1. Quem somos
A Meiri Tecnologia Ltda — ME (CNPJ 66.023.424/0001-80),
com sede em Goiânia – GO, é a empresa responsável pelo aplicativo e
plataforma Meiri ("a Meiri" ou "o serviço") — solução
digital para Microempreendedores Individuais (MEI) que automatiza
a emissão de NFS-e, o acompanhamento de faturamento anual e
a gestão de guias DAS/DASN-SIMEI.
Esta Política de Privacidade descreve quais dados coletamos,
por que coletamos, como usamos e como você pode exercer seus
direitos sobre eles, em conformidade com a
Lei Geral de Proteção de Dados Pessoais (LGPD —
Lei nº 13.709/2018).
2. Dados que coletamos
2.1 Dados fornecidos por você no cadastro
- CNPJ do MEI — necessário para emissão de NFS-e junto à prefeitura.
- Nome completo e e-mail — identificação e comunicação da conta.
- Senha — armazenada em formato de hash criptográfico (nunca em texto puro).
2.2 Dados do negócio inseridos para uso do serviço
- Dados de clientes (tomadores de serviço): nome, CNPJ ou CPF, endereço — inseridos por você para emissão de notas fiscais.
- Valores de serviços: valor e descrição dos serviços prestados, por nota emitida.
- Certificado Digital A1: arquivo do certificado digital necessário para assinar eletronicamente as NFS-e. Armazenado de forma criptografada em nossos servidores. Este é o dado mais sensível do sistema e seu acesso é estritamente restrito.
2.3 Dados de pagamento
O pagamento da assinatura é processado pela
Asaas Gestão Financeira Instituição de Pagamento S.A.
Os dados de cartão de crédito nunca passam pelos nossos
servidores — são inseridos diretamente na plataforma Asaas.
Recebemos apenas a confirmação de pagamento e dados básicos da cobrança
(status, data, valor).
2.4 Dados coletados automaticamente
- Logs de acesso: data/hora de autenticação, endereço IP — para segurança e diagnóstico.
- Dados de uso: ações realizadas no app (emissão, consulta, cancelamento) — para melhoria do serviço.
Minimização de dados: coletamos apenas o que é estritamente necessário para o funcionamento do serviço. Não coletamos dados de localização, contatos do celular, redes sociais ou qualquer informação além do descrito acima.
3. Para que usamos seus dados
- Criar e manter sua conta na plataforma.
- Transmitir NFS-e às prefeituras em seu nome, usando seu certificado digital A1.
- Calcular e exibir seu faturamento acumulado e limites MEI.
- Sincronizar o status de notas emitidas com a base nacional da prefeitura.
- Processar cobranças da assinatura via Asaas.
- Enviar lembretes de vencimento de DAS e comunicações relacionadas ao serviço.
- Detectar e prevenir acessos não autorizados e fraudes.
- Cumprir obrigações legais aplicáveis.
4. Base legal para o tratamento (LGPD)
Tratamos seus dados com base nas seguintes hipóteses legais do Art. 7º da LGPD:
- Execução de contrato (Art. 7º, V): a maior parte do tratamento é necessária para prestar o serviço contratado — sem seus dados de CNPJ e certificado A1, não é possível emitir notas.
- Obrigação legal (Art. 7º, II): dados fiscais e de emissão são exigidos pela legislação tributária brasileira.
- Legítimo interesse (Art. 7º, IX): logs de segurança e melhoria do serviço, ponderando sempre a minimização do impacto sobre sua privacidade.
- Consentimento (Art. 7º, I): comunicações de marketing, quando aplicável. Você pode revogar a qualquer momento.
5. Com quem compartilhamos seus dados
Seus dados são compartilhados somente com:
- Prefeituras municipais e SEFIN: transmissão das NFS-e conforme exigência legal, usando as APIs oficiais do sistema nacional de NFS-e.
- Asaas: processamento de pagamento da sua assinatura. Veja a Política de Privacidade da Asaas.
- Autoridade Certificadora (emissão do certificado A1): quando você solicita o certificado via parceria da Meiri, seus dados são transmitidos à AC parceira para validação de identidade — exigência legal para emissão do certificado.
Não vendemos, alugamos ou cedemos seus dados a terceiros para fins comerciais ou de marketing.
6. Armazenamento e segurança
- Dados armazenados em servidor dedicado (VPS) com acesso restrito por chave SSH.
- Certificados digitais A1 armazenados de forma criptografada. O acesso é estritamente restrito e nunca registrado em logs externos.
- Senhas armazenadas exclusivamente em hash — nenhum colaborador ou sistema tem acesso à senha original.
- Dados de cartão de crédito nunca são armazenados em nossos servidores.
- Acesso à infraestrutura restrito ao time técnico essencial, com controles de autenticação.
7. Por quanto tempo guardamos seus dados
- Durante a assinatura ativa: todos os dados necessários para o serviço são mantidos.
- Após o cancelamento: dados fiscais (notas emitidas, faturamento) podem ser retidos por até 5 anos, conforme exigência da legislação tributária brasileira (Art. 195 do CTN).
- Dados de conta: excluídos em até 90 dias após solicitação de exclusão, ressalvadas obrigações legais de retenção.
- Certificado digital A1: excluído imediatamente após o cancelamento ou a pedido do titular, salvo obrigação legal em contrário.
8. Seus direitos (LGPD — Art. 18)
Você tem direito a:
- Confirmação de que tratamos seus dados.
- Acesso aos dados que temos sobre você.
- Correção de dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade com a LGPD.
- Portabilidade dos seus dados para outro fornecedor.
- Exclusão dos dados tratados com base no seu consentimento.
- Informação sobre com quem compartilhamos seus dados.
- Revogação do consentimento a qualquer momento.
Para exercer qualquer desses direitos, entre em contato pelo canal abaixo.
9. Armazenamento local e notificações
A Meiri não utiliza cookies HTTP de rastreamento ou publicidade.
Sessão autenticada (base legal: Art. 7º, V — execução de contrato):
o token de autenticação é armazenado localmente no dispositivo do usuário.
No app mobile, isso ocorre via Keychain (iOS) ou Keystore (Android),
com proteção criptográfica nativa do sistema operacional.
Na versão web, o token é mantido no localStorage do navegador —
mecanismo que oferece persistência local, mas sem criptografia equivalente à do mobile.
Notificações push (base legal: Art. 7º, I — consentimento):
ao optar por ativar notificações na versão web, o navegador comunica-se com o
serviço de push do seu fabricante (Google, Apple ou Mozilla, dependendo do dispositivo)
para gerar um endereço de entrega. O estado dessa inscrição é armazenado
localmente no localStorage do navegador. Nenhum dado é
compartilhado com terceiros para fins de publicidade ou marketing.
Caso a Meiri passe a utilizar cookies de terceiros para análise de audiência
ou marketing no futuro, isso será comunicado previamente e estará sujeito ao
seu consentimento específico, por meio de banner dedicado.
10. Medidas de segurança
A Meiri adota medidas técnicas e organizacionais para proteger os dados dos usuários.
Os principais controles aplicados são:
-
Transporte criptografado: toda comunicação entre o app e os
servidores ocorre exclusivamente via HTTPS (TLS), com HSTS ativado para impedir
downgrades para conexões não seguras.
-
Autenticação por token: o token de sessão nunca trafega como
cookie HTTP — é enviado como cabeçalho
Authorization: Bearer a
cada requisição, e validado pelo servidor a cada chamada (sem cache de sessão
no backend).
-
Verificação de propriedade (anti-IDOR): o servidor verifica,
em cada operação, que o recurso solicitado pertence ao usuário autenticado.
Não é possível acessar dados de outro usuário mesmo com um token válido.
-
Certificado Digital A1: quando depositado, o arquivo e a senha
de acesso são criptografados com AES-256-GCM (padrão militar) antes de
armazenados. A chave mestra de criptografia não é armazenada junto dos dados e
não trafega pela rede.
-
Limite de tentativas: a API aplica rate limiting automático —
operações sensíveis (emissão fiscal, upload de certificado) têm limite
de tentativas por janela de tempo para bloquear ataques de força bruta.
-
Armazenamento seguro no mobile: no app Android e iOS, o token
de sessão é armazenado na área segura do sistema operacional (Keychain/Keystore),
inacessível a outros aplicativos.
-
Erros sem vazamento de informação: em caso de falha no servidor,
as mensagens de erro retornadas ao app não contêm detalhes técnicos internos
que possam auxiliar um eventual atacante.
Nenhum sistema é 100% imune a incidentes. Em caso de vazamento ou acesso não
autorizado que possa afetar seus dados, a Meiri notificará os titulares afetados
e a ANPD dentro dos prazos legais previstos na LGPD.
11. Menores de idade
A Meiri é destinada a Microempreendedores Individuais, que por
definição legal são maiores de 18 anos. Não coletamos dados
de menores de forma intencional. Se identificarmos dados de
menor cadastrado, os dados serão excluídos imediatamente.
12. Alterações nesta Política
Quando houver alterações relevantes, notificaremos os usuários
ativos por e-mail com antecedência mínima de 15 dias.
A versão vigente é sempre a disponível nesta página,
com a data de última atualização indicada no topo.
12. Encarregado de Dados (DPO) e contato