vapt

Política de Privacidade — [NOME DA EMPRESA]

Última atualização: [DATA] Vigência: [DATA]

1. Introdução

A [NOME DA EMPRESA], inscrita no CNPJ sob o nº [CNPJ], com sede em [ENDEREÇO] ("vapt", "nós" ou "nossa"), está comprometida com a proteção da privacidade e dos dados pessoais de seus usuários, em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — "LGPD").

Esta Política de Privacidade descreve como coletamos, usamos, armazenamos, compartilhamos e protegemos os dados pessoais no âmbito da plataforma SaaS vapt, destinada a lojistas que desejam criar catálogos digitais, processar pagamentos e gerenciar comunicação com seus clientes.

2. Definições

Para fins desta Política, aplicam-se as seguintes definições, conforme a LGPD:

  • Dado pessoal: informação relacionada a pessoa natural identificada ou identificável (art. 5º, I).
  • Titular: pessoa natural a quem se referem os dados pessoais (art. 5º, V).
  • Controlador: pessoa natural ou jurídica a quem competem as decisões referentes ao tratamento de dados pessoais (art. 5º, VI).
  • Operador: pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador (art. 5º, VII).
  • Tratamento: toda operação realizada com dados pessoais, como coleta, armazenamento, modificação, comunicação, entre outras (art. 5º, X).

3. Papéis e Responsabilidades

3.1. vapt como Controladora

A vapt atua como controladora dos dados pessoais de seus assinantes (lojistas que contratam a plataforma), sendo responsável pelas decisões sobre o tratamento desses dados.

3.2. vapt como Operadora

A vapt atua como operadora dos dados pessoais dos consumidores finais (clientes dos lojistas), realizando o tratamento em nome e sob instruções dos lojistas, que são os controladores desses dados.

Essa relação é regida pelo Contrato de Operador (Doc. 5), que estabelece obrigações, responsabilidades e medidas de segurança aplicáveis ao tratamento realizado pela vapt.

4. Dados Pessoais Coletados

4.1. Dados de Assinantes (Lojistas)

Quando você se cadastra como lojista na plataforma vapt, coletamos as seguintes categorias de dados:

Dados cadastrais:

  • Nome completo ou razão social
  • CPF ou CNPJ
  • Endereço comercial
  • Telefone e e-mail de contato
  • Dados de acesso (login e senha criptografada)

Dados de pagamento:

  • Informações de cobrança (plano contratado, forma de pagamento)
  • Dados bancários (quando aplicável)
  • Histórico de transações e faturas

Dados de uso da plataforma:

  • Logs de acesso (IP, data/hora, navegador, dispositivo)
  • Interações com funcionalidades (criação de catálogos, envio de mensagens, configurações)
  • Dados de performance (tempo de sessão, páginas visitadas)

4.2. Dados de Consumidores Finais (Clientes dos Lojistas)

Os consumidores finais que interagem com os catálogos criados pelos lojistas fornecem dados pessoais que são controlados pelo lojista e operados pela vapt. Esses dados incluem:

Dados de identificação:

  • Nome completo
  • CPF (quando necessário para emissão de nota fiscal ou pagamento PIX)
  • Telefone (para comunicação via WhatsApp)
  • E-mail (quando fornecido)

Dados de pedido:

  • Produtos selecionados
  • Endereço de entrega
  • Histórico de pedidos

Dados de pagamento:

  • Informações de transação PIX (processadas pelo Asaas)
  • Comprovantes de pagamento

Dados de comunicação:

  • Mensagens trocadas via GPTMaker ou WhatsApp Cloud API
  • Preferências de contato

5. Bases Legais para o Tratamento (LGPD)

A vapt trata dados pessoais com fundamento nas seguintes bases legais, conforme art. 7º da LGPD:

5.1. Execução de contrato (art. 7º, V)

  • Dados de assinantes necessários para prestação do serviço SaaS contratado
  • Dados de consumidores finais necessários para processamento de pedidos e entregas

5.2. Legítimo interesse (art. 7º, IX)

  • Prevenção de fraudes e segurança da plataforma
  • Melhoria e personalização dos serviços oferecidos
  • Análise de uso e performance para otimização da experiência do usuário
  • Comunicações diretas sobre atualizações críticas de segurança ou funcionalidades

5.3. Consentimento (art. 7º, I)

  • Envio de comunicações de marketing e promoções (opt-in)
  • Uso de cookies não essenciais (conforme Política de Cookies)
  • Compartilhamento de dados para finalidades não previstas nesta Política

5.4. Cumprimento de obrigação legal ou regulatória (art. 7º, II)

  • Retenção de dados fiscais e contábeis conforme legislação brasileira
  • Fornecimento de informações a autoridades competentes mediante ordem judicial

6. Finalidades do Tratamento

6.1. Finalidades para dados de assinantes (lojistas)

  • Criação e gerenciamento de conta na plataforma
  • Processamento de pagamentos e emissão de faturas
  • Prestação de suporte técnico
  • Comunicação sobre atualizações, manutenções e novas funcionalidades
  • Análise de uso para melhoria da plataforma
  • Cumprimento de obrigações contratuais e legais

6.2. Finalidades para dados de consumidores finais

  • Processamento de pedidos realizados nos catálogos dos lojistas
  • Facilitação de pagamentos via PIX (integração com Asaas)
  • Comunicação sobre status de pedidos via WhatsApp
  • Atendimento e suporte ao consumidor (quando solicitado pelo lojista)

7. Compartilhamento de Dados

A vapt pode compartilhar dados pessoais com terceiros nas seguintes hipóteses:

7.1. Sub-operadores e prestadores de serviço

Para operação da plataforma, compartilhamos dados com os seguintes sub-operadores:

| Sub-operador | Finalidade | Dados compartilhados | Localização | |--------------|------------|---------------------|-------------| | Supabase | Hospedagem de banco de dados | Todos os dados cadastrais, transacionais e de uso | Brasil (self-hosted) | | Vercel | Hospedagem da aplicação web | Logs de acesso, dados de sessão | EUA (com cláusulas de proteção) | | Asaas | Processamento de pagamentos PIX | Dados de pagamento (CPF, valor, chave PIX) | Brasil | | GPTMaker | Automação de mensageria | Número de telefone, conteúdo de mensagens | Brasil | | Meta (WhatsApp Cloud API) | Envio de mensagens WhatsApp | Número de telefone, conteúdo de mensagens | EUA/Global (com cláusulas de proteção) |

Nota: Todos os sub-operadores são contratados mediante cláusulas de proteção de dados compatíveis com a LGPD (art. 39). Veja o Mapeamento de Sub-operadores (Doc. 6) para mais detalhes.

7.2. Transferência internacional de dados

Alguns sub-operadores, como Vercel e Meta (WhatsApp), possuem servidores localizados fora do Brasil (principalmente EUA). Para essas transferências internacionais, adotamos as seguintes salvaguardas (art. 33, LGPD):

  • Cláusulas contratuais padrão de proteção de dados
  • Garantia de que o nível de proteção é equivalente ao previsto na LGPD
  • Mecanismos de criptografia em trânsito e em repouso

7.3. Compartilhamento por determinação legal

Podemos compartilhar dados pessoais quando exigido por lei, ordem judicial, requisição de autoridade competente (ex.: ANPD, Ministério Público, Receita Federal) ou para proteção de direitos da vapt e de terceiros.

7.4. Compartilhamento com o consentimento do titular

Qualquer compartilhamento fora das hipóteses acima será realizado apenas mediante consentimento expresso do titular.

8. Direitos dos Titulares

Conforme arts. 17 a 22 da LGPD, os titulares de dados pessoais têm os seguintes direitos:

  • Confirmação e acesso (art. 18, I e II): saber se tratamos seus dados e obter cópia deles
  • Correção (art. 18, III): solicitar correção de dados incompletos, inexatos ou desatualizados
  • Anonimização, bloqueio ou eliminação (art. 18, IV): requerer a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade
  • Portabilidade (art. 18, V): receber seus dados em formato estruturado e interoperável
  • Eliminação de dados tratados com consentimento (art. 18, VI): solicitar exclusão de dados tratados com base em consentimento
  • Informação sobre compartilhamento (art. 18, VII): saber com quais entidades públicas e privadas compartilhamos seus dados
  • Informação sobre a possibilidade de não consentir (art. 18, VIII): ser informado sobre as consequências de não fornecer consentimento
  • Revogação do consentimento (art. 18, IX): retirar o consentimento a qualquer momento

8.1. Como exercer seus direitos

Para exercer qualquer dos direitos acima, entre em contato com nosso Encarregado de Proteção de Dados (DPO):

  • E-mail: [EMAIL DPO]
  • Formulário: [LINK PARA FORMULÁRIO DE SOLICITAÇÃO]

Responderemos às solicitações em até 15 (quinze) dias corridos, conforme art. 19 da LGPD.

9. Retenção e Eliminação de Dados

A vapt retém dados pessoais pelo tempo necessário para cumprir as finalidades descritas nesta Política, observando os seguintes prazos:

| Categoria de dados | Prazo de retenção | |--------------------|-------------------| | Dados cadastrais de assinantes | Enquanto a conta estiver ativa + 5 anos após cancelamento (fins fiscais/legais) | | Dados de pagamento | 5 anos após a transação (obrigações fiscais e contábeis) | | Logs de acesso e segurança | 6 meses (Marco Civil da Internet, art. 15) | | Dados de consumidores finais | Conforme instruções do lojista-controlador (mínimo legal: até finalização da transação + prazo de garantia/reclamação CDC) | | Cookies não essenciais | Conforme Política de Cookies (geralmente 12 meses ou até revogação) |

Após o término dos prazos de retenção, os dados serão eliminados ou anonimizados, salvo quando a manutenção for exigida por lei ou para exercício regular de direitos.

10. Segurança da Informação

A vapt adota medidas técnicas e administrativas para proteger dados pessoais contra acessos não autorizados, destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito (art. 46, LGPD).

Medidas de segurança implementadas:

  • Criptografia de dados em trânsito (TLS/SSL) e em repouso (AES-256)
  • Controle de acesso baseado em funções (RBAC)
  • Autenticação multifator para acessos administrativos
  • Logs de auditoria e monitoramento contínuo
  • Backup regular e plano de recuperação de desastres
  • Treinamento de equipe sobre boas práticas de proteção de dados
  • Avaliação periódica de vulnerabilidades e testes de segurança

11. Incidentes de Segurança

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a vapt adotará as seguintes medidas (art. 48, LGPD):

  1. Comunicação à ANPD: em prazo razoável (orientação: até 72 horas após ciência do incidente)
  2. Comunicação ao titular afetado: mediante aviso individual ou, quando inviável, por meio público
  3. Descrição do incidente: natureza dos dados afetados, titulares envolvidos, medidas técnicas e de segurança adotadas para mitigação
  4. Medidas corretivas: ações imediatas para reverter ou mitigar os efeitos do incidente

Para mais detalhes, consulte nosso Plano de Resposta a Incidentes (Doc. 14).

12. Cookies e Tecnologias Similares

A vapt utiliza cookies e tecnologias similares (pixels, web beacons, armazenamento local) para melhorar a experiência do usuário, personalizar conteúdos e analisar o uso da plataforma.

Para informações detalhadas sobre os tipos de cookies utilizados, suas finalidades e como gerenciá-los, consulte nossa Política de Cookies (Doc. 9).

13. Menores de Idade

A plataforma vapt é destinada exclusivamente a pessoas jurídicas (lojistas) e pessoas naturais maiores de 18 anos.

Não coletamos intencionalmente dados de menores de 18 anos. Caso tomemos conhecimento de que coletamos dados de menor sem o consentimento dos pais ou responsáveis, tomaremos medidas para excluí-los imediatamente.

14. Alterações nesta Política

Esta Política de Privacidade pode ser atualizada periodicamente para refletir mudanças em nossas práticas, tecnologias ou exigências legais.

Alterações substanciais serão comunicadas aos assinantes por e-mail ou aviso destacado na plataforma, com antecedência mínima de 15 (quinze) dias.

O uso continuado da plataforma após a entrada em vigor das alterações constitui aceitação da nova Política. Caso não concorde com as mudanças, você poderá cancelar sua conta.

15. Encarregado de Proteção de Dados (DPO)

Conforme art. 41 da LGPD, a vapt designou um Encarregado de Proteção de Dados (Data Protection Officer — DPO) para atuar como canal de comunicação entre a empresa, os titulares de dados e a ANPD.

Contato do DPO:

  • Nome: [NOME DO DPO]
  • E-mail: [EMAIL DPO]
  • Endereço: [ENDEREÇO]

16. Lei Aplicável e Foro

Esta Política é regida pelas leis da República Federativa do Brasil, especialmente pela Lei nº 13.709/2018 (LGPD), Lei nº 12.965/2014 (Marco Civil da Internet) e Lei nº 8.078/1990 (Código de Defesa do Consumidor).

Para dirimir controvérsias relacionadas a esta Política, fica eleito o foro da comarca de [CIDADE/ESTADO], com renúncia expressa a qualquer outro, por mais privilegiado que seja.

[NOME DA EMPRESA] CNPJ: [CNPJ] Endereço: [ENDEREÇO] E-mail: [EMAIL DPO]

Nota de Revisão Jurídica

IMPORTANTE: Este documento foi elaborado como modelo base e deve ser obrigatoriamente revisado por advogado especializado em proteção de dados antes de sua implementação. A revisão jurídica é essencial para:

  • Adequação ao contexto específico da empresa e suas operações
  • Validação das bases legais adotadas
  • Conformidade com orientações da ANPD e jurisprudência atualizada
  • Compatibilização com demais documentos contratuais
  • Avaliação de riscos e responsabilidades específicas

A utilização deste documento sem revisão jurídica adequada é de responsabilidade exclusiva do usuário.