Política de Privacidade

⚠ Documento em revisão jurídica. Este é um template inicial baseado nas exigências da LGPD e nas práticas recomendadas da ANPD. Campos entre [colchetes] ainda serão preenchidos. Revisão por advogado especializado em direito digital/LGPD pendente antes da publicação final.

§1Quem somos

A Hybrid OS (doravante "Hybrid OS", "nós", "nosso") é um sistema de gestão para lojas e assistências técnicas de celulares, operado por [NOME DA EMPRESA / PESSOA FÍSICA], inscrito(a) no CNPJ/CPF [NÚMERO], com sede em [ENDEREÇO COMPLETO].

Para fins desta Política, atuamos em dois papéis distintos conforme a LGPD:

Operador: quando processamos dados pessoais dos clientes finais dos lojistas que usam o Hybrid OS. Nesse caso, cada lojista é o Controlador dos dados dos seus próprios clientes.
Controlador: quando processamos dados dos próprios lojistas que contratam nosso serviço (cadastro, pagamento, suporte).

§2Quais dados coletamos

2.1 Dos lojistas (você que contrata o Hybrid OS)

Nome completo / Razão social
E-mail e telefone de contato
CNPJ/CPF (para faturamento)
Endereço da loja
Dados de pagamento (processados por gateway terceirizado — [Stripe / Mercado Pago / outro])
Senha de acesso à sua conta (armazenada como hash bcrypt pelo provedor de autenticação Supabase Auth, com salt individual por usuário; nunca armazenada em texto plano)
Registros de acesso (IP, navegador, horário de login) por até 6 meses, conforme Marco Civil da Internet

2.2 Dos clientes finais dos lojistas (quem vai na loja consertar celular)

O Hybrid OS recebe e armazena, em nome dos lojistas, dados que eles inserem no sistema sobre seus próprios clientes:

Nome, CPF, telefone, e-mail, endereço
Data de nascimento (opcional)
Histórico de ordens de serviço (modelo do aparelho, defeito, IMEI, valor, observações)
Histórico de compras (produtos, valores, forma de pagamento)
Observações adicionais inseridas pelo lojista

Base legal: execução de contrato de assistência técnica entre o lojista e o cliente final (art. 7º, V, LGPD), com o Hybrid OS operando os dados a pedido do Controlador (lojista).

2.3 Dados que NÃO coletamos

Dados biométricos (impressão digital, reconhecimento facial)
Dados de saúde
Dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação sindical
Dados de geolocalização em tempo real
Conteúdo de mensagens privadas

§3Como usamos seus dados

3.1 Dados dos lojistas

Fornecer e manter o serviço contratado
Processar pagamentos da assinatura
Enviar comunicações operacionais (bugs, atualizações, alertas de segurança)
Enviar comunicações comerciais (apenas com consentimento; você pode descadastrar a qualquer momento)
Cumprir obrigações legais (fiscais, contábeis)

3.2 Dados dos clientes finais

Processamos os dados apenas seguindo as instruções do lojista Controlador — não usamos os dados dos clientes finais para finalidades próprias do Hybrid OS (marketing, pesquisa, agregação, venda a terceiros).

§4Com quem compartilhamos dados

4.1 Com processadores (sub-operadores)

Supabase (PostgreSQL hospedado em [REGIÃO DO DB]): infraestrutura de banco de dados. Política de privacidade do Supabase ↗
Netlify (hospedagem): Política do Netlify ↗
[Gateway de pagamento]: processa dados de pagamento dos lojistas. Não temos acesso a números completos de cartão.
Resend (e-mail transacional): Política do Resend ↗

4.2 Transferência internacional

Alguns dos nossos sub-operadores processam dados fora do Brasil (ex: Supabase us-east-1). Isso é permitido pela LGPD (art. 33, I) desde que o país de destino ofereça grau de proteção adequado ou mediante cláusulas contratuais padrão. Caso tenha dúvidas, entre em contato.

4.3 Não vendemos dados

Nunca vendemos, alugamos ou cedemos dados pessoais a terceiros para fins comerciais ou publicitários.

§5Seus direitos (LGPD art. 18)

Você tem direito a, a qualquer momento e gratuitamente:

Confirmação da existência de tratamento dos seus dados
Acesso aos seus dados (pode exportar em formato JSON)
Correção de dados incompletos, inexatos ou desatualizados
Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade
Portabilidade a outro fornecedor de serviço (em formato estruturado)
Eliminação dos dados tratados com seu consentimento
Informação sobre com quem compartilhamos seus dados
Revogação de consentimento (quando aplicável)
Oposição a tratamento em desacordo com a LGPD

Como exercer: envie um e-mail para [privacidade@hybridos.com.br]

Responderemos em até 15 dias corridos.

5.1 Para clientes finais dos lojistas

Se você é cliente de uma loja que usa o Hybrid OS e quer exercer direitos sobre seus dados, o canal primário é o próprio lojista (ele é o Controlador). Você também pode nos contatar diretamente — vamos encaminhar sua solicitação ao lojista responsável e apoiar no atendimento.

§6Por quanto tempo guardamos os dados

Tipo de dado	Retenção
Dados de cadastro de lojista (enquanto ativo)	Enquanto a conta estiver ativa
Dados de lojista após encerramento	5 anos (fiscal) ou até término de obrigações legais
Dados de clientes finais	Enquanto o lojista mantiver a conta + 6 meses após encerramento
Logs de acesso	6 meses (Marco Civil, art. 15)
Backups automáticos	90 dias

Após esses prazos, dados são anonimizados (perdem vínculo com pessoa identificável) ou eliminados.

§7Como protegemos seus dados

Criptografia em trânsito (HTTPS/TLS em todas as conexões)
Criptografia em repouso (Supabase utiliza AES-256)
Senhas de conta de lojista: armazenadas como hash bcrypt pelo Supabase Auth, com salt individual por usuário. Não armazenamos nem temos acesso a senhas em texto plano.
Senhas operacionais internas da loja (ex: usuários do PDV, senha de atacado — criadas e geridas pelo próprio lojista dentro do sistema): armazenadas como hash SHA-256 no navegador do lojista, nunca trafegam nem são armazenadas em texto plano.
Row-Level Security (RLS): cada lojista só acessa os próprios dados
Controle de acesso: somente pessoas autorizadas da equipe Hybrid OS têm acesso a dados, e somente quando necessário
Backup diário criptografado
Logs de auditoria de operações sensíveis

7.1 O que fazemos em caso de vazamento

Se identificarmos um incidente que possa acarretar risco relevante aos titulares dos dados, notificaremos:

A ANPD (Autoridade Nacional de Proteção de Dados)
Os titulares afetados (lojistas e, quando aplicável, clientes finais)

em prazo razoável (tipicamente até 48 horas após a detecção), informando natureza do incidente, dados afetados e medidas adotadas.

§8Cookies e tecnologias similares

O Hybrid OS utiliza:

Cookies essenciais: para manter sessão ativa (login). Não pode ser desativado.
localStorage: para cache local de dados da loja (funcionamento offline-first). Dados armazenados no dispositivo do lojista.

Não utilizamos cookies de publicidade, rastreamento cross-site ou terceiros analíticos invasivos.

§9Menores de idade

O Hybrid OS é direcionado a lojistas maiores de 18 anos. Lojistas podem, ao atender clientes finais, registrar dados de menores (ex: celular comprado por pai/mãe para filho). Nesses casos, assume-se que o Controlador (lojista) obteve consentimento adequado do responsável legal.

§10Alterações desta Política

Podemos atualizar esta Política periodicamente. Alterações materiais serão comunicadas por e-mail com no mínimo 15 dias de antecedência. A data da última atualização está no topo deste documento.

§11Encarregado de Proteção de Dados (DPO)

Nome: [NOME DO DPO]

E-mail: [dpo@hybridos.com.br]

Telefone: [TELEFONE]

§12Legislação aplicável e foro

Esta Política rege-se pelas leis da República Federativa do Brasil, especialmente a LGPD (Lei 13.709/2018), Marco Civil da Internet (Lei 12.965/2014) e Código de Defesa do Consumidor (Lei 8.078/1990). Foro: [COMARCA], com renúncia a qualquer outro, por mais privilegiado que seja.