NuvCar

Legal

Política de Privacidade e Proteção de Dados Pessoais

NuvCar — ERP para gerenciamento de oficinas, operado pela BADBIT TECNOLOGIA E DESENVOLVIMENTO DE SOFTWARE LTDA.

Versão 1.3 Atualizada em 18 de maio de 2026

1. Introdução

A presente Política de Privacidade e Proteção de Dados Pessoais ("Política") tem como objetivo informar, de forma clara e transparente, como a BADBIT TECNOLOGIA E DESENVOLVIMENTO DE SOFTWARE LTDA, responsável pelo sistema NuvCar, coleta, utiliza, armazena, compartilha e protege os dados pessoais de seus usuários e dos clientes de seus usuários. Nosso compromisso é com a privacidade e a segurança das informações, em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD) — Lei nº 13.709/2018, e demais legislações aplicáveis.

Ao utilizar o NuvCar, você concorda com os termos desta Política. Recomendamos a leitura atenta deste documento.

2. Informações sobre a empresa

A BADBIT TECNOLOGIA E DESENVOLVIMENTO DE SOFTWARE LTDA é a empresa desenvolvedora e operadora do sistema NuvCar.

Razão social
BADBIT TECNOLOGIA E DESENVOLVIMENTO DE SOFTWARE LTDA
CNPJ
39.687.133/0001-13
Endereço
Jaraguá, Goiás, Brasil
Contato
contato@badbit.com.br
Encarregado de Proteção de Dados (DPO)
José Assis de Menezes Neto

3. Dados coletados

O NuvCar coleta dados pessoais para a prestação de seus serviços e para a gestão eficiente das oficinas. Os dados coletados podem ser categorizados da seguinte forma:

3.1. Dados de usuários finais (proprietários de oficinas)

São os dados fornecidos diretamente pelos proprietários das oficinas ao se cadastrarem e utilizarem o sistema:

  • Email: para acesso ao sistema e comunicações.
  • Dados da empresa: CNPJ, razão social e nome fantasia.

3.2. Dados de clientes dos usuários (armazenados no sistema pelas oficinas)

São os dados inseridos pelos proprietários das oficinas sobre seus próprios clientes, para fins de gestão de serviços e vendas:

  • Identificação: nome, CPF/CNPJ, RG.
  • Contato: email, telefone, celular.
  • Pessoais: data de nascimento.
  • Endereço: endereço completo.

3.3. Dados de funcionários/colaboradores (armazenados no sistema pelas oficinas)

São os dados inseridos pelos proprietários das oficinas sobre seus funcionários e colaboradores:

  • Identificação: nome, RG, CPF, data de nascimento.
  • Contato: telefone e endereço.
  • Dados bancários (opcional): agência, número de conta, chave Pix (se fornecidos pela oficina para gestão interna).

3.4. Dados de auditoria/logs

Para fins de segurança, auditoria e rastreabilidade, o sistema registra automaticamente informações sobre as interações dos usuários:

  • Identificação da ação: usuário que realizou a ação.
  • Localização: endereço IP de acesso.
  • Dispositivo: User-Agent (informações sobre navegador e dispositivo).
  • Momento: timestamp (data e hora da ação).
  • Retenção: os logs são retidos por 180 (cento e oitenta) dias.

4. Finalidades do tratamento de dados e bases legais

Os dados pessoais tratados pelo NuvCar possuem finalidades específicas e determinadas, cada uma fundamentada em uma base legal prevista na Lei nº 13.709/2018 (LGPD). A tabela abaixo apresenta o mapeamento completo entre finalidade, dados envolvidos e base legal aplicável.

4.1. Prestação do serviço NuvCar

Descrição: operacionalização de todas as funcionalidades do ERP, incluindo cadastros, ordens de serviço, controle de estoque, vendas, orçamentos e demais recursos do sistema.

Dados envolvidos: todos os dados listados na Seção 3.

Base legal: Execução de contrato — art. 7º, inciso V da LGPD. O tratamento é necessário para a execução do contrato de prestação de serviços firmado entre a BADBIT e o usuário (proprietário da oficina).

4.2. Operações comerciais da oficina

Descrição: registro e gestão de vendas, orçamentos, ordens de serviço e controle de estoque realizados pela oficina por meio do sistema.

Dados envolvidos: dados de identificação, contato e endereço dos clientes das oficinas (Seção 3.2).

Base legal: Execução de contrato — art. 7º, inciso V da LGPD. O tratamento é realizado pela oficina (controlador) no contexto da relação comercial com seus próprios clientes, sendo a BADBIT operadora desses dados.

4.3. Programa de fidelidade

Descrição: funcionalidade disponível no sistema que permite à oficina configurar e operar programas de fidelidade para seus próprios clientes. A BADBIT atua exclusivamente como operadora, sem acesso ou uso dos dados para finalidades próprias.

Dados envolvidos: dados de identificação e contato dos clientes da oficina (Seção 3.2).

Base legal: Execução de contrato — art. 7º, inciso V da LGPD, referente à relação entre a oficina e seus clientes. Caso a oficina opte por fundamentar o programa de fidelidade em consentimento de seus clientes, essa responsabilidade é exclusiva da oficina, na qualidade de controladora dos dados.

4.4. Geração de documentos fiscais

Descrição: emissão de NF-e, NFS-e e outros documentos fiscais eletrônicos, com transmissão dos dados estritamente necessários à plataforma Focus NFe.

Dados envolvidos: dados fiscais e cadastrais da oficina e de seus clientes exigidos pela legislação tributária.

Base legal: Cumprimento de obrigação legal ou regulatória — art. 7º, inciso II da LGPD. A emissão de documentos fiscais é imposta pela legislação tributária brasileira, não sendo facultativa.

4.5. Suporte técnico

Descrição: atendimento e resolução de problemas técnicos relatados pelos usuários, podendo envolver acesso a registros de auditoria para diagnóstico.

Dados envolvidos: logs de auditoria (Seção 3.4), dados de identificação do usuário (Seção 3.1).

Base legal: Execução de contrato — art. 7º, inciso V da LGPD. O suporte técnico é parte integrante da prestação de serviços contratada.

4.6. Segurança, detecção de fraudes e atividades suspeitas

Descrição: o sistema adota mecanismos automatizados e procedimentos manuais para proteger a integridade dos dados e prevenir fraudes, incluindo:

  • Rate limiting em endpoints sensíveis (login, cadastro, consultas externas);
  • Alerta automático por e-mail ao titular a cada login bem-sucedido;
  • Registro automático de IP e User-Agent em todos os logs de auditoria;
  • Validações antifraude em transações comerciais, com bloqueio que exige autorização por PIN de gerente;
  • Recebimento automatizado de eventos de chargeback e análise de risco do gateway de pagamento;
  • Proteção de infraestrutura via fail2ban e firewall com rate-limit;
  • Revisão manual de logs de auditoria por equipe autorizada da BADBIT ou por usuários com permissão log:read.

Dados envolvidos: logs de auditoria — IP, User-Agent, timestamp, identificação do usuário (Seção 3.4).

Base legal: Legítimo interesse — art. 7º, inciso IX da LGPD. A prevenção de fraudes e a proteção da segurança do sistema constituem interesse legítimo da BADBIT e dos próprios titulares, sendo o tratamento proporcional, necessário e realizado com as salvaguardas adequadas.

4.7. Análise de uso e melhoria de funcionalidades

Descrição: compreensão de como o sistema é utilizado para identificar necessidades e aprimorar funcionalidades. O tratamento difere entre as plataformas:

  • Sistema web e aplicativo iOS: não há coleta automatizada de dados comportamentais. A análise de uso é realizada com base em feedbacks manuais dos usuários e observação direta pelos proprietários das oficinas. No aplicativo iOS, os únicos dados coletados são e-mail (autenticação) e Device ID (notificações push), sem qualquer SDK de analytics ou telemetria ativo.
  • Aplicativo Android (NuvCar Oficina — builds de produção): em versões de produção, o aplicativo utiliza o Firebase Analytics (Google LLC), que coleta automaticamente eventos como telas acessadas (screen_view), início de sessão (session_start), tempo de engajamento (user_engagement) e primeira abertura (first_open). O aplicativo também utiliza o Firebase Crashlytics (Google LLC), que coleta telemetria de falhas, incluindo stack traces, modelo de dispositivo, versão do sistema operacional e breadcrumbs de navegação. O identificador de publicidade do Android (AD_ID) foi explicitamente removido do Manifest de produção, de modo que o aplicativo não acessa esse identificador. Em versões de desenvolvimento, ambas as coletas ficam desativadas.

Dados envolvidos (Android): eventos de navegação entre telas, sessões de uso, telemetria de falhas, modelo de dispositivo e versão do sistema operacional.

Base legal: Legítimo interesse — art. 7º, inciso IX da LGPD. O aprimoramento contínuo do sistema constitui interesse legítimo da BADBIT e beneficia diretamente os usuários, sendo a coleta limitada ao mínimo necessário para essa finalidade e sem uso para fins publicitários ou comerciais.

4.8. Conformidade legal e obrigações fiscais

Descrição: cumprimento de exigências legais, regulatórias e fiscais aplicáveis à BADBIT e às oficinas usuárias do sistema.

Dados envolvidos: dados cadastrais e fiscais conforme exigido por cada obrigação legal específica.

Base legal: Cumprimento de obrigação legal ou regulatória — art. 7º, inciso II da LGPD.

A BADBIT não utiliza os dados pessoais tratados no âmbito do NuvCar para fins de marketing, publicidade, venda ou compartilhamento com terceiros para finalidades não descritas nesta seção.

5. Transferência Internacional de Dados

Os dados pessoais tratados no âmbito do NuvCar são armazenados em servidores localizados nos Estados Unidos da América (região us-east-1), operados pela Amazon Web Services, Inc. (AWS) e pela OVHcloud.

A transferência internacional de dados pessoais para esses países é realizada com fundamento no art. 33, inciso II, alínea "b" da Lei nº 13.709/2018 (LGPD), que autoriza a transferência quando o controlador oferece e comprova garantias adequadas de proteção aos titulares por meio de cláusulas contratuais específicas.

Nesse sentido, a BADBIT está contratualmente vinculada aos seguintes instrumentos:

  • AWS Data Processing Addendum (DPA), aceito nos termos de serviço da Amazon Web Services, Inc., que incorpora cláusulas de proteção de dados, medidas técnicas e organizacionais de segurança, e obrigações de sigilo e confidencialidade aplicáveis ao tratamento de dados pessoais realizado pela AWS em nome da BADBIT.
  • OVHcloud Data Processing Agreement (DPA), aceito nos termos de serviço da OVHcloud SAS, que estabelece obrigações equivalentes de proteção aos dados pessoais transferidos e armazenados em sua infraestrutura.

Esses instrumentos contratuais garantem que os dados pessoais dos titulares recebam nível de proteção compatível com o exigido pela LGPD, mesmo quando armazenados fora do território nacional.

Adicionalmente, a BADBIT adota as seguintes medidas técnicas de segurança aplicáveis aos dados transferidos internacionalmente:

  • Criptografia em trânsito via HTTPS/TLS.
  • Criptografia em repouso com AWS KMS e AES-256.
  • Backups criptografados com retenção de 30 dias.
  • Controle de acesso baseado em perfis (roles).
  • Trilha de auditoria completa.
  • Firewall e proteção de rede (WAF).

Os titulares de dados pessoais mantêm todos os seus direitos previstos na LGPD, incluindo acesso, correção, exclusão e portabilidade, independentemente de os dados estarem armazenados em território estrangeiro, conforme detalhado na Seção 11 desta Política.

6. Segurança de dados

A BADBIT emprega diversas medidas técnicas e organizacionais para proteger os dados pessoais contra acesso não autorizado, alteração, divulgação ou destruição. Nossas práticas de segurança incluem:

  • Criptografia em trânsito: todas as comunicações entre o usuário e o NuvCar são protegidas por criptografia HTTPS/TLS.
  • Criptografia em repouso (dados sensíveis): dados considerados mais sensíveis são criptografados em repouso utilizando AWS KMS e AES-256 (Envelope Encryption). Isso inclui:
    • Certificados digitais A1 (para emissão de NF-e).
    • Tokens de integração com a Focus NFe.
    • API Key da Conciliadora.
  • Hash para senhas/PINs: o PIN de gerente é armazenado utilizando hash bcrypt (irreversível, com custo 10).
  • Gerenciamento de segredos: certificados REP-P (eCNPJ e eCPF da BADBIT) e suas senhas são armazenados fora do banco de dados, no AWS Secrets Manager, e carregados de forma segura.
  • Controle de acesso: o acesso aos dados é controlado por um sistema de roles e permissões granulares, onde cada funcionalidade está atrelada a permissões específicas. O usuário com a role COMPANY_ADMIN pode criar e gerenciar roles e permissões para sua equipe.
  • Proteção de rede:
    • Utilização de WAF (Web Application Firewall) da AWS, vinculado aos frontends hospedados no S3 e distribuídos pela CDN CloudFront.
    • O backend utiliza firewall ufw expondo apenas a porta HTTPS para comunicação com o frontend e a porta 22 para acesso SSH.
    • O banco de dados não é exposto diretamente à internet, sendo acessível apenas localmente pelos serviços da aplicação.
  • Auditoria e monitoramento: todas as operações de gravação são registradas em trilha de auditoria, incluindo identificação do usuário, IP de acesso, User-Agent e timestamp. Esses logs são registrados no banco de dados com retenção de 180 (cento e oitenta) dias.
  • Backup: realizamos backups a cada 6 horas de todos os dados, criptografados com GPG e armazenados no S3, com retenção de 30 dias.
  • Disaster Recovery: possuímos um plano de recuperação de desastres com os seguintes objetivos:
    • RPO (Recovery Point Objective): máxima perda de dados de 6 horas.
    • RTO (Recovery Time Objective): tempo estimado para retorno à operação de até 8 horas.

7. Retenção de dados

Os dados pessoais tratados pelo NuvCar são retidos pelo tempo estritamente necessário para cumprir as finalidades para as quais foram coletados, observados os prazos legais aplicáveis e o princípio da necessidade previsto no art. 6º, inciso III da LGPD. Após o término do prazo de retenção aplicável, os dados são anonimizados ou excluídos definitivamente.

7.1. Dados de contas ativas

Enquanto a conta da oficina estiver ativa, os dados são retidos para a prestação integral do serviço, com base no contrato em vigor.

7.1.1. Dados de clientes das oficinas (Customers) — oficinas ativas

Os dados de clientes cadastrados pelas oficinas são retidos enquanto a oficina permanecer ativa na plataforma, com fundamento no legítimo interesse da oficina (controladora) — art. 7º, inciso IX da LGPD — considerando:

  • A natureza dos serviços automotivos, que envolvem garantias de peças e serviços que podem se estender por vários anos;
  • A necessidade de preservação do histórico técnico-fiscal para atendimento de garantias, laudos e orçamentos futuros sobre os mesmos veículos;
  • A expectativa razoável de retorno do cliente para serviços de manutenção periódica ou corretiva.

O cliente da oficina pode, a qualquer momento, solicitar à oficina a exclusão ou anonimização dos seus dados, sendo esses direitos atendidos por mecanismos técnicos disponíveis diretamente no sistema NuvCar, conforme Seção 11.0.

Quando a oficina encerrar sua relação com a plataforma NuvCar, todos os dados de seus clientes são excluídos definitivamente conforme o fluxo previsto nas Seções 7.2, 7.3 e 7.4.

7.2. Dados de contas canceladas ou encerradas — período de carência

Após o cancelamento ou encerramento da conta, o sistema mantém os dados pelo prazo de 90 (noventa) dias a partir da data de cancelamento. Esse período destina-se a:

  • Permitir a reversão do cancelamento, caso o usuário se arrependa ou cancele por engano;
  • Viabilizar a resolução de pendências operacionais, contábeis ou fiscais em aberto na data do cancelamento (ex.: notas fiscais não autorizadas, conciliações bancárias pendentes).

O usuário receberá uma notificação por e-mail 5 dias antes do encerramento do período de carência, informando que a anonimização dos dados ocorrerá na data indicada, caso a conta não seja reativada.

Base legal: legítimo interesse — art. 7º, inciso IX da LGPD.

7.3. Anonimização após o período de carência

Encerrado o período de carência previsto na Seção 7.2, os dados pessoais cadastrais e operacionais da conta são anonimizados de forma irreversível, de modo que não seja mais possível identificar o titular. O usuário receberá confirmação por e-mail após a conclusão do processo.

A anonimização alcança todos os dados pessoais, com as exceções previstas nas Seções 7.4, 7.5 e 7.6 abaixo.

7.4. Retenção mínima do CNPJ para prevenção de abuso do trial

Para a finalidade exclusiva de impedir que a mesma pessoa jurídica obtenha novo período gratuito de forma indevida, o NuvCar retém apenas o número do CNPJ da empresa após a anonimização prevista na Seção 7.3, pelo prazo de 5 (cinco) anos contados da data de cancelamento.

Os demais dados cadastrais da empresa são anonimizados conforme a Seção 7.3, não sendo retidos para essa finalidade.

Base legal: legítimo interesse da BADBIT — art. 7º, inciso IX da LGPD. A retenção é limitada ao dado mínimo necessário, proporcional à finalidade e não causa impacto desproporcional ao titular, uma vez que o CNPJ é dado de pessoa jurídica de natureza pública.

7.5. Dados transacionais com obrigação fiscal

Dados vinculados à emissão de documentos fiscais eletrônicos (NF-e, NFS-e) são retidos pelo prazo de 5 (cinco) anos, em conformidade com o prazo prescricional tributário previsto no art. 150, §4º do Código Tributário Nacional e demais normas fiscais aplicáveis.

Base legal: cumprimento de obrigação legal — art. 7º, inciso II da LGPD.

7.6. Dados de funcionários e colaboradores

Os dados de funcionários e colaboradores inseridos pelas oficinas são retidos pelo prazo de 5 (cinco) anos após o encerramento do vínculo, em observância aos prazos prescricionais trabalhistas previstos no art. 7º, inciso XXIX da Constituição Federal.

Base legal: cumprimento de obrigação legal — art. 7º, inciso II da LGPD.

7.7. Logs de auditoria

Os logs de auditoria são retidos por 180 (cento e oitenta) dias, podendo esse prazo ser ajustado conforme o crescimento da plataforma e necessidades operacionais, sem ultrapassar o necessário para as finalidades de segurança e rastreabilidade.

7.8. Exclusão a pedido do titular

O titular pode solicitar a exclusão ou anonimização de seus dados pessoais a qualquer momento, nos termos da Seção 11 desta Política, respeitadas as hipóteses de conservação obrigatória previstas no art. 16 da LGPD e os prazos definidos nas Seções 7.4, 7.5 e 7.6. O titular receberá confirmação por e-mail após a conclusão do processo.

8. Compartilhamento com terceiros

O NuvCar compartilha dados pessoais apenas quando estritamente necessário para a prestação de seus serviços ou para o cumprimento de obrigações legais. Atualmente, o compartilhamento ocorre com:

  • Google LLC (Firebase Cloud Messaging): roteamento de notificações push para os aplicativos móveis NuvCar Oficina, com servidores nos Estados Unidos. Apenas o token de notificação do dispositivo é compartilhado.
  • Apple Inc. (Apple Push Notification Service): entrega de notificações para dispositivos iOS, com servidores nos Estados Unidos. Apenas o token de notificação do dispositivo é compartilhado.

8.3. Focus NFe — Emissão de documentos fiscais

Para a emissão de documentos fiscais eletrônicos (NF-e, NFS-e), o NuvCar integra-se à plataforma Focus NFe (FOCUS NFE LTDA, CNPJ 07.504.505/0001-32), que atua como operadora dos dados transmitidos no âmbito dessa finalidade específica.

Os dados pessoais transmitidos à Focus NFe no processo de emissão fiscal incluem: CNPJ e dados fiscais da oficina emissora, e dados do destinatário do documento fiscal (nome, CPF ou CNPJ e endereço), estritamente necessários ao cumprimento das exigências da legislação tributária.

Base legal para a transmissão: cumprimento de obrigação legal — art. 7º, inciso II da LGPD, uma vez que a emissão de documentos fiscais eletrônicos é imposta pela legislação tributária brasileira.

Salvaguardas existentes: a relação entre a BADBIT e a Focus NFe é regida pelos Termos de Uso da Focus NFe, aceitos no momento do cadastro, que estabelecem obrigações de proteção de dados, incluindo:

  • Restrição de uso dos dados à execução do serviço contratado;
  • Obrigação de que terceiros receptores de dados mantenham os mesmos padrões de segurança e proteção;
  • Criptografia dos dados armazenados e controle de acesso;
  • Guarda dos arquivos fiscais (XML e PDF) pelo prazo mínimo de 5 anos, em cumprimento à legislação tributária;
  • Garantia dos direitos dos titulares previstos na LGPD.

Formalização do DPA: a BADBIT encontra-se em processo de formalização de um Adendo de Proteção de Dados (DPA) com a Focus NFe, nos termos do art. 39 da LGPD, com vistas a complementar e reforçar contratualmente as obrigações já existentes nos termos de uso. Esta seção será atualizada assim que o instrumento for formalizado.

Para mais informações sobre as práticas de proteção de dados da Focus NFe, acesse: https://focusnfe.com.br/termos-de-uso/

A BADBIT não vende, aluga ou compartilha dados pessoais com terceiros para fins de marketing ou outros fins comerciais não relacionados à prestação do serviço NuvCar.

9. Cookies e tecnologias de rastreamento

O NuvCar busca minimizar o uso de tecnologias de rastreamento para preservar a privacidade de seus usuários.

  • Cookies: o sistema NuvCar não utiliza cookies.
  • Local Storage: utilizamos o Local Storage do navegador para armazenar preferências do usuário e tokens JWT (JSON Web Token) para autenticação.
    • Token JWT: possui um prazo padrão de expiração de 5 dias.
    • Remoção automática: o token JWT é automaticamente removido do Local Storage quando expira (o sistema detecta a expiração no próximo acesso autenticado e redireciona para a tela de login) ou quando o usuário realiza o logout.
  • Outras tecnologias: não utilizamos outras tecnologias de rastreamento como pixels de rastreamento, web beacons, fingerprinting, sessionStorage, etc.
  • Controle do usuário: o usuário pode gerenciar e limpar os dados armazenados no Local Storage diretamente pelas configurações de seu navegador, o que também ocorre automaticamente ao limpar o cache do navegador.

10. Dados de menores de idade

O NuvCar é um sistema de gestão destinado exclusivamente a pessoas jurídicas e empresários individuais. A BADBIT não coleta dados pessoais de menores de idade de forma direta ou intencional no âmbito de sua relação com os usuários do sistema.

10.1. Dados de menores inseridos pelas oficinas

As oficinas usuárias do NuvCar podem, no exercício de suas atividades, cadastrar clientes menores de idade (por exemplo, para registro de serviços realizados em veículos de responsabilidade dos pais ou responsáveis legais). Nesse contexto, a oficina é a controladora dos dados do menor, e a BADBIT atua exclusivamente como operadora, conforme estabelecido na Seção 11.0 desta Política.

Nos termos do art. 14 da LGPD, o tratamento de dados pessoais de menores de 18 anos deve ser realizado no melhor interesse do menor, com o consentimento específico e em destaque concedido por pelo menos um dos pais ou pelo responsável legal, salvo quando a coleta for necessária para contatar os pais ou responsável ou para sua proteção.

A responsabilidade pela obtenção do consentimento parental, pela verificação da idade do titular e pelo cumprimento do art. 14 da LGPD é exclusiva da oficina, na qualidade de controladora dos dados. Essa obrigação está expressamente prevista nos Termos de Uso do NuvCar.

10.1.1. Jovens aprendizes e menores em vínculo empregatício

As oficinas usuárias do NuvCar podem cadastrar no sistema menores de 18 anos na condição de jovens aprendizes ou funcionários com contrato de trabalho formalizado, nos termos da Lei nº 10.097/2000 (Lei da Aprendizagem) e da Consolidação das Leis do Trabalho (CLT).

Nesse caso, o tratamento dos dados pessoais do menor decorre de cumprimento de obrigação legal — art. 7º, inciso II da LGPD — sendo desnecessária a obtenção de consentimento parental específico para essa finalidade, uma vez que o próprio ordenamento jurídico trabalhista impõe o registro e a manutenção desses dados durante a vigência do contrato e pelo prazo prescricional aplicável.

A responsabilidade pelo correto enquadramento legal do vínculo empregatício com o menor, bem como pelo cumprimento das obrigações trabalhistas e previdenciárias aplicáveis, é exclusiva da oficina, na qualidade de empregadora e controladora desses dados.

10.2. Salvaguardas técnicas

Quando o campo de data de nascimento for preenchido no cadastro de um cliente e indicar idade inferior a 18 anos, o sistema exibirá um aviso informativo orientando a oficina a verificar a existência de autorização do responsável legal antes de prosseguir com o cadastro. Esse aviso é registrado na trilha de auditoria do sistema.

10.3. Comunicação de irregularidades

Caso a BADBIT identifique que dados de menores estão sendo tratados de forma inadequada ou sem a devida autorização, adotará as medidas cabíveis, incluindo a comunicação à oficina responsável e, se necessário, às autoridades competentes.

Titulares ou responsáveis legais que identifiquem tratamento inadequado de dados de menores podem contatar o DPO pelo canal indicado na Seção 14 desta Política.

11. Direitos do titular e como exercê-los

A LGPD garante aos titulares de dados pessoais um conjunto de direitos previstos no art. 18, que o NuvCar atende por meio de fluxos técnicos automatizados, sem necessidade de intervenção manual da equipe BADBIT. Cada solicitação é registrada automaticamente na trilha de auditoria do sistema, com identidade do solicitante, IP, User-Agent, data, hora e resultado.

11.0. Quem pode exercer direitos e perante quem

Em razão da natureza do serviço NuvCar, a responsabilidade pelo atendimento de direitos dos titulares varia conforme a categoria de dado:

Usuários e proprietários de oficinas (titulares de dados tratados diretamente pela BADBIT):

Para dados de acesso, cadastro e conta — como e-mail, dados da empresa, logs de acesso — a BADBIT atua como controladora e atende diretamente as solicitações dos titulares pelos fluxos descritos nesta seção.

Clientes e funcionários das oficinas (titulares de dados inseridos pelas oficinas no sistema):

Para dados de clientes e funcionários cadastrados pelas oficinas, a oficina é a controladora e a BADBIT atua como operadora. Nesses casos, o titular deve exercer seus direitos diretamente perante a oficina responsável pelo seu cadastro. A BADBIT disponibiliza às oficinas as ferramentas técnicas necessárias para que possam atender essas solicitações, conforme detalhado na Seção 11.2.

Caso o titular não saiba identificar qual oficina é responsável pelo seu cadastro, poderá contatar a BADBIT pelo canal indicado na Seção 14, que orientará o encaminhamento adequado.

11.1. Direitos e fluxos de atendimento — Usuários e proprietários de oficinas

Para titulares cujos dados são tratados diretamente pela BADBIT (usuários administradores e donos de oficinas), os seguintes direitos estão disponíveis:

I. Confirmação da existência de tratamento e acesso aos dados (art. 18, I e II)

O titular pode consultar os dados pessoais armazenados diretamente pelo painel administrativo do NuvCar, na seção de perfil e configurações da conta. O conjunto de dados armazenados inclui: nome, e-mail, função, datas de criação e último acesso.

II. Correção de dados incompletos, inexatos ou desatualizados (art. 18, III)

O titular pode corrigir seus dados diretamente pelo painel administrativo. A atualização é aplicada imediatamente ao banco de dados.

III. Anonimização ou eliminação dos dados — conta individual (art. 18, IV e V)

O titular pode solicitar a exclusão da sua conta individual pelo painel administrativo. O fluxo ocorre da seguinte forma:

  • O sistema envia um e-mail de confirmação, válido por 7 dias, para que o titular confirme a solicitação;
  • Após a confirmação, inicia-se uma janela de arrependimento de 15 dias, durante a qual o titular pode cancelar a solicitação;
  • Decorridos os 15 dias, o scheduler diário executa a anonimização automaticamente;
  • O titular recebe três notificações por e-mail ao longo do processo: na solicitação, no agendamento e na conclusão.

Caso o titular não confirme a solicitação dentro de 7 dias, ela expira automaticamente e uma nova solicitação pode ser iniciada.

IV. Anonimização ou eliminação dos dados — conta e empresa (art. 18, IV e V)

O proprietário da oficina pode solicitar a exclusão da conta da empresa pelo painel administrativo. O fluxo é equivalente ao descrito acima, com escopo ampliado para anonimização de todos os dados da empresa e seus usuários vinculados, respeitados os prazos de retenção obrigatórios previstos na Seção 7.

V. Portabilidade dos dados (art. 18, VI)

Os dados pessoais do usuário administrador são acessíveis diretamente pelo painel. Dado o conjunto limitado de informações armazenadas (nome, e-mail, função, datas), não é necessária exportação em arquivo separado.

VI. Informação sobre compartilhamento (art. 18, VII)

As categorias de destinatários dos dados e as finalidades de compartilhamento estão descritas na Seção 5 e na Seção 8 desta Política.

VII. Revogação de consentimento (art. 18, IX)

Onde o tratamento for baseado em consentimento, o titular pode revogá-lo pelo mesmo caminho do direito de eliminação previsto no item III acima.

11.2. Direitos e fluxos de atendimento — Clientes e funcionários das oficinas

Para titulares cujos dados foram cadastrados por uma oficina (clientes e funcionários), os seguintes mecanismos estão disponíveis diretamente no sistema NuvCar, para que a oficina possa atender as solicitações dos seus titulares:

I. Acesso e portabilidade (art. 18, II e VI)

A oficina pode exportar, a pedido do cliente, um arquivo ZIP contendo todos os dados pessoais e histórico transacional vinculado ao titular, em formato JSON estruturado e legível. O arquivo inclui: dados pessoais, endereços, telefones, veículos vinculados, histórico de ordens de serviço, vendas, orçamentos e contas a receber. A exportação é gerada em tempo real e registrada na trilha de auditoria. O arquivo acompanha um documento explicativo em português (README) sobre seu conteúdo.

II. Correção (art. 18, III)

A oficina pode corrigir os dados do cliente diretamente pelo painel administrativo, nas telas de cadastro de clientes e funcionários. A atualização é aplicada imediatamente.

III. Anonimização ou eliminação imediata (art. 18, IV e V)

A oficina pode acionar a anonimização imediata dos dados de um cliente ou funcionário pelo painel administrativo. A anonimização é executada na mesma requisição, com registro obrigatório do motivo na trilha de auditoria.

O cliente ou funcionário da oficina que desejar exercer qualquer desses direitos deve entrar em contato diretamente com a oficina responsável pelo seu cadastro. Se não souber identificá-la, pode contatar a BADBIT pelo canal indicado na Seção 14.

11.3. Prazos de atendimento

Os direitos de acesso, portabilidade e correção são atendidos imediatamente pelo sistema, sem intervenção humana.

As solicitações de exclusão e anonimização são processadas dentro do prazo legal de 15 dias previsto no art. 19, §3º da LGPD, contados da confirmação da solicitação pelo titular.

11.4. Ausência de restrição de frequência

O exercício dos direitos previstos nesta seção não está sujeito a qualquer limitação de frequência. O titular pode exercê-los sempre que necessário, sem restrições periódicas.

Em caso de solicitações manifestamente abusivas ou de má-fé, a BADBIT poderá, motivadamente e por escrito, recusar o atendimento, com comunicação ao titular e registro na trilha de auditoria.

11.5. Canal para exercício de direitos

As solicitações de direitos de titulares devem ser realizadas preferencialmente pelos fluxos automatizados descritos nesta seção, disponíveis diretamente no painel administrativo do NuvCar.

Para situações não cobertas pelos fluxos automatizados, o titular pode contatar o Encarregado de Dados (DPO) pelo canal indicado na Seção 14 desta Política.

12. Incidentes de segurança e comunicação aos titulares

A BADBIT adota medidas técnicas e organizacionais para prevenir incidentes de segurança envolvendo dados pessoais, descritas na Seção 6 desta Política. Ainda assim, reconhece que nenhum sistema é completamente imune a falhas, e mantém um procedimento formal de resposta a incidentes alinhado ao art. 48 da LGPD e à Resolução CD/ANPD nº 15/2024.

12.1. O que é considerado incidente de segurança

Para fins desta Política, considera-se incidente de segurança qualquer evento, confirmado ou suspeito, que resulte em:

  • Acesso não autorizado a dados pessoais tratados no âmbito do NuvCar;
  • Destruição, perda, alteração ou divulgação indevida de dados pessoais;
  • Qualquer forma de tratamento irregular que possa gerar risco ou dano aos titulares.

12.2. Procedimento de resposta e notificação

Ao identificar ou ser notificada de um incidente de segurança, a BADBIT adotará as seguintes medidas:

Fase 1 — Contenção imediata (D+0)

Isolamento do sistema ou componente afetado, preservação de evidências forenses e acionamento do DPO e da equipe técnica.

Fase 2 — Comunicação preliminar (até 3 dias úteis após a ciência do incidente)

A BADBIT comunicará a ocorrência à Autoridade Nacional de Proteção de Dados (ANPD) por meio dos canais oficiais disponíveis em www.gov.br/anpd, informando:

  • A natureza e as categorias de dados pessoais afetados;
  • O número estimado de titulares envolvidos;
  • As medidas técnicas imediatamente adotadas para contenção;
  • Os dados de contato do Encarregado de Dados (DPO).

Quando o incidente puder acarretar risco ou dano relevante aos titulares, a BADBIT os comunicará diretamente por e-mail, de forma clara e acessível, informando:

  • A descrição do incidente e os dados envolvidos;
  • Os riscos identificados para os titulares;
  • As medidas de proteção recomendadas;
  • O canal de contato do DPO para esclarecimentos.

Fase 3 — Relatório complementar (até 20 dias úteis após a ciência do incidente)

A BADBIT encaminhará à ANPD relatório complementar contendo a análise forense do incidente, a causa-raiz identificada, as medidas corretivas implementadas e o plano de prevenção de recorrência.

12.3. Como reportar um incidente ou suspeita

Titulares, usuários ou terceiros que identificarem ou suspeitarem de acesso indevido a dados pessoais no âmbito do NuvCar devem comunicar imediatamente o DPO pelo canal:

contato.dpo@badbit.com.br

A comunicação será registrada, investigada e respondida no menor prazo possível.

12.4. Responsabilidade das oficinas em caso de incidente

Caso o incidente de segurança envolva dados de clientes ou funcionários de uma oficina usuária do NuvCar — hipótese em que a oficina é a controladora dos dados —, a BADBIT notificará imediatamente a oficina responsável para que ela possa adotar as medidas cabíveis perante seus próprios titulares, conforme suas obrigações como controladora nos termos da LGPD.

13. Conformidade legal

Esta Política de Privacidade e todas as operações do NuvCar estão em conformidade com as seguintes legislações:

  • Lei Geral de Proteção de Dados Pessoais (LGPD) — Lei nº 13.709/2018.
  • Código de Defesa do Consumidor (CDC) — Lei nº 8.078/1990.
  • Legislação Fiscal Brasileira (referente à emissão de NF-e, NFS-e e outras obrigações tributárias).

A jurisdição para dirimir quaisquer dúvidas ou litígios decorrentes desta Política será a comarca de Jaraguá, Goiás, Brasil.

14. Encarregado de Dados (DPO)

Em cumprimento ao art. 41 da Lei nº 13.709/2018 (LGPD), a BADBIT designou formalmente um Encarregado pelo Tratamento de Dados Pessoais (DPO — Data Protection Officer).

Encarregado
José Neto, Diretor Executivo (CEO) da BADBIT Tecnologia Ltda.
Canal de contato institucional
contato.dpo@badbit.com.br

O Encarregado é responsável por:

  • Receber e atender solicitações e reclamações dos titulares de dados pessoais relacionadas ao tratamento realizado pelo NuvCar;
  • Receber comunicações da Autoridade Nacional de Proteção de Dados (ANPD);
  • Orientar os colaboradores e prestadores de serviço da BADBIT sobre as práticas de proteção de dados pessoais;
  • Executar as demais atribuições previstas no art. 41, §2º da LGPD e em regulamentações complementares da ANPD.

14.1. Como entrar em contato

Para exercer direitos previstos na Seção 11, registrar reclamações ou obter esclarecimentos sobre o tratamento de dados pessoais pelo NuvCar, o titular pode:

  • Preferencialmente: utilizar os fluxos automatizados disponíveis diretamente no painel administrativo do NuvCar, descritos na Seção 11 desta Política — canal mais ágil e com rastreabilidade completa;
  • Alternativamente: enviar e-mail para contato.dpo@badbit.com.br, identificando-se como titular e descrevendo a solicitação ou reclamação.

As solicitações recebidas por e-mail serão respondidas em até 15 dias úteis, conforme o prazo previsto no art. 19, §3º da LGPD.

14.2. Identificação do solicitante

Para garantir a segurança no atendimento e evitar que dados pessoais sejam entregues a terceiros não autorizados, a BADBIT poderá solicitar a confirmação da identidade do titular antes de atender solicitações recebidas por e-mail. Essa verificação é feita exclusivamente para fins de segurança e proteção do próprio titular.

14.3. Reclamações à ANPD

Caso o titular considere que seus direitos não foram atendidos de forma satisfatória, poderá apresentar reclamação diretamente à Autoridade Nacional de Proteção de Dados (ANPD), pelos canais disponíveis em www.gov.br/anpd.

15. Aplicativo Móvel (NuvCar Oficina)

Esta seção complementa esta política aplicando-se ao aplicativo NuvCar Oficina disponibilizado para iOS e Android, utilizado por mecânicos das empresas clientes para execução de ordens de serviço.

15.1. Dados coletados pelo aplicativo

Os dados coletados pelo aplicativo NuvCar Oficina variam conforme a plataforma:

Dados coletados em ambas as plataformas (iOS e Android):

  • Identificador do dispositivo (Device ID): na primeira execução, o aplicativo gera um UUID único e persistente, armazenado de forma segura no Keychain (iOS) ou Keystore (Android). Utilizado para registrar o dispositivo no servidor e associar corretamente as permissões de notificação à sessão do usuário.
  • Token de notificações push (FCM): se o usuário autorizar o envio de notificações, o aplicativo gera um token via Firebase Cloud Messaging (Google LLC), utilizado exclusivamente para notificar atualizações em ordens de serviço.
  • Fotos: imagens capturadas pelo usuário (anexos de OS, evidências de checklist, assinatura digital do cliente) são comprimidas no dispositivo e enviadas ao armazenamento da BADBIT na Amazon S3 via URLs pré-assinadas.

Dados coletados exclusivamente no aplicativo Android (builds de produção):

  • Eventos de navegação e uso (Firebase Analytics): o aplicativo Android coleta automaticamente eventos como telas acessadas, início de sessão, tempo de engajamento e primeira abertura, por meio do Firebase Analytics (Google LLC). O identificador de publicidade do Android (AD_ID) foi removido do Manifest de produção, de forma que o aplicativo não acessa esse identificador.
  • Telemetria de falhas (Firebase Crashlytics): em caso de falhas ou erros, o Crashlytics (Google LLC) coleta automaticamente informações de diagnóstico, incluindo stack traces, modelo de dispositivo, versão do sistema operacional e breadcrumbs de navegação, para fins de estabilidade e correção do aplicativo.

Em versões de desenvolvimento do aplicativo Android (builds de debug), a coleta via Firebase Analytics e Crashlytics fica desativada.

O aplicativo iOS não possui nenhum SDK de analytics, telemetria ou rastreamento comportamental ativo. Os únicos dados transmitidos pelo app iOS são aqueles necessários ao funcionamento das funcionalidades do sistema (autenticação, ordens de serviço, checklists etc.) e os logs de diagnóstico gerados via os.Logger do iOS, que permanecem exclusivamente no dispositivo e não são enviados a nenhum servidor.

15.2. Permissões do sistema solicitadas

O aplicativo solicita autorização do sistema operacional para acesso a:

  • Câmera: captura de fotos para anexos e evidências de checklist.
  • Envio de notificações: alertas em tempo real sobre alterações em ordens de serviço atribuídas ao usuário.

Você pode revogar essas permissões a qualquer momento nas configurações do sistema operacional (Ajustes → NuvCar Oficina, no iOS). Revogar a permissão de notificação não impede o uso do aplicativo — apenas suspende alertas em tempo real, que continuam acessíveis ao abrir o app manualmente.

15.3. Compartilhamento com operadores específicos do aplicativo

O roteamento e a entrega de notificações push do aplicativo dependem do Google LLC (Firebase Cloud Messaging) e do Apple Inc. (Apple Push Notification Service), conforme detalhado na Seção 8 (Compartilhamento com terceiros).

Adicionalmente, fotos e anexos capturados pelo aplicativo são armazenados em Amazon Web Services (S3) na região us-east-1 (Norte da Virgínia, Estados Unidos).

A transferência internacional de dados realizada no âmbito do aplicativo NuvCar Oficina — incluindo o armazenamento de fotos e anexos na AWS S3 (região us-east-1) e o roteamento de notificações via Google LLC e Apple Inc. — observa o disposto no art. 33, inciso II, alínea "b" da LGPD, com base nos contratos de processamento de dados (DPAs) formalizados com cada operador, conforme detalhado na Seção 5 desta Política.

15.4. Retenção e exclusão de dados específicos do aplicativo

  • O token de notificação push é desassociado da conta do usuário no próximo login realizado no mesmo dispositivo, e é removido do nosso servidor automaticamente quando detectamos sua invalidação pelos serviços do Google (FCM) ou Apple (APNs) — situação que ocorre tipicamente após desinstalação do aplicativo, troca de aparelho ou logout em outro dispositivo.
  • O identificador armazenado localmente no dispositivo é apagado ao desinstalar o aplicativo. Em nosso servidor, o registro do dispositivo é mantido vinculado ao histórico do usuário para fins de auditoria, sendo excluído conforme a política geral de retenção (Seção 7).
  • Fotos e dados de OS seguem a política de retenção descrita na Seção 7 desta política.

16. Alterações nesta Política

A BADBIT reserva-se o direito de modificar esta Política de Privacidade a qualquer momento, para adaptá-la a novas legislações, regulamentações ou práticas de mercado. Quaisquer alterações significativas serão comunicadas aos usuários, por meio de avisos no sistema ou por e-mail.

A continuidade do uso do NuvCar após a comunicação das alterações implicará na aceitação da nova Política de Privacidade.

17. Disposições finais

Ao utilizar o sistema NuvCar, você declara ter lido, compreendido e aceito integralmente os termos desta Política de Privacidade e Proteção de Dados Pessoais. A aceitação desta Política é condição obrigatória para o uso do sistema.

A BADBIT reafirma seu compromisso com a conformidade com a LGPD e a proteção dos dados pessoais sob sua responsabilidade.

Em caso de rescisão da assinatura ou cancelamento da conta, o usuário poderá solicitar a exclusão de seus dados conforme as condições de retenção e exclusão descritas nesta Política.

Documento elaborado em 17 de abril de 2026. Versão 1.3, atualizada em 18 de maio de 2026.

Esta Política de Privacidade foi elaborada em conformidade com a LGPD. Para questões jurídicas específicas, recomenda-se consulta com advogado especializado.