Política de Privacidade — Motoxpress

Conforme LGPD (Lei 13.709/2018) e demais normas aplicáveis.

1. Quem coleta

Controlador: Motoxpress (CNPJ a ser inserido)

Encarregado de Dados (DPO): dpo@motoxpress.app

2. Quais dados coletamos

Lojistas

• Identificação: razão social, CNPJ, nome fantasia, categoria
• Contato: email, telefone, endereço
• Financeiro: chave Pix para repasse de frete (não nos endereçamos a pagamentos do cliente final)

Entregadores

• Identificação: nome, CPF, CNH (frente/verso), selfie com documento
• Veículo: CRLV
• Contato: email, telefone, chave Pix
• Localização em tempo real (apenas enquanto online)
• Histórico de corridas, score interno

Clientes finais

• Nome e telefone (informados pelo lojista no momento do pedido)
• Endereço de entrega
• Não coletamos: CPF, dados bancários, histórico de compras do lojista

3. Base legal

• Contrato (art. 7º V LGPD): execução do serviço de entrega
• Obrigação legal (art. 7º II): retenção fiscal de 5 anos
• Legítimo interesse (art. 7º IX): prevenção de fraude e segurança
• Consentimento (art. 7º I): notificações push (revogável)

4. Como usamos

• Despachar a corrida e calcular preço
• Notificar mudanças de status
• Calcular repasse pro entregador
• Auditoria (disputas, score)
• Compliance fiscal e regulatório

Não vendemos seus dados. Não compartilhamos com terceiros exceto:

• Processadores de pagamento (Asaas) — para repasse Pix
• Autoridades quando exigido por lei
• Operacional: Supabase (banco), Cloudflare (DNS), Sentry (erros sem PII)

5. Localização (entregadores)

GPS é coletado apenas quando você está online no app, e:

• Frequência: a cada 15s OU 20m de deslocamento (o que vier antes)
• Retenção: 30 dias (depois disso, agregamos só para estatística)
• Compartilhamento: visível só pra admin + lojista do pedido em curso
• Background: roda só se você autorizar "Permitir o tempo todo"

6. Retenção

• Corridas (financeiro): 5 anos (obrigação fiscal)
• Mensagens e dados de contato cliente final: 90 dias após conclusão
• Posições GPS detalhadas: 30 dias
• Documentos KYC: enquanto cadastro estiver ativo + 5 anos após inativação
• Logs de acesso: 6 meses (Marco Civil da Internet)

7. Seus direitos (art. 18 LGPD)

Você pode solicitar a qualquer momento:

• Confirmação de tratamento dos seus dados
• Acesso aos dados (exportação em formato legível)
• Correção de dados incorretos
• Anonimização ou exclusão dos dados (ressalvada obrigação legal)
• Portabilidade pra outro fornecedor
• Revogação de consentimento
• Informação sobre com quem compartilhamos

Como exercer: email dpo@motoxpress.app ou abertura de chamado no app.

Prazo de resposta: 15 dias úteis.

8. Cookies (apenas web)

Usamos:

• Sessão (`sb-*`): autenticação — essencial
• Preferências (`mxp-*`): tema, último filtro usado — opcional

Não usamos analytics que rastreia entre sites. Não usamos Facebook Pixel,

Google Tag Manager, etc.

9. Segurança

• Senhas armazenadas com bcrypt (Supabase Auth padrão)
• Todas conexões via TLS 1.3
• Tokens de API armazenados apenas como hash SHA-256
• RLS (Row-Level Security) em todas as tabelas — usuário só vê seus dados
• Documentos KYC em bucket privado com URLs assinadas (1h)
• Logs sem PII

10. Vazamentos

Se ocorrer incidente que afete seus dados, notificaremos:

• ANPD em até 48h
• Você em até 72h via email/push, com detalhes e medidas

11. Crianças

Plataforma B2B — não é destinada a menores. Lojistas e entregadores

precisam ser maiores de 18 anos.

12. Mudanças

Atualizações nesta política serão notificadas com 15 dias de antecedência.

13. Foro

Patos de Minas / MG.

Versão 1.1.0 — vigente desde 2026-05-28

Dúvidas? dpo@motoxpress.app