Política de Privacidade

Política de Privacidade — Zeca Gestão

Versão: 1.0
Data de vigência: 01 de junho de 2026
Última atualização: 04 de junho de 2026


1. Identificação do Controlador

Zeca Gestão (doravante “Plataforma”, “nós” ou “nosso”) é um serviço SaaS operado por Magno Soluções Digitais, CNPJ 21.512.138/0001-40, com sede em Avenida das Araucárias, 4155, SL 310 D, Sul (Águas Claras), Brasília/DF.

Nosso Encarregado de Proteção de Dados (DPO) pode ser contatado pelo e-mail: privacidade@zecagestao.com.br


2. A Quem Esta Política se Aplica

Esta Política de Privacidade aplica-se a três grupos distintos de pessoas:

Perfil Quem é Como acessa
Assinante / Tenant Dono ou sócio da distribuidora que contrata o plano SaaS Admin Web (zecagestao.com.br)
Operador Funcionário ou colaborador da distribuidora convidado pelo assinante Admin Web / PDV
Entregador Profissional de entrega cadastrado pela distribuidora App do Entregador (PWA)
Cliente Final Consumidor que compra pelo catálogo digital da distribuidora App Cliente (PWA) / catálogo

Nota importante — Papel da Plataforma: O Zeca Gestão atua como controlador de dados em relação aos dados de Assinantes e Operadores (relação direta de contrato SaaS). Em relação aos dados de Clientes Finais e Entregadores, o Zeca Gestão atua como operador de dados a serviço de cada distribuidora (tenant), que é a controladora perante seus clientes e colaboradores. Cada distribuidora tem obrigação independente de informar seus clientes e entregadores sobre o uso dos dados.


3. Dados Coletados e Finalidades

3.1 Assinante e Operadores (conta SaaS)

Categoria Dados Base Legal (LGPD) Finalidade
Identificação Nome completo, e-mail, senha (hash) Art. 7º, V — execução de contrato Criação e acesso à conta
Empresarial CNPJ, razão social, nome fantasia, slug da loja Art. 7º, V — execução de contrato Configuração do tenant, emissão de notas fiscais futuras
Contato E-mail, telefone Art. 7º, V — execução de contrato Suporte, avisos de conta, faturamento
Financeiro Dados de cobrança, histórico de plano e pagamentos Art. 7º, V — execução de contrato Billing do plano SaaS
Técnicos IP de acesso, user-agent, logs de autenticação Art. 7º, IX — legítimo interesse Segurança, auditoria, detecção de fraude
Configurações Domínio personalizado (CNAME), preferências da loja Art. 7º, V — execução de contrato Personalização da experiência dos clientes finais

3.2 Entregadores

Categoria Dados Base Legal (LGPD) Finalidade
Identificação Nome completo, telefone (obrigatório), e-mail (opcional) Art. 7º, V — execução de contrato (OTP) e Art. 7º, I — consentimento (Notificações de status) Cadastro, acesso ao app, comunicação
Veicular Tipo de veículo, placa Art. 7º, V — execução de contrato Atribuição de pedidos, rastreamento operacional
Geolocalização Coordenadas GPS no momento da confirmação de entrega Art. 7º, V — execução de contrato Verificação de presença no endereço (margem de 150m), comprovação de entrega
Comprovante fotográfico Foto tirada pelo entregador no momento da entrega Art. 7º, V — execução de contrato Prova de entrega, resolução de disputas
Financeiro Histórico de entregas, remuneração, registros de repasse Art. 7º, V — execução de contrato Cálculo e pagamento de remuneração
Técnicos IP de acesso, logs de autenticação, token de entrega offline Art. 7º, IX — legítimo interesse Segurança, auditoria

Sobre o e-mail sintético: Entregadores sem e-mail real recebem um endereço técnico interno gerado automaticamente pelo sistema (domínio sync.sync.zecagestao.invalid). Esse endereço nunca é divulgado ao entregador, não é utilizado para comunicação e serve apenas como requisito técnico de integridade do banco de dados. O login do entregador é feito exclusivamente por telefone + código OTP via WhatsApp.

3.3 Clientes Finais

Categoria Dados Base Legal (LGPD) Finalidade
Identificação Telefone (chave primária), nome (fornecido voluntariamente) Art. 7º, V — execução de contrato (OTP) e Art. 7º, I — consentimento (Notificações de status) Identificação no sistema, login por OTP
Endereço Logradouro, número, complemento, bairro, cidade, CEP, coordenadas geográficas (lat/long) Art. 7º, V — execução de contrato Cálculo de frete, atribuição de entregador, confirmação de entrega
Pedidos Itens, valores, forma de pagamento, histórico Art. 7º, V — execução de contrato Processamento do pedido, histórico do cliente
Pagamento Método selecionado (dinheiro/Pix/cartão), status de pagamento Art. 7º, V — execução de contrato Processamento financeiro, comprovação
Técnicos IP de acesso, logs de autenticação Art. 7º, IX — legítimo interesse Segurança, prevenção de fraude
Notas operacionais Anotações inseridas por operadores da distribuidora sobre o cliente Art. 7º, IX — legítimo interesse Qualidade do atendimento

4. Coleta Automática de Dados Técnicos

Ao acessar a Plataforma, coletamos automaticamente:

  • Endereço IP e informações de rede
  • User-agent (navegador, sistema operacional, dispositivo)
  • Logs de requisição (timestamp, endpoint, código de resposta)
  • Tokens de sessão (armazenados em cookies seguros — HttpOnly, SameSite=Strict)
  • Dados de cache local (IndexedDB / Service Worker, exclusivamente no dispositivo do usuário — PDV e App Entregador)

Não utilizamos cookies de rastreamento publicitário ou ferramentas de analytics comportamental de terceiros.


5. Geolocalização e Comprovação Fotográfica

5.1 Geolocalização do Entregador

A coleta de coordenadas GPS do entregador ocorre apenas no momento da confirmação de entrega, mediante solicitação explícita do App. As coordenadas são utilizadas para:

  • Calcular a distância entre o entregador e o endereço do pedido
  • Registrar o campo is_within_margin (dentro ou fora dos 150m esperados)
  • Exibir alerta operacional ao administrador quando a distância for superior a 150m

As coordenadas são armazenadas em delivery_proofs e vinculadas ao pedido. Não realizamos rastreamento contínuo de localização.

5.2 Geolocalização do Endereço do Cliente

Endereços dos clientes podem ser geocodificados (conversão de endereço textual em coordenadas lat/long) para cálculo de frete. Esse processamento utiliza a API do Google Distance Matrix, sujeita aos termos de privacidade do Google.

5.3 Foto de Comprovante de Entrega

A foto capturada pelo entregador no momento da entrega:

  • Recebe overlay automático com data, hora e coordenadas GPS visíveis
  • É armazenada em serviço de armazenamento em nuvem (ver §7)
  • Permanece vinculada ao pedido para fins de rastreabilidade e resolução de disputas
  • É acessível ao operador/dono da distribuidora via painel admin

6. Comunicações por WhatsApp

A Plataforma utiliza a Meta Cloud API via Evolution API para o envio de:

  • Códigos OTP para autenticação (necessário para acesso à conta — Art. 7º, V).
  • Notificações de pedido (confirmação, saiu para entrega, entregue).
  • Convites de cadastro para Entregadores sem e-mail.

O envio de notificações operacionais e convites via WhatsApp é realizado mediante consentimento explícito (Art. 7º, I da LGPD), coletado no momento do cadastro ou finalização do pedido através de uma caixa de seleção (checkbox).

Ao marcar essa opção, o titular concorda que seu número de telefone seja processado pela Meta (WhatsApp Business API) para este propósito exclusivo, sujeito à Política de Privacidade da Meta.

Revogação: O consentimento para o recebimento de notificações pode ser revogado a qualquer momento nas configurações do perfil no App/Catálogo, ou respondendo “PARAR” nas mensagens recebidas. A revogação não impede o envio de códigos OTP, que são estritamente necessários para a segurança e autenticação na plataforma.

Não enviamos comunicações de marketing sem consentimento prévio e específico para este fim.

Requisitos de interface para consentimento válido (LGPD):

  1. Checkbox desmarcado por padrão — a LGPD proíbe o consentimento presumido. O usuário deve clicar ativamente.
  2. Desvinculado dos Termos de Uso — use um checkbox separado. Exemplo de texto:
    [ ] Aceito receber atualizações sobre o status do meu pedido pelo WhatsApp.
  3. Registro em banco de dados — salvar data, hora e versão da política no momento do aceite (ex.: coluna whatsapp_consent_at com timestamp), para fins de auditoria.

7. Compartilhamento de Dados com Terceiros

Parceiro / Serviço Dados Compartilhados Finalidade
Meta (WhatsApp Cloud API) Número de telefone Envio de OTP e notificações
Google (Distance Matrix API) Coordenadas geográficas de origem e destino Cálculo de frete por distância
Processadores de pagamento (conforme configuração do tenant) Dados de transação Processamento de pagamentos com cartão
Coolify / Provedor de hospedagem (VPS) Todos os dados (infraestrutura) Hospedagem da aplicação
Serviço de armazenamento de objetos (S3/R2) Fotos de comprovante, imagens de produtos Armazenamento de arquivos

Não vendemos dados pessoais a terceiros. Todos os parceiros são contratados com cláusulas de proteção de dados compatíveis com a LGPD.


8. Transferência Internacional de Dados

Alguns de nossos fornecedores operam servidores fora do Brasil (Meta, Google, Cloudflare). Essas transferências ocorrem com base em:

  • Contratos com cláusulas-padrão de proteção de dados
  • Avaliação de adequação do nível de proteção do país receptor

9. Segurança dos Dados

Adotamos as seguintes medidas técnicas e organizacionais:

Técnicas:
– Senhas armazenadas exclusivamente como hash bcrypt (nunca em texto claro)
– Comunicações criptografadas em trânsito via TLS 1.2+ (HTTPS obrigatório)
– Certificados SSL/TLS emitidos automaticamente via Let’s Encrypt
– Tokens de sessão com HttpOnly e Secure flags
– Separação de dados por tenant via Global Scope em banco único (PostgreSQL)
– Rate limiting em endpoints de autenticação e OTP (máx. 3 tentativas / 10 min por telefone)
– Tokens de entrega offline com hash pré-calculado e validade limitada
– Dados de cache local (IndexedDB) restritos ao dispositivo do usuário

Organizacionais:
– Controle de acesso por papéis (owner, operator, deliverer, customer)
– Permissões granulares por operador, configuráveis pelo dono da distribuidora
– Logs de auditoria de operações críticas
– Acesso restrito à infraestrutura de produção


10. Retenção de Dados

Categoria Período de Retenção Justificativa
Dados de conta ativa (assinante/operador) Enquanto a conta estiver ativa Execução do contrato
Dados de conta cancelada 30 dias após cancelamento, depois anonimização Possibilidade de reativação
Histórico financeiro e pedidos 5 anos Obrigações fiscais e contábeis (Código Tributário Nacional)
Logs de acesso (IP, autenticação) 6 meses Marco Civil da Internet (Lei 12.965/2014, art. 15)
Fotos de comprovante de entrega 2 anos após a entrega Resolução de disputas comerciais
Dados de geolocalização (coordenadas de entrega) 2 anos após a entrega Resolução de disputas
OTPs e tokens temporários Imediatamente após uso ou expiração Não há necessidade após uso
Dados de IndexedDB (dispositivo do usuário) Gerenciados pelo próprio dispositivo Fora do controle direto da Plataforma

11. Direitos dos Titulares

Nos termos da LGPD (Lei 13.709/2018, art. 18), você tem direito a:

  1. Confirmação e acesso — confirmar se tratamos seus dados e obter cópia
  2. Correção — atualizar dados incompletos, inexatos ou desatualizados
  3. Anonimização, bloqueio ou eliminação — dos dados desnecessários, excessivos ou tratados em desconformidade
  4. Portabilidade — receber seus dados em formato estruturado e interoperável
  5. Eliminação dos dados tratados com consentimento — quando aplicável
  6. Informação sobre compartilhamento — saber com quais entidades públicas ou privadas compartilhamos seus dados
  7. Informação sobre a possibilidade de não consentir — e as consequências da negativa
  8. Revogação do consentimento — a qualquer momento, sem prejuízo da licitude do tratamento anterior
  9. Petição à ANPD — perante a Autoridade Nacional de Proteção de Dados

Como exercer seus direitos

Envie sua solicitação para privacidade@zecagestao.com.br com:
– Identificação do titular (nome + e-mail ou telefone cadastrado)
– Direito que deseja exercer
– Contexto da solicitação (ex.: “sou cliente da distribuidora X”)

Prazo de resposta: 15 dias úteis, prorrogáveis por mais 15 dias mediante justificativa.

Clientes Finais e Entregadores: Seus dados são tratados pelo Zeca Gestão a serviço da distribuidora que você utiliza. Para solicitações relativas a pedidos, histórico de compras ou dados operacionais, recomendamos contatar diretamente a distribuidora, que é a controladora desses dados. O Zeca Gestão atenderá solicitações encaminhadas diretamente quando identificar que o tratamento é de sua responsabilidade.


12. Crianças e Adolescentes

A Plataforma não é destinada a menores de 18 anos. Não coletamos conscientemente dados de crianças ou adolescentes. Se identificarmos que coletamos dados de menor sem o consentimento adequado, eliminaremos essas informações imediatamente.


13. Cookies e Armazenamento Local

Tipo O que armazenamos Onde Propósito
Cookie de sessão Token de autenticação (Sanctum) Navegador Login e autorização
IndexedDB (PDV) Pedidos pendentes de sincronização, cache de catálogo, tokens de entrega offline Dispositivo do operador Funcionamento offline do PDV
IndexedDB (Entregador) Tokens de confirmação, pedidos atribuídos Dispositivo do entregador Funcionamento offline do app
Service Worker cache Assets da aplicação (JS, CSS, imagens) Dispositivo Performance e funcionamento offline

Não utilizamos cookies de terceiros para rastreamento ou publicidade.


14. Incidentes de Segurança

Em caso de incidente que possa acarretar risco ou dano relevante aos titulares, notificaremos:

  • A ANPD no prazo de 2 dias úteis após a ciência do incidente (conforme Resolução CD/ANPD nº 15/2024)
  • Os titulares afetados de forma individual ou coletiva, no menor prazo possível

A notificação incluirá: natureza dos dados afetados, medidas adotadas, riscos relacionados e dados do DPO.


15. Solicitações de Autoridades Públicas

Eventualmente, autoridades públicas (órgãos administrativos, policiais ou governamentais) podem solicitar acesso a dados pessoais tratados pela Plataforma. Ao receber qualquer solicitação dessa natureza, aplicamos os seguintes processos e políticas:

  1. Análise de legitimidade. Toda solicitação é submetida a uma análise obrigatória quanto à sua legalidade, antes de qualquer divulgação. Verificamos a competência da autoridade requerente, a base legal invocada, a especificidade do pedido e a sua forma (preferencialmente escrita e fundamentada). Solicitações que não atendam a esses requisitos não são atendidas de imediato.

  2. Contestação de pedidos ilegais. Reservamo-nos o direito de recusar, questionar ou contestar — pelos meios legais cabíveis — solicitações que consideremos ilegais, abusivas, excessivamente amplas ou desprovidas de fundamento jurídico válido.

  3. Minimização de dados. Quando uma solicitação for legítima e de cumprimento obrigatório, divulgamos apenas o mínimo de informação estritamente necessário para atendê-la, evitando a exposição de dados não abrangidos pelo escopo do pedido.

  4. Registro das solicitações. Mantemos registro interno de cada solicitação recebida, incluindo a autoridade requerente, a data, o conteúdo do pedido, a fundamentação jurídica considerada, a resposta dada e as pessoas envolvidas na decisão, para fins de auditoria e prestação de contas.

Quando legalmente permitido — ou seja, na ausência de vedação legal ou de sigilo imposto — buscaremos notificar o titular afetado sobre a solicitação. Nosso Encarregado de Proteção de Dados (DPO) é envolvido na avaliação dessas solicitações e pode ser contatado em privacidade@zecagestao.com.br.

Esta seção não se aplica a mandados de busca ou ordens judiciais associados a investigações criminais, que são cumpridos conforme determinação judicial e a legislação aplicável.


16. Alterações nesta Política

Podemos atualizar esta Política periodicamente. Quando houver alterações relevantes:

  • Publicaremos a nova versão nesta página com a data de atualização
  • Assinantes serão notificados por e-mail com antecedência mínima de 15 dias para alterações que ampliem o escopo do tratamento

O uso continuado da Plataforma após a vigência das alterações implica aceitação da nova Política.


17. Legislação e Jurisdição

Esta Política é regida pela legislação brasileira, especialmente:

  • Lei Geral de Proteção de Dados — LGPD (Lei nº 13.709/2018)
  • Marco Civil da Internet (Lei nº 12.965/2014)
  • Código de Defesa do Consumidor (Lei nº 8.078/1990)

Fica eleito o foro da comarca de Brasília/DF para dirimir eventuais controvérsias.


18. Contato

Canal Endereço
DPO / Privacidade privacidade@zecagestao.com.br
Suporte geral suporte@zecagestao.com.br
Endereço postal Magno Soluções Digitais, Avenida das Araucárias, 4155, SL 310 D, Sul (Águas Claras), Brasília/DF, 71936-250, Brasília/DF

Zeca Gestão — Simplificando a gestão de distribuidoras.
Esta política foi elaborada em conformidade com a Lei nº 13.709/2018 (LGPD).