Política de Privacidade — Approximix
Última atualização: 14 de maio de 2026 Operadora: InovaXgroup.com Tecnologia Ltda. ("Approximix", "nós") Encarregado de Dados (DPO): Rafael Luís S. P. —[email protected]
1. Compromisso e Base Legal
Esta Política descreve como o Approximix coleta, usa, armazena, compartilha e protege dados pessoais dos titulares (usuários consumidores, vendedores e distribuidores). Está em conformidade simultânea com:
- 🇧🇷 Brasil — Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018) — ANPD
- 🇪🇺 União Europeia — Regulamento Geral de Proteção de Dados (GDPR — UE 2016/679)
- 🇬🇧 Reino Unido — UK GDPR + Data Protection Act 2018 (ICO)
- 🇺🇸 Estados Unidos — CCPA/CPRA (Califórnia), VCDPA (Virgínia), CPA (Colorado)
- 🇨🇳 China — Personal Information Protection Law (PIPL)
- 🇮🇳 Índia — Digital Personal Data Protection Act 2023 (DPDPA)
- 🇰🇷 Coreia do Sul — Personal Information Protection Act (PIPA)
- 🇨🇱 Chile — Ley 21.719 (em vigor 2026) e Ley 19.628
- 🇲🇽 México — LFPDPPP (2010)
- 🇨🇴 Colômbia — Ley 1581/2012
- 🇦🇷 Argentina — Ley 25.326
- 🇵🇪 Peru — Ley 29733/2011
- 🇨🇷 Costa Rica — Ley 8968/2011
- 🇪🇸 Espanha — LOPDGDD
- 🇵🇹 Portugal — Lei 58/2019
- 🇮🇹 Itália — D.Lgs. 196/2003 (Codice Privacy)
- 🇫🇷 França — Loi Informatique et Libertés (LIL)
- 🇩🇪 Alemanha — BDSG
- 🇮🇩 Indonésia — UU PDP (Lei 27/2022)
- 🇹🇭 Tailândia — Personal Data Protection Act (PDPA)
- 🇵🇭 Filipinas — Data Privacy Act (RA 10173)
- 🇻🇳 Vietnã — Decreto 13/2023/NĐ-CP
- 🇯🇵 Japão — APPI
- 🇸🇬 Singapura — PDPA 2012
- 🇲🇾 Malásia — PDPA Act 709 (revisão 2024)
- 🇸🇦 Arábia Saudita — PDPL (2023)
- 🇦🇪 Emirados Árabes — Federal Decree Law 45/2021
- 🇨🇭 Suíça — revDSG (2023)
2. Quais Dados Coletamos
2.1 Dados fornecidos por você
- Identificação: nome, email, telefone, idioma, país, idade declarada
- Conta: senha (armazenada com hash criptográfico Argon2id/PBKDF2 — nunca em texto plano)
- Perfil de Vendedor: nome do negócio, identificação fiscal (CPF/CNPJ/EIN/NIF conforme país), categoria, fotos do truck
- Cardápio: itens vendidos, preços, fotos, descrições
- Pagamento (apenas vendedores Pro/Premium): processado integralmente pelo Stripe — não armazenamos cartão
2.2 Dados coletados automaticamente
- Geolocalização: coordenadas GPS (somente com permissão explícita no app)
- Identificadores técnicos: ID do dispositivo, push token, IP (hasheado para logs)
- Uso da plataforma: trucks seguidos, sinalizações enviadas, avaliações, conversas in-app
- Cookies (Web): sessão e preferência de idioma (essenciais). Não usamos cookies de publicidade.
2.3 Categorias especiais de dados
Não coletamos dados de origem racial/étnica, opinião política, convicção religiosa, filiação sindical, saúde, vida sexual, dados genéticos ou biométricos. Se você fornecer voluntariamente tais dados em campos livres (ex.: descrição do truck), os trataremos com a maior cautela e poderemos solicitar a remoção.2.4 Dados de crianças
Nosso serviço não é direcionado a menores de 16 anos. Se identificarmos que coletamos dados de menores sem o devido consentimento parental, eliminaremos imediatamente. Em jurisdições onde a idade mínima é diferente (ex.: COPPA — EUA: 13 anos), aplicamos a idade local.3. Bases Legais para o Tratamento (LGPD Art. 7 / GDPR Art. 6)
| Finalidade | Base Legal |
|---|---|
| Criação e manutenção da conta | Execução de contrato |
| Geolocalização do vendedor | Consentimento explícito |
| Geolocalização do consumidor | Consentimento + interesse legítimo |
| Notificações de proximidade | Consentimento |
| Cobrança recorrente (Stripe) | Execução de contrato |
| Programa de afiliados (Rewardful) | Execução de contrato + consentimento |
| Convites por SMS/WhatsApp/Email (Twilio) | Consentimento do enviante + interesse legítimo |
| Prevenção de fraude / segurança | Interesse legítimo + obrigação legal |
| Cumprimento de obrigações fiscais | Obrigação legal |
| Cookies essenciais | Interesse legítimo (justificado) |
| Análise agregada e anônima | Interesse legítimo |
| Marketing (newsletter, promoções) | Consentimento (opt-in) |
4. Como Usamos Seus Dados
- Conectar consumidores a vendedores móveis em tempo real
- Calcular rotas otimizadas e ETA (Estimated Time of Arrival)
- Enviar notificações push, SMS, WhatsApp e email (sempre relevantes ao serviço, marketing apenas com opt-in)
- Processar assinaturas pagas (Pro USD $29.90/mês · Premium USD $79.90/mês)
- Distribuir comissões a afiliados (Rewardful — 5% agências, 15% influenciadores)
- Calcular reputação (rating médio, score de confiabilidade)
- Detectar e prevenir fraude, abuso ou violação dos Termos
- Cumprir obrigações legais (LGPD/GDPR/CCPA/etc.), fiscais e regulatórias
- Melhorar a plataforma via análise agregada e anonimizada
5. Privacidade da Geolocalização
Aplicamos privacy-by-design ao GPS:
- Posição do consumidor: Nunca exposta publicamente nem ao vendedor — apenas distância em metros. Para usuários com privacidade reforçada, podemos obscurecer (~200m fuzz).
- Vendedores: Visíveis no mapa apenas quando GPS está ativo. Histórico de rota não é exibido a consumidores. Retenção do histórico: 24 horas para suporte e resolução de disputas.
- Background location (vendedores): Solicitamos permissão separada e explícita; pode ser revogada a qualquer momento nas configurações do dispositivo.
- Não vendemos dados de localização a terceiros sob nenhuma hipótese.
6. Compartilhamento de Dados (Operadores / Processadores)
Compartilhamos dados estritamente necessários com processadores essenciais, sob DPA (Data Processing Agreement):
| Processador | Função | Localização Servidor |
|---|---|---|
| Cloudflare, Inc. | Infraestrutura (D1, KV, R2, Workers, Pages) | Global (edge) |
| Stripe, Inc. | Pagamentos recorrentes (USD) | EUA + UE |
| Twilio Inc. | OTP + SMS + WhatsApp + Email | EUA + UE |
| Resend Inc. | Emails transacionais e marketing | EUA + UE |
| Mapbox Inc. | Mapas, geocoding, rotas | EUA |
| Expo Push Service / Apple APNs / Google FCM | Notificações push | EUA + Global |
| Rewardful | Programa de afiliados (a integrar) | EUA |
| Google Cloud | OAuth (login com Google) | Global |
7. Transferência Internacional de Dados
Sua infraestrutura roda em Cloudflare (edge global). Para residentes da UE/UK/Suíça, transferências aos EUA seguem cláusulas contratuais padrão (SCCs) aprovadas pela Comissão Europeia, ou Data Privacy Framework (DPF) quando aplicável. Para residentes da China, observamos os requisitos do PIPL (Cross-Border Personal Information Transfer Standard Contract).
8. Retenção de Dados
| Categoria | Prazo |
|---|---|
| Conta ativa | Enquanto a conta existir |
| Logs de API | Máximo 30 dias |
| Histórico de localização do vendedor | 24 horas |
| Dados de pagamento Stripe | Conforme política Stripe (PCI DSS) — não retidos por nós |
| Recibos e notas fiscais | 5 anos (obrigação fiscal Brasil) ou conforme legislação local |
| Audit log de ações sensíveis | 1 ano (após anonimização) |
| Dados após exclusão da conta | 30 dias de carência + anonimização em audit_log |
9. Seus Direitos (Direitos do Titular)
Você tem direito a, a qualquer momento, independente de jurisdição:
- Acesso — saber quais dados temos sobre você (
/account/data) - Portabilidade — exportar seus dados em JSON (
POST /v1/compliance/export) - Retificação — corrigir dados incorretos (no app ou web)
- Exclusão — apagar definitivamente sua conta (
DELETE /v1/users/me) com 30 dias de carência - Revogação de consentimento — a qualquer momento, sem prejuízo do tratamento anterior
- Oposição — opor-se ao tratamento baseado em interesse legítimo
- Limitação — restringir o tratamento em casos específicos
- Não-decisão automatizada — solicitar revisão humana de decisões algorítmicas
- Reclamar à autoridade — contatar a ANPD (BR), CNIL (FR), ICO (UK), FTC (EUA), etc.
- Do Not Sell My Personal Information (CCPA/CPRA) — confirmação: nunca vendemos.
- LGPD: 15 dias úteis (prazo razoável)
- GDPR: 30 dias (prorrogável por +60 em casos complexos)
- CCPA: 45 dias
10. Notificação de Violação (Breach Notification)
Em caso de incidente de segurança que afete dados pessoais, notificaremos:
- Autoridades: GDPR — 72 horas (UE); LGPD — prazo razoável (ANPD); PIPA Coreia — imediato; Austrália — 30 dias
- Titulares afetados: sem demora excessiva, com descrição do incidente, dados envolvidos, medidas tomadas e recomendações
11. Segurança dos Dados
- Senhas: hash Argon2id (ou PBKDF2 600.000 iterações como fallback) — nunca em texto plano
- Tokens: JWT HS256 (15 min access + 30 dias refresh com rotação obrigatória); revogação via blacklist em KV
- Tokens mobile: armazenados em Keychain (iOS) / Keystore (Android) via expo-secure-store — nunca em AsyncStorage
- TLS 1.3 em todas as comunicações
- CSP, HSTS, X-Frame-Options DENY, X-Content-Type-Options nosniff
- Cloudflare Turnstile em registro/login/OTP (proteção bot)
- Rate limiting por IP, por endpoint, por usuário
- Webhooks Stripe: assinatura HMAC-SHA256 verificada + idempotency
12. Cookies (Web)
Usamos apenas cookies essenciais:
| Cookie | Função | Duração |
|---|---|---|
access_token | Autenticação | 15 min |
refresh_token | Renovação de sessão | 30 dias |
locale | Preferência de idioma | 1 ano |
13. Marketing e Comunicações
Você pode optar por (opt-in) receber emails de marketing e novidades. Pode revogar a qualquer momento:
- Link "Cancelar inscrição" em todo email
- Configurações da conta no app/web
- Email direto a [email protected]
14. Decisões Automatizadas
Usamos algoritmos para:
- Ranking de trucks no mapa (baseado em score de confiabilidade e proximidade)
- Cálculo de ETA via Mapbox
- Sugestão de "NOVIDADES" (trucks/produtos próximos não seguidos)
Você pode solicitar revisão humana dessas decisões via
[email protected].
15. Alterações desta Política
Mudanças substanciais serão comunicadas com 30 dias de antecedência via email e notificação in-app. O uso contínuo após a vigência implica concordância. Você pode encerrar a conta a qualquer momento se discordar.
16. Contato
- DPO / Encarregado: Rafael Luís S. P.
- Email: [email protected]
- Empresa: InovaXgroup.com Tecnologia Ltda. (Brasil)
- Autoridades de referência:
Approximix é um produto do ecossistema inovaXgroup. Direito autoral reservado. Este documento é uma tradução portuguesa autoritativa; em caso de divergência idiomática entre traduções, prevalece a versão em português.