Política de Privacidade
Versão 1.0 — vigente desde 24/05/2026 · Em conformidade com a LGPD (Lei 13.709/2018)
1. Quem somos
A App Cardápio é uma plataforma de gestão para restaurantes. Esta política explica como coletamos, usamos, compartilhamos e protegemos seus dados pessoais.
2. Dados que coletamos
- Cadastro do restaurante: nome, e-mail, telefone, endereço, CNPJ (opcional), senha (criptografada).
- Clientes finais (consumidores do cardápio): nome, telefone, endereço de entrega, histórico de pedidos.
- Pagamentos: processados por Mercado Pago/Stripe — não armazenamos números completos de cartão.
- Uso da plataforma: logs de acesso, IP, user agent, ações realizadas (auditoria LGPD).
- Cookies essenciais: sessão de login e preferências.
3. Finalidades e bases legais
| Finalidade | Base legal (LGPD art. 7º) |
|---|---|
| Prestação do serviço contratado | Execução de contrato |
| Emissão de NFC-e e obrigações fiscais | Obrigação legal |
| Envio de marketing/promoções | Consentimento (opt-in) |
| Prevenção a fraudes | Legítimo interesse |
| Cookies essenciais | Legítimo interesse |
4. Compartilhamento com terceiros
Compartilhamos dados apenas com operadores necessários para a prestação do serviço:
- Supabase (armazenamento e autenticação)
- iFood / 99Food (integração de pedidos quando habilitada)
- Mercado Pago / Stripe (processamento de pagamentos)
- WhatsApp / Z-API (envio de notificações transacionais e marketing autorizado)
- Focus NFe (emissão fiscal quando habilitada)
5. Tempo de retenção
- Dados cadastrais: enquanto a conta estiver ativa.
- Pedidos: 5 anos (obrigação fiscal).
- Logs de auditoria: 6 meses.
- Após exclusão da conta: anonimização imediata, mantendo apenas o necessário por lei.
6. Segurança
- Criptografia em trânsito (TLS 1.2+).
- Criptografia em repouso (AES-256, padrão Supabase).
- Controle de acesso baseado em função (RBAC) e Row Level Security.
- Backups diários automatizados.
- Logs de auditoria de acessos a dados pessoais.
7. Seus direitos (LGPD art. 18)
Você pode, a qualquer momento:
- Confirmar a existência de tratamento
- Acessar e exportar seus dados
- Corrigir dados incompletos ou incorretos
- Solicitar anonimização, bloqueio ou eliminação
- Revogar consentimentos
- Opor-se a tratamentos baseados em legítimo interesse
- Saber com quem seus dados foram compartilhados
Restaurantes acessam estes recursos em Dashboard → Privacidade. Clientes finais, no cardápio público, em Meu perfil → Privacidade. Você também pode contatar diretamente o Encarregado (DPO).
8. Notificação de incidentes
Em caso de incidente de segurança que possa acarretar risco relevante aos titulares, comunicaremos a ANPD (Autoridade Nacional de Proteção de Dados) e os titulares afetados em até 48 horas úteis, conforme art. 48 da LGPD.
9. Contato do Encarregado (DPO)
Acesse o canal do Encarregado para exercer seus direitos ou esclarecer dúvidas.
10. Alterações
Atualizações desta política serão publicadas nesta página, com nova data de vigência.
