Política de Privacidade

1. QUEM SOMOS E O QUE ESTE DOCUMENTO ABRANGE

O Moara é um sistema de gestão para pequenos produtores de alimentos artesanais, incluindo doces, salgados, pães, empadas, quiches, conservas, geleias e similares, operado por Victor Pereira Lopes Guerra ("Operador"), atuando como controlador dos dados pessoais dos usuários (proprietários/funcionários das confeitarias) e operador dos dados dos clientes finais dos negócios alimentícios (pessoas físicas que compram produtos).
Esta Política de Privacidade explica quais dados coletamos, como os utilizamos, por quanto tempo os retemos e quais são os seus direitos nos termos da Lei Geral de Proteção de Dados (Lei 13.709/2018 – LGPD).

2. DADOS PESSOAIS QUE COLETAMOS
2.1. Dados da Loja (Tenant – para funcionamento do sistema)
  • Nome da loja, slug identificador, e-mail de contato, telefone (opcional), status (ativo/inativo), configurações de personalização, data de criação.
  • Finalidade: Identificação da operação, controle de acesso e personalização do sistema.
  • Base legal: Interesse legítimo do controlador.
2.2. Dados dos Usuários (Proprietários/Funcionários)
  • Nome de usuário (username), e-mail, nome completo, hash da senha, perfil (owner/manager/staff/viewer), status (ativo/inativo), indicação de troca de senha, datas/horas de aceite dos Termos e da Política de Privacidade, data de criação, último login, último IP, ID do usuário que criou a conta.
  • Finalidade: Autenticação, controle de acesso por perfil, compliance LGPD (registro de aceites), auditoria e segurança (logs de login/IP).
  • Base legal: Interesse legítimo e obrigação legal (manutenção de registros de aceite).
2.3. Dados de Clientes (Pessoas físicas das confeitarias – compradores finais)
  • Nome do cliente, telefone do cliente, data do evento/entrega.
  • Finalidade: Identificação do pedido, planejamento da produção e contato para entrega/pagamento.
  • Base legal: Execução de contrato (entre a confeitaria e seu cliente).
  • Atenção: O sistema NÃO coleta e-mail, CPF ou endereço completo dos clientes finais.
2.4. Logs de Acesso (LGPD)
  • User ID, Tenant ID, ação realizada (login, logout, exportação, exclusão etc.), endereço IP, User Agent (navegador/SO), detalhes adicionais, data/hora.
  • Retenção padrão: 365 (trezentos e sessenta e cinco) dias.
  • Base legal: Obrigação legal (LGPD exige registro de acesso a dados pessoais) e interesse legítimo (segurança e rastreabilidade).
3. COMO E ONDE ARMAZENAMOS
3.1. Infraestrutura e Localização dos Dados

Todos os dados pessoais tratados pelo Moara são armazenados em bancos de dados SQLite hospedados em servidores sob controle direto do Operador. A infraestrutura utilizada pode incluir serviços de provedores de nuvem (cloud computing) localizados em território brasileiro ou em jurisdições com nível de proteção de dados equivalente ao exigido pela LGPD.

3.2. Responsabilidade do Operador

O Operador é responsável pela segurança física e lógica dos servidores, aplicando medidas como firewalls, monitoramento de intrusão, criptografia de tráfego (TLS 1.2+) e backups automáticos periódicos.

3.3. Compartilhamento com Subprocessadores

O Operador poderá contratar terceiros para fornecer infraestrutura de hospedagem (ex: AWS, Google Cloud, DigitalOcean, ou provedor local). Neste caso, tais terceiros atuam como subprocessadores de dados, vinculados por contratos que os obrigam a seguir instruções do Operador e a cumprir a LGPD. A lista atualizada de subprocessadores está disponível mediante solicitação ao DPO.

4. SEUS DIREITOS COMO TITULAR (LGPD – Art. 18)

Você, usuário do sistema (proprietário/funcionário) ou cliente final da confeitaria, possui os seguintes direitos, que podem ser exercidos mediante solicitação ao encarregado (DPO – ver seção 8):

Direito Como exercer no Moara
Confirmação de tratamento Dashboard / Perfil do usuário
Acesso aos dados Tela de perfil (visualização completa)
Correção de dados Edição de perfil (campos editáveis)
Portabilidade (exportação) Botão "Exportar meus dados" (formato estruturado)
Exclusão de dados Exclusão da conta (pois não há consentimento destacado para finalidades específicas)
Revogação de consentimento Exclusão da conta (pois não há consentimento destacado para finalidades específicas)
Oposição ao tratamento Exclusão da conta

Para clientes finais das confeitarias: Se você é pessoa física que comprou produtos alimentícios (doces, salgados, pães, conservas etc.) e deseja acessar, corrigir ou excluir seu nome e telefone, o pedido deve ser direcionado diretamente à confeitaria que utilizou o Moara, pois ela é a controladora dos seus dados.

5. RETENÇÃO E DESCARDE
Tipo de dado Período de retenção Critério de descarte
Dados de usuário ativo Indeterminado Até solicitação de exclusão da conta
Dados de usuário inativo Conforme política de inatividade do cliente Após exclusão da conta
Logs de acesso 365 dias (padrão) Exclusão automática ou manual após o prazo
Dados de clientes (pedidos) Relacionado ao pedido Mantido para histórico fiscal da confeitaria
5.1 Backups e Retenção Técnica:

O Operador realiza backups automáticos da plataforma com a seguinte política:

  • Backups completos: diários, retenção de 30 dias
  • Backups incrementais: a cada 6 horas, retenção de 7 dias
  • Backups podem conter dados pessoais já excluídos pelo Usuário, mas serão descartados conforme o ciclo de retenção acima descrito, não sendo utilizados para qualquer finalidade além da recuperação de desastres.

6. SEGURANÇA DOS DADOS

Adotamos as seguintes medidas técnicas e organizacionais:

  • Hash de senhas: bcrypt com custo 12 (inviabiliza recuperação da senha original).
  • Sessão segura: Cookies configurados com flags HttpOnly, Secure e SameSite.
  • Isolamento multi-tenant: Tabelas do banco de dados utilizam tenant_id para impedir acesso cruzado entre lojas.
  • Logs completos: Todas as ações sensíveis (login, exclusão, exportação, mudança de perfil) são registradas.
  • Backups automáticos: Realizados diariamente com retenção de 30 dias.
  • Monitoramento: Alertas de falhas e tentativas de invasão.
  • Controle de acesso aos servidores: Apenas operadores autorizados do Moara.

7. AUSÊNCIA DE DECISÕES AUTOMATIZADAS

O Moara não realiza decisões automatizadas (perfilamento, credit score, avaliação comportamental) baseadas em dados pessoais.

8. ENCARREGADO (DPO) E CONTATO PARA LGPD

Para exercer seus direitos, esclarecer dúvidas ou reportar incidentes de segurança, entre em contato com nosso Encarregado de Proteção de Dados:

  • E-mail do DPO: vguerrax@gmail.com
  • Assunto obrigatório no e-mail: "LGPD - Moara - [NOME DO TITULAR]"
Responderemos em até 15 (quinze) dias úteis, conforme prazo previsto na LGPD.

9. ALTERAÇÕES NESTA POLÍTICA

O Operador poderá revisar esta Política de Privacidade periodicamente. A versão mais recente estará sempre disponível no painel de controle do Moara. Alterações substanciais serão comunicadas por e-mail ou por meio de notificação no sistema.

Última atualização: Abril/2026