Política de Privacidade
Esta Política descreve como a QR Club coleta, utiliza, compartilha e protege dados pessoais em conformidade com a Lei Geral de Proteção de Dados (Lei 13.709/2018 — LGPD). Ela se aplica tanto aos donos de negócio (Contratantes) quanto aos consumidores finais (Clientes Finais).
1. Quem somos — o Controlador e o Operador
A QR Club opera uma plataforma de fidelidade digital e atua em dois papéis distintos conforme a LGPD:
Como Controladora
A QR Club é a Controladora dos dados pessoais que coleta diretamente dos Contratantes (donos de negócio) para fins de prestação do serviço, faturamento, comunicação e melhoria da plataforma.
Como Operadora
A QR Club atua como Operadora dos dados pessoais dos Clientes Finais (consumidores dos negócios). Nesses casos, o Contratante é o Controlador e determina as finalidades do tratamento. A QR Club processa esses dados exclusivamente por instrução do Contratante e para os fins do programa de fidelidade.
2. Dados que coletamos
2.1 Dados dos Contratantes (donos de negócio):
- Dados de cadastro: nome do negócio, endereço de e-mail, senha (armazenada com hash bcrypt);
- Dados de configuração: nome e logotipo do negócio, configurações do programa de fidelidade;
- Dados de pagamento: informações de faturamento processadas pelo gateway (Stripe ou AbacatePay) — a QR Club não armazena dados de cartão de crédito;
- Dados de uso: logs de acesso, ações realizadas no painel (para segurança e melhoria do serviço).
2.2 Dados dos Clientes Finais (consumidores):
- Nome completo e número de telefone fornecidos ao interagir com o QR code do negócio;
- Histórico de selos: data/hora de cada carimbo e resgate registrado;
- Dados técnicos: endereço IP e user-agent coletados automaticamente para fins de segurança e prevenção de fraudes.
2.3 Dados coletados automaticamente (cookies):
Cookies e tecnologias similares são utilizados conforme descrito na seção 10.
3. Finalidades do tratamento
Para dados dos Contratantes:
- Criação e gerenciamento da conta e do programa de fidelidade;
- Processamento de pagamentos e emissão de notas fiscais;
- Comunicação sobre atualizações do serviço, manutenções e ofertas relacionadas;
- Prevenção de fraudes e segurança da plataforma;
- Melhoria contínua do serviço mediante análise de padrões de uso (dados anonimizados quando possível);
- Cumprimento de obrigações legais e regulatórias.
Para dados dos Clientes Finais:
- Registro e controle de selos do programa de fidelidade do Contratante;
- Envio de notificações por e-mail e/ou Telegram (falta de selos, resgate disponível, mensagens de engajamento) — somente mediante aceite do Cliente Final ao vincular seu contato; o canal WhatsApp pode ser habilitado opcionalmente pelo Contratante;
- Prevenção de fraudes no sistema de carimbos (rate limiting por número de telefone);
- Exibição do histórico de selos ao Cliente Final ao acessar a plataforma.
4. Base legal (LGPD)
O tratamento de dados pessoais pela QR Club fundamenta-se nas seguintes bases legais previstas no art. 7º da LGPD:
| Dados | Base Legal | Fundamento (LGPD) |
|---|---|---|
| Dados de cadastro do Contratante | Execução de contrato | Art. 7º, V |
| Dados de pagamento | Execução de contrato | Art. 7º, V |
| Comunicações comerciais da QR Club | Legítimo interesse / consentimento | Art. 7º, IX e I |
| Dados dos Clientes Finais — selos | Consentimento do titular + legítimo interesse do Contratante | Art. 7º, I e IX |
| Dados de segurança / logs | Cumprimento de obrigação legal / legítimo interesse | Art. 7º, II e IX |
| Cookies analíticos | Consentimento | Art. 7º, I |
5. Compartilhamento de dados
A QR Club compartilha dados pessoais somente nas seguintes hipóteses:
- Provedores de serviços essenciais: infraestrutura cloud (hospedagem e banco de dados), gateway de pagamento (Stripe/AbacatePay) e serviço de envio de e-mails transacionais. Todos operam como suboperadores sob obrigações contratuais de confidencialidade e segurança;
- Contratante (para dados dos Clientes Finais): o Contratante acessa os dados de seus Clientes Finais por meio do dashboard, sendo o Controlador dessas informações;
- Cumprimento de obrigação legal: autoridades públicas, tribunais ou órgãos reguladores quando exigido por lei, ordem judicial ou investigação legítima;
- Prevenção de fraudes: em casos de suspeita de uso fraudulento da plataforma, mediante avaliação caso a caso.
A QR Club não vende, aluga nem comercializa dados pessoais de Contratantes ou Clientes Finais.
6. Transferência internacional de dados
Os dados pessoais podem ser armazenados e processados em servidores localizados fora do Brasil (por exemplo, nos Estados Unidos, pela infraestrutura cloud utilizada). Nesses casos, a QR Club adota medidas contratuais adequadas para garantir nível de proteção equivalente ao previsto na LGPD, em conformidade com o art. 33 da lei, incluindo cláusulas contratuais padrão e certificações de conformidade dos subprocessadores.
7. Retenção e exclusão de dados
| Categoria de dados | Prazo de retenção |
|---|---|
| Dados de conta do Contratante (ativa) | Durante toda a vigência da conta |
| Dados de conta após cancelamento / exclusão solicitada | 30 dias de carência (com opção de reativação) e então anonimizados |
| Dados financeiros e de faturamento | 5 anos (obrigação fiscal — Lei 9.430/1996) |
| Dados dos Clientes Finais (conta ativa) | Durante a vigência do contrato com o Contratante |
| Dados dos Clientes Finais (após cancelamento) | Excluídos junto com os dados do Contratante, em 30 dias |
| Logs de acesso e segurança | 6 meses (Marco Civil da Internet — art. 15) |
| Dados de cookies analíticos | Até 12 meses ou revogação do consentimento |
Após o vencimento do prazo, os dados são excluídos de forma segura ou anonimizados quando utilizados para fins estatísticos agregados.
Processo de exclusão de conta pelo Contratante
O Contratante pode solicitar a exclusão da própria conta a qualquer momento pelo painel (Configurações → Zona de Perigo). Ao confirmar:
- Imediatamente: um e-mail de confirmação é enviado ao Contratante informando a data exata de exclusão (30 dias após a solicitação).
- D-7 (7 dias antes): caso a conta não tenha sido reativada, um segundo e-mail de lembrete é enviado.
- D-0 (data de exclusão): todos os dados dos Clientes Finais (nome, telefone, selos, resgates) são permanentemente excluídos. O registro do Contratante é anonimizado e mantido apenas para fins fiscais e de auditoria, conforme obrigação legal.
Durante o período de carência de 30 dias, o Contratante pode cancelar a exclusão acessando seu painel.
8. Direitos dos titulares
Nos termos do art. 18 da LGPD, os titulares de dados pessoais têm os seguintes direitos, que podem ser exercidos a qualquer momento:
Confirmação e acesso
Confirmar se seus dados são tratados e obter uma cópia.
Correção
Corrigir dados incompletos, inexatos ou desatualizados.
Anonimização / Bloqueio / Eliminação
Solicitar a anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade com a lei.
Portabilidade
Receber seus dados em formato estruturado e interoperável.
Informação sobre compartilhamento
Saber com quais entidades seus dados são compartilhados.
Revogação do consentimento
Retirar o consentimento dado, sem prejuízo da licitude do tratamento anterior.
Oposição
Opor-se ao tratamento realizado com fundamento em outras bases legais, em caso de descumprimento da LGPD.
Revisão de decisões automatizadas
Solicitar revisão de decisões tomadas exclusivamente com base em tratamento automatizado de dados.
Para exercer seus direitos, o titular deve entrar em contato pelo e-mail contato.qrclub@gmail.com com identificação. A QR Club responderá em até 15 dias úteis.
Importante: para solicitações relacionadas aos dados tratados pelo Contratante (como exclusão de dados de um programa de fidelidade específico), o titular deve contatar diretamente o estabelecimento comercial (Controlador dos dados). A QR Club pode apoiar o Contratante no atendimento da solicitação.
9. Segurança da informação
A QR Club adota medidas técnicas e organizacionais para proteger os dados pessoais, incluindo:
- Transmissão de dados criptografada via TLS/HTTPS;
- Senhas armazenadas com hash bcrypt (não reversíveis);
- Autenticação por token JWT com expiração;
- Rate limiting e controles de fraude para acesso ao sistema de selos;
- Controle de acesso por perfil (somente o Contratante acessa dados de seus Clientes Finais);
- Backups periódicos com criptografia em repouso;
- Monitoramento de acessos e alertas de anomalias.
Em caso de incidente de segurança que resulte em risco ou dano relevante aos titulares, a QR Club notificará a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados em prazo razoável, conforme o art. 48 da LGPD.
11. Dados de menores
A Plataforma QR Club é destinada a donos de negócio maiores de 18 anos. Não coletamos intencionalmente dados pessoais de crianças e adolescentes (menores de 18 anos) como Contratantes.
No caso dos Clientes Finais, a responsabilidade pela obtenção do consentimento dos responsáveis legais de menores de 12 anos é exclusivamente do Contratante, nos termos do art. 14 da LGPD.
12. Encarregado de Dados (DPO)
O Encarregado pelo Tratamento de Dados Pessoais (DPO) da QR Club é responsável por:
- Receber e responder às solicitações dos titulares sobre seus dados pessoais;
- Orientar os colaboradores sobre as práticas de proteção de dados;
- Atuar como canal de comunicação com a Autoridade Nacional de Proteção de Dados (ANPD).
Contato do DPO: contato.qrclub@gmail.com
13. Alterações desta Política
Esta Política pode ser atualizada periodicamente para refletir mudanças nas práticas de tratamento de dados, na legislação aplicável ou nos serviços oferecidos. Quando houver alterações relevantes, notificaremos os Contratantes por e-mail com antecedência mínima de 15 dias.
A versão vigente desta Política estará sempre disponível em qrclub.com.br/privacidade com a data da última atualização.
Versão 1.0 — Vigência a partir de 05 de junho de 2026