Política de Privacidade

Última atualização: 16 de maio de 2026 · Versão 1.0

Esta Política descreve como a Compraia (a "Plataforma") coleta, usa e protege seus dados pessoais. Esta política é regida pela Lei Geral de Proteção de Dados Pessoais (LGPD — Lei 13.709/2018) do Brasil.

1. Quem somos

Controlador dos dados: Compraia, contato via christian.geronasso@gmail.com. A Compraia é uma plataforma multi-inquilino (SaaS) que oferece pedidos por QR Code para restaurantes.

2. Dados que coletamos

2.1 De donos / gerentes de restaurante

2.2 De clientes que escaneiam um QR Code

3. Por que coletamos

FinalidadeBase legal (LGPD art. 7º)
Operar a plataforma (autenticação, pedidos, KDS)Execução de contrato
Detecção de fraude / abuso (rate-limiting)Legítimo interesse
Log de auditoria (segurança + integridade)Legítimo interesse + obrigação legal
Comunicações operacionais (avisos, suporte)Execução de contrato

4. Onde os dados ficam

A Compraia roda na infraestrutura Cloudflare. Os bancos de dados primários ficam em ENAM (Estados Unidos, costa leste) com replicação para edges mais próximas dos usuários. Estamos avaliando migração para uma região na América do Sul; até lá, os dados podem trafegar entre fronteiras, mas todas as transferências são criptografadas (TLS 1.3).

5. Seus direitos (art. 18 da LGPD)

Como titular dos dados, você tem direito a:

6. Quando excluímos seus dados

Dados de autenticação são excluídos imediatamente após pedido de eliminação. Dados de pedidos (revenue, auditoria) são anonimizados — substituímos referências ao usuário por um marcador "deleted_<uuid>". Mantemos esses registros por 5 anos para cumprir obrigações fiscais brasileiras (Receita Federal). Após esse prazo são definitivamente apagados.

7. Cookies

Usamos um único cookie técnico: compraia_sid. Ele guarda seu token de sessão (HttpOnly, Secure, SameSite=None). Não usamos cookies de rastreamento, analytics ou publicidade.

8. Subprocessadores

A Compraia processa dados apenas via:

Não compartilhamos dados pessoais com terceiros para fins comerciais.

9. Segurança

10. Incidentes

Em caso de incidente de segurança envolvendo seus dados, comunicaremos você dentro do prazo de 72 horas previsto pela LGPD, indicando: o que aconteceu, quais dados foram afetados, e que medidas tomamos.

11. Contato

Para qualquer questão de privacidade, escreva para christian.geronasso@gmail.com. Encarregado de Proteção de Dados (DPO): mesma pessoa, até a empresa crescer o suficiente para justificar um cargo dedicado.

12. Mudanças nesta política

Mudanças materiais serão comunicadas via banner na plataforma e por e-mail aos donos de restaurante. A versão atual e o histórico de mudanças ficam aqui mesmo.