LGPD.13.2. Para exercer seus direitos, entre em contato pelo e-mail privacidade@usesofia.com. Poderemos solicitar informações adicionais para confirmar sua identidade antes de atender à requisição.---## 14. Encarregado pelo tratamento de dados14.1. Canal de contato do Encarregado: privacidade@usesofia.com****14.2. Nos termos da Resolução CD/ANPD nº 2/2022, agentes de tratamento de pequeno porte podem receber tratamento diferenciado quanto à indicação formal de Encarregado. Ainda assim, a Sofia mantém canal dedicado e permanente para atender aos titulares de dados e à ANPD.---## 15. Comunicação de incidentes de segurança15.1. Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a Sofia comunicará a ANPD e os titulares afetados nos prazos e na forma da legislação e da regulamentação aplicáveis (art. 48 da LGPD e regulamentação da ANPD).15.2. Quando a Sofia atuar como operadora, comunicará o Cliente controlador e o auxiliará no cumprimento de suas obrigações de comunicação.---## 16. Alterações desta Política16.1. Esta Política pode ser atualizada a qualquer tempo, mediante publicação da versão vigente em usesofia.com, com indicação da data da última atualização. Alterações relevantes poderão ser comunicadas por e-mail ou por aviso na Plataforma.---## 17. Lei aplicável e foro17.1. Esta Política rege-se pela legislação brasileira, em especial pela LGPD. Eventuais controvérsias serão dirimidas no foro da Comarca de Campo Grande/MS, salvo disposição legal de ordem pública em contrário.---## 18. ContatoDúvidas, solicitações ou exercício de direitos: privacidade@usesofia.comDemais canais oficiais: usesofia.com---SOFIA SOFTWARE LTDA — CNPJ 52.433.318/0001-60Ao utilizar a Plataforma, você reconhece que leu e compreendeu esta Política de Privacidade.