Esta Política de Privacidade ("Política") descreve como o GestFicar coleta, utiliza, armazena, compartilha e protege dados pessoais dos Usuários e dos clientes das oficinas que utilizam a plataforma. O GestFicar está comprometido com a transparência e a conformidade com a Lei Geral de Proteção de Dados Pessoais — LGPD (Lei nº 13.709/2018) e demais normas aplicáveis à proteção de dados no Brasil. Ao utilizar o GestFicar, o Usuário confirma que leu e compreendeu esta Política, bem como os Termos de Uso.
Introdução e Base Legal (LGPD)
1.1. O GestFicar trata dados pessoais em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais — LGPD), observando os princípios da finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas (art. 6º da LGPD).
1.2. As bases legais utilizadas para o tratamento de dados pessoais são, conforme a operação específica:
- Execução de contrato (art. 7º, V) — para viabilizar o uso da plataforma e a prestação do serviço contratado;
- Consentimento (art. 7º, I) — quando o Usuário opta por funcionalidades opcionais ou aceita cookies não essenciais;
- Legítimo interesse (art. 7º, IX) — para aprimoramento do serviço, análise de uso e prevenção a fraudes;
- Cumprimento de obrigação legal ou regulatória (art. 7º, II) — para retenção de registros de acesso (Marco Civil da Internet) e obrigações fiscais.
1.3. O GestFicar atua como:
- Controlador — em relação aos dados pessoais dos próprios Usuários da plataforma (proprietários, gerentes e funcionários da oficina);
- Operador — em relação aos dados pessoais de clientes finais da oficina, inseridos pelo Usuário para fins de gestão (cadastro de clientes, veículos, ordens de serviço).
1.4. Quando o GestFicar atua como operador, a oficina contratante é a controladora responsável por garantir a licitude do tratamento, incluindo a obtenção do consentimento ou a identificação da base legal adequada para a inserção dos dados de seus próprios clientes na plataforma.
Definições
Para fins desta Política, aplicam-se as seguintes definições, em conformidade com o art. 5º da LGPD:
| Termo | Definição |
|---|---|
| Dado Pessoal | Informação relacionada a pessoa natural identificada ou identificável. |
| Titular | Pessoa natural a quem se referem os dados pessoais objeto de tratamento. |
| Controlador | Pessoa natural ou jurídica a quem competem as decisões sobre o tratamento dos dados. |
| Operador | Pessoa natural ou jurídica que realiza o tratamento em nome do controlador. |
| Tratamento | Toda operação realizada com dados pessoais (coleta, armazenamento, uso, compartilhamento, exclusão, etc.). |
| ANPD | Autoridade Nacional de Proteção de Dados — órgão fiscalizador da LGPD. |
Dados Coletados
3.1. O GestFicar coleta e trata as seguintes categorias de dados pessoais:
a) Dados do Usuário (Proprietário/Gerente/Funcionário da Oficina)
- Nome completo
- Endereço de e-mail
- Foto de perfil (obtida via Google, se disponível)
- Identificador da conta Google (Google ID)
- Telefone de contato
b) Dados da Oficina
- Razão social / Nome fantasia
- CNPJ ou CPF do responsável
- Endereço completo
- Telefone e e-mail comercial
c) Dados de Clientes da Oficina (inseridos pelo Usuário)
- Nome completo do cliente
- Telefone
- Dados do veículo (placa, modelo, ano, quilometragem)
- Histórico de ordens de serviço
d) Dados Financeiros e Operacionais
- Receitas e despesas registradas
- Valores de ordens de serviço
- Comissões de funcionários
- Movimentações de estoque
- Relatórios gerados
e) Dados de Acesso e Navegação
- Endereço IP
- Data e hora de acesso
- Tipo de navegador e sistema operacional
- Páginas acessadas na plataforma
- Cookies e identificadores de sessão
3.2. O GestFicar não coleta dados sensíveis (origem racial ou étnica, convicção religiosa, opinião política, dados referentes à saúde ou à vida sexual, dado genético ou biométrico), salvo se eventualmente inseridos de forma voluntária e não solicitada pelo Usuário, hipótese em que a responsabilidade pela licitude será exclusivamente do Usuário.
Como os Dados São Usados
4.1. Os dados pessoais coletados são utilizados para as seguintes finalidades:
| Finalidade | Base Legal |
|---|---|
| Criação e gerenciamento da conta do Usuário | Execução de contrato |
| Autenticação via Google (Single Sign-On) | Execução de contrato |
| Prestação do serviço (O.S., estoque, financeiro, relatórios) | Execução de contrato |
| Comunicações sobre o serviço (notificações, atualizações) | Execução de contrato |
| Suporte técnico ao Usuário | Execução de contrato |
| Cobrança e faturamento da assinatura | Execução de contrato |
| Análise de uso e aprimoramento da plataforma | Legítimo interesse |
| Prevenção a fraudes e proteção da segurança | Legítimo interesse |
| Registro de logs de acesso (6 meses) | Obrigação legal (Marco Civil) |
| Cumprimento de obrigações fiscais e regulatórias | Obrigação legal |
4.2. O GestFicar não utiliza dados pessoais para perfilamento publicitário, venda de informações a terceiros, tomada de decisão automatizada com efeitos legais ou qualquer finalidade incompatível com aquelas previstas nesta Política.
Compartilhamento de Dados
5.1. O GestFicar poderá compartilhar dados pessoais nas seguintes hipóteses, sempre de forma limitada à finalidade e com garantias de proteção adequadas:
- Provedores de infraestrutura e hospedagem — para armazenamento e processamento de dados necessários à operação da plataforma;
- Google (autenticação) — limitado aos dados necessários ao processo de autenticação (OAuth 2.0), conforme a política de privacidade do Google;
- Processadores de pagamento — para gestão de cobranças e assinaturas, compartilhando apenas os dados estritamente necessários à transação;
- Autoridades públicas — quando exigido por lei, decisão judicial ou determinação da ANPD;
- Consultoria jurídica e contábil — para cumprimento de obrigações legais ou defesa em processos judiciais, administrativos ou arbitrais.
5.2. O GestFicar não vende, aluga ou comercializa dados pessoais a terceiros, sob nenhuma circunstância.
5.3. Todos os terceiros com quem dados são compartilhados estão obrigados contratualmente a tratar os dados em conformidade com a LGPD e com padrões de segurança equivalentes aos adotados pelo GestFicar.
Armazenamento e Segurança
7.1. Os dados pessoais são armazenados em servidores seguros, com as seguintes medidas técnicas e organizacionais de proteção:
- Comunicação criptografada via HTTPS/TLS em todas as conexões;
- Senhas armazenadas com hash criptográfico unidirecional (bcrypt) — nunca em texto puro;
- Proteção contra injeção de SQL (Prepared Statements), XSS e CSRF;
- Isolamento de dados por oficina (multi-tenant segregation) — cada oficina acessa apenas seus próprios dados;
- Controle de acesso baseado em perfis (proprietário, gerente, funcionário);
- Regeneração de identificadores de sessão após autenticação;
- Cabeçalhos de segurança HTTP configurados (
X-Content-Type-Options,X-Frame-Options,X-XSS-Protection); - Backups regulares em ambiente segregado;
- Monitoramento contínuo de acessos e anomalias.
7.2. Em caso de incidente de segurança que possa acarretar risco ou dano relevante ao titular, o GestFicar notificará os Usuários afetados e a ANPD em prazo razoável, conforme previsto no art. 48 da LGPD, informando:
- A descrição da natureza dos dados afetados;
- Os titulares envolvidos;
- As medidas técnicas e de segurança adotadas;
- Os riscos relacionados ao incidente;
- As medidas de mitigação implementadas.
Direitos do Titular (LGPD)
8.1. Em conformidade com o art. 18 da LGPD, o titular dos dados pessoais tem direito a:
- Confirmação da existência de tratamento de seus dados;
- Acesso aos dados pessoais tratados;
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
- Portabilidade dos dados a outro fornecedor, mediante requisição expressa (art. 18, V);
- Eliminação dos dados tratados com base no consentimento, exceto nas hipóteses de retenção legal;
- Informação sobre entidades com as quais os dados foram compartilhados;
- Informação sobre a possibilidade de não fornecer consentimento e suas consequências;
- Revogação do consentimento, a qualquer tempo, sem custos.
8.2. O Usuário poderá exercer seus direitos por meio de:
- Área de perfil na plataforma — para acesso, correção e exclusão de dados;
- Funcionalidade de exportação — disponível nas configurações, para portabilidade;
- Canais de contato indicados na Cláusula 13 — para demais solicitações.
8.3. As solicitações serão atendidas em prazo máximo de 15 (quinze) dias, contados do recebimento da requisição, conforme previsto no art. 18, § 5º, da LGPD.
8.4. Para os dados de clientes finais da oficina (onde o GestFicar atua como operador), as solicitações dos titulares deverão ser encaminhadas ao Usuário (oficina controladora), que poderá exercer as operações necessárias diretamente pela plataforma.
Retenção de Dados
9.1. Os dados pessoais serão retidos pelo período necessário ao cumprimento das finalidades para as quais foram coletados, observados os seguintes prazos mínimos:
| Categoria | Prazo | Fundamento |
|---|---|---|
| Registros de acesso (logs) | 6 meses | Art. 15, Marco Civil da Internet |
| Dados contratuais e financeiros | 5 anos | Art. 206, § 5º, Código Civil |
| Documentos fiscais | 5 anos | Legislação tributária (CTN) |
| Dados de conta (pós-encerramento) | 30 dias | Prazo interno para exclusão definitiva |
9.2. Decorridos os prazos legais e contratuais aplicáveis, os dados serão eliminados ou anonimizados de forma irreversível.
Transferência Internacional de Dados
10.1. Os dados pessoais tratados pelo GestFicar são armazenados, preferencialmente, em servidores localizados no território brasileiro.
10.2. Eventualmente, em razão da utilização de provedores de infraestrutura em nuvem ou serviços de autenticação (Google), dados poderão ser transferidos para servidores localizados em outros países, hipótese em que o GestFicar garantirá que a transferência ocorra em conformidade com o art. 33 da LGPD, mediante:
- Transferência para países ou organismos que proporcionem grau de proteção adequado;
- Adoção de cláusulas contratuais específicas para garantir a proteção dos dados;
- Utilização de cláusulas-padrão contratuais ou normas corporativas globais.
10.3. O Usuário reconhece que a autenticação via Google poderá envolver o tratamento de dados por servidores localizados fora do Brasil, conforme a Política de Privacidade do Google.
Exclusão de Dados
11.1. O Usuário poderá solicitar a exclusão de sua conta e de todos os dados associados por meio da funcionalidade disponível na área de Configurações > Excluir Oficina.
11.2. Antes da exclusão, será oferecida ao Usuário a possibilidade de exportar seus dados em formato compatível (CSV ou equivalente), assegurando o direito à portabilidade.
11.3. Após a confirmação, os dados serão excluídos permanentemente no prazo de até 30 (trinta) dias, exceto dados sujeitos a obrigação de retenção legal (Cláusula 9), que serão mantidos de forma segregada e com acesso restrito pelo prazo legal aplicável.
11.4. A exclusão é irreversível. Todos os dados da oficina, incluindo ordens de serviço, cadastros de clientes, registros financeiros e histórico, serão eliminados e não poderão ser recuperados.
Alterações nesta Política
12.1. O GestFicar reserva-se o direito de atualizar esta Política de Privacidade periodicamente para refletir mudanças em práticas de tratamento de dados, funcionalidades da plataforma ou exigências legais.
12.2. Alterações substanciais serão comunicadas ao Usuário por meio de aviso na plataforma e/ou notificação por e-mail, com antecedência mínima de 15 (quinze) dias.
12.3. A data da última atualização será sempre indicada no topo deste documento. O Usuário é incentivado a revisar esta Política regularmente.
Contato do Controlador
13.1. Para exercer quaisquer dos direitos previstos na LGPD, esclarecer dúvidas sobre esta Política ou reportar incidentes relacionados a dados pessoais, o titular poderá entrar em contato por meio dos seguintes canais:
Controlador: GestFicar
E-mail do Encarregado (DPO): privacidade@gestficar.com.br
Canal alternativo: Área de perfil > Suporte > Privacidade
13.2. As solicitações relativas a direitos de titular serão respondidas em até 15 (quinze) dias, podendo ser solicitada a confirmação de identidade do requerente para garantía de segurança.
13.3. Se o titular considerar que o tratamento de seus dados viola a LGPD, poderá apresentar petição à Autoridade Nacional de Proteção de Dados (ANPD), nos termos do art. 55-J da LGPD.
© 2026 GestFicar — Todos os direitos reservados.
Versão vigente publicada em 03 de abril de 2026.