Política de Privacidade — Pede Aí
Última atualização: 2026-07-04 Versão: 1.0
Resumo
Este documento explica como o Pede Aí trata seus dados pessoais, em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD — Lei nº 13.709/2018) e as orientações da Autoridade Nacional de Proteção de Dados (ANPD).
Em poucas linhas:
- Quem trata seus dados: {{CONTROLADOR_NOME}} ({{CONTROLADOR_DOC}}).
- Por quê: para que você possa pedir, pagar e receber entregas pelo Pede Aí, e para cumprirmos obrigações legais.
- Com quem compartilhamos: apenas com prestadores estritamente necessários (lista abaixo). Não vendemos seus dados.
- Por quanto tempo: o mínimo necessário para cada finalidade, respeitando prazos legais.
- Seus direitos: você pode, a qualquer momento e gratuitamente, acessar, corrigir, exportar e eliminar seus dados. Contato: {{DPO_CONTATO}}.
Continue lendo para o detalhamento completo. Em caso de dúvida, escreva para nosso canal de privacidade.
1. Quem somos (Controlador)
| Nome / Razão Social | {{CONTROLADOR_NOME}} |
| CNPJ / CPF | {{CONTROLADOR_DOC}} |
| Endereço | {{CONTROLADOR_ENDERECO}} |
| E-mail institucional | {{CONTROLADOR_EMAIL}} |
| App / Serviço | Pede Aí ({{APP_URL}}) |
Somos o Controlador dos seus dados pessoais nos termos do art. 5º, VI, da LGPD — quem decide as finalidades e os meios do tratamento.
2. Canal de Privacidade (Encarregado)
Para qualquer questão sobre proteção de dados, fale com nosso Canal de Privacidade:
- Contato: {{DPO_CONTATO}}
Operamos sob o regime de Agente de Tratamento de Pequeno Porte (Resolução CD/ANPD nº 2/2022), que permite manter um canal de comunicação com os titulares no lugar da nomeação de Encarregado (art. 41 da LGPD). Esse canal cumpre o papel de comunicação entre você (titular), nós (controlador) e a ANPD.
3. Quais dados coletamos e por quê
Coletamos apenas os dados estritamente necessários para cada finalidade (princípio da necessidade, art. 6º, III). Cada coleta está fundamentada em uma das bases legais previstas no art. 7º da LGPD.
| Categoria de dado | Finalidade | Base legal | Tempo de retenção |
|---|---|---|---|
| Nome, e-mail, telefone, senha (armazenada apenas como hash) | Criar e manter sua conta; autenticação | Art. 7º, V (execução de contrato) | Enquanto durar a conta + 6 meses |
| Endereços de entrega, coordenadas (latitude/longitude) e ponto de referência | Entregar seu pedido e validar a área de atendimento | Art. 7º, V (execução de contrato) | Enquanto durar a conta |
| Cópia do endereço registrada em cada pedido | Executar e comprovar a entrega | Art. 7º, V + art. 7º, VI (defesa em processos) | 5 anos (CDC, art. 27); anonimizada após a exclusão da conta |
| Itens do pedido, valores, forma de pagamento e troco | Executar o contrato de consumo e comprovar a transação | Art. 7º, V (execução de contrato) | 5 anos (CDC, art. 27) |
| Observações de pedido/item (texto livre, ex.: "sem cebola") | Instruções de preparo e entrega | Art. 7º, V (execução de contrato) | Mesmo prazo do pedido |
Token de sessão (cookie httpOnly pedeai_refresh; guardamos só o hash) | Manter você conectado com segurança | Art. 7º, V / IX | 7 dias |
| Endereço IP (proteção contra abuso) | Limitar tentativas de login e requisições abusivas (rate limiting) | Art. 7º, IX (legítimo interesse — com relatório de impacto elaborado) | Não é gravado em banco — fica apenas em memória por 2 a 15 minutos |
| Logs de acesso à aplicação (IP, rota, user-agent) — em produção | Segurança da plataforma e obrigação legal | Art. 7º, II (Marco Civil da Internet, art. 15) | 6 meses |
| Dados de lojistas e suas equipes (nome, e-mail, telefone da loja) | Operação do estabelecimento no marketplace | Art. 7º, V (execução de contrato) | Enquanto durar a conta + 5 anos (obrigações fiscais) |
| Registro de aceite dos Termos e desta Política (versão, data, IP truncado, user-agent) | Comprovar seu aceite (accountability) | Art. 7º, II (obrigação legal / prestação de contas) | 5 anos após o encerramento da conta |
| Inscrição de notificações push (recurso planejado) | Avisar sobre o status do seu pedido — somente se você autorizar no navegador | Art. 7º, I (consentimento) | Até você revogar |
O que NÃO coletamos: dados sensíveis (art. 5º, II), biometria, dados de crianças, identificadores de publicidade, fingerprint de dispositivo, analytics ou telemetria de terceiros.
3.1. Compras em farmácia — uma nota de transparência
Não coletamos dados de saúde. Porém, reconhecemos que o histórico de compras em farmácias poderia, em tese, permitir inferências sobre a sua saúde — situação que a ANPD trata como potencial dado sensível.
Por isso, assumimos o seguinte compromisso, registrado também em nosso Relatório de Impacto interno:
- Não fazemos perfilamento, recomendação ou análise de comportamento sobre os itens que você compra — em nenhuma categoria, incluindo farmácia.
- O conteúdo dos seus pedidos é usado exclusivamente para executar a compra e cumprir obrigações legais de guarda.
- Qualquer funcionalidade futura que envolva análise de itens de compra (ex.: recomendações) só será lançada após nova avaliação de impacto e, quando exigido pelo art. 11 da LGPD, com seu consentimento específico e destacado.
3.2. Crianças e adolescentes
O Pede Aí é destinado a maiores de 18 anos. Não direcionamos o serviço a crianças ou adolescentes e não realizamos tratamento de dados com fundamento no art. 14 da LGPD. Se identificarmos conta criada por menor de 18 anos, ela será encerrada e os dados eliminados, ressalvadas as retenções legais.
3.3. Decisões automatizadas
Não realizamos decisões automatizadas que afetem seus interesses (art. 20 da LGPD): não há score, perfilamento, precificação personalizada ou negativa automática de serviço.
4. Como coletamos seus dados
- Diretamente de você — quando você se cadastra, cadastra endereços, faz pedidos ou fala com a gente.
- Automaticamente — quando você usa o app: cookie de sessão, endereço IP (proteção contra abuso) e, em produção, logs de acesso. Detalhes na Política de Cookies.
- Do seu navegador, com sua permissão — a geolocalização usada para preencher seu endereço só é lida quando você autoriza no próprio navegador.
Não usamos login social nem recebemos dados seus de corretoras de dados.
5. Com quem compartilhamos seus dados
Compartilhamos com prestadores de serviço estritamente necessários (operadores):
| Terceiro | Dado compartilhado | Finalidade | País de processamento |
|---|---|---|---|
| Estabelecimento que recebe seu pedido | Nome, endereço de entrega, itens, observações e telefone | Preparar e entregar o pedido | Brasil |
| ViaCEP (API pública) | Apenas o CEP digitado, sem vínculo com sua conta | Preenchimento automático de endereço | Brasil |
| Provedor de pagamentos Pix — PSP (em contratação; o nome será informado nesta política antes da ativação) | Nome, valor e identificador da cobrança | Processar o pagamento | Brasil |
| Provedor de hospedagem (produção prevista: Hetzner) | Dados armazenados no banco da aplicação | Infraestrutura do serviço | Alemanha (União Europeia) |
Não vendemos seus dados pessoais. Não compartilhamos dados para fins de marketing de terceiros.
6. Transferência internacional de dados
Hoje, todos os seus dados são processados em território nacional.
Está prevista a hospedagem do ambiente de produção na União Europeia (Alemanha). Quando isso ocorrer, a transferência estará amparada pelo art. 33, I, da LGPD, pois a União Europeia é destino com nível de proteção reconhecido como adequado pela ANPD (decisão de adequação — Resolução CD/ANPD nº 32/2026), o que dispensa cláusulas contratuais adicionais:
| Destino | Prestador | Garantia jurídica |
|---|---|---|
| Alemanha (União Europeia) | Hetzner (hospedagem) | Decisão de adequação — Res. CD/ANPD nº 32/2026 (art. 33, I, LGPD) |
Qualquer outra transferência internacional futura será informada nesta política antes de ocorrer.
7. Por quanto tempo guardamos seus dados
Mantemos seus dados pelo tempo necessário ao cumprimento das finalidades declaradas na tabela da seção 3 e pelos prazos determinados por obrigações legais. Quando você solicita exclusão, alguns dados precisam ser retidos por exigência legal — informaremos quais e por quanto tempo no momento da exclusão.
Prazos legais aplicáveis:
- Registros de pedidos e da relação de consumo: 5 anos (CDC, art. 27).
- Logs de acesso à aplicação: 6 meses (Marco Civil da Internet — Lei 12.965/2014, art. 15).
- Prova de aceite dos Termos e desta Política: 5 anos após o encerramento da conta.
Ao fim de cada prazo, eliminamos ou anonimizamos os dados.
8. Como protegemos seus dados
Adotamos medidas técnicas e administrativas compatíveis com o porte da operação, em conformidade com os arts. 46-49 da LGPD:
- Criptografia em trânsito (HTTPS/TLS) em todo o serviço.
- Senhas protegidas por hash forte (BCrypt) — nunca armazenamos senha legível.
- Token de sessão em cookie httpOnly, inacessível a scripts, e armazenado em nossos servidores apenas como hash.
- Controle de acesso por papéis e princípio do menor privilégio.
- Autenticação reforçada para acessos administrativos.
- Backups criptografados com testes periódicos de restauração.
- Retenção mínima de logs e minimização de dados pessoais em registros técnicos.
Em caso de incidente de segurança que possa causar risco ou dano relevante, comunicaremos a ANPD e os titulares afetados no prazo da Resolução CD/ANPD nº 15/2024 — para agentes de pequeno porte, 6 dias úteis contados da ciência.
9. Seus direitos como titular (art. 18 LGPD)
Você tem 9 direitos, exercíveis a qualquer momento, gratuitamente:
- Confirmação da existência de tratamento dos seus dados.
- Acesso aos seus dados, com origem e finalidade.
- Correção de dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade.
- Portabilidade dos dados a outro fornecedor.
- Eliminação dos dados tratados com consentimento (respeitadas hipóteses legais de retenção).
- Informação sobre com quem compartilhamos seus dados.
- Informação sobre a possibilidade de não fornecer consentimento e suas consequências.
- Revogação do consentimento, a qualquer momento, com a mesma facilidade com que foi concedido.
Como exercer seus direitos
- No app: você pode consultar e corrigir seus dados cadastrais e endereços na área Perfil.
- Canal de Privacidade: para os demais pedidos (acesso completo, portabilidade, eliminação, informações sobre compartilhamento), escreva para {{DPO_CONTATO}}. Pediremos comprovação de identidade para proteger seus dados.
Prazos de resposta:
- Confirmação simplificada: até 15 dias.
- Declaração completa (acesso + origem + finalidade): até 30 dias.
- Demais pedidos: prazo razoável, sempre comunicando a previsão.
Operamos sob o regime de Agente de Tratamento de Pequeno Porte (Resolução CD/ANPD nº 2/2022), que prevê prazos em dobro em relação ao regime geral.
Reclamação à ANPD
Se entender que não atendemos satisfatoriamente, você pode reclamar diretamente à Autoridade Nacional de Proteção de Dados:
10. Cookies e tecnologias similares
O Pede Aí usa apenas cookies e armazenamento local estritamente necessários ao funcionamento do serviço (sessão, carrinho, preferências operacionais). Não usamos cookies analíticos nem de marketing — por isso você não vê banner de consentimento de cookies por aqui.
Detalhes completos sobre cada item, finalidade e duração estão na nossa Política de Cookies.
11. Alterações nesta Política
Podemos atualizar esta Política para refletir mudanças no serviço, na legislação ou em decisões da ANPD. Quando a mudança for material, comunicaremos com destaque e antecedência razoável (mínimo 30 dias quando possível). A versão atual está sempre disponível em {{APP_URL}}/privacidade.
12. Histórico de versões
| Versão | Data | Resumo das mudanças |
|---|---|---|
| 1.0 | 2026-07-04 | Versão inicial |
Esta Política é elaborada em conformidade com a Lei 13.709/2018 (LGPD), as resoluções da ANPD vigentes e demais normas brasileiras aplicáveis (Marco Civil da Internet e Código de Defesa do Consumidor).
Em caso de divergência de interpretação, prevalece o texto da lei e as orientações oficiais da ANPD.