Política de Privacidade

Última atualização: 13 jul 2026

A Bora Pedir AI respeita sua privacidade e está comprometida em proteger seus dados pessoais. Esta Política de Privacidade descreve como coletamos, usamos, compartilhamos e protegemos suas informações, em conformidade com a Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018).

1. Quem Somos e Nosso Compromisso

A Bora Pedir AI é uma plataforma SaaS (Software como Serviço) desenvolvida para gestão interna de pedidos de delivery, voltada para lanchonetes e restaurantes brasileiros. Nossa missão é oferecer tecnologia simples, eficiente e segura para otimizar o fluxo operacional do seu negócio.

Levamos a sério a proteção de dados pessoais e operamos sob os princípios da LGPD: transparência, segurança, finalidade, adequação, necessidade, livre acesso, qualidade dos dados, não discriminação e responsabilização.

2. Dados Coletados

Coletamos apenas os dados necessários para o funcionamento adequado da plataforma. Abaixo, descrevemos as categorias de dados tratados:

2.1 Dados de Autenticação (Google OAuth 2.0)

  • Nome completo
  • Endereço de e-mail
  • Foto de perfil (fornecida pelo Google)
  • ID de usuário do Google (usado apenas para autenticação)

Importante: Não coletamos ou armazenamos senhas. A autenticação é gerenciada exclusivamente pelo Google.

2.2 Dados Cadastrais do Estabelecimento

  • Nome do estabelecimento
  • Telefone de contato
  • Configurações operacionais (horários, formas de pagamento)

2.3 Dados de Pedidos e Clientes

  • Nome do cliente
  • Telefone
  • Endereço de entrega
  • CPF (opcional, criptografado quando fornecido)
  • Histórico de pedidos e valores

Importante - Papéis na LGPD: O estabelecimento usuário da plataforma é o controlador (art. 5º, VI, LGPD) dos dados de seus clientes finais, responsável pelas decisões sobre tratamento. A Bora Pedir AI atua como operadora (art. 5º, VII, LGPD), processando essas informações conforme instruções documentadas do estabelecimento e em conformidade com a LGPD. O estabelecimento deve garantir base legal adequada para coleta e tratamento dos dados de seus clientes.

2.4 Dados de Uso e Navegação

  • Endereço IP (Internet Protocol) - identificador numérico do dispositivo na rede
  • Tipo de navegador e dispositivo (user agent, sistema operacional, resolução de tela)
  • Data e hora de acesso
  • Páginas visitadas e ações realizadas na plataforma (URLs acessadas)
  • Logs de segurança e auditoria (incluindo tentativas de login, endereços IP de origem, requisições HTTP), mantidos por 6 meses conforme Marco Civil da Internet (Lei nº 12.965/2014, art. 15)

3. Como Usamos Seus Dados

Utilizamos seus dados pessoais exclusivamente para as seguintes finalidades:

  • Operação da plataforma: Processar pedidos, gerenciar fluxo Kanban, permitir acesso à sua conta.
  • Melhorias e desenvolvimento: Analisar padrões de uso agregados e anônimos para aprimorar a experiência do usuário.
  • Suporte técnico: Responder dúvidas, solucionar problemas e fornecer assistência.
  • Segurança: Detectar, prevenir e investigar fraudes, abusos e atividades não autorizadas.
  • Conformidade legal: Cumprir obrigações fiscais, tributárias e requisições judiciais.
  • Comunicação: Enviar notificações essenciais sobre o serviço (atualizações, manutenções, mudanças de termos). Não enviamos marketing sem consentimento prévio.

5. Compartilhamento de Dados

Nós não vendemos seus dados pessoais em hipótese alguma. Compartilhamos informações apenas nas seguintes circunstâncias:

5.1 Processadores Autorizados

  • Google Cloud Platform: Hospedagem da infraestrutura (Cloud Run, Cloud SQL, Cloud Storage).
  • Google OAuth: Serviço de autenticação.

Todos os processadores possuem acordos de proteção de dados compatíveis com a LGPD e operam sob nossas instruções.

5.2 Requisições Legais

Podemos divulgar dados quando exigido por lei, ordem judicial, autoridade competente ou para proteger direitos, propriedade e segurança da plataforma e de seus usuários.

5.3 Transferência Internacional de Dados (art. 33 LGPD)

Seus dados pessoais são armazenados primariamente em servidores localizados no Brasil (região southamerica-east1 do Google Cloud Platform). Em casos de transferência internacional de dados (por exemplo, para processamento de autenticação pelo Google, suporte técnico ou funcionalidades de infraestrutura em nuvem), garantimos mecanismos de proteção adequados nos termos do art. 33 da LGPD:

  • Cláusulas Contratuais Padrão (SCCs/Cláusulas-Padrão): Utilizamos modelos oficiais aprovados pela ANPD via Regulamentação CD/ANPD 19/2024 (23 agosto 2024) ou cláusulas reconhecidas por organismos internacionais;
  • Decisões de Adequação: Transferências para países reconhecidos pela ANPD como tendo nível adequado de proteção de dados (incluindo União Europeia desde 27 janeiro 2026, conforme decisão mútua de adequação Brasil-UE);
  • Garantias Técnicas e Organizacionais: Receptores internacionais implementam medidas de segurança compatíveis com LGPD (criptografia, pseudonimização, controles de acesso, certificações de segurança).

Transparência: Você pode solicitar ao nosso DPO informações detalhadas sobre transferências internacionais que afetem seus dados, incluindo países de destino, mecanismos de proteção aplicados e identificação de receptores.

6. Segurança da Informação

Implementamos medidas técnicas e organizacionais robustas para proteger seus dados contra acesso não autorizado, alteração, divulgação ou destruição:

  • Criptografia: Dados sensíveis (CPF/CNPJ) são criptografados com AES-256-GCM. Transmissão via HTTPS (TLS 1.3).
  • Controle de acesso: Autenticação multi-fator (MFA) obrigatória para operações críticas. Acesso baseado em funções (RBAC).
  • Backups: Rotinas automáticas diárias com retenção de 30 dias.
  • Monitoramento: Logs de auditoria, detecção de anomalias e resposta a incidentes.
  • Isolamento: Cada estabelecimento possui seu próprio espaço de dados (multi-tenancy isolado).

Resposta a Incidentes (art. 48 e Regulamentação CD/ANPD 15/2024)

Importante: Apesar de todos os esforços, nenhum sistema é 100% imune a incidentes de segurança. Mantemos um plano de resposta a incidentes em conformidade com o art. 48 da LGPD e Regulamentação CD/ANPD 15/2024.

Critérios de Notificação

Notificaremos a ANPD e você em até 3 dias úteis após tomarmos conhecimento de incidente de segurança que possa resultar em risco ou dano relevante, considerando os seguintes critérios:

  • Efeito significativo sobre direitos e liberdades fundamentais
  • E pelo menos um dos seguintes: dados sensíveis; dados de crianças ou idosos; dados financeiros; credenciais de autenticação; informações confidenciais; dados em grande escala

Conteúdo da Notificação: Caso seja necessário notificá-lo, a comunicação incluirá: (i) natureza e categorias dos dados pessoais afetados; (ii) salvaguardas técnicas que protegem as informações; (iii) riscos relacionados ao incidente e possíveis consequências; (iv) medidas de mitigação implementadas ou planejadas; (v) informações de contato do nosso DPO.

Prazo Estendido: Se a notificação completa não for viável em 3 dias úteis, enviaremos comunicação preliminar justificando o prazo adicional, com informações completas em até 20 dias úteis.

Registro de Incidentes: Mantemos documentação de todos os incidentes de segurança por 5 anos, incluindo: data de ciência, circunstâncias, natureza dos dados afetados, número de titulares impactados, avaliações de risco e medidas adotadas.

7. Retenção de Dados

Mantemos seus dados pessoais apenas pelo tempo necessário para cumprir as finalidades descritas nesta política:

  • Dados cadastrais (conta ativa): Enquanto sua conta estiver ativa. Após encerramento: eliminação em até 30 dias, salvo obrigação legal.
  • Registros fiscais (pedidos/pagamentos): 5 anos contados do primeiro dia do exercício seguinte (Código Tributário Nacional, art. 174). Obrigação legal de retenção (art. 7º, II, LGPD).
  • Logs de conexão (IPs, timestamps): 6 meses (Marco Civil da Internet, art. 15). Logs de aplicação podem ser retidos por prazo superior quando necessários para segurança.
  • Registros de incidentes de segurança: 5 anos (Regulamentação CD/ANPD 15/2024, art. 9º).
  • Dados em disputa judicial: Retidos até decisão transitada em julgado ou encerramento do litígio (art. 16, I, LGPD).
  • Dados anonimizados irreversivelmente: Indefinidamente para fins estatísticos. Não são considerados dados pessoais após anonimização que impossibilite, por meios técnicos razoáveis, a re-identificação do titular.

Eliminação Segura: Após o término dos prazos de retenção, os dados serão eliminados de forma segura (sobrescrição, desmagnetização ou destruição física de mídias) ou anonimizados irreversivelmente, conforme determinado pela finalidade original e obrigações legais.

Portabilidade antes da Eliminação: Você pode solicitar cópia de seus dados em formato estruturado e interoperável antes do encerramento da conta ou término do prazo de retenção, nos termos do art. 18, V, LGPD.

8. Seus Direitos (LGPD)

De acordo com a LGPD (art. 18), você possui os seguintes direitos sobre seus dados pessoais:

I. Confirmação e Acesso

Confirmar se tratamos seus dados e acessar uma cópia completa deles.

II. Correção

Solicitar a correção de dados incompletos, inexatos ou desatualizados.

III. Anonimização, Bloqueio ou Eliminação

Requerer a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.

IV. Portabilidade

Solicitar a portabilidade de seus dados a outro fornecedor de serviço, mediante requisição expressa, em formato estruturado e interoperável.

V. Eliminação de Dados Baseados em Consentimento

Solicitar a exclusão de dados pessoais tratados com base no seu consentimento, exceto quando houver obrigação legal de retenção.

VI. Informação sobre Compartilhamento

Obter informações sobre entidades públicas e privadas com as quais compartilhamos seus dados.

VII. Revogação do Consentimento

Revogar o consentimento a qualquer momento, mediante manifestação expressa.

Como exercer seus direitos: Para exercer qualquer dos direitos acima, entre em contato com nosso Encarregado de Proteção de Dados (DPO) pelo e-mail privacidade@borapedir.ai.

Prazo de Resposta: Responderemos sua solicitação em até 15 dias corridos (art. 18, §4º da LGPD), prorrogáveis por mais 15 dias mediante justificativa expressa. Caso haja prorrogação, você será informado dentro do prazo inicial.

Verificação de Identidade: Para proteger seus dados contra acesso não autorizado, poderemos solicitar informações adicionais para confirmar sua identidade antes de atender à solicitação (cópia de documento oficial com foto, confirmação de dados cadastrais, verificação via autenticação Google).

Gratuidade: O exercício dos direitos previstos no art. 18 da LGPD é gratuito. Cobranças poderão ocorrer apenas em caso de solicitações manifestamente infundadas, excessivas ou repetitivas, conforme custos administrativos razoáveis.

Limitações aos Direitos

Os direitos acima podem ser limitados ou negados em situações específicas previstas na LGPD, tais como: (i) cumprimento de obrigação legal ou regulatória; (ii) uso exclusivo pelo controlador (Bora Pedir AI), vedado acesso por terceiros, e desde que anonimizados; (iii) quando a exclusão puder impossibilitar ou prejudicar gravemente serviços de saúde ou segurança pública. Nesses casos, justificaremos a limitação de forma clara e fundamentada.

9. Cookies e Tecnologias Similares

Utilizamos cookies e tecnologias similares para melhorar sua experiência na plataforma. Cookies são pequenos arquivos de texto armazenados no seu navegador.

Tipos de Cookies Utilizados

Essenciais (Obrigatórios)

Cookies de autenticação (access_token, refresh_token) e identificação de estabelecimento. Sem esses cookies, a plataforma não funciona.

Preferências

Armazenam configurações como tema (claro/escuro) e preferências de interface.

Como gerenciar cookies: Você pode configurar seu navegador para bloquear ou ser alertado sobre cookies. No entanto, cookies essenciais são necessários para o funcionamento da plataforma.

10. Limitação de Responsabilidade

A Bora Pedir AI emprega esforços comercialmente razoáveis para proteger seus dados pessoais. No entanto, nos limites da legislação aplicável, especialmente o Código de Defesa do Consumidor (CDC) e a LGPD:

10.1 Exclusões e Limitações

I. Caso Fortuito e Força Maior

Não seremos responsáveis por danos, perdas ou indisponibilidade decorrentes de eventos fora de nosso controle razoável, incluindo, mas não se limitando a: desastres naturais, guerras, ataques cibernéticos de terceiros, falhas generalizadas de infraestrutura de internet, atos governamentais ou regulatórios, greves, pandemias ou outras situações de força maior.

II. Conduta de Terceiros

Não nos responsabilizamos por violações de segurança causadas exclusivamente por ações de terceiros não autorizados, incluindo hackers, desde que tenhamos implementado medidas de segurança adequadas conforme padrões de mercado. Também não somos responsáveis por conteúdo ou práticas de privacidade de serviços de terceiros (como Google OAuth) fora de nossa plataforma.

III. Uso Inadequado pelo Usuário

Você é responsável por manter a confidencialidade de suas credenciais de acesso. Não nos responsabilizamos por acessos não autorizados decorrentes de compartilhamento de senhas, phishing, engenharia social ou uso negligente de suas credenciais.

IV. Dados Fornecidos pelo Estabelecimento

Como operadora de dados de clientes finais, não somos responsáveis pela licitude, qualidade ou precisão dos dados de clientes inseridos pelo estabelecimento. O estabelecimento, como controlador desses dados, deve garantir conformidade com a LGPD em sua coleta e uso.

10.2 Responsabilidade Civil e Administrativa

A Bora Pedir AI pode ser responsabilizada por danos materiais, morais, individuais ou coletivos decorrentes de violação à LGPD, conforme art. 42 e seguintes. Importante: A legislação brasileira não estabelece limites monetários para responsabilidade civil em casos de violação de proteção de dados. Danos serão determinados caso a caso pelo Poder Judiciário com base no prejuízo efetivamente comprovado.

Defesas Legais (art. 43 LGPD)

Não seremos responsabilizados quando demonstrarmos que: (i) não realizamos o tratamento de dados que gerou o dano; (ii) não houve violação à legislação de proteção de dados; ou (iii) o dano decorreu exclusivamente de culpa do titular ou de terceiro.

Sanções Administrativas (art. 52 LGPD)

Violações à LGPD podem resultar em sanções aplicadas pela ANPD, incluindo: advertência; multa simples de até 2% do faturamento no Brasil, limitada a R$ 50 milhões por infração; multa diária; publicização da infração; bloqueio ou eliminação de dados; suspensão parcial ou total da atividade de tratamento (até 6 meses). As sanções são aplicadas mediante procedimento administrativo com garantia de ampla defesa.

Danos Indiretos: Ressalvadas as disposições legais imperativas, não nos responsabilizamos por danos indiretos, incidentais, consequenciais ou punitivos (incluindo perda de lucros, receitas, oportunidades de negócio ou reputação) quando não houver nexo causal direto com conduta dolosa ou culposa de nossa parte. Limitações de responsabilidade não se aplicam em casos de dolo ou culpa grave.

10.3 Legislação Imperativa

As limitações acima não se aplicam a direitos inderrogáveis previstos na legislação brasileira, incluindo direitos do Código de Defesa do Consumidor, Marco Civil da Internet e LGPD. Em caso de conflito, prevalecem as disposições legais obrigatórias.

11. Garantias, Isenções e Obrigações do Usuário

11.1 Isenção de Garantias

A plataforma Bora Pedir AI é fornecida "no estado em que se encontra" (as is) e "conforme disponível" (as available). Sem prejuízo das garantias legais obrigatórias, não garantimos que:

  • O serviço será ininterrupto, livre de erros ou completamente seguro contra todas as ameaças;
  • Defeitos serão corrigidos em prazo específico ou que resultados específicos sejam alcançados;
  • A plataforma atenderá a todos os seus requisitos ou expectativas comerciais particulares.

Realizamos manutenções programadas e corretivas com o objetivo de minimizar interrupções, mas não garantimos disponibilidade de 100% (cem por cento).

11.2 Obrigações e Garantias do Usuário

Ao utilizar a plataforma e fornecer dados pessoais, você declara, garante e se compromete a:

I. Veracidade dos Dados

Fornecer informações verdadeiras, precisas, atuais e completas. Dados falsos ou enganosos podem resultar em suspensão ou encerramento de sua conta.

II. Consentimento de Terceiros

Se você é um estabelecimento que insere dados de clientes finais na plataforma, você garante possuir todos os consentimentos, autorizações e bases legais necessários para coleta e tratamento desses dados, em conformidade com a LGPD.

III. Uso Lícito

Usar a plataforma apenas para fins legítimos e em conformidade com a legislação brasileira, esta Política e os Termos de Uso. É proibido utilizar a plataforma para fins ilícitos, fraudulentos ou que violem direitos de terceiros.

IV. Segurança de Credenciais

Manter a confidencialidade de suas credenciais de acesso e notificar imediatamente a Bora Pedir AI em caso de uso não autorizado ou violação de segurança de sua conta.

11.3 Indenização pelo Usuário

Você concorda em indenizar, defender e manter a Bora Pedir AI, suas afiliadas, diretores, funcionários, agentes e parceiros isentos de quaisquer reclamações, danos, perdas, responsabilidades, custos e despesas (incluindo honorários advocatícios razoáveis) decorrentes de:

  • Seu uso inadequado ou ilícito da plataforma;
  • Violação desta Política de Privacidade, Termos de Uso ou legislação aplicável;
  • Violação de direitos de terceiros, incluindo direitos de privacidade ou propriedade intelectual;
  • Inserção de dados de clientes finais sem consentimento adequado ou em desacordo com a LGPD.

Esta obrigação de indenização sobreviverá ao término ou cancelamento de sua conta.

12. Alterações nesta Política

Reservamo-nos o direito de atualizar esta Política de Privacidade periodicamente para refletir mudanças em nossas práticas, legislação aplicável ou melhorias no serviço.

Quando realizarmos alterações materiais, notificaremos você por meio de:

  • Aviso destacado na plataforma;
  • E-mail para o endereço cadastrado;
  • Atualização da data de "última atualização" no topo deste documento.

Aceitação de Alterações: Recomendamos que você revise esta política regularmente. O uso continuado da plataforma após as alterações entrarem em vigor constitui sua aceitação da nova versão. Caso não concorde com as alterações materiais, você pode encerrar sua conta entrando em contato com nosso suporte ou DPO. Alterações entram em vigor 15 (quinze) dias após a notificação, salvo quando exigido prazo diferente por lei.

Alterações para atender requisitos legais ou regulatórios entram em vigor imediatamente.

13. Contato e Encarregado de Dados (DPO)

Se você tiver dúvidas, preocupações ou solicitações relacionadas a esta Política de Privacidade ou ao tratamento de seus dados pessoais, entre em contato com nosso Encarregado de Proteção de Dados (Data Protection Officer - DPO):

Encarregado de Proteção de Dados (DPO)

privacidade@borapedir.ai

Prazo de resposta: até 15 dias úteis

Você também pode apresentar reclamações à Autoridade Nacional de Proteção de Dados (ANPD), órgão responsável pela fiscalização do cumprimento da LGPD no Brasil: www.gov.br/anpd

Lei Aplicável e Foro

Esta Política de Privacidade é regida e interpretada de acordo com as leis da República Federativa do Brasil, em especial a Lei Geral de Proteção de Dados (Lei nº 13.709/2018), o Marco Civil da Internet (Lei nº 12.965/2014) e o Código de Defesa do Consumidor (Lei nº 8.078/1990).

Quaisquer disputas decorrentes desta Política serão dirimidas no foro da comarca de seu domicílio, nos termos do art. 101, I do Código de Defesa do Consumidor, quando aplicável, ou no foro da comarca de São Paulo/SP, quando não se tratar de relação de consumo, renunciando-se a qualquer outro, por mais privilegiado que seja.

© 2026 Bora Pedir AI. Todos os direitos reservados.