Quem Somos
ZEE.LU SOLUCOES LTDA
CNPJ: 66.812.648/0001-70
Rua Abiail do Amaral Carneiro, 191, Sala 415, Edifício Arábica
Enseada do Suá, Vitória/ES — CEP 29.050-535
E-mail: contato@zee.lu | Privacidade: privacidade@zee.lu
A Zee.lu é uma plataforma SaaS para automação de emissão de NFS-e, desenvolvida para fotógrafos profissionais. Operamos como agente de tratamento nos termos da Lei nº 13.709/2018 (LGPD), assumindo papéis distintos conforme a natureza dos dados tratados — detalhados na Seção 3.
Definições
Para os fins desta Política, aplicam-se as definições do art. 5º da LGPD e os seguintes conceitos:
| Termo | Definição |
|---|---|
| Dado pessoal | Informação relacionada a pessoa natural identificada ou identificável |
| Titular | Pessoa natural a quem se referem os dados pessoais tratados |
| Tratamento | Toda operação realizada com dados pessoais (coleta, uso, armazenamento, exclusão etc.) |
| Controlador | Quem decide sobre o tratamento de dados — suas finalidades e meios |
| Operador | Quem realiza o tratamento por conta e sob instrução do controlador |
| Suboperador | Terceiro contratado pelo Operador para executar parte do tratamento, também sob instrução do Controlador |
| Encarregado (DPO) | Pessoa indicada para atuar como canal entre controlador, titulares e ANPD |
| ANPD | Autoridade Nacional de Proteção de Dados |
| Usuário | Pessoa jurídica ou profissional autônomo com CNPJ ativo que contrata a Zee.lu |
| Tomador | Cliente final do Usuário, destinatário dos serviços prestados e da NFS-e emitida pelo Usuário |
Nossos Papéis no Tratamento de Dados
3.1. Zee.lu como Controladora
Quando se trata dos dados do próprio Usuário — cadastro, pagamento e uso da plataforma — a Zee.lu é a controladora: decide quais dados coleta, com qual finalidade e por quanto tempo. Esses dados são detalhados na Seção 4.
Adicionalmente, a Zee.lu utiliza a própria plataforma para emitir NFS-e referentes às assinaturas pagas pelos Usuários. Nessa relação fiscal específica, o Usuário figura também como Tomador da Zee.lu — e os dados de cadastro (razão social, CNPJ, endereço) são reutilizados para essa finalidade, com base em obrigação legal tributária (art. 7º, II, da LGPD).
3.2. Zee.lu como Operadora
Quando o Usuário insere dados de seus clientes finais (Tomadores) para emissão de NFS-e — nome, CPF/CNPJ, endereço e descrição de serviço do Tomador — a Zee.lu atua como operadora: processa esses dados exclusivamente sob instrução do Usuário, que é o controlador responsável pela base legal do tratamento.
O Usuário, na qualidade de controlador dos dados de seus Tomadores, é responsável por: (a) possuir base legal adequada (art. 7º da LGPD); (b) informar os Tomadores, quando necessário, de que seus dados serão utilizados para emissão de NFS-e por plataforma terceirizada; (c) responder perante a ANPD e os titulares por eventual irregularidade.
3.3. Suboperadores
A Zee.lu contrata suboperadores para suportar a prestação do serviço. Todos operam sob contrato com cláusulas de proteção de dados equivalentes às desta Política. A lista completa consta na Seção 7.1 desta Política.
Dados que Coletamos, Finalidades e Bases Legais
4.1. Dados de Cadastro e Conta
| Dado | Finalidade | Base Legal |
|---|---|---|
| Nome / razão social | Identificação do Usuário | Contrato (V) |
| CNPJ | Validação e conformidade fiscal; emissão de NFS-e da Zee.lu ao Usuário referente à assinatura | Contrato (V) + Obrig. legal (II) |
| Inscrição Municipal | Configuração fiscal da conta | Contrato (V) |
| Comunicação, notificações, suporte | Contrato (V) | |
| Telefone / WhatsApp | Suporte e comunicações operacionais | Contrato (V) |
| Endereço | Emissão de NFS-e da Zee.lu ao Usuário referente à assinatura (dado fiscal obrigatório) | Obrig. legal (II) |
| Senha (hash) | Autenticação e segurança | Contrato (V) |
4.2. Dados de Pagamento e Cobrança
| Dado | Finalidade | Base Legal |
|---|---|---|
| Dados de cartão (tokenizados) | Processamento de pagamentos recorrentes | Contrato (V) |
| Histórico de transações | Controle de assinaturas, cobranças, inadimplência | Contrato (V) + Obrig. legal (II) |
| Dados p/ NFS-e própria | Cumprimento de obrigação fiscal da Zee.lu — emissão de NFS-e ao Usuário pelo serviço de assinatura contratado via Stripe | Obrig. legal (II) |
4.3. Dados de Uso da Plataforma
| Dado | Finalidade | Base Legal |
|---|---|---|
| Logs de acesso (IP, data, hora) | Segurança, auditoria, obrigação do Marco Civil (Lei 12.965/14) | Obrig. legal (II) |
| Dados de navegação | Melhoria do produto, detecção de erros | Leg. interesse (IX) |
| Dados de sessão | Manutenção da sessão autenticada | Contrato (V) |
| Registros de emissão | Histórico do Usuário e suporte técnico | Contrato (V) |
4.4. Comunicações e Marketing
| Dado | Finalidade | Base Legal |
|---|---|---|
| Comunicações transacionais (faturas, alertas, notificações) | Contrato (V) | |
| Novidades e atualizações da plataforma Zee.lu | Leg. interesse (IX) — B2B | |
| Marketing de parceiros terceiros | Consentimento (I) |
O consentimento para marketing de parceiros é coletado via checkbox no cadastro ou em campanha opt-in. O Usuário pode cancelar qualquer comunicação de marketing pelo link de descadastro em cada e-mail, nas configurações da conta ou via privacidade@zee.lu.
Certificado Digital A1
O Certificado Digital A1 é o dado mais sensível tratado pela Zee.lu. Por ser uma chave criptográfica que representa legalmente o Usuário perante as prefeituras, recebe as salvaguardas descritas abaixo.
5.1. Finalidade exclusiva: O Certificado Digital é utilizado exclusivamente para autenticação automatizada junto às prefeituras e ao sistema NFS-e Nacional no momento da emissão. Nenhuma outra operação é realizada com ele.
5.2. Armazenamento: O Certificado é armazenado em formato criptografado, com chave de criptografia segregada dos demais dados. O acesso é restrito ao sistema automatizado de emissão — nenhum colaborador da Zee.lu tem acesso ao conteúdo do certificado em texto puro.
A Zee.lu não realiza backup nem mantém cópias de segurança do Certificado Digital A1. A guarda, renovação e segurança do certificado são de responsabilidade exclusiva do Usuário. A perda ou expiração do certificado interrompe as emissões imediatamente e não gera direito a reembolso ou indenização.
5.3. Retenção e exclusão: O Certificado Digital é excluído dos servidores em até 7 dias após o cancelamento da assinatura. Como a Zee.lu não realiza backup do certificado, não há cópia adicional a eliminar. O Usuário pode solicitar exclusão imediata a qualquer momento via privacidade@zee.lu.
5.4. Comprometimento: Em caso de suspeita de comprometimento, o Usuário deve notificar imediatamente a Zee.lu e contatar sua Autoridade Certificadora (AC) para revogação. A Zee.lu excluirá o certificado de seus servidores em até 24 horas após a notificação.
Dados Inseridos pelo Usuário para Emissão de NFS-e
6.1. Natureza dos dados: Ao emitir NFS-e, o Usuário insere dados de seus Tomadores, que podem incluir: nome completo ou razão social, CPF ou CNPJ, endereço, e-mail (quando configurado envio automático) e descrição do serviço e valor.
6.2. Papel da Zee.lu: Esses dados são processados exclusivamente para emissão das notas fiscais e transmissão às prefeituras. Não são utilizados para nenhuma outra finalidade, não são compartilhados com terceiros além dos indicados na Seção 7.2, e não são cruzados com outros dados da plataforma.
6.3. Responsabilidade do Usuário: O Usuário, como controlador, é responsável por possuir base legal para tratar os dados dos Tomadores e por informá-los, quando exigido pela LGPD, do uso de seus dados para emissão de NFS-e por plataforma terceirizada.
6.4. Retenção: Dados de Tomadores são mantidos durante a assinatura ativa e por até 30 dias após o cancelamento para exportação. Após esse prazo, são excluídos dos servidores ativos e eliminados dos backups em até 90 dias adicionais.
Compartilhamento com Terceiros
7.1. Suboperadores
A Zee.lu compartilha dados com os suboperadores abaixo, necessários à operação da plataforma. Todos estão proibidos de usar os dados para finalidades próprias e operam sob contrato com cláusulas de proteção de dados.
| Categoria | Função | Dados envolvidos |
|---|---|---|
| Vercel | Hospedagem, deploy e entrega da aplicação | Dados de acesso e navegação |
| Supabase | Banco de dados, autenticação e backend | Todos os dados da plataforma |
| Stripe | Gateway de pagamento — cobranças recorrentes | Dados de pagamento e cobrança do Usuário. Não acessa dados de Tomadores. |
| Homio | CRM — gestão do relacionamento com Usuários | Dados cadastrais do Usuário (nome, e-mail, CNPJ, histórico de interações). Não acessa dados de Tomadores. |
| Provedor de e-mail transacional | Notificações, faturas, alertas | E-mail e conteúdo das comunicações |
| Ferramenta de análise de uso | Métricas e melhoria do produto | Dados de navegação anonimizados |
7.2. Autoridades e órgãos governamentais
Dados de NFS-e são compartilhados com prefeituras municipais e com a Receita Federal (sistema NFS-e Nacional) exclusivamente para fins de emissão das notas fiscais, por obrigação legal tributária.
7.3. Obrigação legal e proteção de direitos
A Zee.lu pode compartilhar dados em cumprimento de obrigação legal, regulatória, ordem judicial ou requisição de autoridade administrativa competente, bem como para exercício de seus direitos em processo judicial ou administrativo.
7.4. Reorganização societária
Em caso de fusão, aquisição ou transferência de ativos, os dados poderão ser transferidos ao adquirente, com comunicação prévia ao Usuário de 30 dias e sob as mesmas condições de proteção desta Política.
7.5. O que a Zee.lu não faz
A Zee.lu não vende, aluga ou cede dados pessoais a terceiros para fins comerciais. Não compartilha dados com plataformas de publicidade, redes sociais ou bases de enriquecimento de dados.
Transferência Internacional de Dados
A Zee.lu utiliza os seguintes provedores de infraestrutura e serviços que podem armazenar ou processar dados fora do Brasil:
- Vercel — hospedagem e entrega da aplicação (servidores predominantemente nos EUA);
- Supabase — banco de dados e backend (servidores predominantemente nos EUA);
- Stripe — gateway de pagamento (servidores nos EUA; processa dados de pagamento do Usuário);
- Homio — CRM (servidores nos EUA; processa dados cadastrais do Usuário).
As transferências observam as garantias do art. 33 da LGPD, com base nos seguintes mecanismos:
- Cláusulas contratuais padrão (art. 33, II): contratos com os provedores contendo obrigações de proteção de dados equivalentes às da LGPD;
- Programas de conformidade globais (art. 33, VII): tanto a Vercel quanto a Supabase possuem certificação SOC 2 Type II e aderem a frameworks de proteção de dados de padrão internacional.
Retenção e Exclusão de Dados
A Zee.lu retém os dados pelo tempo necessário às finalidades para as quais foram coletados ou às obrigações legais aplicáveis:
| Categoria de dado | Prazo de retenção | Fundamento |
|---|---|---|
| Dados de cadastro e conta ativa | Enquanto a assinatura estiver ativa | Execução de contrato |
| Dados de conta cancelada | 30 dias após cancelamento | Legítimo interesse |
| Dados de pagamento e faturas | 5 anos após a transação | Obrig. legal — CTN, art. 195 |
| Logs de acesso | 6 meses | Obrig. legal — Lei 12.965/14, art. 15 |
| Certificado Digital A1 | 7 dias após cancelamento (sem backup) | Execução de contrato |
| Dados de Tomadores (NFS-e) | 30 dias após cancelamento (+90 dias backup) | Execução de contrato |
| Registros de NFS-e emitidas | 30 dias após cancelamento para exportação | Execução de contrato |
| Comunicações de suporte | 2 anos | Leg. interesse — resolução de disputas |
| Dados em processo judicial | Até o trânsito em julgado | Exercício regular de direitos (VI) |
A Zee.lu mantém os dados pelos prazos acima, mas não é responsável pela guarda dos XMLs de NFS-e para fins fiscais. A obrigação legal de retenção por 5 anos recai sobre o Usuário, que deve realizar o download de seus arquivos antes do encerramento do prazo pós-cancelamento.
Direitos dos Titulares
10.1. Direitos dos Usuários
Nos termos do art. 18 da LGPD, os Usuários têm os seguintes direitos:
| Direito | Descrição |
|---|---|
| Confirmação e acesso | Saber se tratamos seus dados e obter cópia deles |
| Correção | Corrigir dados incompletos, inexatos ou desatualizados |
| Anonimização / bloqueio / eliminação | Dos dados desnecessários, excessivos ou tratados em desconformidade |
| Portabilidade | Receber seus dados em formato estruturado (CSV ou JSON) para transferência a outro fornecedor |
| Eliminação por revogação | Dos dados tratados com base em consentimento, quando este for revogado |
| Informação sobre compartilhamento | Saber com quais entidades seus dados são compartilhados |
| Revogação do consentimento | Cancelar o consentimento, sem prejuízo de tratamentos anteriores |
| Oposição | Opor-se a tratamentos com base em legítimo interesse |
| Revisão de decisões automatizadas | Solicitar revisão de decisões tomadas exclusivamente por sistemas automatizados |
10.2. Como exercer seus direitos
- Enviar e-mail para privacidade@zee.lu com o assunto "Direitos LGPD — [tipo de solicitação]";
- Informar o nome completo ou razão social e CPF/CNPJ cadastrado;
- Descrever o direito que deseja exercer.
A Zee.lu responderá em até 15 dias corridos, conforme art. 18, §3º da LGPD. Podemos solicitar informações adicionais para confirmar a identidade do titular antes de atender à solicitação.
10.3. Limitações ao exercício de direitos
Alguns direitos podem ser limitados quando o tratamento for necessário para: cumprimento de obrigação legal; exercício regular de direitos em processo judicial ou administrativo; ou proteção da vida ou da segurança do titular. Nesses casos, a Zee.lu comunicará ao titular a impossibilidade de atendimento e seu fundamento legal.
10.4. Direitos dos Tomadores
Caso um Tomador entre em contato com a Zee.lu diretamente, ela o orientará a contatar o Usuário responsável e, quando tecnicamente possível, cooperará com o atendimento dentro de seu papel de operadora.
Cookies e Tecnologias de Rastreamento
11.1. Cookies são pequenos arquivos de texto armazenados no dispositivo ao acessar a plataforma. A Zee.lu utiliza cookies e tecnologias similares (localStorage, pixels) para garantir o funcionamento da plataforma e melhorar a experiência.
11.2. Categorias de cookies utilizados
| Categoria | Finalidade | Base Legal | Recusável? |
|---|---|---|---|
| Essenciais | Autenticação, segurança, sessão | Contrato (V) | Não — plataforma não funciona sem eles |
| Funcionais | Preferências e configurações salvas | Leg. interesse (IX) | Sim, com perda de funcionalidades |
| Analíticos | Métricas de uso agregadas e anonimizadas | Leg. interesse (IX) | Sim |
| Marketing | Comunicações direcionadas da Zee.lu | Consentimento (I) | Sim |
11.3. O Usuário pode gerenciar ou desativar cookies pelo painel de preferências exibido no primeiro acesso à plataforma, ou pelas configurações do seu navegador.
11.4. A Zee.lu utiliza ferramenta de análise de uso (listada na Seção 7.1) com anonimização de IP. Os dados coletados são agregados e não permitem identificação individual.
Segurança da Informação
A Zee.lu adota as seguintes medidas técnicas e organizacionais para proteger os dados pessoais:
Medidas técnicas
- Criptografia em trânsito (TLS 1.2+) e em repouso para dados sensíveis, incluindo Certificados Digitais e credenciais de prefeitura;
- Controle de acesso baseado em perfil (RBAC) com princípio do menor privilégio;
- Credenciais com requisitos de complexidade e política de rotação;
- Monitoramento contínuo de acessos e anomalias;
- Rotinas de backup com retenção, criptografia e rotação controlada.
Medidas organizacionais
- Política interna de segurança da informação;
- Acesso aos dados restrito a colaboradores com necessidade operacional justificada;
- Contratos com cláusulas de confidencialidade e proteção de dados com todos os suboperadores.
Nenhum sistema é 100% seguro. Em caso de incidente, a Zee.lu seguirá os procedimentos descritos na Seção 14.
Menores de Idade
A plataforma Zee.lu destina-se exclusivamente a pessoas jurídicas e profissionais autônomos com CNPJ ativo. Não coletamos intencionalmente dados de menores de 18 anos.
Se identificarmos que coletamos dados de menor de idade sem consentimento dos responsáveis legais, esses dados serão excluídos imediatamente. Para comunicar tal situação, entre em contato com privacidade@zee.lu.
Incidentes de Segurança
14.1. Detecção e contenção: Ao detectar um incidente que possa comprometer dados pessoais, a Zee.lu adotará imediatamente medidas de contenção e iniciará investigação para determinar a extensão e o impacto do evento.
14.2. Comunicação: Confirmado o incidente, a Zee.lu:
- Notificará a ANPD em até 3 dias úteis após a confirmação de incidente de alto risco, com relatório complementar em até 30 dias, conforme Resolução CD/ANPD nº 2/2022;
- Notificará os Usuários afetados em prazo razoável, com informações sobre: (a) natureza e categorias dos dados envolvidos; (b) medidas de contenção adotadas; (c) recomendações para proteção dos titulares;
- Registrará o incidente e as medidas adotadas em relatório interno para fins de governança e eventual fiscalização.
14.3. Canal de reporte: Suspeitas de incidentes ou vulnerabilidades podem ser reportadas para privacidade@zee.lu com o assunto "Incidente de Segurança".
Atualizações desta Política
Esta Política pode ser atualizada periodicamente para refletir mudanças na legislação, nos serviços da Zee.lu ou nas práticas de tratamento de dados.
- Qualquer alteração relevante será comunicada por e-mail com antecedência mínima de 30 dias;
- A versão vigente estará sempre disponível em zee.lu/privacidade;
- Versões anteriores serão mantidas em zee.lu/privacidade/historico por 24 meses.
A continuidade do uso da plataforma após a entrada em vigor da nova versão implica aceite das alterações.
Contato e Encarregado (DPO)
A Zee.lu designou um Encarregado pelo Tratamento de Dados (DPO), nos termos do art. 41 da LGPD, responsável por atuar como canal entre a empresa, os titulares e a ANPD.
- 🔒 E-mail DPO: privacidade@zee.lu
- 📋 Assuntos: "Direitos LGPD", "Privacidade" ou "Incidente de Segurança"
- 👤 Identidade do Encarregado: disponível mediante solicitação para privacidade@zee.lu
- 📍 Endereço: R. Abiail do Amaral Carneiro, 191, Sala 415 – Edif. Arábica, Enseada do Suá, Vitória/ES – CEP 29.050-535
Para contato geral: contato@zee.lu | (27) 3191-4466
| Versão | Data | Descrição |
|---|---|---|
| 1.0 | 18/05/2026 | Versão inicial |