IAVA

Política de Privacidade e Tratamento de Dados

Plataforma IAVA

Data de Vigência: 12 de dezembro de 2025

Introdução e Âmbito de Aplicação

A IAVA está comprometida com a proteção da privacidade e com a transparência no tratamento de dados pessoais. Esta Política de Privacidade e Tratamento de Dados ("Política") descreve de forma detalhada e expressa como coletamos, utilizamos, armazenamos, protegemos, compartilhamos e excluímos dados pessoais, em conformidade com:

  • Lei Geral de Proteção de Dados Pessoais (LGPD) — Lei 13.709/2018
  • Regulamento Geral de Proteção de Dados da União Europeia (GDPR) — Regulamento UE 2016/679
  • Marco Civil da Internet — Lei 12.965/2014
  • Políticas da Apple App Store e Google Play Store

Esta Política integra os Termos e Condições Gerais de Uso e Adesão e aplica-se a todos os usuários que acessam a plataforma IAVA via website (https://web.iava.app), site institucional (https://iava.app) ou aplicativos mobile (iOS e Android).

Natureza da Relação e Declaração do Usuário

AO UTILIZAR A PLATAFORMA, VOCÊ DECLARA:

  • Ter lido, compreendido e aceito integralmente esta Política de Privacidade
  • Reconhecer que a IAVA é uma solução B2B (business-to-business) voltada a empreendedores, empresas, profissionais liberais, infoprodutores e agentes econômicos
  • Possuir qualificação técnica adequada, experiência prévia em ferramentas digitais e capacidade de interpretação de métricas operacionais
  • Não ser considerado vulnerável ou hipossuficiente técnica, informacional ou economicamente para fins desta relação
  • Utilizar a plataforma no contexto de atividade econômica organizada, e não como destinatário final de consumo

1. Identificação da Controladora de Dados

1.1. Qualificação Completa

Razão Social: IAVA SOFTWARE LTDA

Nome Fantasia: IAVA

CNPJ: 63.867.167/0001-74

Endereço da Sede Social: Rua João Bortoluzzi, nº 375, Nova Veneza, Estado de Santa Catarina, Brasil

Responsável Legal: André Dagostim

Natureza Jurídica: Sociedade Empresária Limitada

1.2. Canais Oficiais de Comunicação

Privacidade, Proteção de Dados e LGPD/GDPR:

E-mail: privacy@iava.app

Finalidade: Exercício de direitos de titulares (acesso, correção, exclusão, portabilidade), questões de conformidade regulatória, comunicação com DPO

Suporte Técnico e Operacional:

E-mail: support@iava.app

Finalidade: Dúvidas sobre funcionalidades, bugs, problemas técnicos

Segurança da Informação e Denúncias de Abuso:

E-mail: abuse@iava.app

Finalidade: Incidentes de segurança, violações, divulgação responsável de vulnerabilidades

Institucional, Comercial e Assuntos Gerais:

E-mail: contact@iava.app

Finalidade: Parcerias comerciais, mídia, investidores

1.3. Domínios Oficiais

Site Institucional: https://iava.app

Plataforma Web (Aplicação SaaS): https://web.iava.app

App iOS: [Link da Apple App Store - quando disponível]

App Android: [Link do Google Play Store - quando disponível]

1.4. Atuação Geográfica

A IAVA opera comercialmente em Brasil, União Europeia e América do Norte.

1.5. Encarregado de Proteção de Dados (DPO)

E-mail Oficial do DPO: privacy@iava.app

A IAVA está em processo formal de nomeação de Encarregado de Proteção de Dados independente, conforme exigências do Art. 41 da LGPD e Art. 37 do GDPR. Até a conclusão deste processo, todas as questões de proteção de dados devem ser encaminhadas para o e-mail acima.

1.6. Papel na Proteção de Dados

A IAVA atua como Controladora de Dados, conforme definido pela LGPD (Art. 5º, VI) e pelo GDPR (Art. 4º, §7).

2. Categorias de Dados Coletados

Esta seção detalha de forma expressa e clara todas as categorias de dados pessoais coletados pela IAVA.

2.1. Dados Fornecidos Diretamente pelo Usuário

Informações cadastrais e contratuais:

  • Nome completo
  • E-mail
  • CPF ou CNPJ
  • Telefone
  • Endereço (para faturamento)
  • Dados empresariais: razão social, nome fantasia, segmento de atuação, cargo, número de colaboradores

Base Legal (LGPD): Art. 7º, V — Execução de contrato

Base Legal (GDPR): Art. 6(1)(b) — Performance of a contract

Finalidade: Identificação do usuário, emissão de notas fiscais, definição de perfil de conta, cálculo de tributos e viabilização dos serviços.

Dados de pagamento e cobrança:

  • Últimos 4 dígitos do cartão (para identificação)
  • Bandeira
  • Histórico de transações e status de pagamento

IMPORTANTE: Dados completos de cartão (número, CVV, validade) NÃO são armazenados pela IAVA, sendo processados exclusivamente por intermediadores certificados PCI-DSS (Stripe, PagSeguro, Mercado Pago)

2.2. Dados Coletados Automaticamente

Informações técnicas e de navegação:

  • Endereço IP
  • Tipo de navegador e dispositivo
  • Sistema operacional
  • Geolocalização aproximada (quando autorizada)
  • Logs de acesso e atividade
  • Cookies e identificadores únicos
  • Interações dentro da plataforma (cliques, páginas visitadas, tempo de sessão)
  • Dados de uso e comportamento

Base Legal (LGPD): Art. 7º, IX — Legítimo interesse

Base Legal (GDPR): Art. 6(1)(f) — Legitimate interests

Legítimo interesse justificado: Segurança da plataforma, prevenção a fraudes, melhoria da experiência do usuário e funcionamento adequado dos serviços.

2.3. Dados Coletados via Aplicativos Mobile

2.3.1. Dados técnicos do dispositivo:

  • Modelo do dispositivo
  • Sistema operacional e versão
  • Versão do aplicativo instalada
  • Identificador único (IDFA para iOS, AAID para Android) — apenas com consentimento
  • Fabricante do dispositivo
  • Resolução de tela
  • Idioma do dispositivo
  • Fuso horário

2.3.2. Dados de uso e comportamento no app:

  • Telas/páginas visualizadas
  • Funcionalidades acessadas
  • Tempo de sessão
  • Frequência de uso
  • Eventos in-app (cliques, ações, interações)
  • Histórico de navegação dentro do app
  • Preferências de configuração

2.3.3. Dados de localização:

  • Geolocalização aproximada: Baseada em endereço IP (coletada automaticamente)
  • Geolocalização precisa: Coordenadas GPS (coletada APENAS com autorização explícita nas configurações do dispositivo)

Finalidade da coleta de localização:

  • Personalização de conteúdo regional
  • Análise de performance por região geográfica
  • Detecção de fraudes e segurança

2.3.4. Permissões solicitadas pelos apps:

iOS (conforme App Store Guidelines):

  • Notificações Push
  • Armazenamento/Fotos
  • Câmera
  • Localização (opcional)

Android (conforme Google Play Policies):

  • Notificações
  • Armazenamento
  • Câmera
  • Localização (opcional)
  • Internet

IMPORTANTE: Você pode gerenciar essas permissões a qualquer momento nas configurações do seu dispositivo.

Base Legal (LGPD):

  • Art. 7º, V — Execução de contrato (dados necessários para funcionamento)
  • Art. 7º, I — Consentimento (permissões opcionais)
  • Art. 7º, IX — Legítimo interesse (análise de uso e melhoria)

2.4. Dados Operacionais e Comerciais (UGC)

  • Dados de vendas e faturamento
  • Resultados de campanhas de marketing
  • Métricas operacionais (conversões, cliques, ROI, CAC, LTV)
  • Taxas de performance e desempenho comercial
  • Informações estratégicas sobre produtos, serviços e clientes
  • Configurações de campanhas e integrações

Titularidade: O Usuário permanece proprietário desses dados

Base Legal (LGPD): Art. 7º, V — Execução de contrato + Art. 7º, IX — Legítimo interesse para geração de insights agregados

3. Finalidades do Tratamento de Dados

3.1. Execução e Gestão do Contrato

  • Criação, autenticação e administração de contas
  • Processamento de assinaturas e cobranças recorrentes
  • Prestação de suporte técnico
  • Emissão de notas fiscais e recibos
  • Gestão de riscos e prevenção a fraudes
  • Cumprimento de obrigações contratuais

Base Legal: Execução de contrato (LGPD Art. 7º, V; GDPR Art. 6(1)(b))

3.2. Segurança, Melhoria e Personalização da Plataforma

  • Monitoramento de atividades suspeitas e logs de segurança
  • Diagnóstico de falhas técnicas, bugs e instabilidades
  • Desenvolvimento de novas funcionalidades
  • Personalização da experiência do usuário
  • Testes A/B e otimização de interface
  • Análise de uso do app mobile para melhorias

Base Legal: Legítimo interesse (LGPD Art. 7º, IX; GDPR Art. 6(1)(f))

3.3. Comunicação Institucional e Marketing

  • E-mails transacionais (confirmações, alertas de cobrança, alterações nos Termos)
  • Newsletters, conteúdos educativos e ofertas (quando consentido)
  • Comunicações sobre atualizações da plataforma
  • Notificações push no app mobile (quando autorizadas)
  • Segmentação baseada em comportamento (respeitando opt-out)

Base Legal:

  • E-mails transacionais: Execução de contrato (LGPD Art. 7º, V)
  • E-mails promocionais: Consentimento (LGPD Art. 7º, I; GDPR Art. 6(1)(a))
  • Notificações push: Consentimento (obtido nas configurações do dispositivo)

3.4. Geração de Inteligência de Mercado e Insights Agregados

ESTA É A FUNCIONALIDADE CENTRAL DA PLATAFORMA IAVA

Como funciona o processo de transformação de dados:

ETAPA 1 — COLETA:

Dados operacionais e comerciais inseridos pelo usuário

ETAPA 2 — PROCESSAMENTO E ANONIMIZAÇÃO:

Dados submetidos a técnicas de anonimização irreversível

ETAPA 3 — AGREGAÇÃO:

Dados anonimizados agregados com dados de múltiplos usuários

ETAPA 4 — GERAÇÃO DE INSIGHTS:

Criação de benchmarks setoriais, médias de performance, tendências de mercado

ETAPA 5 — EXIBIÇÃO:

Insights exibidos de forma agregada e não identificável

Exemplos práticos:

"Seu desempenho está 15% acima da média do seu segmento"

"A taxa de conversão média no setor de infoprodutos é de 2,8%"

NÃO identificamos usuários específicos nos relatórios

NÃO vendemos dados pessoais para terceiros

Base Legal (LGPD):

  • Art. 7º, V — Execução de contrato
  • Art. 7º, IX — Legítimo interesse

Propriedade Intelectual: Após anonimização e agregação, os Insights tornam-se propriedade intelectual da IAVA.

3.5. Cumprimento de Obrigações Legais

  • Retenção de registros conforme legislação tributária e comercial
  • Emissão de notas fiscais e declarações fiscais
  • Atendimento a ordens judiciais e requisições de autoridades
  • Defesa em processos judiciais ou administrativos

Base Legal: Obrigação legal (LGPD Art. 7º, II; GDPR Art. 6(1)(c))

4. Cookies e Tecnologias de Rastreamento

4.1. O que são cookies?

Cookies são pequenos arquivos de texto armazenados no seu dispositivo quando você acessa a plataforma. Além de cookies, podem ser usados local storage, session storage e pixels de rastreamento.

4.2. Tipos de cookies utilizados

4.2.1. Cookies Estritamente Necessários (Essenciais)

Finalidade:

  • Autenticação e manutenção de sessão
  • Segurança e prevenção a fraudes
  • Funcionalidades básicas da plataforma

Consentimento: NÃO é necessário, pois são indispensáveis para o funcionamento do serviço

Exemplos: iava_session, iava_auth_token, csrf_token, load_balancer_route

4.2.2. Cookies de Performance e Analytics

Finalidade:

  • Análise de tráfego e comportamento do usuário
  • Diagnóstico de erros e otimização de performance
  • Estatísticas de uso

Consentimento: Solicitado no primeiro acesso (banner de cookies)

Base Legal: Consentimento (LGPD Art. 7º, I; GDPR Art. 6(1)(a))

Exemplos: _ga, _gid, _gat (Google Analytics), iava_analytics_session

4.2.3. Cookies de Marketing e Publicidade

Finalidade:

  • Personalização de anúncios B2B
  • Remarketing (Facebook Pixel, Google Ads)
  • Segmentação de campanhas
  • Atribuição de conversões

Consentimento: Solicitado no primeiro acesso

Base Legal: Consentimento (LGPD Art. 7º, I; GDPR Art. 6(1)(a))

Exemplos: iava_marketing_source, utm_*, _fbp, _gcl_au

4.3. Como gerenciar cookies

Você pode:

  • Aceitar ou recusar cookies no banner exibido no primeiro acesso
  • Alterar suas preferências nas configurações da plataforma
  • Configurar seu navegador para bloquear ou deletar cookies

IMPORTANTE: Bloquear cookies essenciais pode impedir o funcionamento da plataforma.

4.4. Rastreamento em Aplicativos Mobile

Os aplicativos mobile utilizam:

  • SDKs de terceiros (Google Analytics, Firebase, Facebook SDK)
  • Identificadores de dispositivo (IDFA/iOS e AAID/Android) — apenas com consentimento
  • Armazenamento local

Conformidade:

  • iOS (ATT Framework): Consentimento explícito antes de rastrear usando IDFA
  • Android (Google Play Services): Possibilidade de desativar anúncios personalizados

5. Compartilhamento de Dados

A IAVA NÃO VENDE DADOS PESSOAIS.

O compartilhamento de dados ocorre apenas nas seguintes situações:

5.1. Prestadores de Serviços (Suboperadores)

Compartilhamos dados com prestadores de serviços que atuam em nosso nome:

Infraestrutura em nuvem:

Amazon Web Services, Google Cloud Platform, Microsoft Azure, Cloudflare

Processadores de pagamento:

Stripe, PagSeguro, Mercado Pago, PayPal (certificados PCI-DSS)

Ferramentas de analytics:

Google Analytics, Mixpanel, Amplitude

Plataformas de suporte:

Intercom, Zendesk, Crisp

Segurança e CDN:

Cloudflare

Base Legal: Execução de contrato (LGPD Art. 7º, V)

Todos os prestadores são contratualmente obrigados a tratar dados conforme LGPD/GDPR.

5.2. Transferências Internacionais

Todas as transferências internacionais de dados pessoais são realizadas mediante:

  • Cláusulas Contratuais Padrão aprovadas pela Comissão Europeia (SCCs)
  • Mecanismos de adequação previstos no Art. 33 da LGPD
  • Garantias adequadas conforme Capítulo V do GDPR (Arts. 44-50)
  • Avaliações de Impacto de Transferência (TIAs) quando aplicável

5.3. Obrigações Legais

Podemos compartilhar dados pessoais quando exigido por:

  • Ordem judicial
  • Requisição de autoridades reguladoras (ANPD, Receita Federal, etc.)
  • Defesa de direitos da IAVA em processos judiciais ou administrativos

Base Legal: Obrigação legal (LGPD Art. 7º, II)

6. Segurança da Informação

A IAVA adota medidas técnicas e organizacionais para proteger dados pessoais:

Medidas Técnicas:

  • Criptografia em trânsito (TLS 1.3)
  • Criptografia em repouso (AES-256)
  • Autenticação multifator (MFA) disponível
  • Logs de auditoria de acessos
  • Proteção contra CSRF, XSS e outras ameaças
  • Cookies com flags de segurança (Secure, HttpOnly, SameSite)

Medidas Organizacionais:

  • Controles de acesso baseados em função
  • Treinamento de equipe em privacidade
  • Processos de resposta a incidentes de segurança
  • Avaliações de impacto quando apropriado

Embora sejam adotados esforços razoáveis para proteção dos dados, nenhum ambiente digital é totalmente isento de riscos. Ainda assim, buscamos continuamente aprimorar nossos controles de segurança.

Canal para Incidentes de Segurança: abuse@iava.app

7. Retenção de Dados

7.1. Dados cadastrais e contratuais

Prazo: Durante a vigência do contrato + 5 anos após encerramento (para cumprimento de obrigações fiscais e defesa em processos)

7.2. Logs de acesso

Prazo: 6 meses (conforme Marco Civil da Internet, Art. 15)

7.3. Dados agregados e anonimizados

Prazo: Indeterminado (vitalício)

Justificativa: Após anonimização adequada, os dados deixam de ser considerados "dados pessoais" para fins de LGPD (Art. 5º, III) e GDPR (Recital 26), podendo ser armazenados indefinidamente e integrando o patrimônio intelectual da IAVA.

7.4. Dados financeiros

Prazo: 5 anos após a última transação (conforme legislação tributária brasileira)

7.5. Cookies

  • Cookies de sessão: Excluídos automaticamente após logout
  • Cookies persistentes essenciais: 30 dias a 1 ano
  • Cookies de analytics e marketing: 6 a 24 meses

8. Direitos do Titular de Dados

Como titular de dados pessoais, você possui os seguintes direitos garantidos pela LGPD e GDPR:

8.1. Lista de Direitos

  • Confirmação da existência de tratamento — Saber se a IAVA trata seus dados
  • Acesso aos dados — Obter cópia dos dados pessoais mantidos sobre você
  • Correção — Corrigir dados incompletos, inexatos ou desatualizados
  • Anonimização, bloqueio ou eliminação — Solicitar exclusão de dados desnecessários
  • Portabilidade — Receber dados em formato estruturado e legível por máquina
  • Informação sobre compartilhamento — Saber com quem seus dados foram compartilhados
  • Revogação do consentimento — Cancelar consentimentos (ex.: e-mails promocionais)
  • Oposição ao tratamento — Opor-se a tratamentos baseados em legítimo interesse
  • Revisão de decisões automatizadas — Solicitar revisão humana de decisões algorítmicas

8.2. Como Exercer Seus Direitos

E-mail principal: privacy@iava.app

E-mail alternativo: contact@iava.app

Plataforma: Seção "Privacidade" ou "Configurações da Conta"

Aplicativo mobile: Menu de configurações

Verificação de identidade: Para sua segurança, podemos solicitar informações adicionais para confirmar que você é o titular dos dados.

Prazo de resposta: 15 dias (LGPD Art. 18, §3º)

8.3. Limitações ao Direito de Exclusão

Você NÃO poderá solicitar a exclusão de dados quando:

  • A retenção for obrigatória por lei (ex.: documentos fiscais)
  • Os dados forem necessários para defesa em processos judiciais
  • Os dados forem utilizados para cumprimento de obrigação legal
  • Os dados já houverem sido anonimizados e incorporados a estatísticas agregadas

AVISO IMPORTANTE: A solicitação de exclusão não afeta dados estatísticos já anonimizados, pois não permitem mais sua identificação.

9. Atualizações desta Política

A IAVA poderá alterar esta Política a qualquer tempo para adequar-se a mudanças legislativas, incluir novas práticas ou melhorar a transparência.

Alterações substanciais serão comunicadas por:

  • Aviso no site institucional e/ou dentro da plataforma
  • E-mail aos usuários cadastrados
  • Atualização da "Data de Vigência" no topo deste documento

O uso continuado da plataforma após a entrada em vigor da nova versão será interpretado como aceitação de suas disposições.

10. Contato

Para questões sobre privacidade, proteção de dados e exercício de direitos:

Canais Oficiais de Comunicação

Encarregado de Proteção de Dados (DPO):

E-mail: privacy@iava.app

Suporte Técnico:

E-mail: support@iava.app

Segurança da Informação:

E-mail: abuse@iava.app

Contato Institucional:

E-mail: contact@iava.app

Dados da Controladora:

Razão Social: IAVA SOFTWARE LTDA

CNPJ: 63.867.167/0001-74

Endereço: Rua João Bortoluzzi, nº 375, Nova Veneza, Estado de Santa Catarina, Brasil

AO UTILIZAR A PLATAFORMA, VOCÊ DECLARA TER LIDO, COMPREENDIDO E ACEITO INTEGRALMENTE ESTA POLÍTICA DE PRIVACIDADE E TRATAMENTO DE DADOS, EM CONJUNTO COM OS TERMOS DE USO E A POLÍTICA DE COOKIES DA IAVA.

Última atualização: 12 de dezembro de 2025