LGPD & Compliance

Última atualização: 10 de junho de 2026

LEI 13.709/2018 — LGPD ✓ CONFORME MARCO CIVIL — LEI 12.965/2014 CDC — LEI 8.078/1990

Índice

Fundamento Legal e Escopo
Papel da CarsignX (Controlador/Operador)
Encarregado de Dados (DPO)
Princípios Aplicados (art. 6º da LGPD)
Bases Legais Utilizadas (art. 7º da LGPD)
Categorias de Dados e Finalidades
Dados Sensíveis
Compartilhamento e Suboperadores
Transferências Internacionais
Prazos de Retenção
Medidas Técnicas e Organizacionais de Segurança
Os 9 Direitos dos Titulares
Gestão de Incidentes (art. 48 da LGPD)
Crianças e Adolescentes (art. 14 da LGPD)
Consentimento — Gestão e Revogação
Marco Civil da Internet — Compliance
Código de Defesa do Consumidor — Compliance
Blockchain e Imutabilidade (Lei 14.063/2020)
Canal de Comunicação com a ANPD
Contato e Exercício de Direitos

1. Fundamento Legal e Escopo

Este documento descreve as práticas de conformidade da CarsignX em relação à proteção de dados pessoais, em atendimento à:

LGPD — Lei Geral de Proteção de Dados (Lei 13.709/2018);
Marco Civil da Internet (Lei 12.965/2014);
CDC — Código de Defesa do Consumidor (Lei 8.078/1990);
Lei 14.063/2020 — assinaturas e documentos digitais;
Código Civil (Lei 10.406/2002).

Este documento aplica-se a todos os dados pessoais tratados pela CarsignX, independentemente do canal (aplicativo móvel, site, e-mail, WhatsApp ou suporte).

2. Papel da CarsignX

Papel	Definição (LGPD)	Situação CarsignX
Controlador	Quem decide o tratamento dos dados (art. 5º, VI)	CarsignX é controladora dos dados de seus usuários finais (proprietários e prestadores)
Operador	Quem trata dados por conta do controlador (art. 5º, VII)	Google LLC (Firebase) atua como operador sob instruções da CarsignX

3. Encarregado de Dados (DPO)

✓ A CarsignX indica formalmente um Encarregado de Proteção de Dados (DPO), conforme exigência do art. 41 da LGPD.

DPO — CarsignX
Canal de contato: privacidade@carsignx.com.br
Atribuições: receber reclamações de titulares; interagir com a ANPD; orientar colaboradores sobre LGPD; fiscalizar o cumprimento desta política.

4. Princípios Aplicados (art. 6º da LGPD)

Princípio	Como aplicamos
Finalidade	Dados coletados somente para fins determinados, legítimos e explicitados
Adequação	Tratamento compatível com as finalidades informadas ao titular
Necessidade	Coletamos o mínimo necessário para cada finalidade (minimização)
Livre acesso	Titular pode consultar seus dados a qualquer tempo
Qualidade	Dados mantidos exatos, atualizados e relevantes
Transparência	Informações claras e acessíveis sobre o tratamento
Segurança	Medidas técnicas e administrativas de proteção
Prevenção	Adoção de medidas preventivas contra danos
Não discriminação	Dados não usados para fins discriminatórios ilícitos
Responsabilização	Demonstração de conformidade com a LGPD

5. Bases Legais Utilizadas (art. 7º da LGPD)

Base Legal	Art. LGPD	Quando utilizamos
Consentimento	art. 7º, I	Notificações push, registro em blockchain, upload de documentos opcionais
Execução de contrato	art. 7º, V	Cadastro, autenticação, e-mails transacionais, uso das funcionalidades
Obrigação legal	art. 7º, II	Retenção de logs (Marco Civil), cumprimento de ordens judiciais
Legítimo interesse	art. 7º, IX	Análise de uso para melhoria do serviço, prevenção de fraudes, segurança
Proteção ao crédito	art. 7º, X	Verificação de documentação de prestadores

6. Categorias de Dados e Finalidades

Categoria	Dados	Base Legal	Retenção
Identidade	Nome, e-mail, foto	Contrato	Vida da conta + 30d
Autenticação	UID, hash de senha	Contrato	Vida da conta + 30d
Veicular	Placa, chassis, RENAVAM, modelo	Contrato / Consentimento	Vida da conta + 30d
Manutenção	Histórico, fotos, NF	Consentimento	Vida da conta + 30d
Dispositivo	Token FCM, SO, modelo	Consentimento	Até revogação do push
Logs de acesso	IP, data/hora, ação	Obrigação legal	6 meses (MCI)
Crashlytics	Stack traces, SO, versão app	Legítimo interesse	90 dias
Profissional (Prestadores)	CNPJ, CNH, especialidade	Contrato / Proteção ao crédito	Vida da conta + 5 anos

7. Dados Sensíveis

A CarsignX pode tratar as seguintes categorias de dados que exigem proteção reforçada, conforme o art. 11 da LGPD:

Documentos pessoais (CNH, CRLV): coletados opcionalmente, com base em consentimento explícito, armazenados criptografados e acessados somente por colaboradores autorizados.

Não coletamos: dados de saúde, origem racial ou étnica, convicções religiosas, opiniões políticas, dados genéticos, biometria ou dados sobre vida sexual.

8. Compartilhamento e Suboperadores

Suboperador	País	Finalidade	Garantias
Google LLC (Firebase)	EUA / Global	Infraestrutura completa (BD, auth, storage, push, functions)	DPA Google Cloud; cláusulas contratuais padrão
Nodemailer / SMTP	Brasil	Envio de e-mails transacionais via suporte@carsignx.com.br	Conexão TLS, credenciais em Secret Manager

A CarsignX não vende, cede ou compartilha dados pessoais com fins comerciais ou publicitários de terceiros.

9. Transferências Internacionais

Dados processados pelo Google Firebase podem transitar por servidores localizados fora do Brasil. A CarsignX assegura que estas transferências ocorrem em conformidade com o art. 33 da LGPD, com base em:

Adendo de Processamento de Dados (DPA) do Google Cloud;
Cláusulas contratuais padrão reconhecidas internacionalmente;
Certificações de segurança do Google (ISO 27001, SOC 2 Type II).

10. Prazos de Retenção

Dado	Prazo	Fundamento
Dados de conta (nome, e-mail)	Vida da conta + 30 dias após exclusão	LGPD art. 16, I
Logs de acesso	6 meses	Marco Civil art. 15
Dados contratuais / fiscais	5 anos	Código Civil art. 206
Documentos profissionais (prestadores)	Vida da conta + 5 anos	Obrigação legal / proteção ao crédito
Crashlytics / telemetria	90 dias	Legítimo interesse / minimização
Registros em blockchain	Imutável — não pode ser excluído	Natureza tecnológica / LGPD art. 16, IV

11. Medidas Técnicas e Organizacionais de Segurança

Técnicas:

TLS 1.2+ em todas as comunicações (dado em trânsito);
Criptografia em repouso nos bancos de dados Firebase;
Firebase Security Rules com controle de acesso por UID;
Firebase App Check bloqueando requisições não autenticadas;
Credenciais de e-mail armazenadas no Google Cloud Secret Manager (não no código-fonte);
Senhas armazenadas exclusivamente como hash (Firebase Auth);
Token FCM revogado ao desinstalar o aplicativo.

Organizacionais:

Acesso administrativo restrito e controlado por MFA;
Monitoramento contínuo de falhas (Firebase Crashlytics);
Política interna de acesso mínimo necessário (princípio do menor privilégio);
Revisão periódica das permissões e acessos.

12. Os 9 Direitos dos Titulares (art. 18 da LGPD)

Confirmação e Acesso

Confirmar se tratamos seus dados e obter cópia completa

Correção

Corrigir dados incompletos, inexatos ou desatualizados

III

Anonimização / Bloqueio / Eliminação

De dados desnecessários ou tratados em desconformidade

Portabilidade

Receber seus dados em formato estruturado e interoperável

Eliminação (consentimento)

Eliminar dados tratados com base em consentimento revogado

Informação sobre compartilhamento

Saber com quais terceiros seus dados são compartilhados

VII

Informação sobre recusa do consentimento

Conhecer as consequências de não consentir

VIII

Revogação do consentimento

Revogar consentimento a qualquer tempo, sem ônus

Revisão de decisões automatizadas

Solicitar revisão de perfis criados por algoritmos (ex.: CarScore)

Para exercer qualquer direito, envie solicitação para privacidade@carsignx.com.br. Respondemos em até 15 dias úteis, prorrogáveis por mais 15 dias mediante justificativa.

13. Gestão de Incidentes (art. 48 da LGPD)

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a CarsignX adotará o seguinte procedimento:

Identificação e contenção imediata do incidente;
Notificação à ANPD e aos titulares afetados dentro de 72 horas da ciência do incidente;
A notificação incluirá: natureza dos dados, número de titulares afetados, medidas adotadas e medidas de mitigação;
Documentação do incidente no registro interno de ocorrências;
Revisão das medidas de segurança para prevenir recorrência.

✓ A CarsignX mantém plano de resposta a incidentes de segurança ativo.

14. Crianças e Adolescentes (art. 14 da LGPD)

O tratamento de dados de crianças (até 12 anos) e adolescentes (12 a 18 anos) somente pode ser realizado com consentimento específico de um dos pais ou responsável legal, conforme art. 14 da LGPD.

A CarsignX adota as seguintes medidas de proteção:

O cadastro requer que o usuário declare ter 18 anos ou mais, ou que possua autorização dos responsáveis;
Ao identificar cadastro de menor sem autorização, os dados são excluídos imediatamente;
Não são realizadas práticas de coleta excessiva ou de perfis para menores;
Responsáveis legais podem solicitar exclusão de dados de menores via privacidade@carsignx.com.br.

15. Consentimento — Gestão e Revogação

Quando o tratamento se baseia em consentimento (art. 7º, I), o usuário tem o direito de revogá-lo a qualquer tempo, sem prejuízo ao tratamento já realizado:

Notificações push: desativar nas configurações do dispositivo (Android/iOS);
Upload de documentos: o usuário pode excluir arquivos enviados diretamente no aplicativo;
Revogação geral: solicitação via privacidade@carsignx.com.br.

Atenção: A revogação do consentimento pode limitar o acesso a funcionalidades que dependem dos dados em questão. Registros em blockchain já consolidados são imutáveis e não podem ser revertidos.

16. Marco Civil da Internet — Compliance

Em conformidade com a Lei 12.965/2014 (Marco Civil da Internet):

Art. 7º: garantimos conexão à internet com proteção dos dados pessoais, não fornecimento a terceiros sem consentimento, e clareza sobre as práticas de coleta;
Art. 11: dados de brasileiros tratados no exterior respeitam a legislação brasileira quando a coleta ocorre no Brasil;
Art. 13: registros de conexão mantidos por 1 ano (aplicação) e registros de acesso por 6 meses, em ambiente controlado e de segurança;
Art. 15: logs de acesso a aplicações mantidos por 6 meses, disponíveis mediante ordem judicial;
Art. 19: a remoção de conteúdo de terceiros somente ocorre mediante ordem judicial, salvo violação manifesta dos Termos de Uso.

17. Código de Defesa do Consumidor — Compliance

Como fornecedora de serviço digital ao consumidor, a CarsignX observa:

Art. 6º, III (CDC): informação adequada e clara sobre os serviços, com especificação correta de quantidade, características, qualidade, preços e riscos;
Art. 6º, VIII (CDC): facilitação da defesa dos direitos do consumidor em juízo;
Art. 43 (CDC): direito de acesso e correção de informações em cadastros;
Art. 49 (CDC): direito de arrependimento em compras realizadas fora do estabelecimento comercial (planos pagos), com prazo de 7 dias;
Art. 101, I (CDC): foro do domicílio do consumidor para ações judiciais.

18. Blockchain e Imutabilidade (Lei 14.063/2020)

O CarsignX utiliza tecnologia blockchain para registro imutável de histórico veicular. Em conformidade com a Lei 14.063/2020:

Os registros em blockchain têm validade como documento digital;
São imutáveis após confirmação — não podem ser alterados ou excluídos;
O titular é informado antes de cada registro sobre a imutabilidade do dado;
A LGPD reconhece a impossibilidade de exclusão de dados quando há obrigação legal ou tecnológica de conservação (art. 16, IV).

19. Canal de Comunicação com a ANPD

A CarsignX reconhece a competência da Autoridade Nacional de Proteção de Dados (ANPD) para fiscalização e regulamentação do tratamento de dados pessoais no Brasil. Titulares que não obtiverem resposta satisfatória da CarsignX podem registrar reclamação diretamente na ANPD:

Site: www.gov.br/anpd
A CarsignX coopera plenamente com investigações e requisições da ANPD.

20. Contato e Exercício de Direitos

Para exercer seus direitos, esclarecer dúvidas, registrar reclamações ou solicitar o Relatório de Impacto à Proteção de Dados (RIPD):

DPO / Encarregado de Dados:
privacidade@carsignx.com.br

Suporte Geral:
suporte@carsignx.com.br

Prazo de resposta: até 15 dias úteis (prorrogável por mais 15 mediante justificativa).

ANPD: www.gov.br/anpd