Voltar ao início

Documento legal

Política de Privacidade

Última atualização: 6 de junho de 2026

Esta Política descreve, de forma transparente, como o carnauba.io(“Plataforma”, “nós”) coleta, usa, compartilha e protege dados pessoais, em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD — Lei nº 13.709/2018). Ela complementa os nossos Termos de Uso.

1. Quem é o controlador

O carnauba.io é operado por [PREENCHER: razão social e CNPJ — ou CPF/MEI — do operador da Plataforma], doravante referido como “Plataforma” ou “nós”, acessível em carnauba-io.vercel.app.

Para questões relacionadas à proteção de dados pessoais, mantemos um canal de contato dedicado — veja a seção 12 (“Contato do encarregado”).

2. Dados que coletamos

Existem dois titulares de dados na Plataforma: (a) o lojista que assina o carnauba.io para gerir o próprio negócio e (b) os clientes finais do lojista, cujos dados ele insere ou recebe por meio da Plataforma. Veja como tratamos os dados de cada um.

(a) Dados do lojista — quem assina a Plataforma

  • Credenciais de acesso: e-mail e senha, geridos pelo Supabase Auth — armazenamos apenas o hash da senha, nunca em texto puro;
  • Dados de perfil do negócio: nome fantasia, número de WhatsApp, usuário do Instagram e logotipo;
  • Dados da organização: nome do negócio e identificador público (slug) usado no endereço da Vitrine;
  • Dados de assinatura: identificadores de cliente e de assinatura no Stripe e o plano contratado — não armazenamos números completos de cartão, que ficam exclusivamente sob custódia do Stripe;
  • Registros de uso e auditoria: ações administrativas relevantes (por exemplo, mudanças de plano), associadas à sua conta.

(b) Dados de clientes finais — inseridos pelo lojista ou enviados pela Vitrine

No uso normal da Plataforma, o lojista cadastra (manualmente ou recebe pela Vitrine pública) dados pessoais dos próprios clientes:

  • Identificação e contato: nome, telefone/WhatsApp, e-mail e observações de relacionamento;
  • Dados do veículo: marca, modelo, ano, cor, placa e categoria;
  • Histórico de relacionamento: agendamentos (data, horário, serviços, status, valor estimado, forma de pagamento, observações), notas de serviço e participação no programa de fidelidade (carimbos acumulados e resgates);
  • Depoimentos públicos: nome do autor, texto e nota cadastrados pelo lojista para exibição na Vitrine, quando essa exibição estiver habilitada.

Esses dados chegam à Plataforma de duas formas: (i) inseridos diretamente pelo lojista em sua área administrativa, a partir do relacionamento que ele já mantém com o próprio cliente, ou (ii) informados voluntariamente pelo cliente final ao preencher o formulário de auto-agendamento na Vitrine pública (nome, telefone, dados do veículo e serviços desejados).

3. Finalidades e bases legais

Tratamos dados pessoais para as finalidades abaixo, sempre apoiados em uma das bases legais previstas no art. 7º da LGPD:

  • Execução de contrato (art. 7º, V): criar e manter sua conta, viabilizar o login, processar a assinatura e fornecer as funcionalidades de agenda, CRM, vitrine, fidelidade, estoque, notas e relatórios contratadas;
  • Cumprimento de obrigação legal ou regulatória (art. 7º, II): manter registros de notas de serviço e responder a determinações de autoridades competentes;
  • Legítimo interesse (art. 7º, IX): prevenir fraude e uso indevido — como a verificação de senhas vazadas no cadastro —, garantir a segurança da informação e manter e melhorar a Plataforma, sempre de forma proporcional e sem prejudicar seus direitos e liberdades fundamentais;
  • Consentimento (art. 7º, I): quando o cliente final preenche voluntariamente o formulário de auto-agendamento na Vitrine pública, fornecendo seus próprios dados diretamente para fins de agendamento com o lojista escolhido.

4. Operador e controlador: quem responde pelo quê

O carnauba.io ocupa dois papéis diferentes, conforme o titular dos dados:

  • Controlador dos dados de cadastro do lojista — e-mail, senha, dados de perfil do negócio e de assinatura —, pois somos nós quem decide as finalidades e os meios desse tratamento;
  • Operador dos dados pessoais dos clientes finais que o lojista insere ou coleta por meio da Plataforma. Tratamos esses dados estritamente conforme as instruções do lojista e para viabilizar as funcionalidades por ele contratadas — o lojista é o Controladordesses dados perante seus próprios clientes, conforme detalhado na seção 4 (“Obrigações do usuário lojista”) dos nossos Termos de Uso.

5. Compartilhamento com terceiros / sub-operadores

Para operar a Plataforma, compartilhamos dados pessoais com prestadores de serviço (sub-operadores) que tratam dados sob nossas instruções, exclusivamente para viabilizar o funcionamento do carnauba.io:

  • Supabase — banco de dados, autenticação e armazenamento de arquivos (logotipos), com infraestrutura hospedada na AWS, região us-west-2 (Oregon, Estados Unidos);
  • Stripe — processamento dos pagamentos da assinatura do lojista, incluindo dados de cobrança e identificadores de cliente/assinatura;
  • Vercel — hospedagem e entrega da aplicação web;
  • Have I Been Pwned (HIBP) — verificação de senhas comprometidas no momento do cadastro. Apenas um fragmento de 5 caracteres do hash da senha é enviado (modelo de k-anonimato), sem qualquer dado pessoal identificável trafegando para esse serviço;
  • Webhook configurado pelo próprio lojista (por exemplo, integrações via Telegram/Make.com) — quando o lojista cadastra uma URL de notificação em suas configurações, dados do agendamento (incluindo nome e telefone do cliente final) são enviados a essa URL para avisos em tempo real. A escolha e a configuração segura desse destino são de responsabilidade do lojista, na condição de controlador desses dados.

Não compartilhamos dados pessoais com terceiros para fins de publicidade nem comercializamos dados pessoais.

6. Cookies e tecnologias semelhantes

Utilizamos apenas cookies estritamente necessários ao funcionamento da Plataforma, gerados pelo Supabase Auth para manter sua sessão autenticada após o login. Não utilizamos cookies de publicidade, rastreamento entre sites ou análise de comportamento de terceiros, nem armazenamos dados pessoais em localStorage ou sessionStorage do navegador.

7. Armazenamento, segurança e transferência internacional

Os dados são armazenados em bancos de dados gerenciados pelo Supabase, hospedados em servidores da AWS na região us-west-2 (Oregon, Estados Unidos). Isso configura uma transferência internacional de dados, realizada com base nas hipóteses do art. 33 da LGPD e nas salvaguardas contratuais oferecidas pelos nossos fornecedores.

Adotamos medidas técnicas e organizacionais de segurança, incluindo:

  • Row Level Security (RLS) no banco de dados, isolando os dados de cada organização (tenant) por meio de políticas que restringem o acesso ao próprio proprietário dos registros;
  • Verificação de senhas vazadas no cadastro, recusando senhas comprometidas;
  • Controle de acesso por papéis dentro de cada organização (proprietário, administrador, membro);
  • Uso de chaves de API com hash, em vez de texto puro, para integrações externas.

Apesar dos nossos esforços, nenhum sistema é absolutamente seguro. Caso ocorra um incidente de segurança que possa acarretar risco relevante aos titulares, adotaremos as medidas e comunicações exigidas pela LGPD.

8. Retenção e exclusão de dados

Mantemos os dados pessoais enquanto a sua conta estiver ativa e pelo tempo necessário para cumprir as finalidades descritas nesta Política, prazos legais aplicáveis (por exemplo, fiscais) ou para o exercício regular de direitos em processos administrativos, judiciais ou arbitrais. Ao encerrar a sua conta, você pode solicitar a exclusão dos seus dados e dos dados dos seus Clientes Finais armazenados na Plataforma; alguns registros podem ser retidos por período adicional quando a lei assim exigir ou para resguardo de direitos.

9. Direitos do titular dos dados

Nos termos do art. 18 da LGPD, o titular dos dados pode solicitar, a qualquer momento e mediante requisição expressa:

  • Confirmação da existência de tratamento e acesso aos dados;
  • Correção de dados incompletos, inexatos ou desatualizados;
  • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
  • Portabilidade dos dados a outro fornecedor de serviço, mediante requisição expressa;
  • Eliminação dos dados pessoais tratados com base no consentimento;
  • Informações sobre as entidades públicas e privadas com as quais compartilhamos dados;
  • Revogação do consentimento, quando essa for a base legal do tratamento.

Se você é lojista (assinante da Plataforma), exerça esses direitos sobre os seus próprios dados de cadastro pelo canal indicado na seção 12.

Se você é cliente final de um negócio que usa o carnauba.io, o controlador dos seus dados é esse estabelecimento (ver seção 4) — recomendamos contatá-lo diretamente. Ainda assim, você também pode nos procurar pelo canal da seção 12: nós encaminharemos sua solicitação ao lojista responsável e prestaremos o suporte técnico necessário para que ela seja atendida.

10. Dados de menores de idade

A Plataforma destina-se a negócios e profissionais maiores de 18 anos, não sendo direcionada a crianças ou adolescentes, e não coletamos intencionalmente dados pessoais de menores de idade. Caso identifiquemos dados de menores inseridos sem consentimento dos pais ou responsáveis legais e sem outra base legal aplicável, adotaremos as medidas cabíveis para sua remoção.

11. Alterações nesta política

Podemos atualizar esta Política periodicamente para refletir mudanças em nossas práticas, na Plataforma ou na legislação aplicável. A data de “Última atualização” no topo desta página indica a versão vigente; alterações relevantes serão comunicadas por e-mail ou por aviso na própria Plataforma.

12. Contato do encarregado (DPO)

Para exercer os direitos descritos nesta Política, tirar dúvidas ou enviar solicitações relacionadas à proteção de dados pessoais, entre em contato com o nosso encarregado pelo e-mail contato@carnaubaio.com.br.