Politica de Privacidade — Brasil

1. Responsavel pelo Tratamento (art. 5, VI LGPD)

O tratamento de dados pessoais descrito nesta Politica e realizado por cepaos LLC, sociedade de responsabilidade limitada constituida sob as leis do Estado de Wyoming, Estados Unidos da America (a "cepaos" ou "Operadora").

• Razao social: cepaos LLC
• Sede: Wyoming, Estados Unidos da America
• E-mail de privacidade: privacidade@cepaos.com
• Encarregado pelo Tratamento (DPO) — art. 41 LGPD: dpo@cepaos.com

A vinicola, bodega ou demais clientes corporativos que utilizam a Plataforma para tratar dados de seus proprios titulares (consumidores finais, funcionarios, fornecedores) atuam como Controladores nos termos do art. 5, VI da LGPD, enquanto a cepaos atua como Operadora (art. 5, VII). A relacao entre as partes e disciplinada por Contrato de Tratamento de Dados (DPA) firmado em separado.

2. Dados Pessoais Tratados (art. 5, I LGPD)

2.1 Dados fornecidos pelo(a) usuario(a)

• Nome completo e cargo na organizacao
• Endereco de e-mail corporativo
• Numero de telefone (opcional)
• CPF e/ou CNPJ, razao social, inscricao estadual e endereco comercial
• Informacoes de faturamento e meios de pagamento (processados pela dLocal Go conforme art. 6, II — transferencia para o operador de pagamentos)
• Dados de perfil e preferencias da conta

2.2 Dados coletados automaticamente

• Endereco IP e dados de geolocalizacao aproximada
• Tipo de navegador, sistema operacional e dispositivo
• Paginas visitadas, tempo de permanencia e fluxo de navegacao
• Identificadores de dispositivo e cookies (ver Secao 8 — Cookies)
• Registros de conexao e de acesso a aplicacoes (Marco Civil da Internet, arts. 13 a 15)

2.3 Dados da organizacao cliente

O(a) usuario(a) podera inserir na Plataforma dados operacionais da sua organizacao (inventarios, lotes, processos enologicos, dados comerciais, relacoes com fornecedores e clientes finais). Nesse contexto, a cepaos atua como Operadora e o cliente corporativo como Controlador, com as obrigacoes recorrentes do art. 39 da LGPD.

2.4 Categorias especiais

A cepaos nao coleta intencionalmente dados pessoais sensiveis (art. 5, II LGPD) ou dados de criancas e adolescentes (art. 14 LGPD). A Plataforma destina-se exclusivamente a operacoes comerciais (B2B) e ao publico maior de 18 anos.

3. Bases Legais do Tratamento (art. 7 LGPD)

O tratamento de dados pessoais pela cepaos esta amparado nas seguintes hipoteses legais previstas no art. 7 da LGPD:

• Art. 7, I — Consentimento do(a) titular: aplicavel a comunicacoes de marketing, analitica nao essencial e cookies opcionais.
• Art. 7, II — Cumprimento de obrigacao legal ou regulatoria pela controladora: obrigacoes fiscais, contabeis e de guarda de registros de conexao (Marco Civil).
• Art. 7, V — Execucao de contrato ou de procedimentos preliminares: prestacao do servico SaaS contratado.
• Art. 7, VI — Exercicio regular de direitos em processo judicial, administrativo ou arbitral.
• Art. 7, IX — Interesse legitimo da controladora ou de terceiro: seguranca da informacao, prevencao a fraude, analitica agregada e melhoria do produto, sempre observado o teste de balanceamento.

4. Finalidades do Tratamento (art. 6, I LGPD)

A cepaos trata dados pessoais com finalidades especificas, legitimas, explicitas e informadas, conforme art. 6, I da LGPD:

• Prestar e manter o servico contratado da Plataforma
• Gerir a conta, autenticacao e controle de acesso (RBAC)
• Processar pagamentos e emitir documentos fiscais aplicaveis
• Enviar notificacoes operacionais, de seguranca e de servico
• Fornecer suporte tecnico ao(a) usuario(a)
• Melhorar a Plataforma por meio de analitica agregada e anonimizada
• Cumprir obrigacoes legais, fiscais e regulatorias
• Prevenir fraudes e garantir a seguranca da Plataforma
• Enviar comunicacoes de marketing, exclusivamente mediante consentimento previo e revogavel

5. Compartilhamento de Dados (art. 7, §5 e art. 33 LGPD)

A cepaos nao comercializa dados pessoais. O compartilhamento ocorre apenas com:

5.1 Suboperadores (subprocessadores)

Os fornecedores listados abaixo tratam dados pessoais por conta e ordem da cepaos, sob Contrato de Tratamento de Dados (DPA) e, quando aplicavel, sob Clausulas Contratuais-Tipo (SCC) como mecanismo de transferencia internacional. A lista completa e atualizada esta disponivel em /legal/sub-processors.

5.2 Autoridades publicas

A cepaos podera compartilhar dados pessoais com autoridades publicas quando exigido por ordem judicial, requisicao da ANPD, do Ministerio Publico ou de demais autoridades competentes, sempre observados os limites do art. 7, III e do art. 26 da LGPD, e mediante registro interno do compartilhamento.

6. Transferencia Internacional de Dados (art. 33 LGPD)

Em razao da sede da cepaos LLC estar localizada nos Estados Unidos da America e considerando que a ANPD ainda nao emitiu decisao de adequacao a respeito daquele pais, a transferencia internacional de dados pessoais para os EUA e para suboperadores la sediados e realizada com base nas seguintes hipoteses do art. 33 da LGPD:

• Art. 33, II — Cooperacao juridica internacional entre orgaos publicos de inteligencia, investigacao e persecucao.
• Art. 33, VIII — Execucao de contrato ou procedimentos preliminares relacionados a contrato do qual seja parte o(a) titular, a pedido do(a) titular.
• Art. 33, IX — Consentimento especifico e em destaque do(a) titular, com previa informacao sobre o carater internacional da operacao.
• Art. 33, II — Garantias e salvaguardas via Clausulas Contratuais-Tipo (SCC) equivalentes as 2021/914 da Comissao Europeia, aplicadas por analogia enquanto a ANPD nao publicar suas proprias clausulas-padrao nos termos do art. 35 da LGPD.

Em todos os casos, a cepaos aplica as seguintes salvaguardas adicionais:

• Encriptacao em transito (TLS 1.3) e em repouso (AES-256) para todos os dados pessoais
• Avaliacao de impacto da transferencia (TIA — Transfer Impact Assessment) realizada para cada suboperador situado fora do Brasil
• DPA com clausula de auditoria, notificacao de incidentes e direito de rescisao em caso de violacao
• Minimizacao do volume de dados transferidos (principio do art. 6, III LGPD)

7. Retencao de Dados (art. 15 LGPD)

• Dados de conta: durante a vigencia do contrato e por ate 30 dias apos o seu termino, para fins de recuperacao a pedido do(a) titular.
• Registros de faturamento e contabeis: ate 10 (dez) anos (obrigacao legal — Codigo Tributario, Codigo Civil art. 206 e Lei das S/A art. 177).
• Registros de conexao e acesso: 6 (seis) meses para registros de conexao a aplicacoes e 1 (um) ano para registros de acesso a aplicacoes, conforme arts. 13 e 15 do Marco Civil da Internet.
• Logs de seguranca: ate 12 (doze) meses.
• Dados de analitica: ate 24 (vinte e quatro) meses em formato agregado e anonimizado.
• Backups: eliminados em ate 90 (noventa) dias apos a eliminacao dos dados originais.

Apos os prazos acima, os dados pessoais sao eliminados ou anonimizados de forma irreversivel, conforme art. 16 da LGPD, salvo quando houver obrigacao legal de conservacao, transferencia a terceiro mediante consentimento ou uso exclusivo do controlador apos anonimizacao.

8. Cookies e Tecnologias Similares

A Plataforma utiliza cookies e tecnologias similares (local storage, pixels, identificadores de dispositivo) para finalidades operacionais, de seguranca, de preferencia e de analitica. O consentimento para cookies nao essenciais e gerenciado por banner conforme art. 7, I da LGPD.

8.1 Categorias de cookies

• Estritamente necessarios: autenticacao, balanceamento de carga, prevencao a CSRF. Base legal: execucao contratual (art. 7, V LGPD). Nao requerem consentimento.
• Funcionais: preferencias de idioma, fuso horario, tema. Base legal: legitimo interesse (art. 7, IX LGPD).
• Analiticos: medicao de uso agregado via PostHog. Base legal: consentimento (art. 7, I LGPD), revogavel a qualquer tempo.
• Marketing: nao utilizados na area autenticada da Plataforma; eventuais cookies de marketing nas paginas publicas tambem dependem de consentimento.

O detalhamento por cookie (nome, finalidade, validade, suboperador) e publicado na Politica de Cookies.

9. Analitica e Decisoes Automatizadas

A cepaos utiliza ferramentas de analitica para entender o uso agregado da Plataforma e melhorar o produto. Sao tratadas metricas como paginas visitadas, eventos de uso, tempo de sessao e identificadores pseudonimizados. A cepaos nao realiza decisoes individuais unicamente automatizadas que produzam efeitos juridicos ou afetem significativamente o(a) titular (art. 20 LGPD).

Recursos de inteligencia artificial assistiva (sugestoes de campos, classificacao de leads, alertas regulatorios) sao executados sob supervisao humana, com o(a) usuario(a) sempre podendo descartar a sugestao. O(a) titular podera solicitar revisao de decisao assistida por meio do canal privacidade@cepaos.com.

10. Seguranca da Informacao (art. 46 LGPD)

A cepaos adota medidas tecnicas e administrativas aptas a proteger os dados pessoais de acessos nao autorizados e de situacoes acidentais ou ilicitas de destruicao, perda, alteracao, comunicacao ou difusao, conforme art. 46 da LGPD:

• Encriptacao em transito (TLS 1.3) e em repouso (AES-256)
• Isolamento multi-tenant com Row-Level Security (RLS) em PostgreSQL
• Autenticacao com tokens seguros via Supabase Auth + MFA
• Controle de acesso por funcao (RBAC) e principio do menor privilegio
• Rate limiting e protecao contra ataques de forca bruta
• Monitoramento continuo de seguranca e alertas automatizados (Sentry)
• Auditorias periodicas de seguranca e revisao de acessos privilegiados
• Plano de resposta a incidentes documentado e testado
• Programa de gestao de fornecedores com revisao anual dos DPAs

11. Comunicacao de Incidentes (art. 48 LGPD)

Em caso de incidente de seguranca que possa acarretar risco ou dano relevante aos titulares, a cepaos comunicara a ANPD e o(a) titular afetado em prazo razoavel, conforme regulamentacao da ANPD (Resolucao CD/ANPD n° 15/2024 e atualizacoes), contendo minimamente:

• Descricao da natureza dos dados pessoais afetados
• Informacoes sobre os titulares envolvidos
• Indicacao das medidas tecnicas e de seguranca utilizadas para a protecao dos dados
• Riscos relacionados ao incidente e medidas que foram ou serao adotadas para reverter ou mitigar os efeitos do prejuizo
• Contato do(a) Encarregado(a) para esclarecimentos

12. Direitos do(a) Titular (art. 18 LGPD)

O(a) senhor(a), na qualidade de titular dos dados, podera obter da cepaos, a qualquer momento e mediante requisicao:

1. I — Confirmacao da existencia de tratamento;
2. II — Acesso aos dados;
3. III — Correcao de dados incompletos, inexatos ou desatualizados;
4. IV — Anonimizacao, bloqueio ou eliminacao de dados desnecessarios, excessivos ou tratados em desconformidade com a LGPD;
5. V — Portabilidade dos dados a outro fornecedor de servico ou produto, mediante requisicao expressa;
6. VI — Eliminacao dos dados tratados com consentimento;
7. VII — Informacao das entidades publicas e privadas com as quais a controladora realizou uso compartilhado de dados;
8. VIII — Informacao sobre a possibilidade de nao fornecer consentimento e sobre as consequencias da negativa;
9. IX — Revogacao do consentimento, nos termos do §5 do art. 8 da LGPD.

Para exercer seus direitos, voce pode:

• Enviar e-mail para privacidade@cepaos.com;
• Utilizar o painel de privacidade na area autenticada (Configuracoes → Privacidade);
• Contatar o(a) Encarregado(a) em dpo@cepaos.com.

Prazo de resposta: 15 (quinze) dias, conforme art. 19, II da LGPD, para confirmacao de existencia e acesso. Para os demais direitos, o atendimento sera prestado sem atraso indevido. Caso a solicitacao seja manifestamente infundada ou excessiva, a cepaos podera recusa-la, justificando a decisao.

13. Autoridade Nacional de Protecao de Dados (ANPD)

A Autoridade Nacional de Protecao de Dados (ANPD) e o orgao da administracao publica federal responsavel por zelar pela protecao dos dados pessoais e por regulamentar, fiscalizar e aplicar a LGPD:

• Sitio oficial: https://www.gov.br/anpd
• Canal de peticoes do(a) titular: gov.br/anpd — Cidadao

O(a) titular podera apresentar reclamacao a ANPD caso entenda que seus direitos foram violados, sem prejuizo de demais medidas administrativas e judiciais.

14. Conformidade — Brasil (LGPD)

LGPD Lei Geral de Protecao de Dados (Lei n° 13.709/2018)

A cepaos cumpre integralmente a LGPD, incluindo, mas nao se limitando aos seguintes deveres da Operadora previstos no art. 39:

• Tratar os dados pessoais conforme as instrucoes fornecidas pelo Controlador
• Verificar a observancia das obrigacoes legais pelo Controlador e pelos demais agentes de tratamento
• Adotar as medidas de seguranca previstas no art. 46
• Manter registro das operacoes de tratamento que realizar (ROPA)
• Realizar Avaliacao de Impacto a Protecao de Dados Pessoais (RIPD) quando exigido pela ANPD
• Comunicar a ANPD e ao(a) titular a ocorrencia de incidente de seguranca (art. 48)

A cepaos mantem Registro de Atividades de Tratamento (ROPA) documentado em docs/legal/ROPA-BR.md, disponivel a ANPD mediante solicitacao formal, conforme art. 37 da LGPD.

15. Defesa do Consumidor (CDC — Lei 8.078/1990)

A Plataforma destina-se exclusivamente a operacoes comerciais (B2B). O(a) usuario(a) contrata na qualidade de pessoa juridica ou profissional liberal no exercicio de atividade economica, razao pela qual a Lei n° 8.078/1990 (Codigo de Defesa do Consumidor) nao se aplica a presente relacao contratual, sem prejuizo de eventuais direitos previstos na LGPD em favor dos dados pessoais dos representantes do cliente corporativo.

16. Menores de Idade (art. 14 LGPD)

A Plataforma destina-se exclusivamente a operacoes comerciais (B2B) e nao coleta intencionalmente dados pessoais de criancas e adolescentes. Caso identifiquemos o tratamento de dados de um menor sem o consentimento especifico e em destaque dado por pelo menos um dos pais ou pelo responsavel legal, procederemos a sua eliminacao imediata.

17. Alteracoes a esta Politica

A cepaos podera atualizar esta Politica de Privacidade periodicamente para refletir mudancas em nossos servicos, na legislacao aplicavel ou em regulamentos da ANPD. As alteracoes substanciais serao notificadas com antecedencia minima de 30 (trinta) dias, por e-mail e/ou aviso destacado na Plataforma. A data da ultima atualizacao consta no cabecalho desta Politica.

18. Contato

• Privacidade e exercicio de direitos: privacidade@cepaos.com
• Encarregado(a) pelo Tratamento (DPO): dpo@cepaos.com
• Assuntos juridicos gerais: legal@cepaos.com
• cepaos LLC — Wyoming, Estados Unidos da America