Política de Privacidade
Troca Já — Última atualização: 22 de maio de 2026
# Política de Privacidade
⚠️ DOCUMENTO PROVISÓRIO - Revisão jurídica necessária antes de publicação oficial.
Este documento é um template baseado no inventário de dados da plataforma e nos requisitos da Lei nº 13.709/2018 (LGPD). Não substitui parecer jurídico.
Plataforma: Troca Já
Última atualização: 22 de maio de 2026
Versão: 1.0 (provisória)
1. Definições
Para os fins desta Política, entende-se por:
- Plataforma: o site e aplicativo Troca Já, disponível em trocaja.com.br
- Titular: pessoa física a quem os dados pessoais se referem (usuário da plataforma)
- Controlador: Troca Já, responsável por decidir sobre o tratamento de dados pessoais
- Operador: terceiro que trata dados pessoais em nome do Controlador (ex.: Firebase, Mercado Pago)
- Tratamento: toda operação realizada com dados pessoais (coleta, armazenamento, uso, compartilhamento, eliminação)
- ANPD: Autoridade Nacional de Proteção de Dados
- DPO: Encarregado pelo Tratamento de Dados Pessoais (Data Protection Officer)
- KYC: Processo de verificação de identidade (Know Your Customer)
- Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados
2. Dados Pessoais Coletados
2.1 Dados fornecidos pelo titular
| Categoria | Dado | Finalidade | Obrigatoriedade |
|---|---|---|---|
| Identificação | Nome completo | Identificação na plataforma, comunicação entre usuários | Obrigatório |
| Contato | Login, notificações, recuperação de senha | Obrigatório | |
| Contato | Telefone | Comunicação para entrega de ingressos, suporte | Obrigatório |
| Fiscal | CPF | Identificação fiscal, prevenção à fraude, emissão de notas fiscais | Obrigatório |
| Financeiro | Chave PIX | Recebimento de valores de vendas | Opcional |
| Documental | Imagem de documento (RG/CNH) | Verificação de identidade (KYC) | Obrigatório para verificação |
2.2 Dados coletados automaticamente
| Dado | Finalidade |
|---|---|
| Endereço IP | Segurança, prevenção à fraude, auditoria |
| Carimbo temporal de acesso | Logs de sessão, auditoria |
| Agente de usuário (user-agent) | Compatibilidade técnica, segurança |
| Histórico de transações | Funcionamento da plataforma, suporte, contabilidade |
2.3 Dados processados por terceiros
A plataforma não armazena diretamente:
- Dados de pagamento (número de cartão, bandeira, código de segurança): processados exclusivamente pelo Mercado Pago S.A., que atua como Operador independente
- Senha: processada e armazenada exclusivamente pelo Firebase Authentication (Google), em formato hash (bcrypt)
3. Bases Legais para o Tratamento
O tratamento de dados pessoais na plataforma fundamenta-se nas seguintes bases legais da LGPD (Art. 7º):
| Dado | Base Legal | Artigo LGPD | Justificativa |
|---|---|---|---|
| Nome, e-mail, telefone | Execução de contrato | Art. 7º, V | Necessário para cadastro e operação da plataforma |
| CPF | Legítimo interesse | Art. 7º, VII | Prevenção à fraude e identificação fiscal |
| CPF | Obrigação legal | Art. 7º, II | Obrigação tributária (nota fiscal) |
| Imagem de documento (KYC) | Consentimento específico | Art. 11º, I | Dado sensível requer autorização explícita do titular |
| Chave PIX | Execução de contrato | Art. 7º, V | Necessário para pagamento ao vendedor |
| Endereço IP e logs | Legítimo interesse | Art. 7º, VII | Segurança da plataforma e auditoria |
| Histórico de transações | Execução de contrato | Art. 7º, V | Essencial para o serviço de intermediação |
3.1 Tratamento de dados sensíveis (Art. 11º)
Os documentos de identificação (RG, CNH) enviados no processo KYC são considerados dados pessoais sensíveis nos termos do Art. 5º, II da LGPD. O tratamento destes dados ocorre exclusivamente mediante consentimento específico e destacado do titular, conforme Art. 11º, I.
3.2 Teste de balanceamento (legítimo interesse)
O tratamento de CPF com base em legítimo interesse foi submetido a teste de balanceamento interno que considerou:
- Finalidade: prevenção à fraude e cumprimento de obrigação fiscal
- Necessidade: a identificação do vendedor é indispensável para transações financeiras
- Impacto: o dado é tratado com medidas de segurança (controle de acesso, dados mascarados na interface)
- Expectativa do titular: espera-se que uma plataforma de compra e venda identifique seus usuários para prevenir fraudes
4. Compartilhamento com Terceiros
4.1 Operadores essenciais
| Operador | Dados compartilhados | Finalidade | Local dos dados |
|---|---|---|---|
| Google (Firebase) | Nome, e-mail, senha (hash), CPF, telefone | Autenticação, armazenamento em nuvem | EUA (Google Cloud) |
| Mercado Pago S.A. | Nome, CPF, e-mail, valor da transação, ID do pedido | Processamento de pagamentos | Brasil |
| Google (Firebase Storage) | Imagens de documentos (KYC) | Armazenamento de documentos | EUA (Google Cloud) |
4.2 Medidas contratuais
A plataforma exige de todos os Operadores:
- Contrato escrito com cláusulas de proteção de dados conforme Art. 42º da LGPD
- Restrição de finalidade: os dados só podem ser tratados para os fins contratados
- Medidas de segurança técnica e administrativas compatíveis com a legislação
- Notificação imediata em caso de incidente de segurança que envolva dados dos titulares
4.3 Obrigações legais
A plataforma poderá compartilhar dados pessoais com autoridades públicas quando:
- Exigido por lei, ordem judicial ou regulatória
- Necessário para cumprir obrigação legal (Art. 7º, II)
- Necessário para exercer direitos em processo judicial (Art. 7º, VI)
5. Direitos do Titular (Art. 9º)
A LGPD confere ao titular dos dados os seguintes direitos, exercíveis gratuitamente:
5.1 Confirmação e acesso (Art. 9º, I)
O titular pode solicitar confirmação da existência de tratamento e acesso integral aos seus dados pessoais. A plataforma fornecerá os dados em formato JSON estruturado e legível por máquina.
Prazo de resposta: até 15 dias úteis (Art. 19º, I).
5.2 Correção (Art. 9º, II)
O titular pode solicitar a correção de dados incompletos, inexatos ou desatualizados. Dados como nome, telefone e e-mail podem ser editados diretamente pelo titular nas configurações da conta.
Alterações em dados sensíveis (CPF) exigem verificação adicional e podem ser realizadas mediante solicitação ao suporte.
Prazo de resposta: até 15 dias úteis.
5.3 Exclusão (Art. 9º, III)
O titular pode solicitar a exclusão de seus dados pessoais. A plataforma oferece funcionalidade de exclusão de conta que:
- Desabilita o acesso à conta no Firebase Authentication
- Anonimiza dados pessoais (nome, e-mail, CPF com hash one-way)
- Remove imagens de documentos (KYC) do Storage
- Mantém registros de transações anonimizados por 5 anos (prazo tributário)
- Registra auditoria da exclusão
Exceções: a exclusão não se aplica quando o tratamento for necessário para:
- Cumprimento de obrigação legal ou regulatória (Art. 15º, I)
- Exercício de direitos em processo judicial (Art. 15º, II)
- Fins de pesquisa por órgãos de pesquisa (Art. 15º, III)
Prazo de resposta: até 15 dias úteis.
5.4 Portabilidade (Art. 9º, V)
O titular pode solicitar a portabilidade de seus dados a outro fornecedor de serviço. Os dados serão fornecidos em formato estruturado (JSON), legível por máquina.
Prazo de resposta: até 30 dias (Art. 19º, II).
5.5 Oposição (Art. 9º, VII)
O titular pode se opor ao tratamento de dados realizado com base em legítimo interesse (Art. 7º, VII). A plataforma analisará a solicitação e poderá manter o tratamento se demonstrar motivos legítimos que prevaleçam sobre os direitos do titular.
O titular também pode, a qualquer momento:
- Optar por não receber comunicações de marketing
- Retirar o consentimento para tratamento de dados sensíveis (KYC)
Efeitos da retirada de consentimento: a retirada não afeta a legalidade do tratamento realizado anteriormente. Em alguns casos, a retirada pode inviabilizar o uso de funcionalidades específicas da plataforma (ex.: verificação KYC).
5.6 Revisão de decisões automatizadas (Art. 20º)
O titular pode solicitar revisão de decisões tomadas exclusivamente com base em tratamento automatizado de dados pessoais que afetem seus interesses.
5.7 Como exercer os direitos
O titular pode exercer seus direitos através dos seguintes canais:
- E-mail do DPO: dpo@trocaja.com
- Painel de configurações: acessível na plataforma em /painel/configuracoes
- Solicitação via formulário: disponível na plataforma
A plataforma responderá às solicitações dentro dos prazos legais e sem custo para o titular. Solicitações complexas ou excessivas poderão ter prazo estendido (Art. 19º, III) ou justificar cobrança de custo administrativo.
6. Política de Retenção de Dados (Art. 15º)
6.1 Prazos gerais
| Tipo de dado | Período de retenção | Critério |
|---|---|---|
| Dados da conta (nome, e-mail, telefone) | Enquanto a conta estiver ativa | Necessidade do serviço |
| CPF | Enquanto a conta estiver ativa + 5 anos após exclusão | Prazo prescricional tributário e prevenção à fraude |
| Documentos KYC | Enquanto a conta estiver ativa | Necessário para verificação de identidade |
| Imagens de documentos no Storage | Até exclusão da conta ou rejeição do KYC | Após rejeição: eliminado em até 30 dias |
| Registros de transações | 5 anos após conclusão | Obrigação tributária (Art. 173, CTN) |
| Endereços IP e logs de acesso | 6 meses | Segurança e auditoria |
| Cookies e dados de navegação | Conforme política de cookies | Preferências do usuário |
6.2 Procedimento de eliminação
Após o término do período de retenção, os dados serão:
- Anonimizados (impossibilidade de associação ao titular)
- Deletados permanentemente dos bancos de dados e backups
- Hash one-way aplicado a CPF e e-mail (impossibilidade de reversão)
6.3 Exceções
A retenção poderá exceder os prazos estabelecidos quando:
- Houver obrigação legal ou regulatória específica
- Houver processo judicial ou administrativo em andamento
- Houver fundada suspeita de fraude que justifique a manutenção dos dados
7. Medidas de Segurança (Art. 46º)
A plataforma adota as seguintes medidas técnicas e administrativas para proteger os dados pessoais:
7.1 Medidas técnicas
| Medida | Descrição |
|---|---|
| Criptografia em trânsito | HTTPS obrigatório (TLS 1.3) |
| Hash de senhas | bcrypt via Firebase Authentication |
| Dados em repouso | Criptografia em disco (Google Cloud) |
| Controle de acesso | Firestore Security Rules por UID |
| Data masking | CPF, e-mail e telefone mascarados na interface |
| Sanitização de inputs | Remoção de HTML, validação de URL (HTTPS apenas), validação de CPF |
| Rate limiting | Máximo de 10 criações de preferência/hora por usuário |
| Headers de segurança | CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy, Permissions-Policy |
7.2 Medidas administrativas
| Medida | Descrição |
|---|---|
| Acesso最小 privileges | Usuário só acessa seus próprios dados |
| Auditoria de alterações | Registro de alterações em dados sensíveis |
| Logs de acesso | Registro de IP e timestamp em operações críticas |
| Soft delete | Dados marcados como excluídos antes da eliminação definitiva |
| Procedimento de incidentes | Plano documentado de resposta a incidentes de segurança |
8. Procedimento de Notificação de Incidentes (Art. 48º)
8.1 O que constitui um incidente
Considera-se incidente de segurança qualquer evento que resulte em:
- Acesso não autorizado a dados pessoais
- Exposição acidental ou deliberada de dados
- Perda ou destruição de dados
- Alteração não autorizada de dados
8.2 Fluxo de notificação
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares:
1. Detecção e contenção (0 a 4 horas): identificação do incidente, bloqueio de acesso, isolamento de sistemas
2. Investigação (4 a 48 horas): identificação dos dados afetados, escopo, timeline
3. Notificação à ANPD (até 2 dias úteis): comunicação conforme Art. 48º
4. Notificação aos titulares: comunicação individual contendo:
- Natureza dos dados pessoais afetados
- Medidas técnicas e de segurança utilizadas para proteção
- Riscos relacionados ao incidente
- Medidas adotadas ou que serão adotadas para reverter ou mitigar os danos
5. Recuperação e remediação: correção da vulnerabilidade, implementação de controles adicionais
9. Encarregado de Dados (DPO - Art. 41º)
A plataforma disponibiliza um Encarregado pelo Tratamento de Dados Pessoais (DPO) como ponto de contato para titulares e para a ANPD.
| Função | Informação |
|---|---|
| Encarregado | [Nome a definir] |
| dpo@trocaja.com | |
| Responsabilidades | Ponto de contato com titulares e ANPD, registro de operações, resposta a solicitações, notificação de incidentes |
10. Cookies e Tecnologias Semelhantes
[Em definição. A política de cookies será publicada em documento complementar.]
Atualmente, a plataforma utiliza cookies estritamente necessários para:
- Manutenção da sessão do usuário
- Autenticação e segurança
- Preferências básicas (tema, idioma)
Não são utilizados cookies de rastreamento, publicidade ou redes sociais sem consentimento prévio.
11. Disposições Gerais
11.1 Transferência internacional de dados
Alguns dados pessoais podem ser transferidos para servidores localizados nos Estados Unidos (Google Cloud Platform, Firebase). Nestes casos, a plataforma adota:
- Cláusulas contratuais padrão aprovadas pela ANPD
- Medidas de segurança equivalentes às aplicadas no Brasil
- Verificação de que o país de destino possui nível de proteção adequado ou garantias suficientes (Art. 33º)
11.2 Atualizações desta política
Esta Política de Privacidade pode ser atualizada periodicamente. As alterações serão comunicadas aos titulares através:
- Notificação por e-mail (para alterações substanciais)
- Aviso na plataforma
- Atualização da data de "Última atualização" no início do documento
O titular que não concordar com as alterações poderá exercer seu direito de oposição ou solicitar a exclusão da conta.
11.3 Legislação e foro
Esta Política é regida pela Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais) e, subsidiariamente, pelo Código de Defesa do Consumidor (Lei nº 8.078/90) e pela legislação brasileira aplicável.
Fica eleito o foro da Comarca de [Cidade/Estado] para dirimir quaisquer controvérsias decorrentes desta Política.
12. Contato
Para exercer seus direitos, esclarecer dúvidas ou reportar preocupações sobre esta Política de Privacidade, entre em contato:
Encarregado de Dados (DPO): dpo@trocaja.com
Suporte da plataforma: suporte@trocaja.com
*Este documento é provisório e deve ser revisado por assessoria jurídica antes da publicação oficial.*