Política de Privacidade
Versão 1.0 · Última atualização: 21 de maio de 2026
1. Quem somos
A presente Política de Privacidade aplica-se ao PW RFID Core, plataforma de rastreabilidade RFID operada pela:
PW GESTÃO EMPRESARIAL E CONSULTORIA LTDA
CNPJ: 28.260.472/0001-00
Inscrição Estadual: 125755405112
Inscrição Municipal: 57621594
Endereço: Av. Paulista, 1471, conj. 511, Bela Vista, São Paulo/SP, CEP 01310-200
Telefone: +55 (11) 5096-6835
E-mail de contato: contato@pwgestao.com.br
E-mail para questões de privacidade: {{PRIVACY_EMAIL}} (sugestão: privacidade@pwgestao.com.br)
Doravante referida como "PW Gestão", "nós", "nossa" ou "Controladora".
2. Aplicação desta Política
Esta Política aplica-se exclusivamente:
- ao site
https://rfid.pwgestao.com.bre seus subdomínios técnicos (https://tracked.pwgestao.com.br); - ao aplicativo móvel PW RFID Core disponibilizado para Android e iOS;
- aos serviços conexos prestados pela PW Gestão diretamente vinculados à plataforma.
Não se aplica a outros sites, produtos ou serviços da PW Gestão, ainda que acessíveis a partir de links externos.
3. Dados pessoais que coletamos
Coletamos três categorias de dados:
(a) Dados cadastrais — fornecidos diretamente pelo usuário ou pelo Líder do workspace na criação da conta:
- nome completo;
- endereço de e-mail;
- telefone (quando informado);
- senha (armazenada apenas como hash — nunca em texto plano);
- empresa, cargo e papel dentro do workspace.
(b) Dados operacionais — gerados ou inseridos durante o uso da plataforma:
- leituras RFID e respectivos identificadores eletrônicos (EPC) das tags;
- locais e movimentações associadas a cada leitura;
- romaneios, metas de remessa e relatórios gerados;
- cadastro de funcionários inseridos pelo cliente (nome, cargo, CPF — quando aplicável);
- registros de auditoria (quem criou/alterou/excluiu o quê e quando).
(c) Dados técnicos — coletados automaticamente pelos sistemas:
- endereço IP, navegador, sistema operacional, identificadores do dispositivo móvel;
- logs de acesso, ações realizadas e erros operacionais;
- cookies de sessão (autenticação) — detalhados na Seção 9;
- preferências de interface armazenadas em
localStorage(densidade de tabela, ordem de colunas etc.).
4. Finalidades e bases legais (LGPD, art. 7º)
Tratamos os dados pessoais com base nas seguintes hipóteses legais:
| Finalidade | Base legal | Exemplo prático |
|---|---|---|
| Operar a plataforma e prestar o serviço contratado | Execução de contrato (art. 7º, V) | Permitir login, registrar leituras, gerar relatórios |
| Garantir segurança e prevenir fraudes | Legítimo interesse (art. 7º, IX) | Logs de acesso, JWT com expiração curta, rate limiting |
| Cumprir obrigações legais e regulatórias | Cumprimento de obrigação legal (art. 7º, II) | Retenção contábil de relatórios, atendimento a ordens judiciais |
| Comunicar atualizações sobre o serviço | Legítimo interesse | E-mails transacionais (convites, recuperação de senha, mudanças nestes documentos) |
| Tratamentos não cobertos pelas hipóteses acima | Consentimento (art. 7º, I) | {{CONSENT_EXAMPLES}} |
5. Compartilhamento com terceiros
Para operar a plataforma, compartilhamos dados com os seguintes prestadores ("subprocessadores"), todos contratualmente obrigados a observar padrões de segurança e finalidade equivalentes aos descritos nesta Política:
| Subprocessador | Finalidade | País sede |
|---|---|---|
| Railway Corp. | Hospedagem da aplicação, banco de dados PostgreSQL, cache Redis | EUA |
| Cloudflare, Inc. | Armazenamento imutável de relatórios contábeis (Cloudflare R2) | EUA |
| Resend | Envio de e-mails transacionais | EUA |
| Expo (EAS) | Construção e distribuição do aplicativo móvel | EUA |
| Google LLC / Apple Inc. | Distribuição do aplicativo móvel via Play Store e App Store | EUA |
Transferência internacional de dados: parte do tratamento ocorre em servidores localizados fora do Brasil. Adotamos cláusulas contratuais e garantias compatíveis com o art. 33 da LGPD para assegurar nível de proteção adequado.
Não vendemos dados pessoais. Não compartilhamos dados com terceiros para fins de marketing próprio ou de parceiros.
6. Armazenamento e segurança
Adotamos medidas técnicas e organizacionais razoáveis para proteger os dados:
- Isolamento multitenant: cada empresa cliente é mantida em escopo lógico isolado por
company_idem todas as consultas ao banco; - Criptografia em trânsito: todo o tráfego cliente–servidor utiliza TLS 1.2+;
- Senhas: armazenadas apenas como hash usando algoritmo padrão do Django (PBKDF2-SHA256);
- Autenticação por tokens de curta duração (JWT) com renovação automática;
- Relatórios contábeis armazenados em bucket com retenção mínima de 5 anos (Cloudflare R2 Bucket Lock), impedindo alteração ou exclusão durante a janela;
- Controle granular de permissões por usuário e por empresa dentro do workspace.
Apesar dos esforços, nenhum sistema é absolutamente seguro. Em caso de incidente que possa acarretar risco relevante aos titulares, comunicaremos a ANPD e os titulares afetados conforme art. 48 da LGPD.
7. Retenção dos dados
Os dados pessoais são tratados pelo tempo necessário ao cumprimento das finalidades para as quais foram coletados, observados os prazos legais aplicáveis:
| Categoria | Prazo de retenção |
|---|---|
| Dados cadastrais de usuário ativo | Durante a vigência do contrato |
| Dados cadastrais após inativação/rescisão | {{RETENTION_USERS_MONTHS}} meses para fins de auditoria, após o que são anonimizados ou eliminados |
| Logs de acesso e auditoria | {{RETENTION_LOGS_MONTHS}} meses (mínimo 6 meses por força do Marco Civil — art. 15) |
| Relatórios contábeis | Mínimo de 5 anos por exigência fiscal/contábil — preservados em bucket imutável |
| Leituras RFID e dados operacionais | Durante a vigência do contrato; após rescisão, conforme item de Suspensão e Rescisão dos Termos de Uso |
Findos esses prazos, os dados são eliminados ou anonimizados, salvo se houver dever legal de conservação.
8. Direitos do titular (LGPD, art. 18)
Você, como titular de dados pessoais, tem direito a, mediante requisição:
- Confirmação da existência de tratamento;
- Acesso aos seus dados;
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a Lei;
- Portabilidade dos dados para outro fornecedor de serviço, observadas as limitações técnicas;
- Eliminação dos dados tratados com base em consentimento;
- Informação sobre as entidades públicas e privadas com as quais compartilhamos dados;
- Informação sobre a possibilidade de não fornecer consentimento e suas consequências;
- Revogação do consentimento.
Canal para exercício dos direitos: envie e-mail para {{PRIVACY_EMAIL}} indicando o direito que deseja exercer. Responderemos no prazo de até 15 dias.
10. Crianças e adolescentes
A plataforma é destinada ao uso profissional B2B. Não direcionamos serviços a crianças e não coletamos intencionalmente dados de menores de 16 anos. Caso tomemos conhecimento de tratamento envolvendo menor de idade sem o adequado consentimento dos responsáveis, eliminaremos os dados.
11. Mudanças nesta Política
Esta Política pode ser atualizada para refletir mudanças no serviço ou na legislação. Sempre que houver alteração relevante:
- a data de "Última atualização" no topo do documento será modificada;
- comunicaremos os contatos técnicos de cada workspace por e-mail, com antecedência razoável.
Recomenda-se a leitura periódica deste documento.
12. Encarregado pelo Tratamento de Dados (DPO) e contato
Em conformidade com o art. 41 da LGPD, indicamos como Encarregado pelo Tratamento de Dados Pessoais:
Nome: {{DPO_NAME}}
E-mail: {{DPO_EMAIL}}
Telefone: {{DPO_PHONE}}
Para questões relativas a privacidade ou exercício de direitos previstos na LGPD, contate o Encarregado pelos canais acima.
Para questões gerais sobre o PW RFID Core, contate-nos por contato@pwgestao.com.br ou pelo telefone +55 (11) 5096-6835.