Privacidade & LGPD
Política de Privacidade
1. Quem somos
O BoraChef é um serviço de gestão para restaurantes (cardápio digital, pedidos em tempo real, CRM e relatórios) operado por:
BoraChef Tecnologia Ltda.CNPJ: [CNPJ a ser preenchido]
Endereço: [Endereço completo a ser preenchido]
E-mail geral: [email protected]
DPO / Encarregado: [email protected]
Na linguagem da LGPD, o BoraChef é o controlador dos dados coletados diretamente dos lojistas e de visitantes do site. Para dados de clientes finais dos restaurantes, atuamos como operador seguindo as instruções de cada restaurante (controlador). Em operações de checkout, também atuamos como controlador para fins operacionais do serviço.
2. Quais dados coletamos
2.1 Lojistas (donos de restaurante)
- Cadastro: nome completo, e-mail, senha (hash bcrypt — nunca em texto claro), telefone.
- Dados do restaurante: nome fantasia, endereço comercial, CNPJ ou CPF do responsável, telefone de contato.
- Pagamento: dados de cobrança processados pelo Asaas (cartão tokenizado, dados de PIX). O BoraChef não armazena números de cartão.
- Operação: pedidos, produtos, configurações do cardápio, logs de acesso (IP, user-agent, timestamps).
2.2 Clientes finais dos restaurantes
Quando um cliente realiza pedido pelo cardápio digital, coletamos:
- Nome (identificação do pedido).
- Telefone (notificação via WhatsApp, quando habilitado pelo restaurante).
- Endereço de entrega (pedidos delivery).
- Observações do pedido (texto livre).
- Dados do pedido: itens, valores, horário, canal (delivery, balcão, salão).
O cliente final relaciona-se primariamente com o restaurante. O BoraChef processa esses dados como operador, seguindo as instruções do restaurante.
2.3 Visitantes do site
- Cookies de sessão e de consentimento (veja seção 8).
- Dados de analytics (somente com consentimento): páginas visitadas, tempo de sessão, origem do acesso.
3. Como coletamos
- Formulário de cadastro (
borachef.com.br/cadastro): dados fornecidos pelo próprio lojista. - Checkout do cardápio digital: dados fornecidos pelo cliente final ao realizar pedido.
- Cookies e tecnologias similares: detalhados na seção 8.
- Uso normal do sistema: logs automáticos de acesso, IPs e ações no painel.
4. Finalidades e bases legais de cada tratamento
| Dado | Finalidade | Base legal (LGPD art. 7º) |
|---|---|---|
| E-mail e senha do lojista | Autenticação e acesso ao painel | Execução de contrato (inc. V) |
| Dados do restaurante | Configurar e exibir o cardápio; faturamento | Execução de contrato (inc. V) |
| CPF / CNPJ do lojista | Verificação de identidade, anti-fraude, obrigações fiscais | Obrigação legal (inc. II) + execução de contrato |
| Dados de pagamento | Cobrança das mensalidades via Asaas | Execução de contrato (inc. V) |
| Dados do cliente final (pedido) | Processar e entregar o pedido; notificações de status | Execução de contrato / legítimo interesse (inc. IX) |
| Telefone do cliente final | Confirmação de pedido via WhatsApp | Execução de contrato + consentimento ao realizar pedido |
| Cookies de analytics | Entender uso do site, melhorar experiência | Consentimento (inc. I) — opcional via banner |
| Logs de acesso (IP, timestamps) | Segurança, detecção de fraude, depuração técnica | Legítimo interesse (inc. IX) + obrigação legal (Marco Civil art. 15) |
5. Compartilhamento com terceiros
O BoraChef não vende dados pessoais. Compartilhamos somente com provedores necessários para operar o serviço:
| Provedor | Papel | Dados compartilhados | País |
|---|---|---|---|
| Supabase | Banco de dados, autenticação, armazenamento | Todos os dados de lojistas e pedidos | Brasil (São Paulo — sa-east-1) |
| Asaas | Gateway de pagamento das assinaturas | Nome, CPF/CNPJ, e-mail do lojista; dados de cartão tokenizados | Brasil |
| Resend | Envio de e-mails transacionais | Nome e e-mail do destinatário; conteúdo do e-mail | EUA |
| Vercel | Hospedagem do painel de gestão | Requisições HTTP, IPs (logs temporários de edge) | EUA e global (edge) |
| Cloudflare | CDN, WAF, proteção contra bots | IPs de visitantes, metadados de requisição (em trânsito) | Global (edge) |
Para transferências internacionais (Resend, Vercel, Cloudflare), verificamos que os provedores possuem cláusulas contratuais padrão e certificações adequadas. Esta seção será revisada após publicação da lista de países com proteção adequada pela ANPD.
6. Retenção dos dados
- Dados de pedidos e faturamento: 5 anos a partir da data do pedido (exigência fiscal — Lei 9.430/1996).
- Conta inativa: após 12 meses sem acesso e sem assinatura ativa, notificamos por e-mail com 30 dias de antecedência antes de anonimizar ou excluir.
- Dados de clientes finais: mesmo prazo dos pedidos (5 anos), salvo pedido de eliminação pelo titular ou pelo restaurante.
- Logs de acesso: 6 meses (Marco Civil da Internet, art. 15).
- Cookies analíticos: até 13 meses ou revogação do consentimento, o que ocorrer primeiro.
7. Seus direitos (art. 18 da LGPD)
- Acesso: saber quais dados temos sobre você.
- Correção: corrigir dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação: de dados desnecessários ou sem base legal adequada.
- Portabilidade: receber seus dados em formato estruturado (CSV ou JSON).
- Eliminação: exclusão de dados tratados com base em consentimento.
- Informação sobre compartilhamento: saber com quais terceiros seus dados foram compartilhados.
- Revogação de consentimento: a qualquer momento, sem prejuízo do tratamento já realizado.
- Oposição: contestar tratamento com base em legítimo interesse.
Como exercer seus direitos
Envie e-mail para [email protected] com assunto "Direitos LGPD — [seu nome]". Verificaremos sua identidade antes de processar. Respondemos em até 15 dias corridos, prorrogáveis por mais 15 em casos complexos. Lojistas também podem acessar, corrigir e exportar dados diretamente nas Configurações do painel.
8. Cookies
Usamos cookies para autenticação, preferências e analytics. Você pode gerenciar suas preferências pelo banner exibido na primeira visita ou a qualquer momento via Política de Cookies, onde listamos todos os cookies utilizados com suas finalidades e instruções de revogação.
9. Segurança
- Trânsito: toda comunicação usa TLS 1.2 ou superior.
- Banco de dados: Row Level Security (RLS) no Supabase — cada restaurante acessa somente seus próprios dados.
- Repouso: criptografia AES-256 em disco gerenciada pelo Supabase (AWS RDS).
- Senhas: armazenadas como hash bcrypt via Supabase Auth — nunca em texto claro.
- Pagamentos: dados de cartão tokenizados direto no Asaas; nunca passam pelos servidores do BoraChef.
Em caso de incidente com risco relevante aos titulares, notificaremos a ANPD e os afetados no prazo legal.
10. Crianças e adolescentes
O BoraChef não é destinado a menores de 18 anos. Não coletamos dados de crianças intencionalmente. Se identificarmos que dados de menor foram coletados sem o consentimento adequado, excluiremos imediatamente. Contate [email protected] se suspeitar disso.
11. Mudanças nesta política
Podemos atualizar esta política periodicamente. Mudanças significativas serão comunicadas por:
- E-mail para lojistas cadastrados (com 30 dias de antecedência para alterações que reduzam direitos).
- Banner de aviso no painel de gestão.
A versão vigente está sempre em borachef.com.br/privacidade.
12. Encarregado de Dados (DPO)
DPO — BoraChef Tecnologia Ltda.E-mail: [email protected]
Assunto recomendado: "DPO — [motivo da solicitação]"
13. Autoridade Nacional de Proteção de Dados (ANPD)
Você tem o direito de registrar reclamações junto à ANPD se considerar que seus direitos foram violados:
- Site: www.gov.br/anpd
- Peticionamento eletrônico disponível no portal gov.br.
Preferimos resolver qualquer questão diretamente antes de um processo formal.