Política de Privacidade
Versão 1.0 · Última atualização: 09/07/2026
1. Identificação do Controlador
A TranspSaaS é a controladora responsável pelo tratamento dos dados pessoais de seus clientes (empresas de transporte e seus usuários administradores), conforme a Lei Geral de Proteção de Dados Pessoais — LGPD (Lei nº 13.709/2018).
Encarregado de Proteção de Dados (DPO):
E-mail: privacidade@transpsaas.com.br
Nota sobre papéis: A TranspSaaS atua como operadora em relação aos dados de motoristas, clientes e cargas inseridos pelas empresas de transporte (controladoras). Cada empresa usuária da plataforma é responsável pela base legal do tratamento dos dados de seus próprios motoristas e clientes, nos termos do Contrato de Operador de Dados disponível em Termos de Uso.
2. Dados que Coletamos
2.1 Dados de Conta e Empresa
- Nome completo e e-mail do responsável pelo cadastro.
- Razão social, CNPJ e endereço da empresa.
- Senha — armazenada exclusivamente como hash bcrypt (nunca em texto claro).
- Data e hora de aceite dos Termos de Uso e desta Política (Art. 7º, I e V da LGPD).
2.2 Dados de Motoristas (tratados como operadora)
- Nome, CPF, RG e data de nascimento — armazenados com criptografia AES-256.
- Número e categoria da CNH — armazenados com criptografia AES-256.
- Telefone, WhatsApp e endereço residencial.
- Data de admissão, demissão e status operacional.
2.3 Dados de Geolocalização
- Posições GPS durante viagens: latitude, longitude, velocidade, heading e timestamp.
- Coletadas somente durante viagens ativas, com ciência do motorista.
2.4 Dados Operacionais e Fiscais
- Viagens, cargas, veículos, manutenções e ocorrências de frota.
- Documentos fiscais: CT-e, MDF-e, CIOT — com chave de acesso e XML original.
- Notas fiscais de carga (NF-e) associadas às viagens.
2.5 Dados de Uso e Acesso
- Endereço IP (parcialmente mascarado após 24h), data/hora e ação em logs de auditoria.
- Eventos de autenticação: login, logout, falhas e alterações de senha.
- Uso do Copiloto IA: consultas e ferramentas ativadas (sem armazenamento do conteúdo das respostas).
2.6 Dados de Pagamento
- Assinatura, plano e histórico de cobranças — processados pelo Stripe.
- A TranspSaaS não armazena dados de cartão de crédito em seus servidores.
3. Finalidade e Base Legal
| Finalidade | Base Legal (LGPD) |
|---|---|
| Prestação do serviço TMS (viagens, frota, fiscal) | Contrato — Art. 7º, V |
| Emissão de CT-e, MDF-e e CIOT | Obrigação legal — Art. 7º, II |
| Geolocalização de motoristas em viagem | Contrato + consentimento do motorista — Art. 7º, V e I |
| Comunicações de marketing | Consentimento — Art. 7º, I (revogável) |
| Segurança e prevenção a fraudes | Interesse legítimo — Art. 7º, IX |
| Guarda de documentos fiscais (5 anos) | Obrigação legal — Art. 7º, II |
| Copiloto IA (análise operacional) | Contrato — Art. 7º, V (dados pseudonimizados) |
4. Compartilhamento e Subprocessadores
Não vendemos dados pessoais a terceiros. Compartilhamos somente com os subprocessadores listados abaixo, todos com políticas de privacidade compatíveis com a LGPD:
| Subprocessador | Finalidade | País |
|---|---|---|
| Amazon Web Services (AWS S3) | Armazenamento de arquivos e XMLs fiscais | EUA |
| Stripe | Processamento de pagamentos e assinaturas | EUA |
| Google Firebase | Notificações push para o app do motorista | EUA |
| Groq / Anthropic / OpenAI | Copiloto IA — dados enviados pseudonimizados (CPF/RG substituídos por ***) | EUA |
| Sentry | Monitoramento de erros de sistema (sem dados de usuários finais) | EUA |
| Resend | Envio de e-mails transacionais | EUA |
| SEFAZ (nacional) | Autorização e consulta de documentos fiscais | Brasil |
| ANTT / PEF | Geração de CIOT (Código Identificador de Operação de Transporte) | Brasil |
As transferências internacionais para os EUA são realizadas com base em cláusulas contratuais padrão e nos termos de serviço de cada subprocessador, que aderem ao GDPR europeu (Art. 33 da LGPD — transferência internacional).
5. Retenção de Dados
| Categoria | Período | Tratamento ao final |
|---|---|---|
| Dados de conta ativa | Enquanto a assinatura estiver ativa | Anonimização em 30 dias após cancelamento |
| PII de motoristas (demitidos) | 24 meses após demissão | Anonimização automática (LGPD Art. 16) |
| Geolocalização GPS | 365 dias | Exclusão permanente automática |
| Documentos fiscais (CT-e, MDF-e, NF-e) | 5 anos (1.825 dias) | Obrigação legal — Decreto 8.264/2014 |
| Logs de auditoria | 90 dias | Exclusão automática |
| Dados de pagamento | Conforme política do Stripe | Gerenciado pelo Stripe |
6. Seus Direitos (Art. 18 da LGPD)
Você tem direito a, a qualquer momento:
- Confirmação e acesso — confirmar se tratamos seus dados e acessá-los. Disponível em Configurações → Exportar meus dados.
- Correção — corrigir dados incompletos, inexatos ou desatualizados.
- Anonimização ou exclusão — dados desnecessários ou tratados em desconformidade com a LGPD.
- Portabilidade — receber seus dados em formato estruturado (JSON/CSV). Solicite pelo e-mail do DPO.
- Revogação do consentimento — para marketing, a qualquer momento via Configurações → Preferências de comunicação.
- Oposição — opor-se ao tratamento realizado por interesse legítimo.
- Informação sobre compartilhamento — saber com quais entidades compartilhamos seus dados.
- Petição à ANPD — peticionar à Autoridade Nacional de Proteção de Dados.
Respondemos às solicitações em até 15 dias úteis, conforme Art. 18, §5º da LGPD.
7. Segurança das Informações
Adotamos medidas técnicas e organizacionais para proteger seus dados, incluindo:
- Criptografia AES-256 para dados pessoais sensíveis (CPF, RG, CNH).
- TLS 1.2+ em todas as comunicações (HTTPS/WSS).
- Autenticação de dois fatores (2FA TOTP) para usuários administradores.
- Controle de acesso por papel (RBAC) com princípio do menor privilégio.
- Isolamento de dados por tenant (multi-tenancy) — dados de uma empresa nunca são acessíveis por outra.
- Logs de auditoria de acessos e autenticações.
- Backups criptografados de documentos fiscais em armazenamento de objeto (S3).
- Pseudonimização de dados pessoais antes do envio ao Copiloto IA.
8. Copiloto IA e Dados Pessoais
O Copiloto IA analisa dados operacionais (viagens, frota, financeiro) para responder às perguntas do gestor. Antes de qualquer consulta ao modelo de linguagem externo:
- CPF, RG, data de nascimento e número de CNH são substituídos por
***. - Telefones e endereços são substituídos por
[contato omitido]. - O histórico de conversas não é persistido após a sessão.
- Em ambiente de produção, a pseudonimização não pode ser desativada.
9. Cookies e Rastreamento
Utilizamos apenas cookies essenciais para o funcionamento da plataforma (sessão, CSRF). Não utilizamos cookies de rastreamento, analytics de terceiros ou pixels de publicidade.
10. Incidente de Segurança
Em caso de incidente de segurança que possa afetar dados pessoais, notificaremos os titulares afetados e a ANPD em até 72 horas da ciência do incidente, conforme Art. 48 da LGPD e nosso Plano de Resposta a Incidentes.
11. Alterações nesta Política
Podemos atualizar esta política periodicamente. Quando houver alterações relevantes, notificaremos pelo e-mail cadastrado e exibiremos aviso na plataforma com antecedência mínima de 15 dias. O uso continuado após a data de vigência implica aceite das novas condições.
12. Contato e Canal do DPO
Para exercer seus direitos, esclarecer dúvidas ou registrar reclamações:
- 📧 E-mail DPO: privacidade@transpsaas.com.br
- ⏱ Prazo de resposta: até 15 dias úteis
Você também pode protocolar reclamação diretamente na Autoridade Nacional de Proteção de Dados (ANPD) .