Política de Privacidade

O FipeMaster tem sede em Santa Catarina, Brasil. Para fins da LGPD, somos o Controlador dos seus dados pessoais.

Contato do Encarregado de Proteção de Dados (DPO): dpo@fipemaster.com.br.

Coletamos apenas o necessário para operar e entregar o serviço:

• Cadastro: nome, email, perfil de uso (Comprador / Vendedor / Curioso / Profissional).
• Autenticação: dados gerenciados pelo Clerk (provedor de identidade) — email, hash de senha, eventual login social (Google).
• Pagamento: dados de cobrança gerenciados pelo ASAAS — nunca armazenamos número de cartão diretamente. Recebemos apenas confirmação da transação, bandeira e últimos 4 dígitos.
• Uso da plataforma: histórico de laudos, vistorias, análises e pesquisas que você gerou.
• Técnicos: IP, user-agent, páginas visitadas, timestamps. Usados para segurança (anti-abuso, rate limit) e analytics agregado.
• Cookies: ver seção 9 abaixo.

Não coletamos: CPF, endereço residencial, telefone (exceto se você vincular WhatsApp voluntariamente), dados de saúde, dados financeiros sensíveis (renda, patrimônio), dados de geolocalização precisa.

Tratamos seus dados com base em:

• Execução de contrato (art. 7, V): operação do serviço que você contratou — login, processamento de pagamentos, geração de laudos, envio de emails transacionais.
• Consentimento (art. 7, I): cookies analíticos opcionais, comunicações de marketing (se você optar).
• Legítimo interesse (art. 7, IX): segurança, prevenção a fraude, melhoria do produto, comunicações relacionadas ao serviço.
• Cumprimento de obrigação legal (art. 7, II): retenção fiscal de notas, atendimento a ordens judiciais.

• Autenticar você nas próximas visitas (sessão Clerk).
• Processar pagamentos e renovações de assinatura (ASAAS).
• Gerar e armazenar laudos, vistorias e análises que você solicita.
• Enviar emails transacionais (confirmação de pagamento, aviso de vencimento, recuperação de senha).
• Detectar e prevenir abuso (rate limit, anomalia de uso de API, tentativas de fraude).
• Analytics agregado para entender quais páginas e ferramentas são úteis.
• Atender a requisitos legais e responder a ordens judiciais válidas.

Não usamos seus dados para: vender ou alugar pra terceiros, treinar modelos de IA, perfilamento publicitário, anúncios direcionados.

Trabalhamos com operadores ("sub-processadores") que processam dados em nosso nome, sob contrato e com obrigações equivalentes às nossas:

• Clerk (clerk.com) — autenticação. Servidores nos EUA.
• ASAAS (asaas.com) — processamento de pagamentos. Servidores no Brasil.
• Anthropic (anthropic.com) — IA generativa (Claude) para laudos. Servidores nos EUA. Dados do laudo NÃO são usados para treinar o modelo (Anthropic API: zero data retention).
• Resend (resend.com) — envio de emails transacionais. Servidores na UE.
• Vercel (vercel.com) — hospedagem da aplicação web. CDN global.
• Google (google.com) — Google Analytics 4 (apenas se você consentir cookies opcionais) e Google Search Console.
• Meta / WhatsApp (facebook.com) — apenas se você usar o canal WhatsApp voluntariamente.

Não temos parcerias comerciais que envolvam compartilhamento de dados de usuários para fins de marketing de terceiros.

Alguns operadores (Clerk, Anthropic, Vercel, Google) processam dados fora do Brasil. A LGPD permite isso desde que haja garantias adequadas (art. 33). Adotamos:

• Contratos com cláusulas-padrão de proteção de dados (DPA).
• Verificação de que o operador opera sob legislação compatível ou certificações reconhecidas (SOC 2, ISO 27001).
• Minimização — só transferimos o estritamente necessário para o serviço funcionar.

• Conta ativa: enquanto durar o vínculo. Você pode pedir exclusão a qualquer momento (seção 8).
• Após exclusão da conta: 30 dias em backup criptografado, depois purga definitiva. Exceção: dados financeiros/fiscais retidos por 5 anos (obrigação legal).
• Laudos e análises: mantidos enquanto sua conta existir. Excluídos junto.
• Logs técnicos (IP, requests): 90 dias para segurança; depois agregados de forma anônima ou excluídos.
• Cookies analíticos: 14 meses (padrão Google Analytics 4).

Como titular de dados pessoais, você pode:

• Confirmar se tratamos seus dados.
• Acessar os dados que temos sobre você.
• Corrigir dados incompletos, inexatos ou desatualizados.
• Anonimizar, bloquear ou eliminar dados desnecessários ou tratados em desconformidade.
• Portabilidade para outro fornecedor.
• Eliminar dados tratados com base em consentimento.
• Informação sobre operadores com quem compartilhamos.
• Revogar consentimento a qualquer momento.
• Oposição a tratamento baseado em legítimo interesse.

Para exercer qualquer um destes direitos, envie email para dpo@fipemaster.com.br. Respondemos em até 15 dias úteis (art. 19 LGPD).

Direito ao esquecimento (art. 18, VI): usuários cadastrados podem excluir a conta diretamente no painel em /conta (seção "Zona de perigo"). A exclusão é imediata, cancela qualquer assinatura ativa, anonimiza dados pessoais (email, telefone, identificadores) e remove a conta no provedor de autenticação. Histórico de uso (laudos, vistorias, análises) é mantido em forma agregada e anônima, sem ligação com sua identidade — útil para inteligência analítica agregada do mercado.

Usamos dois tipos de cookies:

• Essenciais (sempre ativos, sem consentimento — base legal: legítimo interesse e execução de contrato):
  • Sessão de login (Clerk).
  • Preferência de tema visual.
  • Banner de cookies (lembrar sua escolha — cookie fm_consent).
• Analytics opcionais (só com consentimento via banner — base legal: consentimento):
  • Google Analytics 4 — mede tráfego agregado das páginas para entender o que funciona.

Por padrão, o GA4 roda em modo restrito (sem cookie persistente, sem ID de usuário) enquanto você não aceitar. Se quiser revogar o consentimento depois de ter aceito, limpe os cookies fm_consent e _ga* nas configurações do seu navegador.

• HTTPS em toda a aplicação (TLS 1.3).
• Senhas armazenadas com hash (gerenciado pelo Clerk).
• Dados em trânsito e em repouso criptografados.
• Rate-limit, anti-abuso e auditoria de tentativas de acesso indevido.
• Acesso interno limitado, com logs.

Nenhuma medida é 100% à prova de falhas. Em caso de incidente que possa causar risco relevante aos titulares, notificamos a ANPD e os afetados conforme o art. 48 da LGPD.

O FipeMaster não é destinado a menores de 18 anos. Não coletamos conscientemente dados de crianças e adolescentes. Se identificarmos cadastro de menor, a conta será excluída.

Esta política pode ser atualizada. Mudanças relevantes serão comunicadas por email aos usuários cadastrados com antecedência mínima de 15 dias. Mudanças menores (correções editoriais) são publicadas direto, com nova data de vigência no topo.

• Encarregado (DPO): dpo@fipemaster.com.br
• Atendimento geral: contato@fipemaster.com.br
• Você também pode reclamar diretamente à Autoridade Nacional de Proteção de Dados (ANPD).