Política de Privacidade | Zarv

1. Introdução

A Zarv do Brasil Ltda. ("Zarv", "nós") está comprometida em proteger a privacidade de clientes, parceiros e visitantes. Esta Política descreve como coletamos, usamos, armazenamos e compartilhamos dados pessoais em nossa plataforma de inteligência de risco. Cumprimos LGPD, GDPR e CCPA.

2. Dados que Coletamos

Coletamos: (a) Identidade: nome, CPF/CNPJ, RG, CNH, biometria facial; (b) Contato: email, telefone, endereço; (c) Geolocalização: GPS, rotas, telemetria veicular; (d) Veículos: placas, VIN, dados LPR/OCR; (e) Seguros: apólices, sinistros, histórico; (f) Corporativos: CNPJ, estrutura, beneficiários; (g) Técnicos: IP, navegador, API calls; (h) Financeiros: pagamento (via terceiros); (i) Comunicações: suporte, demos.

3. Como Usamos Seus Dados

Os dados sao processados para os seguintes fins: scoring de risco e analise comportamental (Zarv ID), monitoramento continuo e deteccao de anomalias (Zarv Signal), investigacao de sinistros e geracao de evidencias (Zarv Lens), melhoria de servicos e calibracao de modelos, cumprimento de obrigacoes legais e comunicacao sobre nossos servicos.

4. Base Legal para Processamento (LGPD, GDPR, CCPA)

Processamos com base em: (a) Interesse Legítimo (LGPD Art. 7, X; GDPR Art. 6(1)(f)): prevenção de fraude, avaliação de risco, segurança da plataforma; (b) Necessidade Contratual (LGPD Art. 7, V; GDPR Art. 6(1)(b)): prestação de serviços contratados; (c) Obrigação Legal (LGPD Art. 7, II; GDPR Art. 6(1)(c)): conformidade com AML, obrigações fiscais, requisitos regulatórios; (d) Consentimento (LGPD Art. 7, I; GDPR Art. 6(1)(a)): quando explicitamente exigido por lei; (e) Proteção da Vida (LGPD Art. 7, VII; GDPR Art. 6(1)(d)): emergências; (f) Proteção de Crédito (LGPD Art. 7, X).

5. Compartilhamento de Dados

Compartilhamos dados apenas com: clientes contratados (seguradoras, financeiras, gestores de frota) como parte da entrega de servicos, autoridades policiais quando legalmente exigido, subprocessadores sob contratos rigorosos de processamento de dados, e autoridades regulatorias conforme exigido por lei. Nunca vendemos dados pessoais a terceiros.

6. Retencao de Dados

Dados pessoais sao retidos apenas pelo periodo necessario para cumprir os fins descritos nesta politica ou conforme exigido por lei. Scores e flags derivados sao retidos; dados sensiveis brutos sao processados e descartados.

7. Seus Direitos como Titular de Dados

Você tem direito a: (a) Acesso (LGPD Art. 18, I-II; GDPR Art. 15; CCPA §1798.100): confirmar processamento e obter cópia dos dados; (b) Retificação (LGPD Art. 18, III; GDPR Art. 16): corrigir dados imprecisos; (c) Exclusão (LGPD Art. 18, VI; GDPR Art. 17; CCPA §1798.105): solicitar apagamento; (d) Restrição (LGPD Art. 18, IV; GDPR Art. 18): limitar processamento; (e) Portabilidade (LGPD Art. 18, V; GDPR Art. 20): receber em formato legível por máquina; (f) Oposição (LGPD Art. 18, §2º; GDPR Art. 21); (g) Retirar Consentimento (LGPD Art. 8, §5º; GDPR Art. 7(3)); (h) Revisão de Decisões Automatizadas (LGPD Art. 20; GDPR Art. 22). Contato: privacy@zarv.com. Prazo de resposta: 15 dias (LGPD), 1 mês (GDPR), 45 dias (CCPA).

8. Transferencias Internacionais

Os dados podem ser transferidos e processados em paises fora da sua jurisdicao. Implementamos salvaguardas apropriadas incluindo clausulas contratuais padrao e criptografia para proteger dados transferidos.

9. Seguranca

Implementamos medidas de seguranca padrao da industria incluindo criptografia em repouso e em transito, controles de acesso, logging de auditoria e avaliacoes regulares de seguranca. Nossa arquitetura segue principios Safe by Design.

10. Encarregado de Proteção de Dados

Encarregado (DPO): privacy@zarv.com. Zarv do Brasil Ltda., São Paulo, SP, Brasil. Para questões GDPR (UE), use assunto: 'EU GDPR Request'. Para CCPA (Califórnia), use assunto: 'CCPA Request' ou ligue 1-855-ZARV-PRI.

11. Medidas de Segurança

Implementamos: (a) Criptografia: TLS 1.3 em trânsito, AES-256 em repouso; (b) Controles de Acesso: RBAC, MFA, menor privilégio; (c) Rede: firewalls, IDS/IPS, proteção DDoS, segmentação; (d) Auditoria: trilhas completas, SIEM, detecção de anomalias; (e) Desenvolvimento Seguro: security-by-design, code review, testes de penetração; (f) Resposta a Incidentes: conforme LGPD Art. 48, GDPR Art. 33-34, CCPA; (g) Certificações: ISO 27001, SOC 2. Notificação em caso de violação conforme legislação aplicável.

12. Transferências Internacionais

Dados podem ser transferidos internacionalmente. Para o Brasil: cumprimos LGPD Art. 33 através de Cláusulas Contratuais Padrão (SCCs) ou transferências para países com adequação reconhecida pela ANPD. Para UE/EEE: usamos SCCs da UE (versão 2021) ou decisões de adequação do GDPR Cap. V. Para Califórnia: proteções contratuais e acordos de prestadores de serviços. Todas transferências incluem criptografia.

13. Retenção de Dados

Retemos dados conforme necessário: (a) Verificação de identidade: duração da relação + 5 anos (LGPD, AML/CFT); (b) Geolocalização/comportamento: 90 dias (bruto), indefinido (anonimizado); (c) Investigação de sinistros: 7 anos (padrão seguros); (d) Scores de risco: 5 anos; (e) Logs técnicos/segurança: 12 meses; (f) Financeiro/faturamento: 7 anos (fiscal). Após período, exclusão segura ou anonimização.

14. Cookies e Rastreamento

Usamos cookies: (a) Necessários: funcionalidade, segurança; (b) Analíticos: Google Analytics, PostHog (anonimizados quando possível); (c) Funcionais: preferências, idioma; (d) Marketing: rastreamento de conversão limitado. Controle via configurações do navegador. Não usamos para rastreamento entre sites. Banner de consentimento para visitantes da UE (GDPR ePrivacy).

15. Privacidade de Crianças

Serviços não direcionados a menores de 18 anos. Não coletamos dados de crianças intencionalmente. Se identificarmos coleta inadvertida, excluiremos imediatamente. Contato: privacy@zarv.com.

16. CCPA - Califórnia

Para residentes da Califórnia: (a) Categorias coletadas (12 meses): identificadores (nome, email, IP), informações comerciais, atividade internet, geolocalização, profissionais, inferências; (b) Fontes: você, dispositivos, terceiros, registros públicos; (c) Fins comerciais: fraude, segurança, serviços, legal, analytics; (d) Venda: NÃO vendemos dados; (e) Direitos: saber, excluir, opt-out (n/a), não discriminação; (f) Agente autorizado: aceito com verificação. Contato: privacy@zarv.com ou 1-855-ZARV-PRI.

17. GDPR - União Europeia

Para residentes UE/EEE/UK/Suíça: (a) Base legal: ver Seção 4; (b) Autoridade de Proteção: direito de reclamar à autoridade supervisora local; (c) Decisões Automatizadas: usamos scoring automatizado, você tem direito a intervenção humana e contestação (GDPR Art. 22); (d) Perfilamento: para detecção fraude/risco baseado em interesse legítimo, pode opor-se; (e) Marketing Direto: opt-out a qualquer momento; (f) Representante UE: privacy@zarv.com (assunto: EU GDPR Request); (g) Transferências: ver Seção 12.

18. LGPD - Brasil

Para titulares no Brasil: (a) Encarregado (DPO): privacy@zarv.com; (b) ANPD: direito de reclamar à Autoridade Nacional de Proteção de Dados; (c) Bases Legais: processamos sob Art. 7 (I - consentimento, II - legal, V - contrato, VII - vida, IX/X - legítimo interesse/crédito) conforme Seção 4; (d) Revisão Decisões Automatizadas: LGPD Art. 20 garante direito a revisão humana de decisões automatizadas que afetem interesses, fornecemos informações sobre critérios; (e) Dados Sensíveis: CPF, biometria, geolocalização processados com salvaguardas apropriadas, consentimento específico ou autorização legal; (f) Transferências Internacionais: Cap. V LGPD via SCCs aprovadas ANPD ou países com adequação.

19. Alterações na Política

Podemos atualizar periodicamente para refletir mudanças em práticas, requisitos legais ou serviços. Mudanças materiais notificadas via: email a clientes, aviso no site, notificações no app. Data 'Última atualização' indica revisão mais recente. Uso continuado após mudanças = aceitação. Para mudanças significativas, podemos buscar consentimento renovado quando exigido por lei.

20. Contato e Exercício de Direitos

Para exercer direitos, solicitar informações ou levantar preocupações: Encarregado de Proteção de Dados: privacy@zarv.com. Endereço Postal: Zarv do Brasil Ltda., São Paulo, SP, Brasil. UE/GDPR: privacy@zarv.com (Assunto: EU GDPR Request). Califórnia/CCPA: privacy@zarv.com (Assunto: CCPA Request) ou 1-855-ZARV-PRI. Forneça: nome completo, contato, descrição solicitação, prova identidade, jurisdição. Reconhecimento em 5 dias úteis, resposta conforme prazos legais. Sem taxa exceto solicitações infundadas/excessivas.