Política de Privacidade

Esta Política de Privacidade descreve como a Zauter (64.939.640 FELIPE DE MELLO SCHNEIDER, inscrita no CNPJ sob o nº 64.939.640/0001-44, doravante “Zauter”, “nós”) coleta, utiliza, compartilha, armazena e protege dados pessoais no contexto do oferecimento da plataforma Zauter e de seu site institucional.

Este documento aplica-se a:

• Visitantes do site zauter.com.br e das suas páginas públicas;
• Donos e responsáveis legais de oficinas mecânicas que se cadastram como contratantes da plataforma (“Empresa Contratante”);
• Funcionários e prepostos das oficinas autorizados a acessar a plataforma como usuários do sistema (“Usuário do Sistema”);
• Clientes finais das oficinas(proprietários e condutores de veículos) cujos dados forem inseridos pela oficina no sistema, com quem a oficina mantém relação de consumo (“Cliente Final”).

Ao utilizar a plataforma ou o site, você reconhece ter lido, compreendido e concordado com os termos desta Política. Caso não concorde, deve interromper o uso e, se houver cadastro, solicitar sua exclusão pelos canais indicados na Seção 14.

Para os fins desta Política, observa-se a terminologia da Lei 13.709/2018 (LGPD):

Dado pessoal

informação relacionada a pessoa natural identificada ou identificável (LGPD, art. 5º, I).

Dado pessoal sensível

dado sobre origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, dado referente à saúde ou à vida sexual, dado genético ou biométrico (LGPD, art. 5º, II). A Zauter não coleta intencionalmente dados sensíveis e orienta as oficinas a não inserirem este tipo de informação em campos de texto livre ou em conversas com clientes.

Tratamento

toda operação realizada com dados pessoais — coleta, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle, modificação, comunicação, transferência, difusão ou extração (LGPD, art. 5º, X).

Titular

a pessoa natural a quem se referem os dados pessoais que são objeto de tratamento (LGPD, art. 5º, V).

Controlador (Controladora)

pessoa, natural ou jurídica, a quem competem as decisões referentes ao tratamento de dados pessoais (LGPD, art. 5º, VI). Decide o “por quê” e os meios essenciais.

Operador (Operadora)

pessoa, natural ou jurídica, que realiza o tratamento de dados pessoais em nome do Controlador (LGPD, art. 5º, VII). Executa instruções; não decide a finalidade.

Suboperador

terceiro contratado pelo Operador para auxiliá-lo no tratamento, autorizado pelo Controlador (em regra, mediante autorização genérica documentada em DPA).

Encarregado (DPO)

pessoa indicada pelo Controlador e pelo Operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a ANPD (LGPD, art. 5º, VIII; art. 41).

ANPD

Autoridade Nacional de Proteção de Dados, autarquia federal responsável por zelar, implementar e fiscalizar o cumprimento da LGPD.

Empresa Contratante

pessoa jurídica titular de uma oficina mecânica que celebra contrato com a Zauter para uso da plataforma.

Usuário do Sistema

pessoa natural — funcionário, sócio ou preposto da Empresa Contratante — que recebe credenciais de acesso à plataforma.

Cliente Final

pessoa natural — proprietário, condutor ou responsável por veículo — atendida pela Empresa Contratante e cujos dados são registrados na plataforma pela oficina.

Esta seção é central para entender quem responde por cada categoria de dado que circula pela plataforma.

3.1. Zauter como Controladora

A Zauter atua como Controladora em relação aos seguintes dados, decidindo livremente sobre suas finalidades e meios essenciais:

• dados de cadastro da Empresa Contratante (CNPJ, razão social, endereço, e-mail e telefone do responsável);
• dados de cadastro dos Usuários do Sistema (nome, e-mail, função, senha em formato criptografado);
• dados de faturamento e cobrança (instrumentos de pagamento, histórico de assinatura, notas fiscais);
• dados de uso da plataforma (logs de acesso, telemetria, métricas de utilização) para fins de operação, segurança e melhoria do produto;
• dados de visitantes do site institucional (cookies necessários, formulários de contato, leads de marketing);
• dados anonimizados ou agregados utilizados para análise interna, estatísticas e estudos.

3.2. Zauter como Operadora

A Zauter atua como Operadora dos dados pessoais dos Clientes Finais e dos veículos por eles atendidos, bem como do conteúdo das comunicações trocadas por meio do canal WhatsApp, sempre seguindo as instruções da Empresa Contratante, que é a Controladora desses dados. Em particular:

• identificação do Cliente Final (nome, CPF, telefone, e-mail, endereço);
• dados do veículo (placa, chassi, marca, modelo, ano, histórico de serviços);
• ordens de serviço, agendamentos, fotos, anotações internas e quaisquer outros documentos inseridos pela oficina;
• conteúdo das mensagens e metadados de entrega trocados via WhatsApp Business entre a oficina e seus clientes, inclusive registros de opt-in.

Cada Empresa Contratante é responsável por possuir base legal adequada para o tratamento desses dados (em regra, execução de contrato — LGPD, art. 7º, V — quando se trata da relação de consumo entre a oficina e seu cliente, ou consentimento específico — art. 7º, I — para comunicações de marketing) e por atender, com o suporte técnico da Zauter, às solicitações dos titulares, inclusive aquelas previstas no art. 18 da LGPD.

A relação Operadora/Controladora entre a Zauter e cada Empresa Contratante é formalizada por meio de Acordo de Tratamento de Dados Pessoais (DPA), integrado aos Termos de Uso, no qual ficam definidas as instruções da Controladora, as medidas técnicas e administrativas, a relação de suboperadores autorizados e o fluxo de atendimento a incidentes e solicitações.

3.3. Encarregado (DPO)

Em atendimento ao art. 41 da LGPD e à Resolução CD/ANPD nº 2/2022 — que dispensa empresas de pequeno porte e MEI da designação formal de Encarregado, desde que mantenham canal acessível de comunicação — a Zauter ainda não designou Encarregado formal e mantém canal funcional de privacidade pelo e-mail contato@zauter.com.br. Caso o volume e a complexidade do tratamento aumentem ou a ANPD assim determine, designaremos Encarregado e divulgaremos seus dados nesta Política.

A natureza dos dados coletados varia conforme a sua relação com a Zauter. As categorias abaixo são exaustivas no momento da publicação desta Política e podem ser revisadas em alterações futuras (Seção 16).

4.1. Dados de cadastro e identificação

• Empresa Contratante: CNPJ, razão social, nome fantasia, endereço, telefone, e-mail de contato, dados de representante legal (nome, CPF, e-mail, telefone).
• Usuário do Sistema: nome completo, e-mail, função na oficina, senha (armazenada apenas em formato criptografado, não recuperável), preferências de uso da plataforma.
• Visitante do site: nome, e-mail e mensagem quando preenchidos voluntariamente em formulários de contato ou listas de espera.

4.2. Dados de uso, registro e segurança

• endereço IP, agente de usuário (navegador), data, hora e identificação do recurso acessado;
• registros de eventos da plataforma (login, criação ou edição de registros, envios de mensagem) para fins de auditoria e segurança;
• dados de sessão (cookie de autenticação, tokens de identificação) estritamente necessários ao funcionamento.

4.3. Dados inseridos pela oficina sobre seus Clientes Finais

• identificação do cliente (nome, CPF, telefone, e-mail, endereço);
• dados do veículo (placa, chassi, marca, modelo, ano, cor, quilometragem, histórico de manutenção);
• ordens de serviço, orçamentos, fotografias, anotações da equipe técnica;
• agendamentos, confirmações e histórico de relacionamento.

4.4. Dados de comunicação via WhatsApp Business

Quando a oficina utiliza o canal de mensagens da Zauter para falar com seus clientes via WhatsApp, são tratados:

• número de telefone do Cliente Final (em formato E.164);
• conteúdo das mensagens trocadas (texto, mídias, modelos, respostas a botões e listas);
• metadados de entrega (status “enviada”, “entregue”, “lida”, falhas, horários);
• registro do consentimento (opt-in) que a oficina afirma ter obtido antes de iniciar contato proativo.

Detalhes específicos sobre o trajeto desses dados pelas infraestruturas da Twilio e da Meta encontram-se na Seção 7.

4.5. Dados de pagamento e faturamento

Quando a Empresa Contratante adquire um plano pago, dados financeiros são coletados pelo prestador de pagamento (gateway) contratado pela Zauter. A Zauter não armazena dados sensíveis de cartão de crédito (número completo, CVV); esses dados ficam apenas com o prestador de pagamento, em ambiente certificado PCI-DSS. A Zauter armazena apenas identificadores de transação, valor, status, e os últimos 4 dígitos do cartão.

Cada tratamento realizado pela Zauter tem uma finalidade específica e está fundamentado em uma das hipóteses autorizativas do art. 7º (e, quando aplicável, art. 11) da LGPD. A tabela abaixo consolida as principais combinações:

Não tratamos dados pessoais sensíveis (LGPD, art. 5º, II) intencionalmente. Solicitamos que as Empresas Contratantes evitem registrar, em campos de texto livre ou em mensagens, dados como informações de saúde, biometria, convicções religiosas ou políticas, origem racial ou étnica, vida sexual ou filiação sindical. Caso essa informação chegue por inserção da oficina, a base legal pertence à oficina Controladora, e a Zauter recomenda sua remoção imediata.

Compartilhamos dados pessoais somente com terceiros estritamente necessários para a operação do serviço, e sempre limitados ao mínimo de informações requerido pela finalidade. As categorias de terceiros são:

• Provedores de infraestrutura em nuvem — hospedagem da aplicação, banco de dados, armazenamento de arquivos;
• Provedores de comunicação — envio e recepção de mensagens via WhatsApp Business (Twilio como Operadora autorizada por nós, conforme detalhado na Seção 7);
• Processadores de pagamento — para o faturamento das assinaturas;
• Prestadores de e-mail transacional — recuperação de senha, notificações da plataforma;
• Ferramentas de monitoramento e observabilidade — registro de erros e performance;
• Autoridades competentes, mediante requisição fundamentada, ou em cumprimento a decisão judicial ou determinação legal.

A relação atualizada e nominal dos suboperadores está disponível em página dedicada que pode ser consultada em zauter.com.br/compartilhamento-de-dados. Esse documento é mantido independente desta Política para permitir atualizações ágeis sempre que adicionarmos ou removermos terceiros materialmente envolvidos no tratamento.

Não comercializamos dados pessoais. A Zauter não vende, aluga, troca, cede ou disponibiliza dados pessoais a terceiros para fins de marketing, publicidade ou para qualquer outro propósito além do estritamente necessário à prestação do serviço contratado e ao cumprimento da legislação.

A Zauter habilita oficinas a se comunicarem com seus Clientes Finais por meio do WhatsApp Business. Por sua relevância e sensibilidade técnica, dedicamos esta seção exclusiva a esse fluxo.

7.1. Cadeia de tratamento

Para viabilizar o envio e o recebimento de mensagens via WhatsApp, a Zauter se utiliza, na qualidade de Operadora, dos serviços da Twilio Inc., atuando esta como suboperadora autorizada pela Empresa Contratante por meio do DPA. A Twilio, por sua vez, opera sobre a infraestrutura da WhatsApp Business Platform, da Meta Platforms Ireland Limited, conforme arquitetura técnica da própria Meta. Em decisão de novembro de 2025, a ANPD reconheceu a Meta como Operadora no contexto do serviço de mensagens do WhatsApp.

A cadeia, portanto, é:

1. Empresa Contratante (oficina) — Controladora dos dados de seu Cliente Final;
2. Zauter — Operadora;
3. Twilio — Suboperadora (BSP autorizado pela Meta);
4. Meta / WhatsApp — Operadora da infraestrutura de mensagens, conforme decisão da ANPD.

7.2. Consentimento (Opt-in)

O consentimento para o recebimento de mensagens via WhatsApp é coletado e gerenciado pela Empresa Contratante, que registra essa autorização na plataforma Zauter por meio de campos próprios (status, origem e data do opt-in). A Zauter não envia mensagens proativas a Clientes Finais sem que esse registro de consentimento esteja presente no cadastro mantido pela oficina. Trata-se de obrigação prevista também pelas regras de uso da WhatsApp Business Platform, que reputa como dever da empresa que envia a mensagem (a oficina) a obtenção da autorização do destinatário.

7.3. Limites de uso de mensagens

O conteúdo das mensagens trocadas via WhatsApp é tratado exclusivamente para a finalidade de viabilizar a comunicação entre a oficina e seu Cliente Final. A Zauter:

• não utiliza o conteúdo das mensagens para treinar modelos de inteligência artificial ou aprendizado de máquina;
• não utiliza o conteúdo das mensagens para publicidade, segmentação ou enriquecimento de perfis;
• não compartilha o conteúdo das mensagens com terceiros além dos suboperadores listados na Seção 6 e na página de subprocessadores;
• não vende, em nenhuma hipótese, conteúdo de mensagens.

Estas práticas refletem o disposto nos WhatsApp Business Solution Terms da Meta, que limitam estritamente o uso de dados gerados pela plataforma de mensagens.

7.4. Retenção de mensagens

As mensagens trocadas via WhatsApp Business Cloud API são armazenadas pela Meta em formato criptografado pelo período estritamente necessário para garantir a entrega da mensagem (tipicamente até 30 dias). A Zauter armazena, em sua própria infraestrutura, o histórico de mensagens da oficina pelo período descrito na Seção 11, salvo se a oficina determinar período menor mediante configuração específica ou solicitação de exclusão.

Parte do tratamento descrito nesta Política envolve transferência internacional de dados pessoais para os Estados Unidos e para outros países onde estão localizadas as infraestruturas dos nossos suboperadores (em particular Twilio e Meta).

Estas transferências são realizadas com fundamento no art. 33, II, da LGPD, mediante a adoção das Cláusulas-Padrão Contratuais aprovadas pela ANPD na Resolução CD/ANPD nº 19/2024, que oferecem garantias suficientes de cumprimento dos princípios e direitos do titular. A Zauter mantém, com cada suboperador relevante, instrumento contratual incorporando essas cláusulas-padrão.

Sempre que tecnicamente viável, optamos por instâncias de infraestrutura sediadas no Brasil (por exemplo, regiões Brasil de provedores de nuvem) para reduzir o trânsito internacional. O fluxo internacional permanece, no entanto, inerente à operação do WhatsApp Business pela natureza global da plataforma da Meta.

A Zauter utiliza cookies e tecnologias semelhantes em seu site institucional e na plataforma autenticada. Em conformidade com o Guia Orientativo de Cookies e Proteção de Dados Pessoais publicado pela ANPD em outubro de 2022, classificamos os cookies em três categorias:

• Necessários — autenticação, segurança da sessão, prevenção a CSRF. Não dependem de consentimento e não podem ser desativados sem comprometer o serviço.
• Funcionais — preferências do usuário (idioma, tema). Tratados com base em legítimo interesse.
• Analíticos e de marketing, quando utilizados, dependem do consentimento prévio e podem ser recusados ou revogados a qualquer momento por meio do banner de cookies, em opções com a mesma proeminência da opção de aceitação.

A Zauter adota medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão (LGPD, art. 46). As principais medidas incluem:

• criptografia em trânsito (TLS 1.2+) em toda a comunicação entre navegador, plataforma e suboperadores;
• criptografia em repouso para credenciais e dados sensíveis (senhas via algoritmos resistentes a colisões e força bruta; segredos de integração protegidos com AES-256-GCM);
• controle de acesso baseado em papéis (role-based access control), com princípio do menor privilégio;
• isolamento multi-tenant: cada Empresa Contratante tem seus dados logicamente isolados por identificador (companyId), e a aplicação valida, em todas as consultas, a posse do dado pela empresa autenticada;
• registros de auditoria para ações sensíveis e, em conformidade com o art. 15 do Marco Civil da Internet, retenção de registros de conexão por, no mínimo, 6 meses;
• monitoramento contínuo de eventos de segurança e processo de resposta a incidentes;
• avaliação periódica dos suboperadores quanto a suas práticas de segurança;
• treinamento e conscientização do time da Zauter em proteção de dados.

Ainda que apliquemos as medidas adequadas, nenhum sistema é absolutamente imune. Caso ocorra um incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos a ANPD e os titulares afetados em prazo razoável, conforme o art. 48 da LGPD. Quando a Zauter atuar como Operadora (Seção 3.2), o aviso será encaminhado primeiro à Empresa Contratante Controladora, sem prejuízo das obrigações legais diretas.

Os dados pessoais são mantidos apenas pelo período necessário ao cumprimento das finalidades descritas nesta Política, observados os prazos legais e contratuais. Os critérios de referência são:

Encerrado o tratamento, os dados pessoais são eliminados (LGPD, art. 15) ou anonimizados, exceto nas hipóteses previstas no art. 16 da LGPD: cumprimento de obrigação legal ou regulatória, estudo por órgão de pesquisa garantida a anonimização sempre que possível, transferência a terceiro com observância da LGPD, ou uso exclusivo do Controlador, vedado seu acesso por terceiro, desde que anonimizados.

Contas que nunca ativaram uma assinatura. Empresas que se cadastram mas não ativam um plano dentro de 30 dias têm seus dados eliminados ao término desse período sem aviso prévio, dado que nenhuma relação contratual chegou a se formar. A janela de 30 dias é uma cortesia operacional para cadastros lentos; a eliminação é definitiva e definida pelo princípio da necessidade (LGPD, art. 6º, III) e pelo art. 16 da LGPD.

Cancelamento ou inadimplência prolongada. Após o cancelamento da assinatura ou a confirmação de inadimplência que impossibilite a continuidade do serviço, mantemos os dados operacionais por 120 dias para permitir reativação. Vencida essa janela, a conta é definitivamente eliminada, incluindo dados de cadastro, ordens de serviço, clientes finais cadastrados pela oficina, mensagens, anexos e referências em sistemas externos (processadora de pagamento e armazenamento de PDFs). Avisos por e-mail são enviados aos administradores 30 e 7 dias antes da eliminação como cortesia operacional, mas a eliminação ocorre na data prevista mesmo na ausência desses avisos.

Backups e cópias residuais. Após a eliminação dos dados operacionais conforme as janelas acima, cópias residuais podem permanecer em backups por até 90 dias antes de serem sobrescritas pelo ciclo regular de retenção. Esses backups não são utilizados para operações regulares e existem apenas para recuperação de incidentes — eles não são acessíveis pela interface do sistema, pelas Empresas Contratantes ou pelos Titulares.

A plataforma Zauter não é destinada a menores de 18 anos e não os endereça como público. Pedimos que as Empresas Contratantes não cadastrem menores como Usuários do Sistema e evitem inserir dados de menores como Clientes Finais sem consentimento específico e em destaque do detentor do poder familiar, conforme o art. 14 da LGPD.

Caso identifiquemos, a qualquer tempo, dados de criança ou adolescente tratados sem o devido fundamento, procederemos com a sua eliminação imediata e notificaremos a Empresa Contratante envolvida.

Você, como titular de dados pessoais, tem direito a obter da Zauter, mediante requisição, a qualquer momento e por meio dos canais indicados na Seção 14:

1. Confirmação da existência de tratamento (art. 18, I);
2. Acesso aos dados pessoais (art. 18, II);
3. Correção de dados incompletos, inexatos ou desatualizados (art. 18, III);
4. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD (art. 18, IV);
5. Portabilidade dos dados a outro fornecedor de serviço, mediante requisição expressa, observados os segredos comercial e industrial (art. 18, V);
6. Eliminação dos dados pessoais tratados com o consentimento do titular (art. 18, VI);
7. Informação das entidades públicas e privadas com as quais a Zauter realizou uso compartilhado de dados (art. 18, VII);
8. Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa (art. 18, VIII);
9. Revogação do consentimento, a qualquer momento, mediante manifestação expressa (art. 8º, §5º, e art. 18, IX).

Caso você seja Cliente Final de uma oficina que utiliza a Zauter e deseje exercer esses direitos sobre seus dados (nome, telefone, vínculo com veículo, histórico de mensagens), o canal apropriado é a oficina com a qual você mantém relação de consumo, na qualidade de Controladora dos seus dados. A Zauter, na condição de Operadora, prestará todo o suporte técnico necessário à oficina para o atendimento da sua solicitação.

Você pode também apresentar reclamação à ANPD (gov.br/anpd) ou aos órgãos de defesa do consumidor (Procon, Defensoria Pública, Ministério Público).

Para exercer qualquer dos direitos da Seção 13 ou enviar qualquer dúvida sobre esta Política, utilize o canal abaixo:

• E-mail de privacidade: contato@zauter.com.br

Para confirmar sua identidade e proteger os dados solicitados, podemos pedir documento oficial com foto e informações que comprovem a titularidade dos dados pleiteados. Atenderemos a solicitação em até 15 dias contados do recebimento (LGPD, art. 19, II), podendo prorrogar esse prazo mediante justificativa.

A Zauter não vende, aluga, troca, cede ou disponibiliza dados pessoais a terceiros para fins de marketing, publicidade ou qualquer outro propósito além do estritamente necessário à prestação do serviço contratado e ao cumprimento da legislação.

Não utilizamos o conteúdo de mensagens de WhatsApp dos Clientes Finais para alimentar modelos de inteligência artificial, treinar algoritmos ou qualquer outra finalidade que não seja viabilizar a comunicação contratada pela oficina. Esta vedação acompanha as regras dos WhatsApp Business Solution Terms da Meta.

Esta Política é versionada e datada. Sempre que houver alteração material — inclusão de novas finalidades, mudança de suboperadores relevantes, alteração de prazos de retenção, mudança de bases legais — atualizaremos a data da última atualização e o número de versão no topo deste documento.

Empresas Contratantes serão notificadas das alterações materiais por e-mail e por aviso visível na plataforma com, no mínimo, 30 dias de antecedência da entrada em vigor, ressalvadas hipóteses de mudança imediatamente exigida por lei ou autoridade competente.

Versões anteriores ficam arquivadas e podem ser solicitadas pelos canais da Seção 14.

Esta Política é regida pelas leis da República Federativa do Brasil, em especial pela Lei 13.709/2018 (LGPD), pela Lei 12.965/2014 (Marco Civil da Internet) e pela Lei 8.078/1990 (Código de Defesa do Consumidor).

Fica eleito o foro do domicílio da Controladora para dirimir quaisquer controvérsias decorrentes desta Política, sem prejuízo das prerrogativas legais do consumidor de demandar no foro de seu domicílio.

Em caso de dúvidas sobre esta Política, sobre o tratamento de seus dados pessoais ou sobre o exercício dos seus direitos:

• E-mail de privacidade: contato@zauter.com.br
• Compartilhamento de dados com terceiros: zauter.com.br/compartilhamento-de-dados