Política de privacidade

A lista abaixo é a matriz de dados desta versão. Ela foi escrita de forma exaustiva para deixar claro o que pode aparecer durante o uso normal da plataforma.

• Dados de cadastro: nome completo, email, telefone, identificadores de conta e credenciais administradas pelo Supabase Auth.
• Dados do estabelecimento: razão social, nome comercial, CNPJ, cidade, UF, tipo de operação, quantidade de pessoas na equipe e média de refeições por dia.
• Dados da avaliação: respostas do checklist, plano de captura, status da avaliação, horários, identificadores internos e histórico de etapas.
• Evidências: fotos, documentos enviados, metadados de arquivo, MIME type, tamanho, dimensões, data da captura, caminho no storage e URLs temporárias quando geradas.
• Metadados de integridade: EXIF quando disponível, geolocalização quando ativa, hash perceptivo, flags de reuso, qualidade da imagem, rosto detectado, consentimento de pessoas fotografadas e confirmação de ausência de menores.
• Dados técnicos e de segurança: IP quando necessário, user agent, logs de acesso, eventos de auditoria, erros, latência, uso de tokens de IA e custos operacionais.
• Dados de pagamento: identificadores da preferência e do pagamento no Mercado Pago, status, valor, reembolso, email do pagador quando retornado pelo provedor e dados mínimos para conciliação.
• Comunicações: emails transacionais, entregas, falhas, pedidos de suporte e mensagens enviadas aos canais da VigiCheck.
• Métricas de navegação: eventos agregados pelo Plausible somente quando houver consentimento para analytics.

Os dados são usados para cadastro, autenticação, onboarding do estabelecimento, geração do plano de captura, upload seguro, análise assistiva, aplicação do motor de regras, revisão humana quando aplicável, emissão de relatório, envio de emails transacionais, suporte, pagamento, reembolso e prevenção de fraude.

Também usamos logs para investigar erros e manter auditoria. Exemplo: se uma foto de estoque falha no upload, o log ajuda a entender se houve problema de rede, tamanho de arquivo ou permissão.

Conforme o art. 7º e o art. 11 da Lei nº 13.709/2018 (LGPD), o tratamento é fundamentado nas seguintes bases legais, organizadas por categoria:

• Dados de cadastro, do estabelecimento, da avaliação e de pagamento: execução de contrato e procedimentos preliminares ao contrato (art. 7º, V).
• Evidências de ambientes (fotos de cozinha, equipamentos, áreas): execução de contrato (art. 7º, V), por serem essenciais ao diagnóstico contratado.
• Evidências com pessoas identificáveis (rostos, uniformes): consentimento específico (art. 7º, I) do titular fotografado. Quando o consentimento não estiver disponível, a captura é bloqueada e a regra correspondente recebe status indicativo "inconclusivo" ou "não avaliável remotamente".
• Logs técnicos, auditoria e prevenção de fraude: legítimo interesse do controlador (art. 7º, IX), com salvaguardas técnicas e organizacionais descritas na seção 10.
• Métricas agregadas de navegação (Plausible): consentimento específico (art. 7º, I). Sem consentimento, o script não é carregado.
• Comunicações transacionais (relatório pronto, complementação, refund): execução de contrato (art. 7º, V).

Quando a base for o consentimento, ele é coletado de forma destacada, informada e revogável, com indicação clara da finalidade, dos compartilhamentos previstos e das consequências da negativa. A revogação ocorre por procedimento gratuito e facilitado, conforme art. 8º, §5º da LGPD. O dever de informação clara ao titular segue o art. 9º da LGPD.

A VigiCheck usa provedores especializados. Cada um recebe apenas o necessário para executar sua função.

A lista operacional completa fica em Subprocessadores. Cada fornecedor opera sob contrato com cláusulas de proteção de dados compatíveis com a LGPD. Transferências internacionais estão descritas na seção 9.

• Supabase: autenticação, banco de dados, storage privado, políticas RLS e URLs assinadas para evidências.
• Anthropic: processamento assistivo de imagens e textos para extração de fatos atômicos e apoio ao relatório.
• Resend: envio de emails transacionais, como confirmação de cadastro, avisos de relatório e mensagens de suporte.
• Mercado Pago: checkout, confirmação de pagamento, antifraude, conciliação e reembolso.
• Plausible: métricas de navegação agregadas, somente depois do consentimento do usuário.

Durante o processamento de IA, fotos e contexto operacional podem transitar por servidores da Anthropic. O contexto enviado deve ser limitado ao que ajuda a leitura técnica: tipo de evidência, área do estabelecimento, regra aplicável e instruções para extrair fatos observáveis.

Não colocamos nos prompts nome de usuário, telefone, email, CPF, nomes de funcionários ou outros dados pessoais identificáveis. Pela política padrão da Anthropic API para produtos comerciais, entradas e saídas não são usadas para treinar modelos, salvo se houver opt-in ou envio explícito de feedback conforme regras do próprio fornecedor.

Fotos e evidências brutas de avaliações concluídas ficam retidas por até 90 dias após a conclusão do processamento. Depois desse prazo, a rotina operacional deve remover os objetos físicos do storage, preservando registros mínimos quando a lei ou uma necessidade de auditoria exigir.

Logs de auditoria ficam por 5 anos para rastreabilidade, segurança, prevenção de fraude e eventual exercício de direitos. Dados de conta e relatórios podem ficar disponíveis enquanto a conta estiver ativa ou enquanto forem necessários para cumprir obrigações legais, resolver suporte ou registrar histórico contratado.

Pelo art. 18 da LGPD, o titular pode solicitar, a qualquer momento:

• confirmação da existência de tratamento;
• acesso aos dados;
• correção de dados incompletos, inexatos ou desatualizados;
• anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desacordo com a LGPD;
• portabilidade dos dados, observadas as regras da ANPD e os segredos comercial e industrial;
• eliminação dos dados tratados com base no consentimento, salvo hipóteses legais de retenção;
• informação sobre entidades públicas e privadas com quem houve compartilhamento;
• informação sobre a possibilidade de não fornecer consentimento e sobre as consequências dessa escolha;
• revogação do consentimento por procedimento gratuito e facilitado;
• oposição a tratamento realizado em desacordo com a LGPD e peticionamento perante a ANPD ou órgãos de defesa do consumidor.

Alguns pedidos podem exigir confirmação de identidade. Se houver obrigação legal de retenção, explicaremos o motivo e manteremos apenas o necessário.

O encarregado pela proteção de dados pessoais (DPO) é encarregado em definição. Para exercer direitos ou tirar dúvidas sobre dados pessoais, escreva para privacidade@vigicheck.ia.br. Inclua o email usado na conta e descreva o pedido com clareza. Evite mandar documentos sensíveis no primeiro contato; se precisarmos confirmar identidade, pediremos pelo canal adequado.

Pedidos simples serão respondidos em formato facilitado. Pedidos que exijam declaração completa de tratamento seguirão o prazo de 15 dias previsto no art. 19 da LGPD, prorrogável conforme as hipóteses da própria lei.

O titular tem direito de peticionar perante a Autoridade Nacional de Proteção de Dados (ANPD) sempre que entender que seus direitos foram violados, conforme art. 18, §1º da LGPD. Os canais oficiais da ANPD estão disponíveis em gov.br/anpd.

Ao usar a análise assistiva, dados técnicos e evidências podem ser transferidos para processamento em infraestrutura da Anthropic nos Estados Unidos. Outros provedores também podem operar infraestrutura ou subprocessadores fora do Brasil.

Quando houver transferência internacional, a VigiCheck deve usar fornecedores com controles contratuais, técnicos e organizacionais compatíveis com a proteção dos dados tratados.

As principais medidas incluem criptografia em trânsito com TLS, criptografia em repouso nos provedores, RLS no Supabase, buckets privados, URLs assinadas com validade curta, uso de service role apenas no servidor e logs de auditoria para ações sensíveis.

Também limitamos o uso de dados nos prompts de IA e recomendamos que fotos sejam feitas sem rostos visíveis. Nenhuma medida elimina todo risco, mas a arquitetura foi desenhada para reduzir exposição e manter rastreabilidade.

A VigiCheck é operada por Razão social em definição, inscrita no CNPJ CNPJ em definição, com endereço em endereço operacional em definição. Para finalidades de proteção de dados, o controlador adota as medidas técnicas e organizacionais descritas nesta política.

Esta política pode ser atualizada para refletir mudanças regulatórias, novos fornecedores ou ajustes operacionais. Quando a mudança afetar materialmente os direitos do titular ou a base legal de tratamento, comunicaremos por email transacional aos usuários ativos com antecedência mínima de 15 dias.

O histórico de versões fica disponível mediante solicitação pelo canal do encarregado.