BoxAIVoltar ao site

Política de Privacidade — BoxAI

Última atualização: [DATA DE VIGÊNCIA]

1. Introdução

Esta Política de Privacidade ("Política") descreve como a [RAZÃO SOCIAL], inscrita no CNPJ sob o nº [CNPJ], com sede em [ENDEREÇO COMPLETO] ("BoxAI", "nós" ou "nosso"), trata dados pessoais no contexto da plataforma de gestão de oficinas mecânicas e centros automotivos BoxAI ("Plataforma").

Elaboramos este documento em observância à Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais — "LGPD"), à Lei nº 12.965/2014 (Marco Civil da Internet), à Lei nº 8.078/1990 (Código de Defesa do Consumidor — "CDC") e à Lei nº 10.406/2002 (Código Civil), prezando pelos princípios de finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas (art. 6º da LGPD).

Esta Política integra e complementa os Termos de Uso da Plataforma e fornece ao titular, de forma clara e acessível, as informações exigidas pelos arts. 9º e 18 da LGPD.

2. Distinção entre Controlador e Operador (Duplo Papel da BoxAI)

A BoxAI atua em dois papéis distintos, conforme as definições dos arts. 5º, VI e VII, da LGPD:

  • BoxAI como CONTROLADORA: Em relação aos dados cadastrais da oficina contratante e de seus usuários (proprietários, gestores, mecânicos e demais colaboradores que acessam a Plataforma), a BoxAI é a Controladora, pois decide sobre as finalidades e os meios de tratamento desses dados (gestão da conta, faturamento da assinatura, suporte, segurança e cumprimento de obrigações legais).
  • BoxAI como OPERADORA: Em relação aos dados pessoais dos clientes finais (consumidores) da oficina — tais como nome, contato, dados do veículo e histórico de serviços inseridos na Plataforma — a oficina contratante é a Controladora, e a BoxAI atua como Operadora, tratando tais dados exclusivamente conforme as instruções e finalidades determinadas pela oficina. As condições, garantias e limites desse tratamento são regidos por contrato específico de operação de dados (Acordo de Tratamento de Dados — DPA), que prevalece sobre esta Política no que se refere aos dados de clientes finais.
Em síntese: se você é uma oficina ou usuário da Plataforma, esta Política rege diretamente o tratamento dos seus dados pela BoxAI. Se você é cliente final de uma oficina, a oficina é a responsável (Controladora) pelos seus dados, e suas solicitações devem ser dirigidas diretamente a ela (vide Seções 12 e 13).

3. Escopo e Aplicabilidade

Esta Política aplica-se a:

  • Oficinas contratantes (pessoas jurídicas ou empresários individuais) que assinam ou utilizam a Plataforma;
  • Usuários da oficina (pessoas físicas autorizadas a acessar e operar a Plataforma);
  • Visitantes e potenciais clientes (leads) do site institucional e canais digitais da BoxAI.

Quanto aos dados de clientes finais inseridos ou gerados na Plataforma pela oficina, a BoxAI atua como Operadora, e o tratamento é regido pelo DPA celebrado com a oficina-Controladora. Esta Política descreve esse papel de forma transparente, mas não substitui a política de privacidade da própria oficina perante seus consumidores.

4. Categorias de Dados Pessoais Tratados

Tratamos as seguintes categorias de dados pessoais:

| Categoria | Exemplos | Papel da BoxAI | |---|---|---| | Dados cadastrais da oficina/usuário | Razão social, CNPJ, nome do responsável, e-mail, telefone, endereço, credenciais de acesso | Controladora | | Dados de visitantes/leads | Nome, e-mail, telefone e mensagem fornecidos em formulários de contato comercial e canais digitais | Controladora | | Dados de clientes finais | Nome, contato (telefone/e-mail), dados do veículo (placa, modelo, ano, chassi), histórico de serviços e ordens de serviço | Operadora (oficina = Controladora) | | Dados de pagamento | Dados de cobrança da assinatura e transações processadas via gateway (os dados de cartão são tratados diretamente pelo provedor de pagamento) | Controladora (assinatura) / Operadora (cobranças de clientes finais) | | Comunicações | Conteúdo e metadados de mensagens trocadas via WhatsApp e e-mail (notificações, lembretes, suporte) | Conforme contexto | | Dados de uso e navegação | Páginas e funções acessadas, preferências, interações, identificadores de dispositivo, cookies | Controladora | | Registros de acesso a aplicações (logs) | Endereço IP, data e hora de acesso às aplicações, conforme art. 15 do Marco Civil da Internet | Controladora |

A BoxAI não tem por finalidade coletar dados pessoais sensíveis (art. 11 da LGPD). Caso a oficina, por sua conta e responsabilidade, insira dados que possam ser caracterizados como sensíveis, tal tratamento ocorre sob a responsabilidade da oficina-Controladora e nos limites do DPA. Vide Seção 7.

Dados de fornecimento indispensável: Determinados dados (por exemplo, identificação e contato do usuário, dados de cobrança da assinatura) são indispensáveis à prestação do serviço. A não disponibilização desses dados pode impossibilitar a criação da conta ou a continuidade do uso da Plataforma.

5. Origem dos Dados

Os dados pessoais podem ser obtidos das seguintes formas:

  • Diretamente do titular: ao realizar cadastro, contratar a assinatura, preencher formulários ou contatar o suporte;
  • Inseridos pela oficina: dados de clientes finais e demais informações cadastradas pelos usuários no uso normal da Plataforma;
  • Gerados pelo uso da Plataforma: dados de uso, navegação, registros de acesso (logs) e metadados produzidos automaticamente.

6. Finalidades e Bases Legais do Tratamento

Em observância à vedação de finalidades genéricas (art. 6º, I, da LGPD), descrevemos abaixo as finalidades específicas e as respectivas bases legais (art. 7º da LGPD):

| Finalidade específica | Base legal (art. 7º LGPD) | |---|---| | Criação e gestão da conta; provisão das funcionalidades contratadas da Plataforma | Execução de contrato (art. 7º, V) | | Cobrança, faturamento e gestão da assinatura | Execução de contrato (art. 7º, V) | | Cumprimento de obrigações legais, fiscais e regulatórias | Cumprimento de obrigação legal/regulatória (art. 7º, II) | | Guarda de registros de acesso a aplicações de internet | Cumprimento de obrigação legal (art. 7º, II) c/c art. 15 do Marco Civil da Internet | | Suporte técnico e atendimento ao usuário | Execução de contrato (art. 7º, V) | | Segurança da informação, prevenção a fraudes e garantia da integridade da Plataforma | Legítimo interesse (art. 7º, IX) | | Cookies e identificadores estritamente necessários ao funcionamento, autenticação e segurança | Execução de contrato (art. 7º, V) / Legítimo interesse (art. 7º, IX) | | Cookies e tecnologias de análise/medição e personalização não essenciais | Consentimento (art. 7º, I) — gerenciável via Política de Cookies | | Melhoria de produtos, análise de uso e desenvolvimento de novas funcionalidades (dados agregados/anonimizados sempre que possível) | Legítimo interesse (art. 7º, IX) | | Atendimento a contatos comerciais e gestão de leads | Legítimo interesse (art. 7º, IX) ou Consentimento (art. 7º, I), conforme o caso | | Envio de comunicações transacionais (lembretes, avisos de serviço, status de OS) | Execução de contrato (art. 7º, V) | | Envio de comunicações de marketing e novidades | Consentimento (art. 7º, I) — com opção de opt-out | | Exercício regular de direitos em processo judicial, administrativo ou arbitral | Exercício regular de direitos (art. 7º, VI) |

Quando o tratamento se basear em legítimo interesse, este será sempre limitado ao estritamente necessário e ponderado frente aos direitos e liberdades do titular, podendo a BoxAI elaborar o relatório de impacto à proteção de dados pessoais previsto no art. 38 da LGPD. O titular poderá opor-se a tratamentos fundados em legítimo interesse, nos termos da Seção 12.

7. Dados Sensíveis e Dados de Crianças e Adolescentes

Dados sensíveis (art. 11 da LGPD): A Plataforma não se destina à coleta de dados sensíveis. Caso sejam eventualmente inseridos pela oficina, seu tratamento ocorrerá sob responsabilidade da oficina-Controladora, mediante base legal própria do art. 11 (em regra, consentimento específico e destacado do titular).

Dados de crianças e adolescentes (art. 14 da LGPD): A Plataforma é destinada a profissionais e empresas (uso B2B) e não tem por finalidade o tratamento de dados de crianças e adolescentes. Eventual tratamento de tais dados, quando inevitável (ex.: titular de veículo menor de idade representado por responsável), deverá observar o melhor interesse da criança/adolescente e, quando aplicável, o consentimento específico e em destaque de pelo menos um dos pais ou responsável legal, sendo de responsabilidade da oficina-Controladora a obtenção e a guarda desse consentimento.

8. Compartilhamento com Terceiros, Operadores e Subprocessadores

Para viabilizar o funcionamento da Plataforma, a BoxAI compartilha dados com terceiros que atuam como operadores/subprocessadores, sob obrigações contratuais de confidencialidade e segurança compatíveis com a LGPD:

  • Asaas (ou outro gateway de pagamento) — processamento de cobranças e transações financeiras;
  • Supabase — infraestrutura de banco de dados, autenticação e armazenamento (hospedagem em nuvem);
  • WhatsApp / Meta — envio de mensagens e comunicações via API oficial;
  • Provedores de e-mail — envio de comunicações transacionais e notificações;
  • TecDoc (ou base equivalente de catálogo de peças/veículos) — consulta de dados técnicos automotivos.

Dados de pagamento (cartão): Os dados completos de cartão (número, validade e código de segurança) são coletados e tratados diretamente pelo provedor de pagamento (gateway), em ambiente certificado conforme o padrão PCI-DSS. A BoxAI não armazena o número completo do cartão nem o código de segurança (CVV), recebendo do gateway apenas dados estritamente necessários à gestão da cobrança (ex.: status da transação, bandeira e últimos dígitos).

A BoxAI poderá ainda compartilhar dados com:

  • autoridades públicas, em cumprimento de obrigação legal ou regulatória ou de ordem judicial (arts. 7º, II, e 7º, VI da LGPD);
  • terceiros envolvidos em operações societárias (fusão, aquisição, reorganização ou venda de ativos), hipótese em que a transferência respeitará as finalidades originais e as garantias desta Política, e o titular será informado em caso de mudança de controle que afete o tratamento de seus dados.

A BoxAI não comercializa dados pessoais.

9. Transferência Internacional de Dados

Alguns dos prestadores acima (notadamente provedores de infraestrutura em nuvem, como o Supabase, e plataformas de comunicação) podem armazenar ou processar dados em servidores localizados fora do Brasil. Tais transferências internacionais observam as hipóteses e salvaguardas dos arts. 33, 34 e 35 da LGPD e a regulamentação aplicável da Autoridade Nacional de Proteção de Dados (ANPD), em especial a Resolução CD/ANPD nº 19/2024 sobre cláusulas-padrão contratuais, incluindo, conforme o caso:

  • transferência para países ou organismos com grau de proteção adequado reconhecido pela ANPD;
  • adoção de cláusulas-padrão contratuais, cláusulas contratuais específicas, normas corporativas globais ou outras garantias contratuais de proteção (art. 35);
  • quando aplicável, obtenção de consentimento específico e destacado do titular, ou enquadramento em outra hipótese do art. 33.

A BoxAI envida esforços para selecionar fornecedores que adotem padrões de segurança e governança compatíveis com a legislação brasileira.

10. Retenção e Eliminação de Dados

Os dados são retidos pelo tempo necessário ao cumprimento das finalidades para as quais foram coletados, observados os seguintes critérios por categoria:

| Categoria | Prazo / critério de retenção | |---|---| | Dados cadastrais da oficina/usuário | Durante a vigência do contrato e por até [Nº] anos após o encerramento (sugestão de referência: 5 anos, alinhado ao prazo prescricional aplicável), para exercício de direitos e cumprimento de obrigações legais | | Dados de visitantes/leads | Pelo período necessário ao atendimento do contato comercial ou até a revogação do consentimento, o que ocorrer primeiro | | Dados de clientes finais (operados para a oficina) | Pelo prazo determinado pela oficina-Controladora ou enquanto durar o contrato com a oficina; eliminados ou devolvidos ao término, conforme o DPA | | Dados de pagamento e fiscais | Pelos prazos exigidos pela legislação fiscal e tributária (em regra, 5 anos) | | Comunicações (WhatsApp/e-mail) | Pelo período necessário ao atendimento e à comprovação, conforme finalidade | | Registros de acesso a aplicações de internet (logs) | Mínimo de 6 (seis) meses, nos termos do art. 15 do Marco Civil da Internet, podendo ser mantidos por mais tempo mediante requisição ou obrigação legal | | Dados de consumidores em bancos de dados | Observados os arts. 43 e 44 do CDC |

Encerrado o tratamento, os dados serão eliminados de forma segura, ressalvadas as hipóteses de guarda obrigatória do art. 16 da LGPD (cumprimento de obrigação legal/regulatória, estudo por órgão de pesquisa com anonimização, transferência a terceiro mediante observância da lei, ou uso exclusivo do controlador com anonimização).

11. Segurança da Informação

Em atendimento aos arts. 46 a 49 da LGPD, a BoxAI adota medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, incluindo:

  • Criptografia de dados em trânsito (TLS) e, quando aplicável, em repouso;
  • Controle de acesso baseado em papéis (RBAC) e autenticação;
  • Segregação multi-tenant, isolando logicamente os dados de cada oficina;
  • registros de auditoria e monitoramento de eventos de segurança;
  • políticas internas de confidencialidade e treinamento de equipe;
  • backups e procedimentos de continuidade.

Nenhum sistema é completamente imune a riscos; a BoxAI mantém processos de melhoria contínua e resposta a incidentes (vide Seção 15).

12. Direitos do Titular (art. 18 da LGPD)

O titular pode, a qualquer momento e mediante requisição, exercer os seguintes direitos:

  1. Confirmação da existência de tratamento;
  2. Acesso aos dados;
  3. Correção de dados incompletos, inexatos ou desatualizados;
  4. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
  5. Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, observados os segredos comercial e industrial;
  6. Eliminação dos dados tratados com base no consentimento, ressalvadas as hipóteses de guarda legal (art. 16);
  7. Informação sobre as entidades públicas e privadas com as quais houve uso compartilhado de dados;
  8. Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
  9. Revogação do consentimento, nos termos do art. 8º, §5º;
  10. Oposição a tratamento realizado com fundamento em hipótese de dispensa de consentimento (incluindo legítimo interesse), em caso de descumprimento da LGPD (art. 18, §2º);
  11. Revisão de decisões automatizadas, nos termos do art. 20 (vide Seção 14);
  12. Peticionar perante a ANPD e reclamar quanto ao tratamento (art. 18, §1º — vide Seção 19).

Encaminhamento de solicitações de clientes finais: Como a BoxAI é apenas Operadora dos dados de clientes finais, as solicitações desses titulares devem ser dirigidas diretamente à oficina-Controladora responsável pelo seu atendimento. Caso a BoxAI receba tal solicitação, encaminhá-la-á à oficina competente ou orientará o titular a contatá-la, sem demora injustificada, em conformidade com o DPA.

13. Canal de Atendimento e Prazo de Resposta

As requisições relativas a esta Política e ao exercício de direitos podem ser encaminhadas ao Encarregado (DPO) pelo e-mail [E-MAIL DO ENCARREGADO/DPO] ou ao canal de contato [E-MAIL DE CONTATO].

Os prazos de resposta observam o art. 19 da LGPD:

  • Quanto à confirmação de existência de tratamento e ao acesso aos dados, a resposta será dada de imediato, em formato simplificado, ou no prazo de até 15 (quinze) dias, em declaração clara e completa, contado da data do requerimento;
  • Quanto aos demais direitos (correção, anonimização, bloqueio, eliminação, portabilidade, informação e oposição), a BoxAI responderá em prazo razoável e proporcional, observados os parâmetros e a regulamentação da ANPD.

Para confirmar a identidade do solicitante e a segurança dos dados, poderemos solicitar informações adicionais de verificação. Caso a solicitação se refira a dados de clientes finais (em que a BoxAI é Operadora), o requerente será orientado à oficina-Controladora, conforme a Seção 12.

14. Decisões Automatizadas e Inteligência Artificial (art. 20 da LGPD)

A Plataforma pode empregar recursos automatizados e de inteligência artificial para auxiliar a gestão da oficina (ex.: sugestões, organização de informações e automações operacionais). Tais recursos têm caráter auxiliar e, em regra, não produzem efeitos jurídicos ou impactos relevantes sobre o titular de forma exclusivamente automatizada.

Caso o titular seja submetido a decisão tomada unicamente com base em tratamento automatizado de dados que afete seus interesses, poderá solicitar revisão, nos termos do art. 20 da LGPD, bem como informações claras e adequadas sobre os critérios e os procedimentos utilizados (art. 20, §1º), observados os segredos comercial e industrial. Nos termos do art. 20, §3º, a ANPD poderá realizar auditoria para verificação de aspectos discriminatórios em tratamento automatizado.

15. Incidentes de Segurança (art. 48 da LGPD)

Na hipótese de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a BoxAI, na condição de Controladora, comunicará à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados em prazo razoável, observada a regulamentação da ANPD (Resolução CD/ANPD nº 15/2024, que estabelece como referência o prazo de 3 (três) dias úteis contados do conhecimento do incidente), informando, no mínimo: a natureza dos dados pessoais afetados, os titulares envolvidos, as medidas técnicas e de segurança utilizadas, os riscos relacionados ao incidente e as medidas adotadas para reverter ou mitigar seus efeitos.

Quando a BoxAI atuar como Operadora, comunicará o incidente à oficina-Controladora sem demora injustificada a partir do seu conhecimento, prestando o auxílio necessário para que esta cumpra seus deveres legais perante a ANPD e os titulares, nos termos do DPA.

16. Cookies e Tecnologias de Rastreamento

A Plataforma e o site institucional utilizam cookies e tecnologias semelhantes. Os cookies estritamente necessários (autenticação, funcionamento, preferências essenciais e segurança) são utilizados com base na execução do contrato e no legítimo interesse. Os cookies de análise, medição e marketing (não essenciais) dependem do consentimento do titular, que pode ser concedido ou retirado a qualquer momento. O detalhamento das categorias de cookies, suas finalidades e as formas de gerenciamento constam da Política de Cookies, que complementa esta Política.

17. Comunicações de Marketing e Transacionais (WhatsApp / E-mail)

A BoxAI poderá enviar:

  • Comunicações transacionais (avisos de serviço, status de ordens de serviço, lembretes, faturas, alertas de segurança), necessárias à execução do contrato e à prestação do serviço; e
  • Comunicações de marketing (novidades, promoções e conteúdos), enviadas mediante consentimento e com possibilidade de opt-out a qualquer momento, por meio do link de descadastro, das configurações da conta ou da palavra-chave de saída indicada nas mensagens de WhatsApp.

O cancelamento das comunicações de marketing não afeta o envio de comunicações transacionais essenciais ao serviço.

18. Atualizações desta Política

Esta Política poderá ser atualizada periodicamente para refletir mudanças legais, regulatórias ou operacionais. Alterações relevantes serão comunicadas por meios apropriados (e-mail, aviso na Plataforma ou publicação no site), indicando-se a nova data de vigência no topo do documento. Recomendamos a revisão periódica deste texto.

19. Encarregado (DPO) e Reclamações à ANPD

O Encarregado pelo Tratamento de Dados Pessoais (DPO), nos termos do art. 41 da LGPD, pode ser contatado pelo e-mail [E-MAIL DO ENCARREGADO/DPO]. A identidade e as informações de contato do Encarregado são divulgadas publicamente, de forma clara e objetiva, nos canais oficiais da BoxAI (art. 41, §1º).

O titular tem o direito de peticionar e apresentar reclamações perante a Autoridade Nacional de Proteção de Dados (ANPD), por meio dos canais oficiais disponíveis em seu sítio eletrônico, caso entenda que seus direitos não foram adequadamente atendidos (art. 18, §1º).

20. Lei Aplicável e Foro

Esta Política é regida pelas leis da República Federativa do Brasil. Fica eleito o foro da comarca de [CIDADE/UF - FORO] para dirimir quaisquer controvérsias decorrentes deste documento, com renúncia a qualquer outro, por mais privilegiado que seja, ressalvada a competência do foro de domicílio do consumidor nas hipóteses previstas no Código de Defesa do Consumidor.

AVISO: Esta é uma minuta técnica gerada com base na legislação vigente e NÃO constitui aconselhamento jurídico. Deve ser revisada por advogado(a) antes da publicação.