SGrande Delivery Logo

Política de Privacidade

Última atualização: abril de 2025 · Versão 2.0

Esta Política de Privacidade descreve como a SGrande Delivery Ltda. ("SGrande Delivery", "nós", "nosso") coleta, usa, armazena, compartilha e protege os dados pessoais de usuários, restaurantes parceiros e visitantes que utilizam nossa plataforma de gestão de restaurantes e delivery, incluindo os serviços integrados às plataformas da Meta (Facebook, Instagram, WhatsApp). Leia com atenção antes de utilizar nossos serviços.

1. Identificação do Controlador de Dados

O controlador responsável pelo tratamento dos dados pessoais descritos nesta política é:

  • Razão social: CHRISTIAN FRANCISCO ANDRINO.
  • Nome fantasia: SGRANDE TECNOLOGIA
  • Sede: Salto Grande – SP, Brasil
  • E-mail de privacidade: carreiro@sgrande.delivery
  • Site: https://www.sgrande.delivery

2. Definições

Para fins desta política, aplica-se a seguinte terminologia:

  • Dado pessoal: informação relativa a pessoa natural identificada ou identificável (art. 5º, I, LGPD).
  • Dado sensível: dado sobre origem racial, convicção religiosa, saúde, biometria, entre outros (art. 5º, II, LGPD).
  • Titular: pessoa natural a quem os dados se referem.
  • Controlador: quem decide sobre o tratamento dos dados pessoais.
  • Operador: quem realiza o tratamento em nome do controlador.
  • ANPD: Autoridade Nacional de Proteção de Dados.
  • LGPD: Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018).
  • Meta: Meta Platforms, Inc. e suas subsidiárias (Facebook, Instagram, WhatsApp).
  • API do WhatsApp Business: interface de programação fornecida pela Meta para integração de serviços ao WhatsApp.
  • Facebook Pixel: código de rastreamento fornecido pela Meta para mensurar conversões.

3. Dados que Coletamos

3.1 Dados de restaurantes parceiros (cadastro)

  • Nome completo ou razão social do responsável.
  • CPF ou CNPJ.
  • Endereço completo do estabelecimento.
  • E-mail e telefone de contato.
  • Dados bancários para repasse de pagamentos (quando aplicável).
  • Logotipo, fotos de produtos e demais conteúdos enviados para o cardápio digital.

3.2 Dados de clientes finais (consumidores)

  • Nome, e-mail e telefone fornecidos no cadastro.
  • CPF, quando exigido para emissão de nota fiscal ou pagamento com cartão.
  • Endereço de entrega.
  • Histórico de pedidos realizados nas lojas da plataforma.

3.3 Dados coletados automaticamente

  • Endereço IP e informações de dispositivo e navegador.
  • Páginas visitadas, tempo de sessão e interações com o site.
  • Dados de geolocalização aproximada (derivados do IP).
  • Dados de desempenho e erros da plataforma (logs técnicos).

3.4 Dados recebidos via plataformas Meta

Ao utilizar recursos integrados às plataformas Meta (Facebook Login, WhatsApp Business API, Facebook Pixel), podemos receber os seguintes dados, mediante autorização expressa do titular:

  • Nome e e-mail públicos do perfil do Facebook (quando o usuário opta pelo login social).
  • Número de telefone associado à conta WhatsApp (para comunicações via API do WhatsApp Business).
  • Eventos de conversão e interação registrados pelo Facebook Pixel (visualizações de página, adições ao carrinho, compras concluídas).

Em conformidade com as Políticas da Plataforma Meta, os dados obtidos por meio das APIs da Meta são utilizados exclusivamente para as finalidades declaradas nesta política e jamais são vendidos, cedidos a terceiros não autorizados ou utilizados para segmentação de anúncios de terceiros sem o consentimento do titular.

4. Finalidade e Base Legal do Tratamento

Tratamos dados pessoais somente quando existe base legal prevista na LGPD. A tabela abaixo relaciona as principais finalidades e suas respectivas bases legais:

  • Prestação dos serviços contratados (cadastro, processamento de pedidos, pagamentos): execução de contrato – art. 7º, V, LGPD.
  • Cumprimento de obrigações legais e regulatórias (nota fiscal, retenção contábil): obrigação legal – art. 7º, II, LGPD.
  • Comunicações operacionais (confirmação de pedido, status de entrega via WhatsApp/e-mail): execução de contrato e legítimo interesse – art. 7º, V e IX, LGPD.
  • Mensuração de resultados de marketing (Facebook Pixel, Google Analytics): legítimo interesse / consentimento – art. 7º, IX e I, LGPD.
  • Prevenção a fraudes e segurança da plataforma: legítimo interesse – art. 7º, IX, LGPD.
  • Envio de comunicações de marketing (novidades, promoções): consentimento – art. 7º, I, LGPD.
  • Integração com APIs da Meta (WhatsApp Business API, Facebook Pixel): execução de contrato e consentimento – art. 7º, V e I, LGPD.

5. Compartilhamento de Dados

Não vendemos dados pessoais. Podemos compartilhá-los apenas nas seguintes situações:

5.1 Restaurantes parceiros

Os dados dos clientes finais (nome, telefone, endereço de entrega e histórico de pedidos) são compartilhados com o restaurante onde o pedido foi realizado, sendo este um co-controlador para fins de execução do contrato de prestação de serviço de delivery.

5.2 Processadores de pagamento

Utilizamos gateways de pagamento homologados (PicPay e Mercado Pago) que atuam como operadores de dados. Esses parceiros possuem suas próprias políticas de privacidade e são certificados PCI-DSS. Não armazenamos dados de cartão de crédito em nossos servidores.

5.3 Meta Platforms (Facebook, Instagram, WhatsApp)

Compartilhamos dados com a Meta nas seguintes hipóteses, sempre mediante base legal adequada:

  • Eventos de conversão transmitidos via Facebook Pixel para mensuração de campanhas publicitárias dos restaurantes parceiros.
  • Mensagens e dados de atendimento transmitidos via API do WhatsApp Business para viabilizar o assistente de IA integrado ao WhatsApp.
  • Dados de autenticação quando o usuário opta pelo login social via Facebook.

O uso dos dados compartilhados com a Meta obedece às Políticas de Uso de Dados da Meta, às Políticas da Plataforma Meta e aos Termos da API do WhatsApp Business. A Meta atua como operadora de dados (ou controladora independente, conforme o caso) sujeita à sua própria política de privacidade, disponível em facebook.com/privacy/policy.

5.4 Provedores de infraestrutura e tecnologia

Utilizamos provedores de hospedagem em nuvem, serviços de e-mail transacional, monitoramento de erros e análise de desempenho que processam dados em nosso nome como operadores, vinculados contratualmente às mesmas obrigações de proteção de dados previstas nesta política.

5.5 Autoridades e obrigações legais

Podemos divulgar dados pessoais a autoridades públicas, reguladores ou tribunais quando exigido por lei, ordem judicial ou para defesa de direitos em processos judiciais, administrativos ou arbitrais.

6. API do WhatsApp Business e Assistente de IA

A SGrande Delivery utiliza a API do WhatsApp Business fornecida pela Meta para oferecer aos restaurantes parceiros um assistente de atendimento automatizado com inteligência artificial. Esta seção detalha especificamente o tratamento de dados nesse contexto.

6.1 Dados processados via WhatsApp Business API

  • Número de telefone do cliente que inicia a conversa.
  • Conteúdo das mensagens trocadas com o assistente (texto, áudio transcrito, imagens quando enviadas).
  • Dados do pedido informados durante a conversa (itens, endereço de entrega, forma de pagamento).
  • Metadados da conversa (horário, status de leitura, identificador da sessão).

6.2 Finalidade do processamento

  • Receber e processar pedidos realizados via WhatsApp.
  • Responder dúvidas sobre cardápio, horário de funcionamento e status de entrega.
  • Enviar notificações automáticas de confirmação e rastreamento de pedido.
  • Treinar e melhorar o modelo de atendimento do assistente de IA (dados anonimizados).

6.3 Retenção e exclusão

O histórico de conversas via WhatsApp é retido por até 90 dias para fins operacionais e de suporte. Após esse período, as mensagens são excluídas automaticamente. O titular pode solicitar a exclusão antecipada pelo canal indicado na Seção 15.

6.4 Consentimento e opt-out

Ao iniciar uma conversa com o assistente de IA via WhatsApp, o usuário consente com o processamento dos dados da conversa para as finalidades acima. O usuário pode encerrar o atendimento e solicitar que seus dados sejam excluídos a qualquer momento enviando a mensagem "EXCLUIR MEUS DADOS" ou entrando em contato pelo e-mail carreiro@sgrande.delivery.

A SGrande Delivery não usa o conteúdo das conversas do WhatsApp para veicular anúncios, criar perfis comportamentais para terceiros ou qualquer finalidade incompatível com a prestação do serviço de atendimento ao cliente, em plena conformidade com os Termos da API do WhatsApp Business da Meta.

7. Integração com Plataformas Meta

7.1 Facebook Pixel

Utilizamos o Facebook Pixel em nosso site e nas páginas de cardápio dos restaurantes parceiros para mensurar a eficácia de campanhas publicitárias veiculadas no Facebook e Instagram. O Pixel registra eventos como: visualização de página, visualização de cardápio, início de checkout, adição ao carrinho e compra concluída.

Os dados coletados pelo Pixel são transmitidos à Meta e processados conforme a Política de Dados da Meta. O visitante pode gerenciar suas preferências de rastreamento no banner de consentimento de cookies ou pelo painel de configurações do Facebook em facebook.com/ads/preferences.

7.2 Facebook Login

Oferecemos a opção de cadastro e autenticação via conta do Facebook. Quando o usuário autoriza, recebemos exclusivamente: nome, e-mail e foto de perfil públicos. Não solicitamos acesso à lista de amigos, publicações, mensagens privadas ou quaisquer outros dados além do estritamente necessário.

7.3 Conformidade com as Políticas da Plataforma Meta

A SGrande Delivery declara expressamente que, no uso de todas as APIs e produtos Meta:

  • Utiliza os dados obtidos via APIs da Meta somente para as finalidades declaradas nesta política.
  • Não vende, licencia ou transfere dados obtidos via Meta para terceiros sem base legal e autorização do titular.
  • Não usa dados da Meta para discriminar usuários com base em características protegidas por lei.
  • Implementa controles técnicos e organizacionais para proteger os dados recebidos via APIs da Meta.
  • Atende prontamente solicitações de exclusão de dados originadas pela Meta ou pelo titular.
  • Notifica a Meta em caso de incidente de segurança envolvendo dados obtidos por suas APIs, conforme os prazos estabelecidos nos termos de uso da plataforma.

8. Cookies e Tecnologias de Rastreamento

Utilizamos cookies e tecnologias similares (pixels, tags, armazenamento local) para garantir o funcionamento da plataforma, personalizar a experiência e mensurar resultados.

8.1 Tipos de cookies utilizados

  • Cookies essenciais: necessários para autenticação, segurança e funcionamento básico da plataforma. Não podem ser desativados.
  • Cookies de desempenho: coletam dados agregados e anônimos sobre uso do site (ex.: Google Analytics). Podem ser recusados.
  • Cookies de funcionalidade: lembram preferências do usuário (idioma, localização). Podem ser recusados.
  • Cookies de marketing: utilizados pelo Facebook Pixel e ferramentas similares para mensurar conversões e personalizar anúncios. Requerem consentimento explícito.

8.2 Gestão de consentimento

Ao acessar nosso site pela primeira vez, é exibido um banner de consentimento de cookies nos termos da LGPD. O usuário pode aceitar todos os cookies, aceitar apenas os essenciais ou personalizar suas escolhas. O consentimento pode ser revogado a qualquer momento acessando as configurações de cookies no rodapé do site.

Para mais detalhes sobre os cookies utilizados, consulte nossa Política de Cookies.

9. Direitos do Titular

Nos termos dos arts. 17 a 22 da LGPD, o titular dos dados pessoais possui os seguintes direitos, exercíveis a qualquer momento mediante solicitação ao nosso Encarregado (Seção 15):

  • Confirmação e acesso: confirmar se tratamos seus dados e obter cópia das informações que mantemos sobre você.
  • Correção: solicitar a correção de dados incompletos, inexatos ou desatualizados.
  • Anonimização, bloqueio ou eliminação: requerer a anonimização, bloqueio ou exclusão de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
  • Portabilidade: receber seus dados em formato estruturado e interoperável para transferência a outro fornecedor, observados os segredos comerciais e industriais.
  • Eliminação após revogação do consentimento: excluir dados cujo tratamento tenha sido baseado em consentimento, salvo hipóteses de conservação previstas em lei.
  • Informação sobre compartilhamento: saber com quais entidades públicas e privadas compartilhamos seus dados.
  • Revogação do consentimento: retirar consentimento a qualquer momento, sem prejuízo da licitude do tratamento anterior.
  • Oposição: opor-se a tratamentos realizados com base em legítimo interesse quando não justificados perante suas garantias.
  • Revisão de decisões automatizadas: solicitar revisão humana de decisões tomadas exclusivamente por meios automatizados que afetem seus interesses.
  • Petição à ANPD: apresentar reclamação à Autoridade Nacional de Proteção de Dados.

Para exercer qualquer desses direitos, envie solicitação para carreiro@sgrande.delivery com o assunto "Direitos LGPD" e a descrição do pedido. Responderemos em até 15 dias úteis. Podemos solicitar comprovação de identidade antes de atender a solicitação.

10. Retenção e Exclusão de Dados

Mantemos os dados pessoais pelo tempo necessário para cada finalidade, conforme indicado abaixo:

  • Dados de conta (restaurantes parceiros): enquanto o contrato estiver ativo e por até 5 anos após o encerramento, para cumprimento de obrigações fiscais e legais.
  • Dados de clientes finais: enquanto o cliente possuir conta ativa na plataforma e por até 2 anos após a última interação.
  • Histórico de pedidos: até 5 anos, para fins de contabilidade e resolução de disputas.
  • Logs técnicos e de segurança: até 6 meses, salvo necessidade de investigação de incidentes.
  • Conversas via WhatsApp Business API: até 90 dias após a conversa, conforme Seção 6.3.
  • Dados de cookies de marketing (Facebook Pixel): conforme política de retenção da Meta, normalmente até 180 dias.
  • Dados de consentimento de cookies: até 12 meses, para comprovação do consentimento.

Após o vencimento dos prazos acima, os dados são excluídos de forma segura ou anonimizados, impossibilitando a reidentificação do titular.

11. Segurança dos Dados

Adotamos medidas técnicas e organizacionais adequadas para proteger os dados pessoais contra acesso não autorizado, perda, alteração, divulgação ou destruição acidental ou ilícita, incluindo:

  • Transmissão de dados protegida por criptografia TLS/HTTPS.
  • Armazenamento de senhas com hash criptográfico (bcrypt).
  • Controle de acesso baseado em papéis (RBAC) com princípio do menor privilégio.
  • Monitoramento contínuo de acessos e anomalias nos sistemas.
  • Realização periódica de backups criptografados.
  • Treinamento de colaboradores em boas práticas de proteção de dados.
  • Avaliação regular de riscos e vulnerabilidades (pentest e auditorias).

Em caso de incidente de segurança que resulte em risco ou dano relevante aos titulares, notificaremos a ANPD e os titulares afetados no prazo de 72 horasa partir da ciência do incidente, conforme art. 48 da LGPD, e notificaremos também a Metaquando o incidente envolver dados obtidos por meio de suas APIs.

12. Transferência Internacional de Dados

Alguns de nossos prestadores de serviço estão localizados fora do Brasil, o que implica transferência internacional de dados pessoais. Realizamos essas transferências somente quando:

  • O país destinatário oferece grau de proteção adequado, reconhecido pela ANPD; ou
  • Existem cláusulas contratuais padrão que garantem nível de proteção equivalente ao da LGPD; ou
  • O titular forneceu consentimento específico e informado para a transferência.

Os principais destinatários internacionais são: Meta Platforms, Inc. (EUA — dados de Pixel, WhatsApp Business API e Facebook Login), provedores de nuvem e serviços de e-mail transacional. Todos esses parceiros estão sujeitos a mecanismos de transferência compatíveis com a LGPD e regulamentações aplicáveis.

13. Dados de Menores de Idade

Nossos serviços não são direcionados a menores de 18 anos e não coletamos intencionalmente dados pessoais de crianças ou adolescentes sem o consentimento dos pais ou responsáveis legais, conforme art. 14 da LGPD e o Children's Online Privacy Protection Act (COPPA).

Caso tomemos conhecimento de que coletamos dados de menor de idade sem o devido consentimento, excluiremos tais dados imediatamente. Se você acredita que coletamos dados de um menor sem autorização, entre em contato pelo e-mail carreiro@sgrande.delivery.

14. Conformidade com as Políticas da Plataforma Meta

O SGrande Delivery opera como provedor de tecnologia habilitado pela Meta Platforms, Inc.e utiliza a WhatsApp Business Platform (API), o Facebook Login e o Meta Pixel. Nessa qualidade, assumimos os compromissos adicionais descritos abaixo em relação aos dados processados por meio das plataformas Meta.

14.1 Uso permitido de dados

Os dados obtidos via APIs e SDKs da Meta são utilizados exclusivamente para as finalidades declaradas no momento da coleta e permitidas pelos Meta Platform Terms e pelas WhatsApp Business Terms of Service. É expressamente vedado:

  • Vender, licenciar ou transferir dados de usuários Meta a terceiros não autorizados.
  • Usar dados de usuários Meta para fins de publicidade fora dos produtos Meta sem consentimento explícito.
  • Combinar dados de usuários Meta com dados de outras fontes de forma que viole as políticas da plataforma.
  • Usar dados obtidos pela WhatsApp Business API para criar perfis de usuários para fins além do suporte operacional ao cliente.

14.2 Retenção e exclusão de dados Meta

Dados derivados de interações com plataformas Meta são retidos pelo período mínimo necessário à prestação do serviço contratado. Quando o usuário solicitar a exclusão de seus dados, removeremos ou anonimizaremos todos os dados Meta associados no prazo de 30 dias, salvo obrigação legal de retenção mais prolongada.

14.3 Segurança de dados Meta

Implementamos controles técnicos e organizacionais equivalentes ou superiores aos exigidos pelo Meta Developer Policies, incluindo criptografia em trânsito (TLS 1.2+), controle de acesso baseado em funções (RBAC), revisões periódicas de permissões de acesso às APIs e monitoramento contínuo de incidentes de segurança.

14.4 Auditorias e revisões de acesso

Realizamos revisões anuais (ou imediatas quando exigidas pela Meta) das permissões de acesso às APIs da plataforma, confirmando que apenas as permissões estritamente necessárias ao funcionamento do serviço são mantidas ativas, em conformidade com o princípio de menor privilégio.

Caso a Meta exija a apresentação desta Política de Privacidade ou de documentação de conformidade adicional, nosso Encarregado de Proteção de Dados (DPO) está disponível para fornecer as informações necessárias no prazo determinado pela plataforma.

15. Encarregado de Proteção de Dados (DPO)

Nos termos do art. 41 da LGPD e em conformidade com o Regulamento Geral sobre a Proteção de Dados (RGPD/GDPR) da União Europeia — aplicável às transferências internacionais de dados — designamos um Encarregado de Proteção de Dados (Data Protection Officer — DPO) responsável por:

  • Receber comunicações de titulares de dados e da Autoridade Nacional de Proteção de Dados (ANPD);
  • Orientar os colaboradores e contratados sobre as práticas de proteção de dados;
  • Executar auditorias internas de conformidade com a LGPD e políticas de plataformas parceiras;
  • Coordenar a resposta a incidentes de segurança envolvendo dados pessoais;
  • Manter o Registro de Atividades de Tratamento (art. 37 da LGPD) atualizado.

Contato do DPO:
Nome: Encarregado de Proteção de Dados — SGrande Delivery
E-mail: carreiro@sgrande.delivery
Endereço postal: disponível mediante solicitação ao e-mail acima.

Todas as solicitações recebidas pelo DPO serão respondidas no prazo de 15 dias úteis, podendo ser prorrogado por igual período mediante justificativa, conforme art. 18, § 3.º da LGPD.

16. Alterações desta Política

Esta Política de Privacidade pode ser atualizada periodicamente para refletir mudanças em nossas práticas de dados, alterações legislativas, novas exigências da Meta ou de outras plataformas parceiras, ou melhorias em nossos processos de segurança.

Quando realizarmos alterações relevantes, adotaremos uma ou mais das seguintes medidas de notificação, conforme a natureza da mudança:

  • Notificação in-app: aviso destacado no painel do restaurante na data de entrada em vigor das alterações.
  • E-mail: comunicação direta ao endereço cadastrado do responsável pela conta, com antecedência mínima de 30 dias para mudanças materiais.
  • Atualização da data "Última atualização" no topo desta página.

O uso continuado dos serviços após a data de vigência das alterações constituirá aceite das novas condições. Caso não concorde com as alterações, o usuário pode solicitar o encerramento da conta e a exclusão dos dados nos termos da Seção 9.

Versões anteriores desta Política estão disponíveis mediante solicitação ao DPO. Manteremos um histórico de revisões por, no mínimo, 5 anos.

17. Contato e Lei Aplicável

Dúvidas, solicitações ou reclamações relacionadas ao tratamento de dados pessoais podem ser enviadas pelos seguintes canais:

  • E-mail geral de privacidade: carreiro@sgrande.delivery
  • E-mail do DPO: carreiro@sgrande.delivery
  • Formulário web: disponível em sgrande.delivery/contato

Esta Política de Privacidade é regida e interpretada de acordo com as leis da República Federativa do Brasil. São aplicáveis, em especial:

  • Lei nº 13.709/2018 — Lei Geral de Proteção de Dados Pessoais (LGPD);
  • Lei nº 12.965/2014 — Marco Civil da Internet;
  • Decreto nº 11.491/2023 — regulamentação parcial da LGPD;
  • Resoluções e normativos da ANPD — Autoridade Nacional de Proteção de Dados;
  • Código de Defesa do Consumidor (Lei nº 8.078/1990), no que couber.

Para questões não resolvidas internamente, o titular de dados pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD), por meio do portal gov.br/anpd, ou ao órgão de defesa do consumidor competente (Procon) de seu estado.

Fica eleito o foro da comarca de domicílio do titular de dados para dirimir quaisquer controvérsias decorrentes desta Política, nos termos do art. 22 do Código de Defesa do Consumidor, sem prejuízo da competência de foros especializados em proteção de dados que venham a ser criados.

Esta Política foi elaborada com base nas melhores práticas internacionais de privacidade, nas exigências da LGPD e nos requisitos de conformidade da Meta Platforms, Inc. para provedores de tecnologia. Última revisão jurídica: abril de 2026.