Política de Privacidade

A ACSN ("nós", "Controladora") opera a plataforma Veiclog e é a controladora dos dados pessoais coletados por meio dela, nos termos da Lei Geral de Proteção de Dados (Lei 13.709/2018, "LGPD").

Esta Política descreve quais dados coletamos, com que finalidade, com quem compartilhamos e como você pode exercer seus direitos.

Coletamos os seguintes dados pessoais:

• Cadastro do administrador: nome completo, e-mail, telefone, senha (armazenada com hash bcrypt — não acessamos a senha em texto puro).
• Cadastro da empresa: razão social, nome fantasia, CNPJ, e-mail de contato, telefone.
• Cadastro de condutores: nome, CPF, número e validade da CNH, categoria, validade do exame toxicológico.
• Documentos enviados: CRLV de veículos, foto de CNH de condutores, notas fiscais de abastecimento, comprovantes de multas e vencimentos.
• Dados operacionais: registros de utilizações, abastecimentos, multas, vencimentos e seus respectivos vínculos.
• Dados técnicos: endereço IP em tentativas de cadastro/login (rate limit), data e hora de acesso, ações relevantes (auditoria).

• Prestar o serviço contratado (controle dos veículos);
• Autenticar usuários e proteger a conta;
• Enviar e-mails transacionais (verificação, recuperação de senha, convites de equipe, alertas diários);
• Atender obrigações legais, fiscais e regulatórias;
• Investigar incidentes de segurança e prevenir fraudes (auditoria);
• Melhorar a Plataforma com base em métricas agregadas e anonimizadas.

• Execução de contrato (Art. 7º, V) — para todos os dados necessários à prestação do serviço.
• Cumprimento de obrigação legal (Art. 7º, II) — retenção de dados fiscais e de auditoria.
• Legítimo interesse (Art. 7º, IX) — segurança da Plataforma, prevenção a fraudes, melhorias agregadas.
• Consentimento (Art. 7º, I) — para comunicações de marketing (caso venham a existir; hoje não enviamos).

Não vendemos nem cedemos seus dados a terceiros para fins comerciais. Compartilhamos apenas com operadores que prestam serviços essenciais à Plataforma:

• Vercel Inc. (EUA) — hospedagem da aplicação e armazenamento de arquivos (Vercel Blob). Política de privacidade.
• Neon Inc. (servidor em São Paulo, Brasil) — banco de dados PostgreSQL. Política de privacidade.
• Resend Inc. (EUA) — envio de e-mails transacionais. Política de privacidade.
• Autoridades públicas, mediante ordem judicial ou requisição legal.

Os operadores acima recebem apenas os dados estritamente necessários e estão contratualmente obrigados à mesma proteção descrita aqui.

Vercel e Resend operam principalmente nos EUA. Essa transferência é fundamentada no Art. 33 da LGPD (compromisso contratual de proteção adequada). O banco de dados principal (Neon) está em servidor brasileiro (São Paulo).

Mantemos seus dados enquanto sua conta estiver ativa. Após o encerramento:

• Dados operacionais (utilizações, abastecimentos, etc.) ficam disponíveis pra exportação por 30 dias e são excluídos definitivamente em seguida;
• Dados fiscais e de auditoria são retidos por até 5 anos pra cumprimento de obrigações legais;
• Logs técnicos (IP, tentativas de login) são retidos por 6 meses.

Como titular de dados pessoais, você pode a qualquer momento solicitar:

• Confirmação de tratamento e acesso aos seus dados;
• Correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade;
• Portabilidade dos dados (exportação em CSV);
• Eliminação dos dados tratados com base no consentimento;
• Informação sobre os operadores com quem compartilhamos seus dados;
• Revogação do consentimento.

Auto-serviço: o administrador da empresa pode exportar e excluir os dados da empresa diretamente em Configurações → Privacidade e dados (LGPD). O export gera um ZIP com CSVs por entidade, JSON técnico e os documentos anexados (CRLVs, CNHs, comprovantes). A exclusão da conta fica agendada para 30 dias depois da solicitação — nesse prazo o pedido pode ser cancelado a qualquer momento.

Para outras solicitações (export individual de um usuário, dúvidas, ou se não tem mais acesso à conta), escreva para privacidade@veiclog.app. Respondemos em até 15 dias.

Usamos apenas cookies estritamente necessários ao funcionamento da Plataforma:

• Cookie de sessão (Auth.js JWT) — mantém você autenticado durante 8 horas.
• Cookie CSRF — proteção contra requisições falsificadas em formulários.

Não usamos cookies de rastreamento, publicidade ou analytics de terceiros.

Adotamos medidas técnicas e organizacionais para proteger seus dados:

• Senhas armazenadas com bcrypt (rounds 10) — nunca em texto puro;
• HTTPS/TLS em todas as comunicações;
• Isolamento multi-tenant em nível de banco — cada empresa só acessa seus próprios dados;
• Validação de magic bytes em uploads (proteção contra arquivos maliciosos);
• Rate limit em endpoints públicos pra prevenir abuso;
• Auditoria completa das ações relevantes (criar/editar/excluir entidades);
• Headers HTTP de segurança (HSTS, X-Frame-Options, etc.).

Em caso de incidente de segurança que possa acarretar risco aos titulares, comunicaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados em prazo razoável.

Nosso encarregado de proteção de dados pode ser contatado em: dpo@veiclog.app.

Podemos atualizar esta Política a qualquer momento. Mudanças relevantes serão comunicadas por e-mail com 15 dias de antecedência. A versão atualizada terá data no topo do documento.

Dúvidas sobre privacidade: privacidade@veiclog.app.

Você também pode reclamar diretamente à ANPD em gov.br/anpd.