VERSÃO 2026-06-v1

Política de Privacidade

Última atualização: 6 de junho de 2026

Em resumo: coletamos só o que precisamos pra entregar seu pedido, te identificar com segurança e cumprir a lei. Você é o dono dos seus dados — pode acessar, corrigir, exportar ou apagar a qualquer momento pelo email dpo@venuz.com.br. Não vendemos dados pra ninguém.

I · Quem é responsável pelos seus dados

1.1. Controlador

Os dados pessoais coletados pela plataforma são tratados pela Venuz Tecnologia e Inovação Ltda.("Venuz"), inscrita no CNPJ 64.716.048/0001-83, com sede em Av. Tocantins, S/N, Centro, São Sebastião do Tocantins/TO, CEP 77.990-000. A Venuz é o controlador dos dados na acepção do art. 5º, VI da LGPD — somos nós que tomamos as decisões sobre como e por que tratamos os dados.

1.2. Encarregado (DPO)

Conforme art. 41 da LGPD, indicamos um Encarregado pelo Tratamento de Dados Pessoais. Para exercer seus direitos ou tirar dúvidas, contate:

Email: dpo@venuz.com.br
Assunto: "LGPD" ou "Privacidade"
Prazo de resposta: até 15 dias corridos (art. 19 LGPD)

1.3. Operadores e sub-processadores

Utilizamos alguns provedores terceirizados que operam sob nossa orientação, em conformidade com a LGPD. Eles processam dados estritamente para os fins que contratamos. A lista atualizada está na seção VI.

II · Quais dados coletamos

Coletamos diferentes categorias de dados conforme o seu papel na plataforma (cliente, lojista, entregador). Cada item tem uma finalidade específica e uma base legal correspondente (detalhadas na seção III).

2.1. Dados fornecidos diretamente por você

Categoria

Exemplos

Identificação

Nome completo, CPF (cliente e entregador) ou CNPJ (lojista), data de nascimento

Contato

Email, telefone (com DDD), endereço de entrega

Autenticação

Senha (armazenada com hash bcrypt, nunca em texto), método de login (email/senha ou Google OAuth)

Veículo (entregador)

Tipo de veículo (moto/bike/carro/a pé), placa, cidade

Bancário (entregador/lojista)

Código do banco, agência, conta, tipo de conta — armazenados apenas no gateway Pagar.me, não em nossos bancos

Avaliações e comentários

Nota (1-5 estrelas) e texto de avaliação após cada pedido

Documentos KYC

Selfie, foto de RG/CNH (entregador, durante verificação Pagar.me) — não armazenamos cópia, vai direto pro gateway

2.2. Dados coletados automaticamente quando você usa o app

Categoria

Exemplos

Histórico de pedidos

Itens pedidos, valor, datas, estabelecimentos preferidos, forma de pagamento (PIX online ou na entrega)

Fidelidade / carteira (Clube V)

Pontos e cashback acumulados, nível (bronze/prata/ouro), saldo e movimentações da carteira digital

Interações com a SOSO (IA)

Mensagens enviadas ao assistente e contexto do pedido, para gerar respostas e sugerir itens

Geolocalização (cliente)

GPS no momento do checkout, opcionalmente, para sugerir endereço atual

Geolocalização (entregador)

GPS contínuo enquanto status é "online" no app, para roteirização e segurança

Dispositivo e técnicos

Endereço IP, tipo de navegador, sistema operacional, versão do app, identificador anônimo de dispositivo

Comportamento de uso

Páginas visitadas, tempo gasto, interações com promoções (para melhorar a plataforma)

Logs de segurança

Tentativas de login falhas, país de origem do acesso, alertas de fraude

2.3. Dados que você concede ao usar pagamento

Quando você paga via PIX, os dados financeiros (CPF/CNPJ, chave PIX, número de cartão se aplicável) são processados diretamente pelos gateways (Mercado Pago ou Pagar.me) que possuem certificação PCI-DSS. A Venuz NÃO armazena número de cartão, CVV, chave PIX nem senha bancária.

Quando o estabelecimento oferece pagamento na entrega(dinheiro ou cartão na maquininha), esse pagamento ocorre presencialmente, fora da plataforma — a Venuz registra apenas a forma de pagamento escolhida e o valor do pedido para fins de acerto/comissão, sem capturar dados do cartão presencial.

2.4. Dados de menores

A plataforma é destinada a maiores de 18 anos. Se identificarmos cadastro de menor de 18 sem autorização do responsável, suspendemos a conta e excluímos os dados conforme art. 14 da LGPD. Para usuários entre 16 e 17 anos com autorização do responsável, o tratamento depende de consentimento específico de quem exerce o poder familiar.

III · Para que usamos seus dados (bases legais)

Cada uso dos seus dados tem uma finalidade específica e uma base legal entre as previstas no art. 7º da LGPD.

3.1. Execução do contrato (art. 7º, V LGPD)

Usamos seus dados para tudo que é necessário pra você usar a plataforma como combinado:

Criar e manter sua conta;
Processar pedidos, pagamentos e entregas;
Calcular rotas e tempos de entrega;
Conectar você com o lojista e o entregador;
Mostrar status do pedido em tempo real;
Operar o programa de fidelidade Clube V (pontos, cashback e carteira);
Operar a assistente SOSO (IA) para ajudar você a encontrar produtos, montar o carrinho e tirar dúvidas, a partir das mensagens que você envia e do contexto do seu pedido;
Suporte e resolução de problemas operacionais.

3.2. Cumprimento de obrigação legal (art. 7º, II LGPD)

Emitir notas fiscais e cumprir obrigações fiscais (Receita Federal, SEFAZ);
Atender ordens judiciais e requisições legítimas de autoridades;
Manter logs de acesso por 6 meses conforme art. 15 do Marco Civil.

3.3. Legítimo interesse (art. 7º, IX LGPD)

Prevenção e detecção de fraudes (chargebacks, account sharing, cupons abusivos);
Segurança da plataforma (rate limiting, proteção contra bots, monitoramento de tentativas de invasão);
Melhoria do serviço (análise estatística de uso, performance, identificação de erros);
Comunicação operacional (status do pedido, alertas de segurança).

Sempre que tratamos dados com base em legítimo interesse, ponderamos nossos objetivos contra seus direitos e liberdades. Você pode se opor ao tratamento (seção V).

3.4. Consentimento (art. 7º, I LGPD)

Envio de comunicações de marketing (promoções, novidades);
Geolocalização contínua de entregadores (consentido na ativação do status online);
Coleta de geolocalização do cliente fora do contexto de pedido ativo.

Consentimento pode ser revogado a qualquer momento, sem prejuízo dos demais usos baseados em outras hipóteses legais.

3.5. Proteção ao crédito (art. 7º, X LGPD)

Para verificações de CPF junto a serviços antifraude e bureaus de crédito, quando há suspeita ou denúncia de uso indevido da plataforma.

3.6. Decisões automatizadas (art. 20 LGPD)

Alguns processos da plataforma envolvem decisões automatizadas:

Atribuição de entregadores a pedidos (algoritmo de proximidade);
Detecção de fraude (suspensão preventiva por padrão suspeito);
Suspensão automática por inatividade prolongada.

Você tem direito à revisão humana dessas decisões sempre que afetarem seus interesses (art. 20, §1º LGPD). Solicite pelo email do DPO.

IV · Com quem compartilhamos seus dados

Compartilhamos dados apenas com quem precisa pra viabilizar o serviço, e sempre com o mínimo necessário.

4.1. Compartilhamento operacional entre partes

Para

O que compartilhamos

Cliente

Lojista

Nome, endereço de entrega, itens e observações do pedido

Cliente

Entregador

Nome, endereço, telefone — apenas durante a entrega ativa

Entregador

Cliente

Nome, foto, localização em tempo real durante entrega ativa

Lojista

Cliente

Nome do estabelecimento, endereço, cardápio, avaliações

4.2. Sub-processadores (operadores)

Provedores que tratam dados em nosso nome, sob contrato:

Operador

Finalidade

País

Supabase

Banco de dados + autenticação

EUA (adequado)

Vercel

Hospedagem do app e API

EUA (adequado)

Mercado Pago

Processamento de PIX (gateway)

Brasil

Pagar.me (Stone)

Processamento de PIX e transferências

Brasil

Resend

Envio de emails transacionais

EUA

Upstash

Rate limiting (cache de IPs)

EUA

Sentry

Monitoramento de erros (sem PII)

EUA

Cloudflare Turnstile

CAPTCHA anti-bot

EUA

OpenStreetMap / CARTO

Tiles do mapa (entregador/admin)

UE/EUA

Google Maps

StreetView e abertura de rotas externas

EUA

Evolution API + WhatsApp

Notificações via WhatsApp (opt-in)

Meta — EUA/Brasil

Web Push (VAPID)

Notificações push do navegador

Servidor de push do navegador

4.3. Quando exigido por lei

Podemos compartilhar dados com autoridades públicas competentes mediante ordem judicial, requisição do Ministério Público ou outras autoridades legitimadas. Sempre que possível, notificaremos o titular sobre a requisição.

4.4. O que NÃO fazemos

Não vendemos dados pessoais a terceiros;
Não compartilhamos dados com anunciantes para targeting;
Não usamos seus dados pra treinar modelos de IA externos sem consentimento;
Não enviamos dados pra brokers de marketing ou data brokers.

4.5. Transferências internacionais

Alguns dos sub-processadores listados na seção 4.2 mantêm servidores fora do Brasil (EUA principalmente). Conforme art. 33-35 da LGPD, essas transferências são feitas mediante:

Cláusulas contratuais padrão (Standard Contractual Clauses);
Certificações de adequação (ISO 27001, SOC 2);
Salvaguardas técnicas (criptografia em trânsito e em repouso).

V · Seus direitos como titular

A LGPD (art. 18) garante a você os seguintes direitos sobre seus dados pessoais. Para exercer qualquer um deles, envie email para dpo@venuz.com.br.

Confirmação e acesso

Saber se tratamos seus dados e obter cópia completa em formato legível.

Correção

Atualizar dados desatualizados, incompletos ou incorretos.

Anonimização, bloqueio ou eliminação

Solicitar que dados desnecessários, excessivos ou tratados em desconformidade sejam anonimizados ou excluídos.

Portabilidade

Receber seus dados em formato estruturado e interoperável (JSON ou CSV) para transferir a outro serviço.

Eliminação de dados tratados com consentimento

Pedir exclusão dos dados quando a base legal for consentimento. Ressalvadas obrigações legais de retenção (fiscais, processuais).

Informação sobre compartilhamento

Saber com quais entidades públicas e privadas seus dados foram compartilhados.

Revogação de consentimento

Retirar consentimento previamente dado. A revogação não afeta tratamentos já realizados sob outras bases legais.

Oposição

Opor-se ao tratamento baseado em legítimo interesse, com justificativa.

Revisão de decisões automatizadas

Solicitar revisão humana de decisões totalmente automatizadas que afetem seus interesses (suspensão por algoritmo, prevenção de fraude, etc).

Respondemos em até 15 dias corridos a partir da solicitação (art. 19 LGPD). Se não conseguirmos atender em algum caso (por restrição legal, por exemplo), explicaremos o motivo.

Você também pode reclamar diretamente à Autoridade Nacional de Proteção de Dados (ANPD): www.gov.br/anpd.

VI · Quanto tempo guardamos seus dados (retenção)

Mantemos dados pelo tempo necessário para cumprir as finalidades descritas e atender obrigações legais. Depois, excluímos ou anonimizamos.

Categoria de dado

Tempo de retenção

Motivo

Dados de conta ativa

Enquanto a conta existir

Execução do contrato

Conta excluída

30 dias (período de graça)

Reverter acidentes + obrigações pendentes

Histórico de pedidos e pagamentos

5 anos

Obrigação fiscal (Receita)

Logs de acesso

6 meses

Art. 15 Marco Civil

Logs de tentativa de login falha

90 dias

Segurança / forense

Geolocalização entregador (durante entrega)

7 dias

Auditoria de rota e disputas

Geolocalização entregador (histórica)

Não armazenada (apenas em tempo real)

Minimização de dados

Avaliações públicas

Enquanto a conta do avaliador existir

Reputação e transparência

Notas fiscais emitidas

5 anos

Obrigação fiscal

Dados de cadastro Pagar.me (KYC)

Conforme política Pagar.me

Pagar.me é controlador desses dados

6.2. Pedidos como convidado

Quando você opta por pedir sem criar conta, criamos um perfil temporário com os dados do pedido (nome, telefone se informado, endereço). Se você não fizer nenhum pedido em 90 dias, esse perfil é deletado automaticamente. Se fizer pedido, os dados ficam retidos pelo prazo fiscal aplicável junto com o histórico de compras, como qualquer cliente cadastrado. A qualquer momento, você pode solicitar a remoção dos seus dados em contato.venuz@gmail.com.

VII · Como protegemos seus dados (segurança)

Adotamos medidas técnicas e administrativas razoáveis e proporcionais aos riscos (art. 46 LGPD):

7.1. Medidas técnicas

Criptografia TLS 1.3 em todo o tráfego (HTTPS obrigatório);
Senhas armazenadas com hash bcrypt (nunca em texto puro);
Row Level Security (RLS) no banco — usuário só vê seus próprios dados;
JWT com expiração curta (15 minutos) + rotação automática de refresh tokens;
MFA obrigatório para administradores;
Rate limiting agressivo contra brute force e bots (Cloudflare + Turnstile);
Proteção CSRF em todas as mutações;
Sanitização de inputs (Zod) e prepared statements (sem SQL injection);
Logs sem PII visíveis (mascaramento automático em produção);
Monitoramento contínuo de erros via Sentry (sem dados sensíveis);
Backups diários incrementais com retenção de 30 dias.

7.2. Medidas administrativas

Acesso a dados restrito a colaboradores autorizados, com login individual e auditoria;
Termo de confidencialidade assinado por todos com acesso;
Treinamento periódico em LGPD e segurança;
Revisão de logs de acesso administrativo;
Plano de resposta a incidentes documentado.

7.3. Em caso de incidente

Se um incidente de segurança vier a comprometer dados pessoais e gerar risco relevante aos titulares, comunicaremos a ANPD e os titulares afetados em prazo razoável, conforme art. 48 da LGPD. A comunicação incluirá: natureza dos dados afetados, riscos prováveis, medidas tomadas e contato para esclarecimentos.

VIII · Cookies e tecnologias de rastreamento

8.1. O que usamos

Utilizamos um conjunto mínimo de cookies e armazenamento local, classificados em:

Estritamente necessários: autenticação (sessão Supabase), proteção CSRF, preferência de idioma, lembrar-me no login. Não dependem de consentimento.
Funcionais: preferência de som de alerta (driver), banner Stone, opt-out de marketing. Salvos em localStorage.
Analíticos próprios: performance da página (Sentry performance), sem identificação pessoal.

8.2. O que NÃO usamos

Cookies de publicidade ou retargeting;
Pixels de redes sociais (Facebook Pixel, TikTok Pixel);
Cookies de terceiros para perfil comportamental;
Fingerprinting de dispositivo.

8.3. Gerenciamento

Você pode limpar cookies e dados de armazenamento pelo próprio navegador. Atenção: limpar pode desconectar você do app e exigir novo login.

IX · Comunicações de marketing

Comunicações operacionais (status de pedido, confirmação de saque, alertas de segurança) são enviadas como parte do contrato e não exigem consentimento.

Comunicações promocionais (cupons, novidades, ofertas) são enviadas apenas com seu consentimento explícito. Você pode revogar a qualquer momento clicando em "Descadastrar" no rodapé do email ou nas configurações do app.

X · Crianças e adolescentes

A plataforma é destinada a maiores de 18 anos. Cadastro de menores depende de autorização específica do responsável legal, conforme art. 14 da LGPD. Se descobrirmos cadastro de menor de idade sem essa autorização, suspenderemos a conta e excluiremos os dados.

Pais ou responsáveis que identificarem cadastro indevido de filho menor devem contatar o DPO para solicitar exclusão imediata.

XI · Alterações nesta política

Podemos atualizar esta Política para refletir mudanças legais, novos recursos da plataforma ou aprimoramentos nas práticas de proteção de dados.

Mudanças materiais (que afetem materialmente seus direitos ou nossas obrigações) serão comunicadas com pelo menos 30 dias de antecedência por email cadastrado e/ou aviso no app. A versão vigente está sempre nesta página, com data e número de versão no topo.

XII · Contato

Encarregado (DPO): dpo@venuz.com.br
Suporte geral: contato.venuz@gmail.com
Endereço físico: Av. Tocantins, S/N, Centro, São Sebastião do Tocantins/TO, CEP 77.990-000
ANPD (autoridade reguladora): www.gov.br/anpd