Política de Privacidade
Política de Privacidade — Zeca Gestão
Versão: 1.0
Data de vigência: 01 de junho de 2026
Última atualização: 04 de junho de 2026
1. Identificação do Controlador
Zeca Gestão (doravante “Plataforma”, “nós” ou “nosso”) é um serviço SaaS operado por Magno Soluções Digitais, CNPJ 21.512.138/0001-40, com sede em Avenida das Araucárias, 4155, SL 310 D, Sul (Águas Claras), Brasília/DF.
Nosso Encarregado de Proteção de Dados (DPO) pode ser contatado pelo e-mail: privacidade@zecagestao.com.br
2. A Quem Esta Política se Aplica
Esta Política de Privacidade aplica-se a três grupos distintos de pessoas:
| Perfil | Quem é | Como acessa |
|---|---|---|
| Assinante / Tenant | Dono ou sócio da distribuidora que contrata o plano SaaS | Admin Web (zecagestao.com.br) |
| Operador | Funcionário ou colaborador da distribuidora convidado pelo assinante | Admin Web / PDV |
| Entregador | Profissional de entrega cadastrado pela distribuidora | App do Entregador (PWA) |
| Cliente Final | Consumidor que compra pelo catálogo digital da distribuidora | App Cliente (PWA) / catálogo |
Nota importante — Papel da Plataforma: O Zeca Gestão atua como controlador de dados em relação aos dados de Assinantes e Operadores (relação direta de contrato SaaS). Em relação aos dados de Clientes Finais e Entregadores, o Zeca Gestão atua como operador de dados a serviço de cada distribuidora (tenant), que é a controladora perante seus clientes e colaboradores. Cada distribuidora tem obrigação independente de informar seus clientes e entregadores sobre o uso dos dados.
3. Dados Coletados e Finalidades
3.1 Assinante e Operadores (conta SaaS)
| Categoria | Dados | Base Legal (LGPD) | Finalidade |
|---|---|---|---|
| Identificação | Nome completo, e-mail, senha (hash) | Art. 7º, V — execução de contrato | Criação e acesso à conta |
| Empresarial | CNPJ, razão social, nome fantasia, slug da loja | Art. 7º, V — execução de contrato | Configuração do tenant, emissão de notas fiscais futuras |
| Contato | E-mail, telefone | Art. 7º, V — execução de contrato | Suporte, avisos de conta, faturamento |
| Financeiro | Dados de cobrança, histórico de plano e pagamentos | Art. 7º, V — execução de contrato | Billing do plano SaaS |
| Técnicos | IP de acesso, user-agent, logs de autenticação | Art. 7º, IX — legítimo interesse | Segurança, auditoria, detecção de fraude |
| Configurações | Domínio personalizado (CNAME), preferências da loja | Art. 7º, V — execução de contrato | Personalização da experiência dos clientes finais |
3.2 Entregadores
| Categoria | Dados | Base Legal (LGPD) | Finalidade |
|---|---|---|---|
| Identificação | Nome completo, telefone (obrigatório), e-mail (opcional) | Art. 7º, V — execução de contrato (OTP) e Art. 7º, I — consentimento (Notificações de status) | Cadastro, acesso ao app, comunicação |
| Veicular | Tipo de veículo, placa | Art. 7º, V — execução de contrato | Atribuição de pedidos, rastreamento operacional |
| Geolocalização | Coordenadas GPS no momento da confirmação de entrega | Art. 7º, V — execução de contrato | Verificação de presença no endereço (margem de 150m), comprovação de entrega |
| Comprovante fotográfico | Foto tirada pelo entregador no momento da entrega | Art. 7º, V — execução de contrato | Prova de entrega, resolução de disputas |
| Financeiro | Histórico de entregas, remuneração, registros de repasse | Art. 7º, V — execução de contrato | Cálculo e pagamento de remuneração |
| Técnicos | IP de acesso, logs de autenticação, token de entrega offline | Art. 7º, IX — legítimo interesse | Segurança, auditoria |
Sobre o e-mail sintético: Entregadores sem e-mail real recebem um endereço técnico interno gerado automaticamente pelo sistema (domínio
sync.sync.zecagestao.invalid). Esse endereço nunca é divulgado ao entregador, não é utilizado para comunicação e serve apenas como requisito técnico de integridade do banco de dados. O login do entregador é feito exclusivamente por telefone + código OTP via WhatsApp.
3.3 Clientes Finais
| Categoria | Dados | Base Legal (LGPD) | Finalidade |
|---|---|---|---|
| Identificação | Telefone (chave primária), nome (fornecido voluntariamente) | Art. 7º, V — execução de contrato (OTP) e Art. 7º, I — consentimento (Notificações de status) | Identificação no sistema, login por OTP |
| Endereço | Logradouro, número, complemento, bairro, cidade, CEP, coordenadas geográficas (lat/long) | Art. 7º, V — execução de contrato | Cálculo de frete, atribuição de entregador, confirmação de entrega |
| Pedidos | Itens, valores, forma de pagamento, histórico | Art. 7º, V — execução de contrato | Processamento do pedido, histórico do cliente |
| Pagamento | Método selecionado (dinheiro/Pix/cartão), status de pagamento | Art. 7º, V — execução de contrato | Processamento financeiro, comprovação |
| Técnicos | IP de acesso, logs de autenticação | Art. 7º, IX — legítimo interesse | Segurança, prevenção de fraude |
| Notas operacionais | Anotações inseridas por operadores da distribuidora sobre o cliente | Art. 7º, IX — legítimo interesse | Qualidade do atendimento |
4. Coleta Automática de Dados Técnicos
Ao acessar a Plataforma, coletamos automaticamente:
- Endereço IP e informações de rede
- User-agent (navegador, sistema operacional, dispositivo)
- Logs de requisição (timestamp, endpoint, código de resposta)
- Tokens de sessão (armazenados em cookies seguros —
HttpOnly,SameSite=Strict) - Dados de cache local (IndexedDB / Service Worker, exclusivamente no dispositivo do usuário — PDV e App Entregador)
Não utilizamos cookies de rastreamento publicitário ou ferramentas de analytics comportamental de terceiros.
5. Geolocalização e Comprovação Fotográfica
5.1 Geolocalização do Entregador
A coleta de coordenadas GPS do entregador ocorre apenas no momento da confirmação de entrega, mediante solicitação explícita do App. As coordenadas são utilizadas para:
- Calcular a distância entre o entregador e o endereço do pedido
- Registrar o campo
is_within_margin(dentro ou fora dos 150m esperados) - Exibir alerta operacional ao administrador quando a distância for superior a 150m
As coordenadas são armazenadas em delivery_proofs e vinculadas ao pedido. Não realizamos rastreamento contínuo de localização.
5.2 Geolocalização do Endereço do Cliente
Endereços dos clientes podem ser geocodificados (conversão de endereço textual em coordenadas lat/long) para cálculo de frete. Esse processamento utiliza a API do Google Distance Matrix, sujeita aos termos de privacidade do Google.
5.3 Foto de Comprovante de Entrega
A foto capturada pelo entregador no momento da entrega:
- Recebe overlay automático com data, hora e coordenadas GPS visíveis
- É armazenada em serviço de armazenamento em nuvem (ver §7)
- Permanece vinculada ao pedido para fins de rastreabilidade e resolução de disputas
- É acessível ao operador/dono da distribuidora via painel admin
6. Comunicações por WhatsApp
A Plataforma utiliza a Meta Cloud API via Evolution API para o envio de:
- Códigos OTP para autenticação (necessário para acesso à conta — Art. 7º, V).
- Notificações de pedido (confirmação, saiu para entrega, entregue).
- Convites de cadastro para Entregadores sem e-mail.
O envio de notificações operacionais e convites via WhatsApp é realizado mediante consentimento explícito (Art. 7º, I da LGPD), coletado no momento do cadastro ou finalização do pedido através de uma caixa de seleção (checkbox).
Ao marcar essa opção, o titular concorda que seu número de telefone seja processado pela Meta (WhatsApp Business API) para este propósito exclusivo, sujeito à Política de Privacidade da Meta.
Revogação: O consentimento para o recebimento de notificações pode ser revogado a qualquer momento nas configurações do perfil no App/Catálogo, ou respondendo “PARAR” nas mensagens recebidas. A revogação não impede o envio de códigos OTP, que são estritamente necessários para a segurança e autenticação na plataforma.
Não enviamos comunicações de marketing sem consentimento prévio e específico para este fim.
Requisitos de interface para consentimento válido (LGPD):
- Checkbox desmarcado por padrão — a LGPD proíbe o consentimento presumido. O usuário deve clicar ativamente.
- Desvinculado dos Termos de Uso — use um checkbox separado. Exemplo de texto:
[ ] Aceito receber atualizações sobre o status do meu pedido pelo WhatsApp.- Registro em banco de dados — salvar data, hora e versão da política no momento do aceite (ex.: coluna
whatsapp_consent_atcom timestamp), para fins de auditoria.
7. Compartilhamento de Dados com Terceiros
| Parceiro / Serviço | Dados Compartilhados | Finalidade |
|---|---|---|
| Meta (WhatsApp Cloud API) | Número de telefone | Envio de OTP e notificações |
| Google (Distance Matrix API) | Coordenadas geográficas de origem e destino | Cálculo de frete por distância |
| Processadores de pagamento (conforme configuração do tenant) | Dados de transação | Processamento de pagamentos com cartão |
| Coolify / Provedor de hospedagem (VPS) | Todos os dados (infraestrutura) | Hospedagem da aplicação |
| Serviço de armazenamento de objetos (S3/R2) | Fotos de comprovante, imagens de produtos | Armazenamento de arquivos |
Não vendemos dados pessoais a terceiros. Todos os parceiros são contratados com cláusulas de proteção de dados compatíveis com a LGPD.
8. Transferência Internacional de Dados
Alguns de nossos fornecedores operam servidores fora do Brasil (Meta, Google, Cloudflare). Essas transferências ocorrem com base em:
- Contratos com cláusulas-padrão de proteção de dados
- Avaliação de adequação do nível de proteção do país receptor
9. Segurança dos Dados
Adotamos as seguintes medidas técnicas e organizacionais:
Técnicas:
– Senhas armazenadas exclusivamente como hash bcrypt (nunca em texto claro)
– Comunicações criptografadas em trânsito via TLS 1.2+ (HTTPS obrigatório)
– Certificados SSL/TLS emitidos automaticamente via Let’s Encrypt
– Tokens de sessão com HttpOnly e Secure flags
– Separação de dados por tenant via Global Scope em banco único (PostgreSQL)
– Rate limiting em endpoints de autenticação e OTP (máx. 3 tentativas / 10 min por telefone)
– Tokens de entrega offline com hash pré-calculado e validade limitada
– Dados de cache local (IndexedDB) restritos ao dispositivo do usuário
Organizacionais:
– Controle de acesso por papéis (owner, operator, deliverer, customer)
– Permissões granulares por operador, configuráveis pelo dono da distribuidora
– Logs de auditoria de operações críticas
– Acesso restrito à infraestrutura de produção
10. Retenção de Dados
| Categoria | Período de Retenção | Justificativa |
|---|---|---|
| Dados de conta ativa (assinante/operador) | Enquanto a conta estiver ativa | Execução do contrato |
| Dados de conta cancelada | 30 dias após cancelamento, depois anonimização | Possibilidade de reativação |
| Histórico financeiro e pedidos | 5 anos | Obrigações fiscais e contábeis (Código Tributário Nacional) |
| Logs de acesso (IP, autenticação) | 6 meses | Marco Civil da Internet (Lei 12.965/2014, art. 15) |
| Fotos de comprovante de entrega | 2 anos após a entrega | Resolução de disputas comerciais |
| Dados de geolocalização (coordenadas de entrega) | 2 anos após a entrega | Resolução de disputas |
| OTPs e tokens temporários | Imediatamente após uso ou expiração | Não há necessidade após uso |
| Dados de IndexedDB (dispositivo do usuário) | Gerenciados pelo próprio dispositivo | Fora do controle direto da Plataforma |
11. Direitos dos Titulares
Nos termos da LGPD (Lei 13.709/2018, art. 18), você tem direito a:
- Confirmação e acesso — confirmar se tratamos seus dados e obter cópia
- Correção — atualizar dados incompletos, inexatos ou desatualizados
- Anonimização, bloqueio ou eliminação — dos dados desnecessários, excessivos ou tratados em desconformidade
- Portabilidade — receber seus dados em formato estruturado e interoperável
- Eliminação dos dados tratados com consentimento — quando aplicável
- Informação sobre compartilhamento — saber com quais entidades públicas ou privadas compartilhamos seus dados
- Informação sobre a possibilidade de não consentir — e as consequências da negativa
- Revogação do consentimento — a qualquer momento, sem prejuízo da licitude do tratamento anterior
- Petição à ANPD — perante a Autoridade Nacional de Proteção de Dados
Como exercer seus direitos
Envie sua solicitação para privacidade@zecagestao.com.br com:
– Identificação do titular (nome + e-mail ou telefone cadastrado)
– Direito que deseja exercer
– Contexto da solicitação (ex.: “sou cliente da distribuidora X”)
Prazo de resposta: 15 dias úteis, prorrogáveis por mais 15 dias mediante justificativa.
Clientes Finais e Entregadores: Seus dados são tratados pelo Zeca Gestão a serviço da distribuidora que você utiliza. Para solicitações relativas a pedidos, histórico de compras ou dados operacionais, recomendamos contatar diretamente a distribuidora, que é a controladora desses dados. O Zeca Gestão atenderá solicitações encaminhadas diretamente quando identificar que o tratamento é de sua responsabilidade.
12. Crianças e Adolescentes
A Plataforma não é destinada a menores de 18 anos. Não coletamos conscientemente dados de crianças ou adolescentes. Se identificarmos que coletamos dados de menor sem o consentimento adequado, eliminaremos essas informações imediatamente.
13. Cookies e Armazenamento Local
| Tipo | O que armazenamos | Onde | Propósito |
|---|---|---|---|
| Cookie de sessão | Token de autenticação (Sanctum) | Navegador | Login e autorização |
| IndexedDB (PDV) | Pedidos pendentes de sincronização, cache de catálogo, tokens de entrega offline | Dispositivo do operador | Funcionamento offline do PDV |
| IndexedDB (Entregador) | Tokens de confirmação, pedidos atribuídos | Dispositivo do entregador | Funcionamento offline do app |
| Service Worker cache | Assets da aplicação (JS, CSS, imagens) | Dispositivo | Performance e funcionamento offline |
Não utilizamos cookies de terceiros para rastreamento ou publicidade.
14. Incidentes de Segurança
Em caso de incidente que possa acarretar risco ou dano relevante aos titulares, notificaremos:
- A ANPD no prazo de 2 dias úteis após a ciência do incidente (conforme Resolução CD/ANPD nº 15/2024)
- Os titulares afetados de forma individual ou coletiva, no menor prazo possível
A notificação incluirá: natureza dos dados afetados, medidas adotadas, riscos relacionados e dados do DPO.
15. Solicitações de Autoridades Públicas
Eventualmente, autoridades públicas (órgãos administrativos, policiais ou governamentais) podem solicitar acesso a dados pessoais tratados pela Plataforma. Ao receber qualquer solicitação dessa natureza, aplicamos os seguintes processos e políticas:
Análise de legitimidade. Toda solicitação é submetida a uma análise obrigatória quanto à sua legalidade, antes de qualquer divulgação. Verificamos a competência da autoridade requerente, a base legal invocada, a especificidade do pedido e a sua forma (preferencialmente escrita e fundamentada). Solicitações que não atendam a esses requisitos não são atendidas de imediato.
Contestação de pedidos ilegais. Reservamo-nos o direito de recusar, questionar ou contestar — pelos meios legais cabíveis — solicitações que consideremos ilegais, abusivas, excessivamente amplas ou desprovidas de fundamento jurídico válido.
Minimização de dados. Quando uma solicitação for legítima e de cumprimento obrigatório, divulgamos apenas o mínimo de informação estritamente necessário para atendê-la, evitando a exposição de dados não abrangidos pelo escopo do pedido.
Registro das solicitações. Mantemos registro interno de cada solicitação recebida, incluindo a autoridade requerente, a data, o conteúdo do pedido, a fundamentação jurídica considerada, a resposta dada e as pessoas envolvidas na decisão, para fins de auditoria e prestação de contas.
Quando legalmente permitido — ou seja, na ausência de vedação legal ou de sigilo imposto — buscaremos notificar o titular afetado sobre a solicitação. Nosso Encarregado de Proteção de Dados (DPO) é envolvido na avaliação dessas solicitações e pode ser contatado em privacidade@zecagestao.com.br.
Esta seção não se aplica a mandados de busca ou ordens judiciais associados a investigações criminais, que são cumpridos conforme determinação judicial e a legislação aplicável.
16. Alterações nesta Política
Podemos atualizar esta Política periodicamente. Quando houver alterações relevantes:
- Publicaremos a nova versão nesta página com a data de atualização
- Assinantes serão notificados por e-mail com antecedência mínima de 15 dias para alterações que ampliem o escopo do tratamento
O uso continuado da Plataforma após a vigência das alterações implica aceitação da nova Política.
17. Legislação e Jurisdição
Esta Política é regida pela legislação brasileira, especialmente:
- Lei Geral de Proteção de Dados — LGPD (Lei nº 13.709/2018)
- Marco Civil da Internet (Lei nº 12.965/2014)
- Código de Defesa do Consumidor (Lei nº 8.078/1990)
Fica eleito o foro da comarca de Brasília/DF para dirimir eventuais controvérsias.
18. Contato
| Canal | Endereço |
|---|---|
| DPO / Privacidade | privacidade@zecagestao.com.br |
| Suporte geral | suporte@zecagestao.com.br |
| Endereço postal | Magno Soluções Digitais, Avenida das Araucárias, 4155, SL 310 D, Sul (Águas Claras), Brasília/DF, 71936-250, Brasília/DF |
Zeca Gestão — Simplificando a gestão de distribuidoras.
Esta política foi elaborada em conformidade com a Lei nº 13.709/2018 (LGPD).