Rumo CARComeçar
← Voltar ao início

Política de Privacidade

Última atualização: 16 de abril de 2026

Esta Política de Privacidade descreve como a AgroRumo Tecnologia LTDA (CNPJ [CNPJ a confirmar]), doravante referida como "Rumo CAR" ou "nós", coleta, usa, armazena, compartilha e protege seus dados pessoais no contexto do aplicativo e site car.agrorumo.com, em conformidade com a Lei nº 13.709/2018 (LGPD).

Controlador e Encarregado (DPO)

  • Controlador: AgroRumo Tecnologia LTDA
  • CNPJ: [CNPJ a confirmar]
  • Encarregado (DPO) / Contato de direitos do titular: contato@agrorumo.com

1. Quais dados coletamos

  • Identificação: nome, e-mail, telefone.
  • Credenciais de conta: login via Apple, Google ou e-mail/senha (senha é armazenada apenas como hash — nunca em texto puro).
  • CPF (Identificador Governamental — categoria especial, LGPD Art. 11): coletado para emissão fiscal, vinculação de contratos e compliance tributário. Armazenado criptografado no banco de dados (AES-256 + pgcrypto).
  • Localização (GPS): usada apenas quando explicitamente autorizada, para registrar coordenadas de talhões, máquinas, ocorrências de campo ou apontamentos. Você pode revogar a permissão a qualquer momento nos ajustes do sistema.
  • Arquivos geoespaciais (shapefile, KML, GeoJSON): usados exclusivamente para cálculo de área, geração de CAR, cruzamento com CCIR/ITR e emissão de documentos solicitados por você. Dados geoespaciais de propriedade rural são tratados como dados sensíveis e recebem o mesmo nível de proteção que dados financeiros.
  • Dados de uso e diagnóstico: métricas de funcionalidade (telas visitadas, ações concluídas, erros), utilizadas em forma agregada para melhorar o produto.

2. Para que usamos seus dados (finalidade e base legal)

Tratamos dados pessoais com base nas hipóteses previstas no Art. 7º da LGPD:

  • Execução do contrato (Art. 7º, V): prestar o serviço contratado, processar pagamentos, dar suporte, emitir recibo/nota.
  • Consentimento (Art. 7º, I): uso de câmera, localização, envio de comunicações de marketing — sempre opt-in explícito; revogável a qualquer momento.
  • Obrigação legal e regulatória (Art. 7º, II): retenção de dados fiscais/financeiros por até 5 anos após o encerramento da conta (Código Tributário Nacional, Art. 173).
  • Legítimo interesse (Art. 7º, IX): prevenção a fraude, segurança da infraestrutura, melhoria do produto com dados agregados/anonimizados.
  • Tutela da saúde/proteção ao crédito e dados sensíveis (Art. 11): o CPF é tratado como identificador governamental, com salvaguardas técnicas reforçadas (criptografia em repouso).

3. Com quem compartilhamos seus dados (sub-operadores)

Para operar o serviço, compartilhamos dados estritamente necessários com os seguintes sub-operadores. Todos estão contratualmente obrigados a tratar seus dados apenas sob nossas instruções, com o mesmo nível de proteção exigido pela LGPD:

  • Supabase (Supabase Inc.) — banco de dados, autenticação e armazenamento de arquivos (política). servidores em US-East (adequação LGPD Art. 33)
  • Vercel (Vercel Inc.) — hospedagem do site e APIs (política).
  • Sentry (Functional Software, Inc.) — monitoramento de falhas e diagnóstico de erros (política).
  • PostHog (PostHog Inc.) — analytics de produto (uso agregado) (política).

Transferência internacional: alguns sub-operadores (Supabase, Stripe, Sentry, PostHog, OneSignal, Vercel) operam infraestrutura fora do Brasil (principalmente US-East). Essas transferências são feitas sob as salvaguardas previstas no Art. 33 da LGPD (cláusulas contratuais específicas e padrões internacionais equivalentes ao previsto na legislação brasileira).

4. Nunca vendemos seus dados

Não vendemos, alugamos nem cedemos seus dados pessoais a terceiros para fins comerciais de marketing de terceiros. Ponto.

5. Como protegemos seus dados

  • Em trânsito: TLS 1.3 em todas as conexões (HTTPS obrigatório).
  • Em repouso: AES-256 no banco de dados; campos sensíveis (CPF, dados financeiros) com camada adicional pgcrypto.
  • Controle de acesso: Row Level Security (RLS) no Supabase — cada usuário acessa apenas seus próprios dados.
  • Auditoria: logs de acesso e modificação retidos por 12 meses.
  • Backups: diários, criptografados, com retenção de 30 dias.
  • Resposta a incidentes: em caso de violação de dados que possa causar risco relevante, notificaremos a ANPD e os titulares afetados em até 72 horas, conforme Art. 48 da LGPD.

6. Por quanto tempo guardamos seus dados

  • Conta ativa: enquanto você mantiver a conta no Rumo CAR.
  • Após o cancelamento: dados identificáveis são deletados em até 30 dias, exceto:
  • Documentos fiscais e registros financeiros: retidos por 5 anos por obrigação legal (CTN Art. 173; Lei 10.406/2002 Art. 1.194).
  • Logs de segurança e auditoria: 12 meses.
  • Dados anonimizados (agregados, sem possibilidade de reidentificação): podem ser mantidos por tempo indeterminado para fins estatísticos.

7. Seus direitos como titular (Art. 18 da LGPD)

Você tem direito a, a qualquer momento:

  1. Confirmar se tratamos dados seus.
  2. Acessar os dados que temos sobre você.
  3. Corrigir dados incompletos, inexatos ou desatualizados.
  4. Anonimizar, bloquear ou eliminar dados desnecessários ou tratados em desconformidade com a lei.
  5. Portabilidade dos dados para outro fornecedor, em formato estruturado (JSON/CSV).
  6. Eliminar os dados tratados com base no consentimento.
  7. Obter informação sobre com quem compartilhamos seus dados.
  8. Ser informado sobre a possibilidade de não fornecer consentimento e as consequências.
  9. Revogar o consentimento a qualquer momento.

Para exercer qualquer desses direitos, entre em contato com nosso Encarregado (DPO): contato@agrorumo.com. Responderemos em até 15 dias. Você também pode apresentar reclamação diretamente à Autoridade Nacional de Proteção de Dados — ANPD.

8. Crianças e adolescentes

O Rumo CAR não é direcionado a menores de 18 anos e não coleta deliberadamente dados de crianças ou adolescentes. Se identificarmos que uma conta foi criada por um menor sem consentimento específico e destacado de ao menos um dos pais ou responsável legal (LGPD Art. 14), excluiremos a conta e os dados associados imediatamente. Se você é responsável e acredita que uma criança criou conta no Rumo CAR, entre em contato: contato@agrorumo.com.

9. Cookies e tecnologias similares

No site car.agrorumo.com usamos apenas:

  • Cookies essenciais (necessários ao funcionamento do site — sessão, preferências). Não exigem consentimento (Art. 7º, V LGPD).
  • Cookies de analytics (PostHog/Vercel Analytics) — apenas após consentimento explícito via banner, e sempre anonimizados (sem IP completo).

Você pode desativar cookies a qualquer momento nos ajustes do seu navegador.

10. Alterações nesta política

Podemos atualizar esta política periodicamente. Mudanças materiais serão comunicadas por e-mail e/ou notificação in-app com pelo menos 15 dias de antecedência. A versão vigente estará sempre disponível em https://car.agrorumo.com/privacidade.

11. Lei aplicável e foro

Esta política rege-se pelas leis da República Federativa do Brasil, em especial pela LGPD (Lei nº 13.709/2018). Fica eleito o foro da comarca do domicílio do titular para dirimir quaisquer controvérsias.

Controlador: AgroRumo Tecnologia LTDA · CNPJ: [CNPJ a confirmar] · DPO: contato@agrorumo.com · Vigência: 16 de abril de 2026