Política de Privacidade
Esta Política de Privacidade descreve como a DAC LOG LTDA, inscrita no CNPJ sob o nº 64.259.788/0001-38, com sede na R Santos Dumont, 1406, Vila Santa Cecília, Assis-SP, CEP 19.806-062 ("Daclog", "nós"), coleta, usa, armazena e protege os dados pessoais dos usuários do aplicativo daclog.com.br ("Plataforma"), em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD).
1. Quais dados coletamos
Coletamos apenas os dados necessários para operar a Plataforma:
- Cadastro: nome, e-mail, telefone (opcional, usado para contato comercial e canais WhatsApp quando você opta) e senha (armazenada com hash bcrypt).
- Documentos do motorista: CNH, RNTRC, tacógrafo, curso EAR. Coletados pra cumprir obrigações ANTT (Resolução 6.076/2026) e validar contratação por embarcador.
- Dados operacionais: informações de veículos, viagens, abastecimentos, ocorrências, checklists, despesas, rotas e implementos que você registra na Plataforma.
- Localização (GPS): coletada continuamente somente quando há (a) vínculo ativo de carga Daclog ou (b) link de tracking público gerado por você (ver item 1.2). Em ambos os casos, coordenadas são apagadas automaticamente em até 15 minutos após o encerramento do motivo da coleta. Embarcador da carga vigente vê localização apenas durante o vínculo dele com você; cliente externo via link público vê apenas enquanto o link estiver ativo (até você revogar ou expirar).
- Autenticador 2FA (opcional): quando você habilita verificação em 2 fatores em "Minha conta", o segredo TOTP é guardado de forma criptografada pelo Supabase Auth (provedor de identidade). Você pode remover a qualquer momento.
- Pseudônimo da comunidade: gerado automaticamente quando você posta no mural da comunidade (ex.: "ÁguiaVeloz123"). É persistente e não é anônimo absoluto — o Daclog mantém a vinculação interna ao seu usuário para fins de moderação automática e cumprimento de obrigações legais.
- Dados de afiliação: se você usa um código de afiliado ao se cadastrar, registramos a vinculação entre você (indicado) e quem indicou. Você pode consultar e revogar a qualquer momento.
- Fotos enviadas: fotos de hodômetro (descartadas após OCR), fotos de notas fiscais (armazenadas como comprovante), fotos de checklist (defeitos, intervenções), foto de canhoto e comprovante de entrega. Apenas você e os membros da sua organização conseguem ver. Embarcador vê apenas o canhoto da entrega da carga dele.
- Dados fiscais extraídos: CNPJ, valor, data, prestador, chave de acesso (44 dígitos) e impostos (PIS/COFINS/ICMS/ISS/IPI/IBS/CBS) extraídos via OCR de notas fiscais que você anexa. Usados pra montar provisão de impostos, detectar bitributação e gerar dados pra declaração futura.
- Dados de pagamento: processados diretamente pela Stripe Inc., não armazenamos números de cartão. Recebemos apenas confirmação da transação e identificador do cliente.
- Dados técnicos: endereço IP, tipo de navegador (Chrome, Safari, Firefox, etc.), sistema operacional (iOS, Android, Windows, etc. — apenas versão maior, sem fingerprint de build), e horários de acesso. Coletados automaticamente para: (a) segurança da sessão, (b) estatística de uso agregada, e (c) decisão de produto e investimento (ex.: avaliar volume de usuários iOS vs Android pra priorizar desenvolvimento de app nativo). Não usamos esses dados para identificação cross-app, perfil publicitário externo ou venda a terceiros.
1.2 Tracking público (compartilhar viagem com terceiro)
Quando você (motorista) gera um link de tracking público pra acompanhar uma viagem fora do Daclog, age sob seu consentimento expresso: você cria o link, escolhe o que descrever (origem/destino/cliente, todos opcionais) e compartilha como quiser. Quem recebe o link vê:
- Sua localização GPS aproximada em tempo real (atualizada a cada ~30 segundos);
- Seu nome e foto (se você as cadastrou na conta);
- Nível de bateria do seu dispositivo (informação útil pro cliente saber se você vai perder GPS).
Quem visualiza o link não precisa estar cadastrado. Não armazenamos identidade de visitantes (apenas contador anônimo de visualizações). Você pode revogar o link a qualquer momento em "Compartilhar tracking"; ele expira automaticamente em até 7 dias, ou antes se você revogar.
1.3 Comunidade e avaliações coletivas
Posts no mural da comunidade e avaliações de postos são públicos para outros usuários da Plataforma. Não publicamos seu nome real — apenas o pseudônimo gerado (ver 1.). Conteúdo é submetido a moderação automática por IA (mesmo stack do canal de denúncias) e pode ser ocultado em casos de violação dos Termos de Uso. Você pode editar ou apagar um post nos primeiros 5 minutos após publicação; depois disso, a moderação tem precedência.
Avaliações de postos são informações de natureza comercial coletiva, redigidas em linguagem neutra (descrição factual, não acusatória). Não publicamos identidade de funcionários do posto.
1.4 Decisões automatizadas (Art. 20 LGPD)
Algumas funcionalidades do Daclog usam decisões automatizadas:
- Semáforo de frete (verde/amarelo/vermelho vs piso ANTT 6.078/24);
- Alertas antifraude (volume atípico de combustível, GPS distante de posto, KM regressivo);
- Score de frete e detector de golpe (6 sinais combinados);
- Insights financeiros contextuais (apenas Pro);
- Moderação automática de posts e denúncias via Cloudflare Workers AI.
Você tem direito a solicitar revisão humana de qualquer decisão automatizada que afete seus interesses, escrevendo para [email protected] com o assunto "Revisão de decisão automatizada". Resposta em até 15 dias úteis.
1.1 Inteligência Artificial e processamento de fotos
Usamos modelos de OCR (reconhecimento de texto) para extrair dados de fotos que você nos envia:
- Local (in-browser): a maior parte do OCR roda direto no seu dispositivo via Tesseract.js. Os dados não saem do seu celular nesta etapa.
- Cloudflare Workers AI: quando o OCR local tem baixa confiança ou quando você usa Análise Rápida (Pro), opcionalmente enviamos a imagem/texto ao serviço Cloudflare Workers AI (modelos Llama 3.3 70B, Gemma 3 12B e Llama 3.2 Vision conforme a tarefa), processado em data centers no Brasil/EUA. A Cloudflare se compromete a não usar conteúdos de clientes para treinar modelos.
- Integradores fiscais brasileiros (opcional, para clientes Enterprise): Webmania, Infosimples, NFE.io ou Serpro — ativados sob configuração do cliente. Esses serviços cruzam dados com SEFAZ.
- Não usamos OpenAI, Anthropic ou modelos de IA estrangeiros sem hospedagem brasileira para esta finalidade.
2. Como usamos seus dados
- Operar a Plataforma e prover as funcionalidades contratadas.
- Processar pagamentos e emitir comprovantes.
- Comunicar atualizações importantes do serviço.
- Melhorar o produto com base em padrões de uso anônimos.
- Cumprir obrigações legais e regulatórias (ANTT, Receita Federal, SEFAZ).
- Detectar fraudes operacionais (volume atípico, GPS distante de posto declarado, KM regressivo, duplicidade) — auditoria automática que gera alertas para você revisar.
- Detectar bitributação (mesmo fato gerador cobrado mais de uma vez) — você é notificado para pleitear restituição quando aplicável.
Não vendemos seus dados. Não usamos seus dados para publicidade direcionada de terceiros.
3. Com quem compartilhamos
Compartilhamos dados estritamente operacionais com:
- Supabase Inc. — banco de dados e autenticação.
- Cloudflare Inc. — hospedagem da Plataforma, proteção contra ataques, e Workers AI Vision opcional para OCR.
- Stripe Inc. — processamento de pagamentos.
- Resend Inc. — envio de e-mails transacionais (confirmação de cadastro, redefinição de senha, exclusão de conta).
- BrasilAPI — consulta gratuita de CNPJ público para enriquecer cache de postos.
- OpenStreetMap (Nominatim) — serviço público gratuito de geocodificação usado pra converter texto de cidade digitada em coordenadas (origem/destino de cargas e viagens). Apenas a string da busca é enviada (ex.: "Presidente Prudente SP") — nenhum dado de identidade.
- Webmania, Infosimples, NFE.io, Serpro — integração fiscal opcional, ativada apenas para clientes Enterprise que contratam.
- Membros da sua organização — quando você cria/aceita convite numa empresa, seus dados operacionais ficam visíveis aos demais membros conforme o papel atribuído (owner, admin, gestor de frota, financeiro, motorista, embarcador, visualizador). Você pode sair da organização a qualquer momento.
- Embarcador — quando você (motorista) aceita carga, o embarcador vê dados específicos da viagem em curso (placas, RNTRC, localização ao vivo, comprovante).
- Terceiro receptor de tracking público — quando você (motorista) compartilha link de tracking público, qualquer pessoa com o link vê os dados descritos no item 1.2. Você controla a geração e revogação do link.
- Autoridades públicas, mediante ordem judicial ou requisição legal cabível.
3.1 Transferência internacional de dados
Parte dos provedores listados acima opera fora do Brasil:
- Supabase Inc. — banco em data center em us-east-1 (Virgínia, EUA).
- Cloudflare Inc. — rede global; edge mais próxima ao usuário, com presença no Brasil.
- Stripe Inc. — processamento nos EUA.
- Resend Inc. — entrega de e-mails a partir dos EUA/UE.
A transferência internacional é fundamentada no Art. 33, inc. V da LGPD (necessária para a execução do contrato firmado entre você e a DAC LOG LTDA) e no inc. IX (legítimo interesse do controlador). Todos os provedores listados aderem a padrões reconhecidos de proteção de dados (SOC 2, ISO 27001, GDPR, ou equivalentes).
3.2 Bases legais por finalidade (Art. 7º e 11)
- Execução do contrato (inc. V): cadastro, gestão de viagens, marketplace de cargas, dashboards financeiros, comunicação operacional.
- Cumprimento de obrigação legal (inc. II): retenção fiscal de 5 anos (Decreto 9.580/2018), Resolução ANTT 6.076/2026, prevenção a fraudes.
- Legítimo interesse (inc. IX): logs de segurança, auditoria antifraude, detecção de bitributação, métricas agregadas anônimas para evolução do produto.
- Consentimento (inc. I): notificações push, geração de link de tracking público, posts no mural da comunidade, avaliação de postos.
- Proteção ao crédito (inc. X): validação de RNTRC e CNPJ junto a bases públicas (BrasilAPI, Receita Federal).
4. Seus direitos como titular
A LGPD garante a você todos os direitos do Art. 18 da Lei 13.709/2018, exercíveis a qualquer momento por e-mail ([email protected]) ou diretamente via Atendimento:
- I. Confirmação da existência de tratamento e acesso aos seus dados.
- II. Correção de dados incompletos, inexatos ou desatualizados.
- III. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
- IV. Portabilidade dos dados a outro fornecedor (exportável em CSV/Excel).
- V. Eliminação dos dados pessoais tratados com seu consentimento (ressalvadas as hipóteses do Art. 16 — obrigação legal, estudos, pesquisa, exercício regular de direitos).
- VI. Informação sobre as entidades públicas e privadas com as quais compartilhamos dados (item 3 desta política).
- VII. Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa — funcionalidades opcionais (push, mural, tracking público, MFA) podem ser desativadas sem prejuízo do uso essencial; recusa de dados essenciais (nome, e-mail) inviabiliza o cadastro.
- VIII. Revogação do consentimento, a qualquer tempo, sem prejuízo da licitude do tratamento anterior.
- IX. Petição contra o controlador perante a Autoridade Nacional de Proteção de Dados (ANPD) — gov.br/anpd.
Prazo de resposta: 15 dias úteis, conforme Art. 19 §1º LGPD.
5. Tempo de retenção
Mantemos seus dados enquanto sua conta estiver ativa. Casos especiais:
- Localização GPS: apagada em até 15 minutos após o fim do vínculo ativo da carga ou do tracking público (cron automático).
- Fotos de hodômetro: descartadas imediatamente após o OCR (não armazenamos).
- Fotos de NF e canhoto: mantidas enquanto a conta estiver ativa, para fins de comprovação fiscal e operacional.
- Dados fiscais (CNPJ, chave de acesso, impostos): mantidos por 5 anos após o encerramento da conta, em cumprimento à legislação fiscal (Decreto 9.580/2018, art. 195).
- Documentos do motorista (CNH, RNTRC, EAR): 5 anos após o cancelamento, em cumprimento à regulamentação ANTT.
- Dados técnicos (IP, user-agent, logs de sessão): 90 dias, em cumprimento ao Marco Civil da Internet (Lei 12.965/2014, art. 15).
- Logs de auditoria de segurança: 90 dias (cleanup automático diário).
- Segredo TOTP de autenticação 2FA: mantido criptografado até você remover o 2FA.
- Pseudônimo da comunidade + posts/avaliações: enquanto sua conta estiver ativa. Posts moderados continuam ocultos mas não são apagados (evidência).
- Tracking público: registro mantido por até 7 dias após expiração, e até 30 dias após revogação explícita (cron automático limpa depois).
- Demais dados: conservados pelo prazo necessário ao cumprimento de obrigações legais, após o que são definitivamente eliminados ou anonimizados.
5.1. Exclusão de conta — período de carência
Ao solicitar a exclusão da sua conta, sua solicitação entra num período de carência de 30 (trinta) dias antes da exclusão definitiva. Esse prazo existe para que você possa reverter a decisão caso mude de ideia — basta acessar sua conta normalmente e clicar em "Cancelar exclusão". Durante esse período, sua conta permanece acessível e funcional. Após o término do prazo, todos os dados pessoais e operacionais são apagados de forma irreversível, ressalvados os prazos legais de retenção descritos no item 5 acima.
6. Cookies
Usamos apenas cookies estritamente necessários (autenticação, tema, idioma) e cookies funcionais opt-in. Não usamos cookies de rastreamento publicitário, Google Analytics, Meta Pixel ou similares. Detalhamento completo em nossa Política de Cookies.
7. Segurança
Adotamos medidas técnicas e administrativas para proteger seus dados, incluindo criptografia em trânsito (HTTPS/TLS 1.2+), criptografia em repouso (Supabase Postgres + Cloudflare R2 quando aplicável), controle de acesso por função (Row Level Security), autenticação multifator opcional (TOTP), auditoria de acessos e rate-limit em endpoints públicos.
7.1 Incidente de segurança (Art. 48)
Em caso de incidente que possa acarretar risco ou dano relevante aos titulares (vazamento, acesso não autorizado, perda de dados), comunicaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados em prazo razoável conforme regulamentação vigente, descrevendo a natureza dos dados afetados, riscos e medidas tomadas. Canal de denúncia interna de incidente: [email protected] com assunto "Incidente LGPD".
7.2 Crianças e adolescentes (Art. 14)
O Daclog é destinado a motoristas profissionais e responsáveis comerciais maiores de 18 anos. Não coletamos intencionalmente dados de menores de idade. Caso identifiquemos cadastro de menor, a conta é suspensa e os dados eliminados após verificação. Pais ou responsáveis que suspeitem do cadastro de um menor devem entrar em contato pelo canal abaixo para exclusão imediata.
8. Encarregado pelo Tratamento de Dados (DPO)
Danilo Carvalho
E-mail: [email protected]
Endereço para correspondência: R. Santos Dumont, 1406, Vila Santa Cecília, Assis-SP, CEP 19.806-062
DAC LOG LTDA — CNPJ 64.259.788/0001-38
9. Alterações nesta Política
Podemos atualizar esta Política de Privacidade a qualquer momento. A versão mais recente sempre estará disponível em daclog.com.br/privacidade. Mudanças relevantes serão comunicadas por e-mail com antecedência mínima de 15 dias.
10. Foro
Esta Política rege-se pelas leis brasileiras. Fica eleito o foro da comarca de Assis-SP, com renúncia a qualquer outro, por mais privilegiado que seja, para dirimir quaisquer questões.
