Política de privacidade

1. Escopo

1.1. Esta Política de Privacidade aplica-se ao tratamento de dados realizado no contexto da utilização do topMetas, incluindo dados da empresa usuária, de seus administradores, usuários internos, vendedores participantes da operação, representantes, contatos autorizados e dados recebidos por integração com ERPs, sistemas de terceiros ou lançamentos manuais.

1.2. Esta Política aplica-se aos tratamentos de dados pessoais realizados pelo topMetas no âmbito da prestação do serviço, sem abranger, por si só, os tratamentos realizados diretamente pela empresa usuária fora da plataforma, em seu ERP, folha, CRM, contabilidade, sistema fiscal ou demais ambientes próprios ou de terceiros.

2. Papéis no tratamento de dados

2.1. Em regra, a empresa usuária é a responsável pelas decisões relacionadas aos dados que insere, importa, sincroniza, disponibiliza ou utiliza na plataforma para fins de gestão da sua operação, inclusive dados de administradores, vendedores, usuários internos e terceiros vinculados à sua atividade.

2.2. Nessas hipóteses, a empresa usuária atua, em regra, como controladora dos dados pessoais tratados em sua operação, cabendo-lhe definir as finalidades, as bases legais e os limites de utilização dos dados.

2.3. O topMetas poderá atuar como operador de dados pessoais quando tratar dados em nome da empresa usuária para viabilizar funcionalidades da plataforma, hospedagem, autenticação, organização operacional, geração de relatórios, integração, suporte, segurança, manutenção e demais atividades compatíveis com a prestação do serviço contratado.

2.4. O topMetas também poderá atuar como controlador em relação aos dados necessários à sua própria operação legítima, tais como dados de cadastro, autenticação, segurança, cobrança, prevenção a fraude, suporte, registros técnicos, logs, auditoria, atendimento e defesa de direitos.

3. Dados tratados

3.1. O topMetas poderá tratar, conforme o contexto de uso e a configuração da conta, as seguintes categorias de dados:

a) dados cadastrais da empresa usuária, como razão social, nome fantasia, documento, endereço, telefone, e-mail e informações de contratação;

b) dados de administradores, usuários e colaboradores vinculados à operação, como nome, e-mail, cargo, unidade, permissões de acesso, identificadores internos e identificadores vindos de ERP;

c) dados operacionais e comerciais, como metas, vendas, indicadores, rankings, campanhas, solicitações de recompensa, programações, históricos de uso e parâmetros de operação;

d) dados de autenticação e segurança, como credenciais hash, sessões, tokens, registros de login, IP, data e hora de acesso, navegador, sistema operacional, dispositivo e eventos técnicos;

e) dados oriundos de integrações com ERPs e sistemas de terceiros, conforme disponibilizados, estruturados ou permitidos pelo sistema de origem e pela configuração feita pela empresa usuária;

f) dados de atendimento, suporte, cobrança, tickets, interações administrativas e evidências de aceite contratual.

3.2. O topMetas não depende, como regra, do tratamento de dados pessoais sensíveis para a execução ordinária de sua finalidade principal. Caso a empresa usuária insira ou sincronize esse tipo de dado fora da finalidade normal do produto, tal tratamento ocorrerá sob sua exclusiva responsabilidade.

4. Finalidades do tratamento

4.1. Os dados poderão ser tratados para as seguintes finalidades, conforme o caso:

a) permitir o uso da plataforma e de suas funcionalidades;

b) autenticar usuários, controlar sessões, permissões e acessos;

c) estruturar metas, campanhas, comissões, rankings, incentivos e programações;

d) gerar relatórios, painéis, consolidações e históricos operacionais;

e) viabilizar integrações com ERP e outros sistemas aceitos pela plataforma;

f) prestar suporte técnico e atendimento;

g) proteger a segurança da plataforma, prevenir fraude, abuso e acesso indevido;

h) cumprir obrigações legais, regulatórias e contratuais;

i) exercer regularmente direitos em processos administrativos, arbitrais ou judiciais;

j) realizar melhorias técnicas, manutenção, evolução do produto, monitoramento de desempenho e estabilidade do serviço.

5. Bases legais

5.1. O tratamento de dados pessoais poderá ocorrer com fundamento, conforme a hipótese aplicável, em uma ou mais bases legais previstas na legislação aplicável, inclusive:

a) execução de contrato ou de procedimentos preliminares relacionados ao contrato;

b) cumprimento de obrigação legal ou regulatória;

c) exercício regular de direitos em processo judicial, administrativo ou arbitral;

d) legítimo interesse, observados os limites legais e a compatibilidade com a finalidade do tratamento;

e) consentimento, quando especificamente exigido ou adotado como fundamento adequado pela empresa usuária ou pelo topMetas no contexto aplicável.

5.2. Quando a empresa usuária utilizar o topMetas para tratar dados de vendedores, usuários internos, representantes ou terceiros vinculados à sua operação, caberá à própria empresa usuária verificar e assegurar a base legal adequada para esse tratamento.

6. Dados vindos de ERP e sistemas de terceiros

6.1. Quando a empresa usuária integrar o topMetas ao Tiny, Bling ou a outro sistema aceito pela plataforma, o topMetas poderá tratar os dados disponibilizados por essa integração para viabilizar as funcionalidades contratadas.

6.2. A empresa usuária permanece responsável pela legitimidade do uso dos dados em seu sistema de origem, pela definição da base legal adequada, pela qualidade dos dados, pela configuração das permissões de integração e pela correção das informações disponibilizadas ao topMetas.

6.3. O topMetas não garante que os dados recebidos por integração estejam completos, atualizados, sem duplicidade, sem inconsistência ou livres de erro de origem.

6.4. A utilização de dados oriundos de ERP ou de outro sistema de origem pela plataforma ocorre dentro dos limites técnicos da integração existente e da forma como tais dados foram disponibilizados pelo ambiente de origem.

7. Compartilhamento de dados

7.1. O topMetas não comercializa dados pessoais.

7.2. Os dados poderão ser compartilhados, quando necessário e dentro dos limites da prestação do serviço, com:

a) provedores de hospedagem, infraestrutura, banco de dados, armazenamento e segurança;

b) serviços de autenticação, comunicação, monitoramento, suporte e análise operacional;

c) prestadores responsáveis por cobrança, pagamento, antifraude e gestão financeira da assinatura;

d) parceiros ou fornecedores técnicos necessários à operação de integrações, conectores e serviços vinculados ao produto;

e) autoridades públicas, judiciais, administrativas ou regulatórias, quando houver obrigação legal, ordem válida ou necessidade de exercício regular de direitos.

7.3. Sempre que possível e compatível com a natureza da operação, o compartilhamento será limitado ao mínimo necessário para a finalidade correspondente.

8. Suboperadores e fornecedores

8.1. O topMetas poderá contratar terceiros para apoiar a prestação do serviço, inclusive para hospedagem, autenticação, segurança, observabilidade, suporte, cobrança, comunicação e armazenamento.

8.2. Tais terceiros poderão atuar como operadores ou suboperadores, conforme a estrutura da cadeia de tratamento, nos limites necessários à execução do serviço e conforme obrigações contratuais e técnicas compatíveis com a proteção de dados.

9. Cookies, sessões e tecnologias semelhantes

9.1. O topMetas poderá utilizar cookies, tokens, identificadores de sessão e mecanismos semelhantes para autenticação, manutenção de sessão, segurança, prevenção de fraude, funcionamento técnico da aplicação e melhoria da experiência de uso.

9.2. Cookies e mecanismos estritamente necessários ao funcionamento e à segurança da plataforma poderão ser utilizados independentemente de consentimento específico, na medida permitida pela legislação aplicável.

9.3. O bloqueio de tecnologias essenciais poderá comprometer ou impedir o funcionamento adequado da plataforma.

10. Segurança da informação

10.1. O topMetas adota medidas técnicas, administrativas e organizacionais razoáveis para proteger os dados pessoais contra acessos não autorizados e contra situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou tratamento inadequado ou ilícito, nos termos da legislação aplicável.

10.2. Nenhum ambiente digital é absolutamente imune a riscos. Por isso, a empresa usuária também deve adotar medidas adequadas de governança interna, segurança de credenciais, controle de acessos, revisão de permissões e boas práticas operacionais.

10.3. O topMetas poderá manter registros técnicos, trilhas de auditoria, logs de acesso, logs de integração, eventos de autenticação e evidências operacionais para segurança, suporte, investigação de incidentes, prevenção de fraude, cumprimento legal e exercício regular de direitos. A manutenção de registros de tratamento e logs é compatível com as orientações da ANPD sobre governança e agentes de tratamento.

11. Incidentes de segurança

11.1. Em caso de incidente de segurança envolvendo dados pessoais, o topMetas poderá adotar medidas de contenção, análise, correção, mitigação e documentação do evento.

11.2. Quando o topMetas atuar como operador, poderá comunicar o incidente à empresa usuária para que sejam avaliadas as providências cabíveis, inclusive quanto à necessidade de comunicação aos titulares e à ANPD, observada a legislação aplicável e a distribuição de papéis no tratamento.

11.3. Quando atuar como controlador em relação aos dados sob sua própria governança, o topMetas avaliará a necessidade de comunicação do incidente à ANPD e aos titulares, quando houver risco ou dano relevante, nos termos da LGPD e das orientações da ANPD.

12. Retenção e eliminação de dados

12.1. Os dados poderão ser mantidos pelo tempo necessário para:

a) execução do contrato;

b) cumprimento de obrigações legais ou regulatórias;

c) exercício regular de direitos;

d) prevenção de fraude;

e) preservação de histórico operacional, segurança e integridade da plataforma;

f) atendimento de legítimos interesses compatíveis com a legislação aplicável.

12.2. Em caso de cancelamento, encerramento da conta ou inadimplência prolongada, os dados poderão tornar-se inacessíveis na aplicação, sem prejuízo de sua retenção por prazo adicional para as finalidades legítimas e legalmente permitidas de segurança, auditoria, defesa de direitos, reativação e cumprimento de obrigações.

12.3. Decorrido o prazo aplicável de retenção, os dados poderão ser eliminados, anonimizados ou mantidos em formato que não permita identificação direta, quando compatível com a finalidade e com a legislação.

12.4. É responsabilidade da empresa usuária exportar e preservar, antes do encerramento definitivo da conta, os dados, relatórios e históricos que considerar necessários para sua operação.

13. Direitos dos titulares

13.1. Nos termos da legislação aplicável, titulares de dados pessoais poderão exercer direitos legalmente previstos, inclusive de confirmação da existência de tratamento, acesso, correção, anonimização, bloqueio, eliminação, portabilidade, informação sobre compartilhamentos e revisão de decisões automatizadas, quando cabíveis.

13.2. Quando o topMetas atuar exclusivamente como operador em nome da empresa usuária, pedidos relacionados aos dados tratados por conta e ordem da empresa poderão depender de encaminhamento ao controlador responsável, que é quem define as finalidades e os meios essenciais do tratamento.

13.3. O exercício de direitos poderá ser limitado ou condicionado nas hipóteses legalmente admitidas, inclusive quando houver necessidade de retenção para cumprimento de obrigação legal, exercício regular de direitos, proteção da segurança, prevenção à fraude ou preservação de segredos comercial e industrial.

14. Canal de contato e privacidade

14.1. Solicitações sobre privacidade, proteção de dados, atualização cadastral, orientações sobre exclusão, encerramento de conta e exercício de direitos poderão ser encaminhadas pelos canais oficiais informados pelo topMetas na própria plataforma.

14.2. Caso o topMetas não esteja obrigado a indicar encarregado formal nos termos da regulamentação aplicável aos agentes de tratamento de pequeno porte, manterá ao menos canal de comunicação apto a receber demandas sobre proteção de dados, conforme exigido pela regulamentação da ANPD.

15. Transferências e infraestrutura tecnológica

15.1. Os dados poderão ser processados, armazenados ou trafegados por infraestrutura tecnológica própria ou de terceiros contratados, inclusive em ambientes de computação em nuvem.

15.2. Caso haja transferência internacional de dados, o topMetas buscará adotar medidas compatíveis com a legislação aplicável e com o nível de proteção exigido para a operação contratada.

16. Dados de menores

16.1. O topMetas não é direcionado ao uso infantil e não tem, como finalidade ordinária, o tratamento intencional de dados de crianças e adolescentes.

16.2. Caso a empresa usuária insira dados dessa natureza fora do escopo normal do produto, será integralmente responsável pela legitimidade, necessidade e conformidade desse tratamento.

17. Atualizações desta política

17.1. Esta Política poderá ser revisada para refletir melhorias do produto, novas integrações, mudanças regulatórias, ajustes operacionais, evolução tecnológica, reforço de segurança ou alterações na forma de prestação do serviço.

17.2. A versão vigente será sempre a publicada em página oficial do topMetas ou no ambiente da plataforma.

17.3. A continuidade de uso da plataforma após a atualização desta Política poderá ser interpretada como ciência da nova versão, sem prejuízo das medidas adicionais de comunicação exigidas pela legislação aplicável.

18. Contato

18.1. Dúvidas sobre privacidade e tratamento de dados no topMetas poderão ser tratadas pelos canais oficiais informados na própria plataforma.