POLÍTICA DE PRIVACIDADE

O tratamento de dados pessoais por meio da plataforma Sprive é realizado, transitoriamente, pela IRRISMART INDÚSTRIA E COMÉRCIO LTDA., pessoa jurídica de direito privado inscrita no CNPJ sob o nº 35.910.137/0001-68, com endereço na Avenida João Scarparo Netto, nº 84, Sala G10, Loteamento Center Santa Genebra, Campinas/SP, CEP 13.080-655, doravante denominada "Sprive" ou "Controladora".

Observação: a Sprive encontra-se em processo de constituição de pessoa jurídica própria. Até a conclusão desse processo, a titularidade do tratamento de dados pessoais permanece sob a responsabilidade da Irrismart. Eventual transferência do controle de dados para a nova pessoa jurídica será comunicada aos titulares com antecedência mínima de 15 dias, observados os arts. 17 a 22 da LGPD.

1.1 Esta Política de Privacidade descreve como a Sprive coleta, utiliza, armazena, compartilha e protege os dados pessoais dos Usuários, em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD, Lei 13.709/2018), o Marco Civil da Internet (Lei 12.965/2014), o Código de Defesa do Consumidor (Lei 8.078/1990) e demais normas aplicáveis.

1.2 Ao utilizar a Plataforma, o Usuário declara ter lido e compreendido esta Política. Para fins desta Política, aplicam-se as definições constantes dos Termos de Uso.

2.1 Nos termos do art. 41 da LGPD e da Resolução CD/ANPD nº 2/2022, a Sprive designou como Encarregada pelo tratamento de dados pessoais (Data Protection Officer) a própria pessoa jurídica Controladora, identificada na Seção 0 acima, por meio de canal específico de atendimento aos titulares.

2.2 O canal de contato com o Encarregado é o e-mail: privacidade@sprive.com.br.

2.3 Compete ao Encarregado aceitar reclamações e comunicações dos titulares e da Autoridade Nacional de Proteção de Dados (ANPD), prestar esclarecimentos e adotar providências relativas ao tratamento de dados pessoais.

Os dados pessoais são tratados com fundamento nas bases legais previstas nos arts. 7º e 11 da LGPD, conforme abaixo:

4.1 Quando o tratamento for baseado no legítimo interesse da Sprive (art. 7º, IX, da LGPD), comprometemo-nos a adotar medidas de transparência e salvaguardas, incluindo a realização de teste de proporcionalidade (Legitimate Interest Assessment, LIA) quando aplicável, assegurando que os direitos e liberdades do titular não sejam indevidamente prejudicados.

5.1 A Sprive não vende, aluga ou comercializa dados pessoais de seus Usuários a terceiros.

5.2 O compartilhamento de dados poderá ocorrer nas seguintes hipóteses, sempre observado o princípio da necessidade:

• Com outros Usuários da Plataforma: informações públicas do perfil (nome, cidade, avaliação, selo de verificação) são visíveis para viabilizar as Transações. Dados de contato (telefone, WhatsApp) de Lojas são exibidos em seu perfil público.
• Com operadores e prestadores de serviço: empresas contratadas que atuam como operadoras de dados (art. 5º, VII, LGPD), prestando serviços de hospedagem, infraestrutura em nuvem, banco de dados, armazenamento de arquivos, processamento de pagamentos, envio de e-mails transacionais e marketing, análise de dados e prevenção a fraudes. Esses operadores estão sujeitos a obrigações contratuais de confidencialidade, segurança e uso estritamente vinculado às finalidades determinadas pela Sprive. A lista atualizada de principais subprocessadores está disponível na página Subprocessadores.
• Processador de pagamentos (PAGAR.ME): a Sprive compartilha dados pessoais com o PAGAR.ME, instituição de pagamento autorizada pelo Banco Central do Brasil e certificada no padrão PCI-DSS, que atua como operadora de dados para fins de processamento e liquidação de pagamentos, gestão de cobranças (incluindo cobrança recorrente de Assinaturas), repasse de valores e cumprimento de obrigações regulatórias do sistema financeiro. Os dados compartilhados incluem: nome, CPF/CNPJ, e-mail, telefone, endereço, dados bancários (quando aplicável) e dados das Transações e Assinaturas. Para mais detalhes, consulte a Seção 6A dos Termos de Uso.
• Com autoridades públicas e órgãos reguladores: quando exigido por lei, regulamento, ordem judicial, requisição de autoridade administrativa competente, ou no âmbito de investigações e processos judiciais ou administrativos, incluindo requisições da ANPD.
• Para proteção de direitos: quando razoavelmente necessário para proteger os direitos, a propriedade ou a segurança da Sprive, de seus Usuários ou de terceiros, inclusive para prevenção de fraudes e investigação de atividades ilícitas.
• Em operações societárias: no contexto de fusão, aquisição, cisão, reorganização societária, venda de ativos, procedimento de recuperação judicial, ou no processo de constituição de pessoa jurídica específica para operação da marca Sprive (transferindo a titularidade do tratamento da Irrismart para a nova entidade), hipótese em que os dados poderão ser transferidos ao sucessor, mediante comunicação ao titular.

5.3 O Usuário pode solicitar informações sobre as entidades públicas e privadas com as quais a Sprive realizou uso compartilhado de dados, nos termos do art. 18, VII, da LGPD.

6.1 Os dados pessoais são armazenados em servidores seguros de provedores de infraestrutura em nuvem que adotam padrões internacionais de segurança da informação, incluindo criptografia em trânsito (TLS/SSL) e em repouso.

6.2 Senhas são armazenadas exclusivamente em formato de hash criptográfico (bcrypt com salt), o que impossibilita sua leitura ou recuperação em texto plano, inclusive por parte da Sprive.

6.3 A Sprive adota medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, nos termos do art. 46 da LGPD, incluindo:

• Controle de acesso baseado em funções (RBAC)
• Monitoramento de atividades suspeitas e tentativas de acesso não autorizado
• Atualizações regulares de segurança em softwares e dependências
• Revisão periódica das práticas de segurança
• Treinamento de equipe sobre proteção de dados pessoais
• Salvaguardas adicionais para dados sensíveis (criptografia, segregação lógica e controle de acesso mais restrito)

6.4 Embora a Sprive empregue os melhores esforços e práticas de mercado, nenhum sistema de segurança é absolutamente inviolável. A Sprive não se responsabiliza por atos ilícitos de terceiros que consigam, apesar das medidas de segurança adotadas, acessar indevidamente dados pessoais. Recomendamos que o Usuário adote boas práticas de segurança, incluindo o uso de senhas fortes e exclusivas e a não divulgação de suas credenciais.

7.1 Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a Sprive comunicará o fato à Autoridade Nacional de Proteção de Dados (ANPD) e ao titular afetado, em prazo razoável, conforme determinado pelo art. 48 da LGPD, informando:

• A descrição da natureza dos dados pessoais afetados
• As informações sobre os titulares envolvidos
• As medidas técnicas e de segurança adotadas para a proteção dos dados
• Os riscos relacionados ao incidente
• Os motivos da demora, caso a comunicação não seja imediata
• As medidas que foram ou serão adotadas para reverter ou mitigar os efeitos do incidente

7.2 A Sprive mantém plano de resposta a incidentes de segurança, com procedimentos para identificação, contenção, investigação, notificação e remediação.

8.1 Os dados pessoais serão mantidos durante o período necessário para o cumprimento das finalidades para as quais foram coletados, observados os seguintes critérios:

• Dados de conta: enquanto a conta estiver ativa e por até 6 (seis) meses após o encerramento, para fins de reativação ou resolução de pendências.
• Dados de Transações, Assinaturas e financeiros: por no mínimo 5 (cinco) anos após a conclusão da Transação ou encerramento da Assinatura, para cumprimento de obrigações fiscais, contábeis e regulatórias (CTN, art. 173; Lei 9.430/1996).
• Registros de acesso (logs): por no mínimo 6 (seis) meses, conforme determinado pelo Marco Civil da Internet (art. 15, Lei 12.965/2014).
• Documentos de verificação de identidade: pelo período necessário ao processo de verificação e por até 2 (dois) anos após a conclusão, para fins de auditoria e exercício regular de direitos.
• Dados sensíveis (saúde e bem-estar): enquanto perdurar a finalidade que motivou o consentimento ou até a revogação pelo titular, o que ocorrer primeiro, salvo obrigação legal ou exercício regular de direitos.
• Dados para defesa em processos: pelo prazo prescricional aplicável (até 5 anos para relações de consumo, até 10 anos para obrigações civis em geral), a partir do encerramento da conta ou da última Transação.

8.2 Transcorridos os prazos legais, os dados serão eliminados ou anonimizados, salvo se houver outra base legal que justifique sua manutenção.

9.1 A Plataforma utiliza cookies e tecnologias similares classificadas nas seguintes categorias:

• Cookies estritamente necessários: essenciais para o funcionamento da Plataforma, incluindo autenticação, segurança e manutenção de sessão. Não podem ser desabilitados sem prejudicar o uso da Plataforma.
• Cookies de desempenho e analíticos: coletam dados anonimizados sobre o uso da Plataforma para fins de melhoria de desempenho e experiência do Usuário.
• Cookies de funcionalidade: permitem que a Plataforma lembre preferências do Usuário, como idioma e região.
• Cookies de marketing: quando aplicável, utilizados para exibição de conteúdo relevante. Só são ativados mediante consentimento expresso do Usuário.

9.2 O Usuário pode gerenciar as preferências de cookies pelas configurações de seu navegador. A desabilitação de cookies estritamente necessários poderá impactar o funcionamento adequado da Plataforma.

9.3 O uso de armazenamento local (localStorage) é limitado a finalidades técnicas, como preferências de interface e controle de exibição de notificações, e não contém dados pessoais identificáveis.

Em conformidade com os arts. 17 a 22 da LGPD, o titular dos dados pessoais tem os seguintes direitos, que poderão ser exercidos mediante requisição ao Encarregado:

• Confirmação e acesso (art. 18, I e II): confirmar a existência de tratamento e acessar seus dados pessoais
• Correção (art. 18, III): solicitar a correção de dados incompletos, inexatos ou desatualizados
• Anonimização, bloqueio ou eliminação (art. 18, IV): solicitar o tratamento adequado de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD
• Portabilidade (art. 18, V): solicitar a portabilidade dos dados a outro fornecedor de serviço, mediante requisição expressa, observados os segredos comerciais e industriais da Sprive
• Eliminação (art. 18, VI): solicitar a eliminação dos dados pessoais tratados com base no consentimento, exceto nas hipóteses de conservação previstas no art. 16 da LGPD
• Informação sobre compartilhamento (art. 18, VII): obter informações sobre entidades públicas e privadas com as quais a Sprive realizou uso compartilhado de dados
• Informação sobre não consentimento (art. 18, VIII): ser informado sobre a possibilidade de não fornecer consentimento e sobre as consequências dessa negativa
• Revogação do consentimento (art. 18, IX): revogar o consentimento a qualquer momento, sem afetar a licitude do tratamento realizado anteriormente. Aplica-se em especial ao consentimento para tratamento de dados sensíveis e ao recebimento de comunicações de marketing
• Oposição (art. 18, §2º): opor-se ao tratamento realizado com fundamento em hipótese de dispensa de consentimento, em caso de descumprimento da LGPD
• Revisão de decisões automatizadas (art. 20): solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem os interesses do titular, incluindo decisões destinadas a definir perfil pessoal, profissional, de consumo ou de crédito

10.1 As solicitações deverão ser encaminhadas ao Encarregado pelo e-mail privacidade@sprive.com.br, acompanhadas de informações suficientes para a identificação do titular e a verificação de sua identidade.

10.2 A Sprive responderá às solicitações no prazo de 15 (quinze) dias, contados da data do requerimento, em formato simplificado, ou em até 30 (trinta) dias para declaração completa, conforme art. 19, I e II, da LGPD.

10.3 A Sprive poderá recusar pedidos que sejam manifestamente infundados, excessivos ou incompatíveis com a legislação, informando ao titular os motivos da recusa.

10.4 O titular tem o direito de peticionar em relação aos seus dados pessoais perante a Autoridade Nacional de Proteção de Dados (ANPD), nos termos do art. 18, §1º, da LGPD.

11.1 A Plataforma é destinada exclusivamente a pessoas com idade igual ou superior a 18 (dezoito) anos. A Sprive não coleta intencionalmente dados pessoais de crianças ou adolescentes, nos termos do art. 14 da LGPD e do Estatuto da Criança e do Adolescente (Lei 8.069/1990).

11.2 Caso a Sprive identifique que dados de menor de idade foram coletados inadvertidamente, adotará as medidas necessárias para eliminá-los e encerrar a conta correspondente.

11.3 Se você é responsável legal por um menor que forneceu dados à Plataforma, entre em contato pelo e-mail privacidade@sprive.com.br para solicitar a eliminação.

12.1 Os dados pessoais poderão ser processados e armazenados em servidores localizados fora do território brasileiro, em especial nos Estados Unidos da América e em países da União Europeia, onde nossos provedores de infraestrutura mantêm seus data centers.

12.2 A transferência internacional de dados é realizada em conformidade com o art. 33 da LGPD, observando-se as seguintes hipóteses legais:

• Países ou organismos internacionais que proporcionem grau de proteção adequado (art. 33, I)
• Cláusulas contratuais padrão aprovadas pela ANPD ou cláusulas específicas para transferência (art. 33, II, b)
• Quando a transferência for necessária para a execução de contrato entre o titular e a Sprive (art. 33, IV)
• Quando o titular tiver fornecido consentimento específico para a transferência (art. 33, VIII)

12.3 A Sprive assegura que os provedores de serviço localizados no exterior estão vinculados a obrigações contratuais que garantem nível de proteção de dados pessoais equivalente ao previsto na legislação brasileira.

13.1 A Plataforma utiliza processos automatizados, incluindo algoritmos e inteligência artificial, para fins de moderação de conteúdo, detecção de fraudes, ranqueamento de Anúncios, recomendação de conteúdo editorial e personalização de resultados de busca.

13.2 Decisões automatizadas que produzam efeitos relevantes ao titular contam com supervisão humana sempre que possível, observando-se o art. 20 da LGPD.

13.3 Nos termos do art. 20 da LGPD, o titular tem o direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses.

13.4 As solicitações de revisão devem ser encaminhadas ao Encarregado e serão analisadas no prazo de 15 (quinze) dias.

14.1 Esta Política de Privacidade poderá ser atualizada periodicamente para refletir mudanças em nossas práticas, em tecnologias ou na legislação aplicável.

14.2 Alterações substanciais que impactem os direitos do titular serão comunicadas com antecedência mínima de 15 (quinze) dias por meio de aviso na Plataforma e/ou e-mail cadastrado.

14.3 O uso continuado da Plataforma após a publicação das alterações constitui aceitação da Política atualizada. Recomendamos que o Usuário consulte esta página periodicamente.

14.4 A data de última atualização é indicada no topo deste documento.

Para dúvidas, solicitações, reclamações ou exercício de direitos relacionados ao tratamento de dados pessoais:

• Encarregado (DPO): privacidade@sprive.com.br
• Canal geral: contato@sprive.com.br

Se considerar que o tratamento de seus dados pessoais viola a legislação de proteção de dados, você tem o direito de apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD), por meio do site gov.br/anpd.