Política de Privacidade

Esta Política de Privacidade explica como o Xecou, operado por [INSERIR RAZÃO SOCIAL] (CNPJ [INSERIR CNPJ], sede em [INSERIR ENDEREÇO]), coleta, usa, armazena, compartilha e protege os dados pessoais de seus usuários. Ao utilizar nossa plataforma, você concorda com as práticas descritas aqui.

1. Encarregado de Dados (DPO)

Em cumprimento ao artigo 41 da LGPD, designamos:

• Nome: Fernando Moura Marques
• Email: privacidade@xecou.com.br
• Telefone: +55 63 9 8148-4111 (mesmo do suporte)

Use os contatos acima para exercer seus direitos como titular, esclarecer dúvidas ou reportar incidentes.

2. Dados que coletamos

2.1 Dados de cadastro

• Nome completo
• Email
• Telefone (opcional, usado para alertas via WhatsApp)
• Senha (armazenada como hash criptográfico irreversível)

2.2 Dados de cobrança

• CPF ou CNPJ do titular da assinatura
• Razão social ou nome
• Dados de pagamento (cartão, conta bancária para PIX/boleto) são processados diretamente pela Asaas — não armazenamos dados de cartão em nossos servidores

2.3 Dados operacionais

• Nome de funcionários cadastrados como operadores/gerentes
• Fotos enviadas como evidência de execução de checklists, contendo metadados de geolocalização (latitude/longitude) e timestamp
• Respostas registradas durante a execução de checklists
• Números de WhatsApp configurados para recebimento de alertas

2.4 Dados técnicos

• Endereço IP
• User-agent (navegador e sistema operacional)
• Logs de acesso e ações realizadas (auditoria)
• Cookies essenciais de sessão

2.5 Cookies de análise (landing page)

Em nossa página inicial (xecou.com.br), podemos utilizar cookies de análise de tráfego (ex: Google Analytics, Meta Pixel) para medir a eficácia de campanhas e melhorar a experiência do visitante. Esses cookies são opcionais e exibimos um banner de consentimento na primeira visita. A área autenticada do app (app.xecou.com.br) não usa cookies de tracking de terceiros.

3. Para que usamos seus dados (finalidades)

• Prestação do serviço: autenticar usuários, exibir checklists, registrar execuções, enviar alertas WhatsApp.
• Cobrança: processar pagamentos, emitir notas fiscais (quando aplicável) e gerenciar assinaturas.
• Comunicação: notificar sobre cobranças, atualizações importantes do serviço, alertas operacionais.
• Segurança: detectar acesso não autorizado, investigar incidentes, manter registro de auditoria.
• Melhoria do produto: analisar uso agregado e anonimizado para identificar bugs e priorizar funcionalidades.
• Cumprimento legal: atender obrigações fiscais, trabalhistas e ordens judiciais.

4. Bases legais (LGPD art. 7º)

Tratamos seus dados com fundamento nas seguintes bases:

• Execução de contrato: dados necessários para prestar o serviço contratado (cadastro, cobrança, operação).
• Cumprimento de obrigação legal: dados fiscais, logs de auditoria, retenção mínima exigida por lei.
• Legítimo interesse: segurança da plataforma, prevenção a fraudes, melhoria do produto via análise agregada.
• Consentimento: uso de cookies de análise na landing page (revogável a qualquer momento).

5. Compartilhamento com terceiros

Não vendemos seus dados. Compartilhamos apenas com operadores essenciais para o funcionamento do serviço, todos vinculados a obrigações contratuais de proteção de dados:

• Supabase Inc. (banco de dados, autenticação, armazenamento de fotos) — servidores no Brasil (São Paulo).
• Vercel Inc. (hospedagem da aplicação web).
• Asaas Gestão Financeira S.A. (CNPJ 19.540.550/0001-21 — processamento de pagamentos).
• Z-API (envio de mensagens WhatsApp transacionais).

Também podemos compartilhar dados quando exigido por autoridade judicial, policial ou regulatória competente.

6. Transferência internacional

Alguns dos provedores acima (Vercel, Z-API) podem processar dados em servidores localizados fora do Brasil. Garantimos que tais provedores oferecem nível de proteção adequado, mediante cláusulas contratuais e padrões internacionais (LGPD art. 33).

7. Retenção e eliminação

• Conta ativa: mantemos seus dados enquanto a conta estiver ativa.
• Após cancelamento: mantemos os dados por 6 (seis) meses para fins fiscais, de auditoria e eventual reativação. Após esse período, os dados são eliminados ou anonimizados.
• Logs de auditoria: mantidos por até 5 (cinco) anos para cumprimento de obrigações legais e investigação de incidentes.
• Solicitação de exclusão: pode ser feita a qualquer momento via privacidade@xecou.com.br. Atendida em até 15 dias, ressalvadas obrigações legais de retenção.

8. Seus direitos como titular (LGPD art. 18)

Você tem direito a:

• Confirmação de existência de tratamento;
• Acesso aos seus dados;
• Correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade com a LGPD;
• Portabilidade a outro fornecedor;
• Eliminação dos dados tratados com base em consentimento;
• Informação sobre entidades com quem compartilhamos seus dados;
• Revogação do consentimento a qualquer momento.

Para exercer qualquer direito, contate o DPO em privacidade@xecou.com.br. Respondemos em até 15 dias.

9. Segurança

Adotamos medidas técnicas e organizacionais para proteger seus dados, incluindo:

• Criptografia em trânsito (HTTPS/TLS) e em repouso (AES-256 no banco e storage);
• Senhas armazenadas com hash bcrypt (irreversível);
• Isolamento de dados por organização via Row Level Security (RLS);
• Acesso restrito por papel (admin, gerente, operador);
• Logs de auditoria de ações sensíveis;
• Bucket de fotos privado, com URLs assinadas de curta duração;
• Headers de segurança (HSTS, CSP) e proteção contra CSRF/XSS;
• Rate limiting em rotas sensíveis;
• Monitoramento ativo da plataforma com alertas em tempo real.

Em caso de incidente de segurança que possa acarretar risco relevante aos titulares, comunicaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados em prazo razoável (LGPD art. 48).

10. Crianças e adolescentes

O Xecou destina-se exclusivamente a uso profissional por maiores de 18 anos. Não coletamos intencionalmente dados de menores. Se identificarmos, eliminamos imediatamente.

11. Alterações nesta Política

Podemos atualizar esta Política periodicamente. Mudanças significativas serão notificadas por email aos administradores cadastrados, com antecedência de 30 dias. A data da última atualização aparece no topo do documento.

12. Reclamações à ANPD

Caso julgue que seus direitos não foram adequadamente atendidos, você pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) em gov.br/anpd.