BoxAIVoltar ao site

Central de Privacidade BoxAI

Última atualização: [DATA DE VIGÊNCIA]

Bem-vindo(a) à Central de Privacidade do BoxAI. Esta página é o ponto único de acesso a todas as informações, documentos e canais relacionados à proteção dos seus dados pessoais. Aqui você encontra, de forma transparente e em linguagem acessível, quem trata os seus dados, com qual finalidade, com qual base legal, quais são os seus direitos e como exercê-los, em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — "LGPD"), o Marco Civil da Internet (Lei nº 12.965/2014) e o Código de Defesa do Consumidor (Lei nº 8.078/1990).

1. O que é a Central de Privacidade

A Central de Privacidade reúne, em um só lugar, os documentos e canais que governam o tratamento de dados pessoais no BoxAI. A partir daqui você pode acessar:

| Documento / Canal | Finalidade | |---|---| | Política de Privacidade | Descreve em detalhe quais dados são coletados, finalidades, bases legais, compartilhamentos, retenção e eliminação. | | Política de Cookies | Explica o uso de cookies e tecnologias semelhantes e como gerenciar suas preferências. | | Termos de Uso | Estabelece as regras de utilização da plataforma. | | Acordo de Tratamento de Dados (DPA) | Disciplina a relação entre a oficina (Controladora) e o BoxAI (Operadora) quanto aos dados dos clientes finais. | | Canal de Requisição de Direitos do Titular | Formulário e fluxo para exercício dos direitos previstos no art. 18 da LGPD. | | Canal de Incidentes de Segurança | Comunicação e registro de incidentes envolvendo dados pessoais. | | Contato do Encarregado (DPO) | Canal direto com o responsável pela proteção de dados. |

Recomendamos a leitura integral da Política de Privacidade, que complementa e detalha as informações resumidas nesta Central.

2. Quem trata os seus dados: Controlador e Operador

A LGPD distingue dois papéis fundamentais (art. 5º, VI e VII): o Controlador, a quem competem as decisões sobre o tratamento, e o Operador, que realiza o tratamento em nome do Controlador. No ecossistema BoxAI, esses papéis variam conforme o tipo de dado:

2.1. Quando o BoxAI é CONTROLADOR

O BoxAI atua como Controlador dos dados de cadastro e uso da própria plataforma, ou seja, dos dados dos usuários-oficina (clientes B2B da BoxAI): dados cadastrais da oficina e de seus usuários, dados de faturamento da assinatura, registros de acesso e dados de uso da plataforma. Nesses casos, o BoxAI define as finalidades e os meios do tratamento.

2.2. Quando o BoxAI é OPERADOR

O BoxAI atua como Operador (art. 5º, VII, LGPD) em relação aos dados dos clientes finais (consumidores) das oficinas — por exemplo: nome, contato, dados do veículo, histórico de serviços, comunicações por WhatsApp/e-mail. Nesses casos, a oficina é a Controladora desses dados: é ela quem decide coletá-los, com qual finalidade e por quanto tempo. O BoxAI apenas processa esses dados conforme as instruções da oficina e nos termos do Acordo de Tratamento de Dados (DPA).

Na condição de Operador, o BoxAI trata os dados estritamente conforme as instruções documentadas da oficina Controladora (arts. 39 e 42, §1º, da LGPD). Cabe à oficina Controladora assegurar a licitude da coleta, a existência de base legal adequada e o cumprimento dos deveres de informação perante os titulares. O BoxAI não utiliza esses dados para finalidades próprias estranhas à prestação do serviço.

Resumo prático: se você é uma oficina/centro automotivo usuário da plataforma, o BoxAI é Controlador dos seus dados de cadastro. Se você é cliente final de uma oficina que utiliza o BoxAI, a oficina é a Controladora dos seus dados e o BoxAI é a Operadora de apoio.

3. Identificação do Controlador

Controlador (dados de usuário-oficina e da plataforma):

  • Razão Social: [RAZÃO SOCIAL]
  • CNPJ: [CNPJ]
  • Endereço: [ENDEREÇO COMPLETO]
  • E-mail de contato: [E-MAIL DE CONTATO]

Para os dados dos clientes finais, o Controlador é a respectiva oficina/centro automotivo que utiliza o BoxAI, conforme identificada no respectivo contrato e nos pontos de contato da própria oficina.

4. Encarregado pelo Tratamento de Dados Pessoais (DPO)

Em atendimento aos arts. 5º, VIII, e 41 da LGPD, o BoxAI mantém um Encarregado pelo Tratamento de Dados Pessoais (Data Protection Officer — DPO), responsável por atuar como canal de comunicação entre o Controlador, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD), bem como por orientar funcionários e contratados a respeito das práticas de proteção de dados.

  • Canal de contato do Encarregado/DPO: [E-MAIL DO ENCARREGADO/DPO]

Atribuições do Encarregado (art. 41, § 2º, LGPD):

  • Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;
  • Receber comunicações da ANPD e adotar providências;
  • Orientar os colaboradores e contratados sobre práticas de proteção de dados;
  • Executar as demais atribuições determinadas pelo Controlador ou previstas em normas complementares.

5. Bases legais do tratamento (arts. 7º e 11 da LGPD)

Todo tratamento de dados pessoais no BoxAI tem por fundamento uma das hipóteses legais previstas na LGPD. Quando o BoxAI atua como Controlador (dados de usuário-oficina e da plataforma), as principais bases legais são:

| Base legal | Aplicação típica | Dispositivo | |---|---|---| | Execução de contrato | Prestação do serviço de assinatura da plataforma e suporte. | art. 7º, V | | Cumprimento de obrigação legal/regulatória | Obrigações fiscais, contábeis e guarda de registros de acesso. | art. 7º, II | | Legítimo interesse | Segurança da plataforma, prevenção a fraudes, melhoria do serviço e comunicações relacionadas. | art. 7º, IX, e art. 10 | | Consentimento | Comunicações de marketing e hipóteses em que a lei exija manifestação específica. | art. 7º, I, e art. 8º | | Exercício regular de direitos | Defesa em processos judiciais, administrativos ou arbitrais. | art. 7º, VI |

Dados sensíveis (art. 11): o BoxAI não tem por finalidade tratar dados pessoais sensíveis dos usuários-oficina. Caso, excepcionalmente, haja tratamento dessa natureza, observar-se-ão as hipóteses específicas do art. 11 da LGPD.

Comunicações de marketing: mensagens promocionais por WhatsApp/e-mail são enviadas com base em consentimento ou legítimo interesse, conforme o caso, e são sempre distintas das mensagens transacionais/operacionais (ex.: avisos de cobrança, confirmações de serviço). Você pode revogar o consentimento ou se descadastrar (opt-out) das comunicações de marketing a qualquer momento, sem prejuízo das mensagens transacionais indispensáveis ao serviço.

Para os dados dos clientes finais das oficinas, a definição da base legal é responsabilidade da oficina Controladora. O detalhamento das bases legais por categoria de dado consta da Política de Privacidade.

6. Seus direitos como titular (art. 18 da LGPD)

Como titular de dados pessoais, a LGPD (art. 18) garante a você, gratuitamente e a qualquer momento, os seguintes direitos, aqui resumidos em linguagem acessível. O exercício de qualquer direito não pode ser causa de discriminação ou de recusa de serviço (art. 6º, IX):

| Direito | O que significa | Base legal | |---|---|---| | Informação sobre o tratamento | Conhecer de forma clara a finalidade, forma, duração do tratamento e a identidade do controlador. | art. 9º | | Confirmação e acesso | Saber se tratamos seus dados e obter acesso a eles. | art. 18, I e II | | Correção | Corrigir dados incompletos, inexatos ou desatualizados. | art. 18, III | | Anonimização, bloqueio ou eliminação | Solicitar a anonimização, bloqueio ou exclusão de dados desnecessários, excessivos ou tratados em desconformidade com a lei. | art. 18, IV | | Portabilidade | Receber seus dados ou solicitar a transferência a outro fornecedor, observados os segredos comercial e industrial. | art. 18, V | | Eliminação dos dados tratados com consentimento | Solicitar a exclusão dos dados tratados com base no seu consentimento, ressalvadas as hipóteses de guarda obrigatória (art. 16). | art. 18, VI | | Informação sobre compartilhamento | Saber com quais entidades públicas e privadas seus dados foram compartilhados. | art. 18, VII | | Informação sobre o consentimento | Ser informado sobre a possibilidade de não consentir e sobre as consequências da negativa. | art. 18, VIII | | Revogação do consentimento | Retirar, a qualquer momento, o consentimento previamente dado. | art. 18, IX e § 5º | | Revisão de decisões automatizadas | Solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado que afetem seus interesses e informações sobre os critérios utilizados. | art. 20 | | Oposição | Opor-se a tratamento realizado com fundamento em hipótese de dispensa de consentimento, em caso de descumprimento da lei. | art. 18, § 2º | | Petição à ANPD | Peticionar perante a Autoridade Nacional de Proteção de Dados. | art. 18, parágrafo único |

Decisões automatizadas: ao solicitar a revisão de decisões automatizadas (art. 20), você pode requerer informações sobre os critérios e procedimentos utilizados, observados o segredo comercial e industrial (art. 20, §1º e §2º).
Importante: o direito à eliminação não alcança os dados cuja guarda seja obrigatória por lei (art. 16 da LGPD). Veja a seção 10.

7. Como exercer seus direitos: canal e fluxo de atendimento

7.1. Canal de requisição

Para exercer qualquer dos direitos acima, utilize o Canal de Requisição de Direitos do Titular, disponível por meio de:

  • Formulário online: [LINK DO FORMULÁRIO DE REQUISIÇÃO]
  • E-mail do Encarregado/DPO: [E-MAIL DO ENCARREGADO/DPO]

No pedido, informe, sempre que possível:

  1. Seu nome completo;
  2. O direito que deseja exercer (seção 6 acima);
  3. Uma descrição clara da solicitação;
  4. Os dados ou contexto necessários para localizar o seu registro (ex.: e-mail cadastrado, oficina relacionada).

7.2. Fluxo de atendimento

  1. Recebimento e registro da solicitação no canal estruturado, com protocolo de acompanhamento.
  2. Verificação de identidade do solicitante (ver seção 8).
  3. Análise da solicitação e do papel do BoxAI (Controlador ou Operador) no tratamento envolvido.
  4. Atendimento ou resposta fundamentada, inclusive nas hipóteses de impossibilidade legal ou de necessidade de manutenção dos dados.
  5. Comunicação ao titular pelo mesmo canal de origem.

7.3. Prazos de resposta (arts. 18 e 19 da LGPD)

  • Confirmação de existência ou acesso aos dados: resposta em formato simplificado, imediatamente; ou, mediante declaração clara e completa, no prazo de até 15 (quinze) dias, contado da data do requerimento (art. 19, I e II).
  • Demais direitos (correção, eliminação, bloqueio, anonimização, portabilidade, revogação de consentimento, oposição): atendidos imediatamente ou em prazo razoável e proporcional (art. 18, §3º e §4º), observada a complexidade e os limites legais. O BoxAI envida esforços para responder em até 15 (quinze) dias, como prazo indicativo, prorrogável mediante justificativa quando a complexidade exigir.

Quando o BoxAI atuar como Operador, as solicitações poderão ser encaminhadas à oficina Controladora para decisão final, conforme a seção 9.

8. Verificação de identidade do solicitante (antifraude)

Para proteger os seus dados contra acessos ou alterações indevidas, antes de atender a uma requisição poderemos adotar medidas de verificação de identidade proporcionais à sensibilidade da solicitação, tais como:

  • Confirmação de dados de cadastro já existentes em nossos registros;
  • Confirmação por meio do e-mail ou telefone vinculado à conta;
  • Solicitação de informações adicionais estritamente necessárias à confirmação da titularidade.

Os dados eventualmente coletados exclusivamente para a verificação de identidade serão utilizados apenas para essa finalidade e eliminados após a conclusão do atendimento. O registro da própria requisição e da respectiva resposta poderá ser mantido pelo prazo necessário ao cumprimento do dever de prestação de contas (*accountability*, art. 6º, X) e à defesa em eventuais processos. Caso não seja possível confirmar a identidade do solicitante, a requisição poderá ser recusada, com justificativa, para resguardar a segurança do verdadeiro titular.

9. Roteamento de solicitações de clientes finais das oficinas

Se você é cliente final (consumidor) de uma oficina que utiliza o BoxAI e deseja exercer seus direitos sobre dados como nome, contato, dados do veículo ou histórico de serviços:

  • A oficina é a Controladora desses dados e é o ponto de contato primário para o exercício dos seus direitos. Recomendamos que você procure diretamente a oficina onde foi atendido.
  • O BoxAI, como Operador, oferece apoio operacional à oficina no atendimento dessas solicitações (por exemplo, localização técnica dos dados, exportação, correção ou eliminação), sempre mediante instrução da oficina Controladora.
  • Caso você nos contate diretamente, encaminharemos a solicitação à oficina Controladora competente e a apoiaremos no atendimento, dentro de prazo razoável, mantendo você informado quando possível.

10. Retenção e eliminação de dados

Os dados pessoais são mantidos apenas pelo tempo necessário ao cumprimento das finalidades para as quais foram coletados, ou para o cumprimento de obrigações legais, regulatórias e contratuais. Encerradas as finalidades ou findo o prazo legal de guarda, os dados são eliminados ou anonimizados de forma segura (art. 15 e art. 16 da LGPD).

Há, contudo, situações em que a guarda dos dados é obrigatória por lei, hipótese em que o pedido de eliminação não poderá ser integralmente atendido enquanto perdurar a obrigação (art. 16 da LGPD), entre as quais:

| Finalidade de guarda | Prazo de referência | Fundamento | |---|---|---| | Registros de acesso a aplicações de internet (logs) | Mínimo de 6 (seis) meses | Marco Civil, art. 15 | | Registros de conexão | Mínimo de 1 (um) ano | Marco Civil, art. 13 | | Documentos e dados fiscais/contábeis | Conforme legislação tributária aplicável | Legislação fiscal | | Dados relacionados a relações de consumo | Conforme prazos do CDC e do Código Civil | CDC; Código Civil | | Defesa em processos judiciais, administrativos ou arbitrais | Enquanto necessário ao exercício regular de direitos | LGPD, art. 7º, VI; art. 16, II e III |

Quando o BoxAI atua como Operador, a retenção e a eliminação observam as instruções da oficina Controladora e os termos do DPA, sem prejuízo das obrigações legais de guarda acima.

A descrição detalhada dos prazos e critérios de retenção e eliminação está na Política de Privacidade, que integra esta Central.

11. Dados de crianças e adolescentes (art. 14 da LGPD)

A plataforma BoxAI é destinada a profissionais e empresas do setor automotivo e não é direcionada a crianças e adolescentes. Caso, no contexto da prestação de serviços de uma oficina, haja eventual tratamento de dados de criança ou adolescente, este observará o princípio do melhor interesse e, quando exigido, o consentimento específico e em destaque de pelo menos um dos pais ou responsável legal (art. 14, §1º, da LGPD). A decisão de coletar tais dados e a obtenção do consentimento competem à oficina Controladora.

12. Subprocessadores e operadores (transparência ativa)

Para a prestação dos serviços, o BoxAI utiliza fornecedores e parceiros que podem tratar dados pessoais como suboperadores, sempre sob contrato e medidas de proteção adequadas. As categorias e finalidades são:

| Categoria de subprocessador | Finalidade | Exemplo de fornecedor | |---|---|---| | Infraestrutura de nuvem e banco de dados | Hospedagem e armazenamento da plataforma | [PROVEDOR DE INFRAESTRUTURA/NUVEM, ex.: Supabase] | | Gateway de pagamentos | Processamento de cobranças e assinaturas | [GATEWAY DE PAGAMENTO, ex.: Asaas] | | Comunicação (WhatsApp/e-mail) | Envio de mensagens e notificações | [NOME DO PROVEDOR DE COMUNICAÇÃO] | | Catálogo de peças/dados automotivos | Consulta de informações técnicas | [NOME DO PROVEDOR DE DADOS AUTOMOTIVOS] | | Análise de uso e monitoramento | Métricas de uso e estabilidade da plataforma | [NOME DO PROVEDOR DE ANALYTICS] |

A lista atualizada de subprocessadores é mantida e disponibilizada na Política de Privacidade e/ou no DPA. Atualizações relevantes são comunicadas conforme previsto nesses documentos.

13. Transferência internacional de dados (arts. 33 e 34 da LGPD)

Alguns subprocessadores podem armazenar ou processar dados pessoais fora do território nacional. Quando houver transferência internacional de dados, o BoxAI observa as hipóteses e garantias previstas nos arts. 33 e 34 da LGPD, adotando salvaguardas adequadas, tais como cláusulas contratuais específicas/padrão, normas corporativas globais ou outros mecanismos reconhecidos pela ANPD, de modo a assegurar nível de proteção compatível com a legislação brasileira.

Informações sobre os países e mecanismos de transferência aplicáveis constam da Política de Privacidade.

14. Comunicação e registro de incidentes de segurança (art. 48 da LGPD)

O BoxAI mantém canal e procedimentos para registro interno, tratamento e comunicação de incidentes de segurança que possam acarretar risco ou dano relevante aos titulares. Todos os incidentes são registrados internamente, independentemente da obrigatoriedade de comunicação externa, para fins de prestação de contas.

  • Canal de comunicação de incidentes: [E-MAIL DO ENCARREGADO/DPO]

Na ocorrência de incidente de segurança relevante, o Controlador comunicará à ANPD e aos titulares afetados no prazo estabelecido pela regulamentação vigente da Autoridade (atualmente parametrizado em [PRAZO CONFORME REGULAMENTO DA ANPD — ex.: 3 dias úteis]), nos termos do art. 48 da LGPD, indicando, no que couber: a natureza e a categoria dos dados afetados, os titulares envolvidos, as medidas técnicas e de segurança adotadas, os riscos e as medidas de mitigação. Quando o BoxAI atuar como Operador, comunicará prontamente o incidente à oficina Controladora para que esta cumpra seus deveres legais.

15. Autoridade Nacional de Proteção de Dados (ANPD)

Você tem o direito de peticionar e apresentar reclamações perante a Autoridade Nacional de Proteção de Dados (ANPD), especialmente quando entender que seus direitos não foram adequadamente atendidos. A ANPD é o órgão competente para zelar, fiscalizar e aplicar sanções em caso de descumprimento da LGPD (arts. 18, parágrafo único; 52; 55-A e 55-J da LGPD).

  • Autoridade: Autoridade Nacional de Proteção de Dados (ANPD)
  • Site: https://www.gov.br/anpd
  • Canal de atendimento ao cidadão: disponível no portal oficial da ANPD (Fala.BR / canais indicados pela Autoridade)
Recomendamos que, antes de recorrer à ANPD, você nos contate pelo canal do Encarregado/DPO ([E-MAIL DO ENCARREGADO/DPO]), para que possamos buscar a solução mais rápida da sua solicitação.

16. Governança e segurança (art. 50 da LGPD)

O BoxAI mantém um Programa de Boas Práticas e Governança em Proteção de Dados, em conformidade com o art. 50 da LGPD, contemplando, entre outras medidas:

  • Políticas e procedimentos internos de proteção de dados;
  • Adoção dos princípios de privacy by design e privacy by default (minimização, finalidade, necessidade e segurança);
  • Medidas técnicas e administrativas de segurança (controle de acesso, criptografia em trânsito e em repouso quando aplicável, segregação por *tenant*);
  • Designação de Encarregado (DPO) e canais de atendimento ao titular;
  • Gestão de incidentes e de subprocessadores;
  • Treinamento e conscientização de colaboradores;
  • Revisão periódica das práticas e documentos de privacidade.

17. Histórico de versões e atualizações

Esta Central e os documentos a ela vinculados podem ser atualizados periodicamente. As alterações relevantes serão informadas pelos canais apropriados, e a data da última atualização constará sempre no topo de cada documento.

| Versão | Data | Principais alterações | |---|---|---| | 1.0 | [DATA DE VIGÊNCIA] | Publicação inicial da Central de Privacidade. | | [VERSÃO] | [DATA] | [DESCRIÇÃO DA ALTERAÇÃO] |

Foro/Legislação aplicável: Esta Central e os documentos correlatos são regidos pela legislação brasileira, elegendo-se o foro de [CIDADE/UF - FORO] para dirimir eventuais controvérsias, salvo disposição legal em contrário, especialmente as regras de competência protetiva do consumidor previstas no CDC.

AVISO: Esta é uma minuta técnica gerada com base na legislação vigente e NÃO constitui aconselhamento jurídico. Deve ser revisada por advogado(a) antes da publicação.