LGPD e política de cookies

Parte I - Adendo de tratamento de dados pessoais (LGPD)

1. Objeto

1.1. Este Adendo estabelece regras complementares sobre tratamento de dados pessoais no contexto da prestação dos serviços do topMetas, em conformidade com a legislação aplicável de proteção de dados pessoais no Brasil.

1.2. Este Adendo aplica-se aos dados pessoais tratados em razão da contratação, acesso, suporte, integração, operação e uso da plataforma topMetas.

2. Papéis das partes

2.1. Em regra, a empresa usuária atua como CONTROLADORA dos dados pessoais que insere, importa, sincroniza, disponibiliza ou utiliza na plataforma para gerir sua própria operação, inclusive dados de administradores, vendedores, usuários internos, representantes e terceiros vinculados à sua atividade.

2.2. Em regra, o topMetas atua como OPERADOR quando tratar dados pessoais em nome da empresa usuária para viabilizar hospedagem, autenticação, integrações, relatórios, estruturação operacional, organização de metas, campanhas, comissões, segurança, manutenção e suporte da plataforma.

2.3. O topMetas poderá atuar como CONTROLADOR em relação aos dados tratados para finalidades próprias e autônomas, tais como cadastro da conta, faturamento, autenticação, prevenção à fraude, segurança da informação, atendimento, cumprimento de obrigação legal, defesa de direitos e manutenção de registros técnicos e operacionais.

2.4. As partes reconhecem que a definição de controlador e operador depende do contexto concreto de cada operação de tratamento, conforme a LGPD e as orientações da ANPD.

3. Categorias de dados

3.1. Poderão ser tratados, conforme a configuração da conta e o uso efetivo da plataforma:

a) dados cadastrais da empresa usuária e de seus representantes;

b) dados de administradores, usuários, vendedores e colaboradores vinculados à operação;

c) dados operacionais e comerciais, como metas, vendas, campanhas, rankings, comissões, solicitações de recompensa e programações;

d) dados técnicos, logs, registros de autenticação, sessão, IP, data e hora, navegador, dispositivo e eventos de segurança;

e) dados oriundos de ERP e de sistemas de terceiros integrados à plataforma;

f) dados relacionados a suporte, atendimento, cobrança e aceite contratual.

3.2. O topMetas não exige, como regra, o tratamento de dados pessoais sensíveis para sua finalidade principal. Se a empresa usuária inserir ou sincronizar esse tipo de dado fora do escopo ordinário do produto, o fará por sua conta e risco, assumindo integral responsabilidade pela legitimidade, necessidade e conformidade desse tratamento.

4. Finalidades do tratamento

4.1. Os dados pessoais poderão ser tratados para:

a) permitir o uso da plataforma;

b) autenticar usuários e controlar acessos;

c) estruturar metas, campanhas, relatórios, comissões, rankings, programações e funcionalidades correlatas;

d) viabilizar integrações com ERP e sistemas de terceiros;

e) prestar suporte técnico e atendimento;

f) prevenir fraude, abuso, acessos indevidos e incidentes de segurança;

g) cumprir obrigações legais, regulatórias e contratuais;

h) exercer regularmente direitos em processos administrativos, arbitrais ou judiciais;

i) manter logs, trilhas técnicas, histórico operacional e registros de segurança;

j) promover manutenção, evolução, estabilidade e melhoria técnica da plataforma.

5. Bases legais

5.1. O tratamento poderá ocorrer com base, conforme o caso, em uma ou mais hipóteses legais previstas na LGPD, inclusive:

a) execução de contrato ou de procedimentos preliminares;

b) cumprimento de obrigação legal ou regulatória;

c) exercício regular de direitos;

d) legítimo interesse, observados os limites legais;

e) consentimento, quando especificamente necessário ou adotado como base adequada.

5.2. Quando a empresa usuária tratar dados de vendedores, colaboradores, representantes ou terceiros por meio do topMetas, caberá a ela assegurar a base legal adequada para esse tratamento.

6. Dados vindos de ERP e sistemas de terceiros

6.1. Quando a empresa usuária integrar o topMetas a Tiny, Bling ou outro sistema aceito pela plataforma, o topMetas poderá tratar os dados disponibilizados por essa integração para viabilizar as funcionalidades contratadas.

6.2. A empresa usuária declara e garante que:

a) possui legitimidade para utilizar e compartilhar os dados oriundos do sistema de origem;

b) adotou a base legal adequada para o tratamento desses dados;

c) é responsável pela qualidade, integridade, atualização, completude e correção dos dados de origem;

d) é responsável pelas permissões, credenciais, filtros, parâmetros e configurações da integração.

6.3. O topMetas não garante que dados recebidos por integração estejam completos, atualizados, sem duplicidade, sem atraso, sem inconsistência ou livres de erro de origem.

6.4. O tratamento realizado pelo topMetas limita-se aos dados efetivamente disponibilizados pelo sistema de origem e às possibilidades técnicas da integração existente.

7. Instruções do controlador

7.1. Ao utilizar a plataforma, a empresa usuária instrui o topMetas a tratar dados pessoais na medida necessária para a execução do serviço contratado, suporte, segurança, manutenção, integração, melhoria técnica e cumprimento de obrigações legais e contratuais.

7.2. O topMetas poderá recusar instruções da empresa usuária que:

a) contrariem a legislação aplicável;

b) comprometam a segurança da plataforma;

c) sejam tecnicamente inviáveis;

d) extrapolem o escopo do serviço contratado;

e) impliquem tratamento manifestamente irregular ou abusivo.

8. Suboperadores e fornecedores

8.1. O topMetas poderá contratar terceiros para apoiar a prestação do serviço, inclusive para hospedagem, autenticação, armazenamento, monitoramento, comunicação, cobrança, segurança, observabilidade, banco de dados e suporte.

8.2. Tais terceiros poderão atuar como operadores ou suboperadores, conforme a estrutura concreta da operação.

8.3. A empresa usuária autoriza, de forma geral, a utilização desses suboperadores e fornecedores técnicos, desde que o topMetas busque exigir obrigações compatíveis com segurança da informação, confidencialidade e proteção de dados.

9. Segurança da informação

9.1. O topMetas adotará medidas técnicas, administrativas e organizacionais razoáveis para proteger dados pessoais contra acessos não autorizados e contra situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou tratamento inadequado ou ilícito, nos termos da LGPD.

9.2. A empresa usuária reconhece que nenhum ambiente digital é absolutamente imune a riscos e compromete-se também a adotar boas práticas internas de segurança, gestão de acessos, revisão de permissões e proteção de credenciais.

10. Logs, registros e evidências

10.1. O topMetas poderá manter logs, trilhas de auditoria, registros de acesso, registros de integração, históricos técnicos, evidências de autenticação, aceite contratual e demais registros necessários à segurança, suporte, prevenção à fraude, investigação de incidentes, cumprimento legal e exercício regular de direitos.

10.2. Controlador e operador devem manter registro das operações de tratamento, especialmente quando baseadas em legítimo interesse, conforme a LGPD e as orientações da ANPD.

11. Incidentes de segurança

11.1. Em caso de incidente de segurança envolvendo dados pessoais, o topMetas poderá adotar medidas de contenção, investigação, mitigação, correção e documentação do evento.

11.2. Quando atuar como operador, o topMetas poderá comunicar o incidente à empresa usuária em prazo razoável, com as informações disponíveis e pertinentes, para que o controlador avalie as providências cabíveis.

11.3. Quando atuar como controlador em relação aos seus próprios tratamentos, o topMetas avaliará a necessidade de comunicação à ANPD e aos titulares, quando houver risco ou dano relevante, nos termos da LGPD.

12. Direitos dos titulares

12.1. Os titulares poderão exercer os direitos previstos na legislação aplicável, inclusive os de confirmação, acesso, correção, anonimização, bloqueio, eliminação, portabilidade, informação sobre compartilhamento e revisão de decisões automatizadas, quando cabíveis.

12.2. Quando o topMetas atuar exclusivamente como operador em nome da empresa usuária, solicitações relacionadas aos dados tratados por conta e ordem da empresa poderão depender de encaminhamento ao controlador responsável.

12.3. O exercício de direitos poderá ser limitado nas hipóteses legalmente admitidas, inclusive quando houver necessidade de retenção para obrigação legal, exercício regular de direitos, segurança, prevenção à fraude ou preservação de segredos comercial e industrial.

13. Retenção, devolução e eliminação

13.1. Os dados poderão ser mantidos pelo tempo necessário para:

a) execução do contrato;

b) cumprimento de obrigação legal ou regulatória;

c) exercício regular de direitos;

d) prevenção à fraude;

e) segurança e integridade da plataforma;

f) histórico operacional, suporte e auditoria.

13.2. Após cancelamento, encerramento da conta ou inadimplência prolongada, os dados poderão tornar-se inacessíveis na aplicação, sem prejuízo de retenção adicional para as finalidades legítimas e legalmente permitidas.

13.3. Decorrido o prazo aplicável, os dados poderão ser eliminados, anonimizados ou mantidos em formato que não permita identificação direta, quando juridicamente e tecnicamente cabível.

13.4. É responsabilidade exclusiva da empresa usuária exportar e preservar, antes do encerramento definitivo da conta, os dados, históricos e relatórios que considerar necessários.

14. Transferências internacionais

14.1. Os dados poderão ser processados, armazenados ou trafegados em infraestrutura própria ou de terceiros, inclusive em ambientes de computação em nuvem.

14.2. Caso haja transferência internacional de dados, o topMetas buscará adotar medidas compatíveis com a legislação aplicável e com o nível de proteção exigido para a operação contratada.

15. Responsabilidades da empresa usuária

15.1. A empresa usuária é exclusivamente responsável por:

a) garantir a legitimidade dos dados inseridos, importados ou sincronizados;

b) assegurar a base legal adequada para os dados de sua operação;

c) fornecer orientações lícitas e compatíveis com a LGPD;

d) informar seus usuários, vendedores, colaboradores e terceiros quando necessário;

e) revisar periodicamente acessos, permissões e integrações;

f) não inserir dados excessivos, desnecessários ou incompatíveis com a finalidade do produto.

16. Limitação de responsabilidade em proteção de dados

16.1. Na máxima extensão permitida pela legislação aplicável, o topMetas não será responsável por incidentes, irregularidades ou prejuízos decorrentes de:

a) dados incorretos, excessivos, ilegítimos ou desatualizados fornecidos pela empresa usuária;

b) uso indevido da plataforma pela empresa usuária ou por seus usuários;

c) compartilhamento indevido de credenciais;

d) falhas, alterações ou vulnerabilidades em sistemas de terceiros, incluindo ERPs e integrações;

e) descumprimento, pela empresa usuária, de seus deveres como controladora.

16.2. Este Adendo não afasta hipóteses de responsabilidade que não possam ser excluídas ou limitadas por força de lei.

17. Canal de privacidade

17.1. Solicitações relacionadas à privacidade e proteção de dados poderão ser encaminhadas pelos canais oficiais informados pelo topMetas na própria plataforma.

17.2. Caso o topMetas se enquadre em regime regulatório aplicável a agente de pequeno porte, poderá observar o tratamento regulatório diferenciado admitido pela ANPD, sem prejuízo da manutenção de canal apto ao recebimento de demandas sobre proteção de dados.

Parte II - Política de cookies

18. O que são cookies

18.1. Cookies são pequenos arquivos ou identificadores armazenados no navegador ou dispositivo do usuário que ajudam a viabilizar funcionalidades técnicas, autenticação, segurança, medição de uso e personalização da navegação. A ANPD destaca que cookies podem servir a diversas finalidades e que o principal problema regulatório costuma ser a falta de transparência sobre sua utilização.

19. Como o topMetas usa cookies e tecnologias semelhantes

19.1. O topMetas poderá utilizar cookies, local storage, tokens, identificadores de sessão e tecnologias semelhantes para:

a) autenticação e manutenção de sessão;

b) segurança e prevenção à fraude;

c) funcionamento técnico da aplicação;

d) memorização de preferências;

e) medição de uso, desempenho e estabilidade;

f) integração com serviços de terceiros necessários à operação.

19.2. O topMetas poderá utilizar cookies próprios e, quando necessário, cookies ou tecnologias de terceiros integrados ao serviço.

20. Categorias de cookies

20.1. Cookies estritamente necessários:

São os indispensáveis para autenticação, segurança, navegação, balanceamento, proteção da sessão e funcionamento essencial da plataforma. Sem eles, partes relevantes do serviço podem não funcionar corretamente. A ANPD admite tratamento de cookies estritamente necessários sem exigir o mesmo nível de escolha dado a cookies opcionais, desde que haja transparência adequada.

20.2. Cookies de desempenho e análise:

Podem ser usados para medir uso, performance, erros, estabilidade e melhoria do serviço, inclusive de forma agregada.

20.3. Cookies de funcionalidade:

Podem ser usados para lembrar preferências, idioma, unidade selecionada, ambiente de uso e outras escolhas feitas pelo usuário.

20.4. Cookies de terceiros:

Poderão ser utilizados quando houver integração com serviços externos necessários ao funcionamento, autenticação, medição de uso, comunicação ou outras funcionalidades da plataforma.

20.5. Cookies de publicidade:

Em regra, o topMetas não depende de cookies publicitários para o funcionamento principal da plataforma. Se vier a utilizá-los, dará transparência adequada e, quando cabível, mecanismo de escolha ao usuário.

21. Bases legais e gestão de preferências

21.1. Cookies estritamente necessários poderão ser utilizados com fundamento nas bases legais aplicáveis ao funcionamento do serviço e à segurança da plataforma, sem prejuízo do dever de transparência.

21.2. Cookies não estritamente necessários, quando utilizados, poderão depender de consentimento ou de outra base legal juridicamente adequada ao caso concreto, conforme sua finalidade e o desenho da operação.

21.3. O usuário poderá, quando disponível, gerenciar preferências de cookies por meio do banner, central de preferências ou configurações do navegador.

21.4. O bloqueio de cookies estritamente necessários pode comprometer a autenticação, a segurança e o funcionamento correto do topMetas. A ANPD recomenda atenção à necessidade e à duração dos cookies, especialmente os persistentes.

22. Duração dos cookies

22.1. O topMetas poderá utilizar cookies de sessão, que expiram ao término da navegação, e cookies persistentes, que permanecem por período adicional para cumprir a finalidade informada.

22.2. Sempre que possível e tecnicamente adequado, o topMetas buscará limitar a duração dos cookies ao mínimo necessário para a finalidade correspondente.

23. Desativação pelo navegador

23.1. O usuário poderá bloquear ou apagar cookies diretamente nas configurações do navegador ou do dispositivo.

23.2. A desativação de cookies essenciais poderá impedir login, comprometer a sessão, reduzir segurança ou prejudicar funcionalidades da plataforma.

24. Alterações desta política

24.1. Este documento poderá ser atualizado a qualquer momento para refletir mudanças legais, regulatórias, técnicas, operacionais, de produto ou de segurança.

24.2. A versão vigente será sempre a publicada em página oficial do topMetas ou no ambiente da plataforma.

25. Contato

25.1. Dúvidas sobre proteção de dados, privacidade, cookies, solicitações de titulares e demais temas relacionados poderão ser encaminhadas pelos canais oficiais informados pelo topMetas.