- Quem Somos (Controlador)
- Dados que Coletamos
- Como Coletamos os Dados
- Para que Usamos seus Dados
- Bases Legais do Tratamento
- Compartilhamento de Dados
- Transferências Internacionais
- Retenção e Exclusão dos Dados
- Segurança das Informações
- Seus Direitos como Titular
- Notificações Push e Comunicações
- Cookies e Tecnologias de Rastreamento
- Crianças e Adolescentes
- SDKs e Serviços de Terceiros
- Alterações nesta Política
- Contato e DPO
1. Quem Somos (Controlador dos Dados)
A CarsignX é a controladora dos dados pessoais coletados através do aplicativo e do site www.carsignx.com.br. Somos responsáveis pelas decisões sobre o tratamento de seus dados, em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018).
E-mail: privacidade@carsignx.com.br
Suporte: suporte@carsignx.com.br
2. Dados que Coletamos
| Categoria | Dados | Quem fornece |
|---|---|---|
| Identidade | Nome completo, e-mail, foto de perfil | Usuário no cadastro |
| Autenticação | Senha (hash), UID Firebase Auth | Sistema automaticamente |
| Veicular | Placa, chassi, RENAVAM, marca, modelo, ano, cor, km | Usuário |
| Manutenção | Histórico de revisões, trocas de óleo, peças, NF, fotos | Usuário / Prestador |
| Abastecimento | Data, litros, preço, posto, tipo de combustível | Usuário |
| Documentação | CRLV, CNH (imagens armazenadas em Firebase Storage) | Usuário (opcional) |
| Profissional (Prestadores) | Especialidade, CNH, placa do guincho, CNPJ | Prestador no cadastro |
| Dispositivo | Token FCM (push), modelo do dispositivo, sistema operacional | Sistema automaticamente |
| Uso | Logs de acesso, telas visitadas, erros (crashlytics) | Sistema automaticamente |
3. Como Coletamos os Dados
- Diretamente por você: ao preencher formulários de cadastro, registrar veículos ou manutenções, enviar documentos ou contatar o suporte;
- Automaticamente: ao usar o aplicativo, coletamos dados de uso, logs de sessão e token FCM para notificações push;
- De terceiros: dados de recalls e informações de veículos podem ser consultados em bases públicas oficiais (SENATRAN/DENATRAN).
4. Para que Usamos seus Dados
- Criar, autenticar e gerenciar sua conta;
- Fornecer as funcionalidades da Plataforma (gestão veicular, CarScore, histórico);
- Registrar manutenções em blockchain;
- Enviar notificações push sobre status de cadastro, alertas e atualizações;
- Consultar recalls ativos do seu veículo;
- Processar solicitações de redefinição de senha;
- Conectar proprietários com prestadores de serviços;
- Melhorar o serviço por meio de análise de uso e relatórios de falhas;
- Cumprir obrigações legais e responder a autoridades competentes;
- Prevenir fraudes e garantir a segurança da Plataforma.
5. Bases Legais do Tratamento
| Finalidade | Base Legal (LGPD) |
|---|---|
| Criação e gestão da conta | Execução de contrato (art. 7º, V) |
| Envio de e-mail de boas-vindas | Execução de contrato (art. 7º, V) |
| Notificações push (FCM) | Consentimento (art. 7º, I) |
| Registro de manutenções e histórico veicular | Consentimento (art. 7º, I) |
| Análise de crashes e melhoria do serviço | Legítimo interesse (art. 7º, IX) |
| Cumprimento de obrigações legais | Obrigação legal (art. 7º, II) |
| Prevenção a fraudes | Legítimo interesse (art. 7º, IX) |
| Registro em blockchain | Consentimento (art. 7º, I) |
6. Compartilhamento de Dados
Seus dados não são vendidos, alugados ou cedidos comercialmente a terceiros. Compartilhamos dados somente nas seguintes situações:
- Google LLC (Firebase): infraestrutura de armazenamento, autenticação, notificações push e análise de uso. Política do Google;
- Prestadores de serviço verificados: apenas os dados estritamente necessários para execução do serviço solicitado (ex.: mecânico visualiza dados do veículo, não dados pessoais do usuário);
- Autoridades públicas: quando exigido por decisão judicial, requisição legal ou regulatória;
- Sucessores em caso de fusão ou aquisição: com notificação prévia aos usuários.
7. Transferências Internacionais
Os dados podem ser processados em servidores do Google Firebase, que podem estar localizados nos Estados Unidos ou em outros países. O Google LLC está certificado conforme as melhores práticas internacionais de proteção de dados e adota cláusulas contratuais padrão reconhecidas pela ANPD.
A CarsignX garante que as transferências internacionais de dados obedecem aos requisitos do art. 33 da LGPD.
8. Retenção e Exclusão dos Dados
- Conta ativa: dados mantidos enquanto a conta estiver ativa;
- Após exclusão da conta: dados pessoais anonimizados ou removidos em até 30 dias, exceto quando há obrigação legal de retenção;
- Logs de acesso: mantidos por 6 meses, conforme exigência do Marco Civil da Internet (Lei 12.965/2014, art. 15);
- Dados fiscais e contratuais: mantidos pelo prazo legal exigido (até 5 anos, conforme Código Civil);
- Registros em blockchain: imutáveis por natureza tecnológica — não podem ser excluídos após consolidação, conforme informado ao usuário no momento do registro.
9. Segurança das Informações
Adotamos medidas técnicas e organizacionais adequadas para proteger seus dados:
- Criptografia em trânsito via TLS 1.2+ em todas as comunicações;
- Criptografia em repouso nos bancos de dados Firebase;
- Firebase Security Rules restringindo acesso por usuário autenticado;
- Firebase App Check prevenindo acessos não autorizados à API;
- Senhas armazenadas exclusivamente em hash seguro (Firebase Auth);
- Monitoramento contínuo de falhas via Firebase Crashlytics;
- Acesso administrativo restrito por autenticação multifator.
10. Seus Direitos como Titular
Conforme a LGPD (art. 18), você tem os seguintes direitos sobre seus dados:
- Confirmação e acesso: saber se tratamos seus dados e obter cópia;
- Correção: corrigir dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação: de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
- Portabilidade: receber seus dados em formato interoperável;
- Eliminação: dos dados tratados com base em consentimento;
- Informação sobre compartilhamento: saber com quem compartilhamos seus dados;
- Revogação do consentimento: a qualquer tempo, sem prejuízo ao uso anterior;
- Oposição: ao tratamento realizado com base em legítimo interesse;
- Revisão de decisões automatizadas: solicitar revisão de perfis criados automaticamente.
Para exercer qualquer direito, entre em contato com nosso DPO: privacidade@carsignx.com.br. Respondemos em até 15 dias úteis.
11. Notificações Push e Comunicações
Enviamos notificações push via Firebase Cloud Messaging (FCM) para:
- Confirmação de cadastro e boas-vindas;
- Status de aprovação/rejeição de cadastro de prestadores;
- Alertas de manutenção e recalls do veículo;
- Atualizações importantes do serviço.
Você pode desativar as notificações push a qualquer momento nas configurações do seu dispositivo. E-mails transacionais (redefinição de senha, aprovação de cadastro) são enviados via suporte@carsignx.com.br e são essenciais para o funcionamento do serviço.
12. Cookies e Tecnologias de Rastreamento
O aplicativo móvel não utiliza cookies. A versão web (www.carsignx.com.br) pode utilizar:
- Cookies de sessão estritamente necessários: para autenticação e funcionamento básico do site;
- Cookies de análise anônima: para compreender como o site é utilizado, sem identificar individualmente o usuário.
Não utilizamos cookies de rastreamento publicitário de terceiros.
13. Crianças e Adolescentes
O CarsignX não é destinado a menores de 18 anos sem autorização expressa dos responsáveis legais. Não coletamos intencionalmente dados de menores. Caso identifiquemos que dados de menores foram coletados sem consentimento parental, os excluiremos imediatamente. Responsáveis legais podem solicitar exclusão via privacidade@carsignx.com.br.
14. SDKs e Serviços de Terceiros
| Serviço | Fornecedor | Finalidade |
|---|---|---|
| Firebase Authentication | Google LLC | Autenticação segura de usuários |
| Cloud Firestore | Google LLC | Banco de dados em nuvem |
| Firebase Storage | Google LLC | Armazenamento de imagens e documentos |
| Firebase Cloud Messaging (FCM) | Google LLC | Notificações push |
| Firebase Crashlytics | Google LLC | Monitoramento de falhas |
| Firebase Cloud Functions | Google LLC | Lógica de backend e automações |
| Google Cloud Secret Manager | Google LLC | Armazenamento seguro de credenciais |
Todos os serviços acima são regidos pela Política de Privacidade do Google e pelo Adendo de Processamento de Dados do Google Cloud.
15. Alterações nesta Política
Esta Política pode ser atualizada periodicamente. Mudanças substanciais serão notificadas por push notification ou e-mail com antecedência mínima de 15 dias. A versão vigente estará sempre disponível em www.carsignx.com.br/privacidade.html.
16. Contato e DPO
Para exercer seus direitos, esclarecer dúvidas ou registrar reclamações:
- DPO / Encarregado: privacidade@carsignx.com.br
- Suporte geral: suporte@carsignx.com.br
- Reclamações à ANPD: www.gov.br/anpd
Prazo de resposta: até 15 dias úteis após o recebimento da solicitação.