Política de privacidade e proteção de dados

Controlador de dados

1. Introdução e compromisso

A VERTIO SOLUÇÕES DIGITAIS ("VERTIO", "nós" ou "nosso"), controladora da plataforma ScanQR, está comprometida com a proteção da privacidade e segurança dos dados pessoais de seus Usuários. Esta Política de Privacidade descreve detalhadamente como coletamos, usamos, armazenamos, compartilhamos e protegemos suas informações em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 - LGPD) e demais legislações aplicáveis.

Ao utilizar a Plataforma ScanQR, você declara ter lido, compreendido e concordado integralmente com esta Política de Privacidade e com nossos Termos de Uso.

2. Definições

Para fins desta Política:

• Dados Pessoais: Informação relacionada a pessoa natural identificada ou identificável
• Titular: Pessoa natural a quem se referem os dados pessoais
• Controlador: VERTIO SOLUÇÕES DIGITAIS, responsável pelas decisões sobre tratamento de dados
• Tratamento: Toda operação com dados pessoais (coleta, armazenamento, processamento, exclusão, etc.)
• Anonimização: Processo que torna dados irreversivelmente não identificáveis

3. Dados pessoais coletados

3.1 Dados Fornecidos Diretamente pelo Titular

• Identificação e Contato: Endereço de e-mail, nome de exibição (opcional), foto de perfil (opcional)
• Dados de Pagamento: Nome completo, CPF/CNPJ, endereço de cobrança (processados via Stripe - não armazenamos dados de cartão de crédito)
• Conteúdo Criado: URLs originais, URLs encurtadas, configurações de QR Codes, nomes personalizados, domínios customizados
• Comunicações: Mensagens enviadas através de formulários de contato ou e-mails de suporte

3.2 Dados Coletados Automaticamente

• Dados de Navegação: Endereço IP, tipo e versão do navegador, sistema operacional, resolução de tela, idioma preferido
• Dados de Uso: Páginas visitadas, tempo de permanência, origem de acesso (referrer), horários de acesso
• Analytics de QR Codes: Número de scans, timestamps, localização geográfica aproximada (via IP - nível de cidade/estado), dispositivos utilizados
• Cookies e Identificadores: Tokens de sessão, preferências de interface, cookies de autenticação
• Logs de Sistema: Registros de acessos, tentativas de login, ações administrativas, erros e exceções

3.3 Dados Sensíveis - Não Coletados

A VERTIO NÃO coleta dados pessoais sensíveis conforme definidos na LGPD (origem racial/étnica, convicções religiosas, opiniões políticas, dados genéticos/biométricos, dados de saúde, vida sexual, etc.) salvo em casos específicos mediante consentimento expresso e justificativa legal.

4. Finalidades e bases legais

O tratamento de dados pessoais ocorre exclusivamente para as seguintes finalidades, fundamentadas nas bases legais da LGPD:

5. Compartilhamento de dados

A VERTIO NÃO vende, aluga ou comercializa dados pessoais. Compartilhamos informações apenas nas seguintes hipóteses:

5.1 Prestadores de Serviços (Operadores)

• Stripe: Processamento de pagamentos (PCI-DSS Level 1 compliant)
• Supabase: Banco de dados e autenticação (SOC 2 Type II certified)
• Vercel: Hospedagem e infraestrutura (ISO 27001 certified)
• Google Cloud / AWS: Armazenamento e CDN (compliance GDPR/LGPD)

Todos os operadores são selecionados criteriosamente e vinculados por contratos que garantem conformidade com a LGPD, implementação de medidas de segurança adequadas e tratamento de dados exclusivamente conforme nossas instruções.

5.2 Obrigações Legais e Regulatórias

Podemos divulgar dados pessoais quando exigido por lei, ordem judicial, CPI, requisição de autoridades competentes (Polícia Federal, Receita Federal, ANPD, etc.) ou para cumprir processos legais.

5.3 Proteção de Direitos

Em casos de investigação de fraudes, violações dos Termos de Uso, ameaças à segurança da Plataforma ou proteção de direitos da VERTIO, de outros usuários ou do público.

5.4 Fusões e Aquisições

Em caso de fusão, aquisição, reorganização societária ou venda de ativos, seus dados podem ser transferidos. Você será notificado previamente e terá direito de solicitar exclusão caso não concorde.

6. Segurança da informação

Implementamos medidas técnicas, administrativas e organizacionais robustas para proteger dados pessoais contra acessos não autorizados, destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado:

6.1 Medidas Técnicas

• Criptografia: TLS 1.3 para dados em trânsito, AES-256 para dados sensíveis em repouso
• Autenticação: Magic links (passwordless), Multi-Factor Authentication (MFA) opcional, OAuth 2.0
• Autorização: Row Level Security (RLS) no banco de dados, princípio do menor privilégio (POLP)
• Firewall e WAF: Proteção contra ataques DDoS, SQL injection, XSS
• Monitoramento: Logs de auditoria detalhados, alertas de segurança em tempo real
• Testes: Penetration testing periódico, análise de vulnerabilidades (SAST/DAST)

6.2 Medidas Organizacionais

• Política de Segurança: Documentação formal de processos e controles
• Treinamento: Capacitação contínua da equipe em segurança e privacidade
• Controle de Acesso: Segregação de ambientes, revisão periódica de permissões
• Backup e Recuperação: Backups diários criptografados, plano de continuidade de negócios (BCP)
• Plano de Resposta a Incidentes: Procedimentos documentados para violações de dados

6.3 Comunicação de Incidentes

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos Titulares, a VERTIO notificará:

• Autoridade Nacional (ANPD): Em prazo razoável (até 72 horas quando possível), conforme art. 48 da LGPD
• Titulares Afetados: Via e-mail cadastrado, com descrição do incidente, dados afetados e medidas adotadas

7. Retenção e eliminação de dados

Retemos dados pessoais apenas pelo período necessário para cumprir as finalidades descritas, observados os prazos legais e regulatórios:

Após os prazos de retenção, os dados são eliminados de forma segura e irreversível ou anonimizados para fins estatísticos.

8. Direitos dos Titulares (LGPD)

Conforme Art. 18 da LGPD, você possui os seguintes direitos em relação aos seus dados pessoais:

• I - Confirmação e Acesso: Confirmar a existência de tratamento e acessar seus dados (formato simplificado ou integral)
• II - Correção: Solicitar correção de dados incompletos, inexatos ou desatualizados
• III - Anonimização, Bloqueio ou Eliminação: Requerer anonimização de dados desnecessários, bloqueio ou eliminação de dados excessivos ou tratados em desconformidade
• IV - Portabilidade: Receber dados em formato estruturado e interoperável (JSON, CSV)
• V - Exclusão: Solicitar eliminação de dados tratados com consentimento (salvo hipóteses de retenção legal)
• VI - Informação sobre Compartilhamento: Obter informações sobre entidades públicas e privadas com as quais compartilhamos dados
• VII - Informação sobre Não Fornecimento de Consentimento: Ser informado sobre consequências da não concessão de consentimento
• VIII - Revogação do Consentimento: Revogar consentimento a qualquer momento (quando aplicável)
• IX - Oposição: Opor-se a tratamento realizado sem consentimento, em casos específicos
• X - Revisão de Decisões Automatizadas: Solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado

8.1 Como Exercer seus Direitos

Para exercer qualquer dos direitos acima, você pode:

• Enviar e-mail para: dpo@vertio.com.br ou privacidade@scanqr.com.br
• Acessar configurações da conta no painel de controle (para correção e exclusão direta)
• Especificar claramente qual direito deseja exercer e fornecer informações suficientes para validação de identidade

8.2 Prazos de Resposta

Responderemos às solicitações em até 15 dias, podendo ser prorrogado por mais 15 dias mediante justificativa. Em caso de impossibilidade de atendimento imediato, informaremos os motivos.

9. Cookies e tecnologias similares

9.1 Tipos de Cookies Utilizados

• Cookies Estritamente Necessários: Essenciais para funcionamento da Plataforma (autenticação, sessão). Não podem ser desativados.
• Cookies de Funcionalidade: Lembram preferências do usuário (idioma, tema, configurações). Melhoram experiência.
• Cookies de Performance/Analytics: Coletam informações anônimas sobre uso da Plataforma para melhorias. Podem ser desativados.

9.2 Gerenciamento de Cookies

Você pode configurar seu navegador para bloquear cookies, porém isso pode afetar funcionalidades da Plataforma. Consulte as instruções do seu navegador para gerenciar cookies.

9.3 Outras Tecnologias

Utilizamos também localStorage, sessionStorage e tokens JWT para autenticação e armazenamento temporário de configurações.

10. Transferência internacional de dados

Alguns de nossos prestadores de serviços (Stripe, Vercel, Supabase) operam infraestrutura em países fora do Brasil, incluindo Estados Unidos e União Europeia. Tais transferências ocorrem com garantias adequadas:

• Cláusulas Contratuais Padrão (SCCs): Aprovadas pela Comissão Europeia e reconhecidas pela ANPD
• Certificações: ISO 27001, SOC 2 Type II, GDPR compliance
• Adequação de Legislação: Países com nível adequado de proteção reconhecido
• Consentimento Específico: Quando necessário, obtido de forma destacada

Para mais informações sobre salvaguardas específicas, entre em contato com nosso DPO.

11. Privacidade de crianças e adolescentes

A Plataforma ScanQR não é direcionada a menores de 18 anos. Não coletamos intencionalmente dados de crianças ou adolescentes sem consentimento dos pais ou responsáveis legais.

Caso tomemos conhecimento de coleta inadvertida de dados de menores, procederemos à exclusão imediata. Pais ou responsáveis que identifiquem tal situação devem contatar: dpo@vertio.com.br

12. Alterações a esta política

A VERTIO reserva-se o direito de modificar esta Política de Privacidade a qualquer momento, refletindo alterações em práticas de tratamento, legislação ou serviços oferecidos.

Notificação de Alterações:

• Alterações Substanciais: Notificação por e-mail com 30 dias de antecedência, destacando principais mudanças
• Alterações Não Substanciais: Atualização da data de "Última atualização" e aviso na Plataforma

O uso continuado da Plataforma após modificações constitui aceitação tácita. Caso não concorde, você deve cessar o uso e solicitar exclusão da conta.

13. Encarregado de proteção de dados (DPO)

Em conformidade com o Art. 41 da LGPD, a VERTIO designou Encarregado de Proteção de Dados (Data Protection Officer - DPO) como canal de comunicação entre o controlador, titulares e a ANPD.

14. Base legal para tratamento

Conforme exigido pelo Art. 9º da LGPD, sempre que tratarmos seus dados pessoais, indicaremos claramente a base legal aplicável. As principais bases utilizadas estão descritas na Seção 4 desta Política.

15. Reclamações e recursos

Caso não fique satisfeito com a resposta às suas solicitações ou tenha preocupações sobre nossas práticas de privacidade, você pode:

• Escalar Internamente: Contatar nosso DPO para revisão da decisão
• Registrar Reclamação na ANPD: Autoridade Nacional de Proteção de Dados - www.gov.br/anpd
• Buscar Tutela Judicial: Conforme Art. 22 da LGPD

16. Legislação e foro

Esta Política é regida pela legislação brasileira, em especial pela Lei nº 13.709/2018 (LGPD), Lei nº 12.965/2014 (Marco Civil da Internet) e Decreto nº 8.771/2016.

Fica eleito o foro da comarca de São Paulo/SP para dirimir quaisquer controvérsias decorrentes desta Política, com renúncia expressa a qualquer outro.

17. Informações de contato

18. Disposições finais

Esta Política de Privacidade complementa os Termos de Uso da Plataforma ScanQR. Em caso de conflito, prevalecem as disposições mais protetivas aos direitos dos Titulares.

A invalidade de qualquer cláusula não prejudica a validade das demais. Versão em português prevalece sobre traduções.

Data de vigência: 05 de dezembro de 2025