Política de privacidade

Última atualização: 2026-03-31

1. Introdução

A Jerry Strait (doravante designada por “Empresa”, “nós” ou “nosso”) tem o compromisso de proteger a privacidade e os dados pessoais de todos os usuários da plataforma CFM — CONTROL FLEET MOTOS (doravante designada por “Plataforma”). A presente Política de Privacidade descreve de forma transparente e acessível como coletamos, tratamos, armazenamos e protegemos os dados pessoais dos nossos usuários.

A Plataforma é uma solução de gestão de frotas de motocicletas destinada a empresas de locação, permitindo a gestão integral de veículos, contratos de locação, manutenção, clientes e finanças. Ao acessar e utilizar a Plataforma, o usuário aceita as práticas descritas nesta Política de Privacidade.

Nota importante: A Empresa está sediada em Portugal e opera sob a legislação da União Europeia. Embora esta Política tenha sido adaptada para o público brasileiro, o tratamento de dados pessoais é regido primariamente pelo Regulamento Geral sobre a Proteção de Dados (RGPD) da União Europeia e pela legislação portuguesa aplicável. Quando aplicável, são também consideradas as disposições da Lei Geral de Proteção de Dados brasileira (LGPD — Lei n.º 13.709/2018).

Recomendamos a leitura atenta deste documento. Caso tenha quaisquer dúvidas sobre o tratamento dos seus dados pessoais, entre em contato conosco através dos meios indicados na seção 15 desta Política.

2. Responsável pelo Tratamento

O responsável pelo tratamento dos dados pessoais (controlador) coletados através da Plataforma é:

Razão social: Jerry Strait
NIF (Portugal): 327380136
Sede: Avenida Do Brasil 127, 2735-674 Agualva-Cacém, Portugal
E-mail: contact@fleetmoto.com
Telefone: +351 939 048 392
Encarregado de Proteção de Dados (DPO): dpo@fleetmoto.com
Website: https://fleetmoto.com

O responsável pelo tratamento determina as finalidades e os meios de tratamento dos dados pessoais, nos termos do artigo 4.º, n.º 7, do RGPD. No contexto da LGPD brasileira, a Empresa atua como “controlador” conforme definido no artigo 5.º, inciso VI, da Lei n.º 13.709/2018.

3. Enquadramento Legal

O tratamento de dados pessoais realizado pela Plataforma é regido primariamente pela legislação europeia e portuguesa, com observância complementar da legislação brasileira quando aplicável:

3.1. Legislação Europeia e Portuguesa (Aplicação Primária)

Regulamento (UE) 2016/679 — Regulamento Geral sobre a Proteção de Dados (RGPD), aplicável diretamente em todos os Estados-Membros da União Europeia desde 25 de maio de 2018;
Lei n.º 58/2019, de 8 de agosto — Lei de execução do RGPD na ordem jurídica portuguesa, que assegura a aplicação do Regulamento em território nacional;
Lei n.º 59/2019, de 8 de agosto — Regime jurídico aplicável ao tratamento de dados pessoais para efeitos de prevenção, detecção, investigação ou repressão de infrações penais;
Comissão Nacional de Proteção de Dados (CNPD) — Autoridade de controle nacional competente para fiscalizar o cumprimento da legislação de proteção de dados em Portugal, nos termos do artigo 51.º do RGPD.

3.2. Legislação Brasileira (Aplicação Complementar)

Lei n.º 13.709/2018 — Lei Geral de Proteção de Dados Pessoais (LGPD), que dispõe sobre o tratamento de dados pessoais no Brasil, incluindo nos meios digitais;
Autoridade Nacional de Proteção de Dados (ANPD) — Órgão da administração pública federal responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território brasileiro.

A Empresa compromete-se a cumprir rigorosamente toda a legislação aplicável em matéria de proteção de dados pessoais, implementando as medidas técnicas e organizacionais adequadas para garantir a conformidade com o RGPD, a legislação portuguesa e, quando aplicável, a LGPD.

Em caso de conflito entre as legislações, prevalecerá o RGPD como regulamento principal, por ser a sede da Empresa em Portugal e os dados serem tratados na União Europeia.

4. Dados Coletados

No âmbito da utilização da Plataforma, podemos coletar e tratar as seguintes categorias de dados pessoais:

4.1. Dados Pessoais de Identificação

Nome completo
Endereço de e-mail
Número de telefone (quando fornecido)
Foto de perfil (quando fornecida)
Dados de autenticação (credenciais de acesso, tokens de sessão)
Dados de autenticação social (quando você opta por iniciar sessão com o Google: nome, endereço de e-mail e foto de perfil fornecidos pelo Google via protocolo OAuth 2.0)

4.2. Dados da Organização

Nome da organização
Logotipo da organização
Função do usuário dentro da organização (proprietário, administrador, membro)
Convites enviados e aceitos

4.3. Dados de Negócio

Dados da frota de motocicletas (marca, modelo, placa, quilometragem, estado)
Registros de locação (datas, valores, condições, cliente associado)
Dados dos clientes de locação (nome, contato, documento de identificação)
Registros de manutenção (tipo, custo, fornecedor, datas)
Dados financeiros (receitas, despesas, movimentos contábeis)
Documentos enviados (contratos, fotografias, certificados)

4.4. Dados de Utilização

Endereço IP
Tipo e versão do navegador (browser)
Sistema operacional
Páginas visitadas e ações realizadas na Plataforma
Data e hora de acesso
Dados de cookies e tecnologias semelhantes
Idioma preferido

4.5. Dados de Pagamento

Informações de assinatura e faturamento (plano selecionado, ciclo de faturamento, estado da assinatura)
Identificadores de pagamento processados pelo Stripe (os dados completos do cartão nunca são armazenados nos nossos servidores; são tratados diretamente pelo Stripe como processador de pagamentos certificado PCI DSS Nível 1)
Histórico de transações e faturas

4.6. Dados de Verificação de Segurança

Dados de verificação captcha processados pelo Cloudflare Turnstile durante o início de sessão e o registro (tokens de verificação, resultados de desafios; nenhum dado pessoal identificável é armazenado)

A Empresa não coleta intencionalmente categorias especiais de dados pessoais (dados sensíveis) na acepção do artigo 9.º do RGPD e do artigo 5.º, inciso II, da LGPD, tais como dados relativos à saúde, origem racial ou étnica, opiniões políticas, convicções religiosas ou orientação sexual.

5. Finalidade e Base Legal

Os dados pessoais são tratados com base nos seguintes fundamentos jurídicos previstos no artigo 6.º, n.º 1, do RGPD e no artigo 7.º da LGPD:

Finalidade	Base Legal	RGPD	LGPD
Criação e gestão de conta de usuário	Execução de contrato	Art. 6.º, n.º 1, al. b)	Art. 7.º, V
Prestação dos serviços da Plataforma (gestão de frotas, locações, manutenção, finanças)	Execução de contrato	Art. 6.º, n.º 1, al. b)	Art. 7.º, V
Gestão de organizações e permissões de acesso	Execução de contrato	Art. 6.º, n.º 1, al. b)	Art. 7.º, V
Envio de comunicações transacionais (convites, notificações de conta)	Execução de contrato	Art. 6.º, n.º 1, al. b)	Art. 7.º, V
Cumprimento de obrigações legais e fiscais	Obrigação legal	Art. 6.º, n.º 1, al. c)	Art. 7.º, II
Segurança da Plataforma e prevenção de fraude	Interesse legítimo	Art. 6.º, n.º 1, al. f)	Art. 7.º, IX
Processamento de pagamentos e gestão de assinaturas via Stripe	Execução de contrato	Art. 6.º, n.º 1, al. b)	Art. 7.º, V
Melhoria e otimização da Plataforma	Interesse legítimo	Art. 6.º, n.º 1, al. f)	Art. 7.º, IX
Análise estatística e relatórios agregados	Interesse legítimo	Art. 6.º, n.º 1, al. f)	Art. 7.º, IX

Quando o tratamento se baseia no interesse legítimo, a Empresa assegura que os seus interesses não prevalecem sobre os direitos e liberdades fundamentais dos titulares dos dados, realizando, quando necessário, avaliações de impacto sobre a proteção de dados (AIPD/RIPD) nos termos do artigo 35.º do RGPD e do artigo 38 da LGPD.

Os dados de negócio inseridos pelos usuários (dados da frota, locações, manutenção, finanças) são tratados exclusivamente para a finalidade de prestação dos serviços contratados e permanecem sob o controle da organização do usuário.

6. Prazo de Conservação

Os dados pessoais são conservados apenas durante o período estritamente necessário para alcançar as finalidades que motivaram a sua coleta, ou pelo período exigido por lei. Os prazos de conservação aplicáveis são os seguintes:

Categoria de Dados	Prazo de Conservação	Justificativa
Dados da conta de usuário	Duração da conta ativa + 30 dias	Execução de contrato e período de recuperação
Dados de negócio (frota, locações, manutenção)	Duração da conta ativa + 10 anos	Obrigações fiscais e contábeis (legislação portuguesa: Código do IRC, Decreto-Lei n.º 28/2019)
Dados financeiros e contábeis	10 anos após o encerramento do exercício	Obrigações fiscais legais (artigo 123.º do Código do IRC português)
Dados de pagamento e assinatura	Duração da conta ativa + 10 anos	Obrigações fiscais e contábeis; os registros de transações são conservados pelo Stripe de acordo com as suas políticas de conservação
Registros de acesso e logs de segurança	6 meses	Segurança e detecção de incidentes
Dados de cookies e navegação	Conforme a política de cookies	Consentimento do usuário
Documentos enviados	Duração da conta ativa + 10 anos	Obrigações legais e contratuais

Após o término do prazo de conservação aplicável, os dados pessoais serão eliminados de forma segura e irreversível, ou anonimizados de modo a impossibilitar a identificação dos titulares. A anonimização dos dados poderá ser utilizada para fins estatísticos, nos termos do considerando 26 do RGPD e do artigo 12 da LGPD.

Em caso de encerramento de conta, o usuário será informado sobre os dados que serão conservados para cumprimento de obrigações legais e os respectivos prazos. O artigo 16 da LGPD prevê a eliminação dos dados pessoais após o término do tratamento, observada a conservação para cumprimento de obrigação legal.

7. Direitos dos Titulares

Nos termos dos artigos 15.º a 22.º do RGPD e do artigo 18 da LGPD, os titulares dos dados pessoais dispõem dos seguintes direitos:

Direito de acesso (Art. 15.º RGPD / Art. 18, II LGPD) — O direito de obter confirmação sobre se os seus dados pessoais estão sendo tratados e, em caso afirmativo, acessar os mesmos e informações sobre o tratamento.
Direito de retificação (Art. 16.º RGPD / Art. 18, III LGPD) — O direito de solicitar a correção de dados pessoais inexatos, incompletos ou desatualizados.
Direito ao apagamento / eliminação (Art. 17.º RGPD / Art. 18, VI LGPD) — O direito de solicitar a eliminação dos seus dados pessoais, quando aplicável, especialmente quando os dados não são mais necessários para as finalidades que motivaram a sua coleta.
Direito à limitação do tratamento (Art. 18.º RGPD) — O direito de solicitar a restrição do tratamento dos seus dados pessoais em determinadas circunstâncias.
Direito à portabilidade dos dados (Art. 20.º RGPD / Art. 18, V LGPD) — O direito de receber os seus dados pessoais em formato estruturado, de uso corrente e de leitura automatizada, e de transmiti-los a outro controlador.
Direito de oposição (Art. 21.º RGPD / Art. 18, IV LGPD) — O direito de se opor ao tratamento dos seus dados pessoais com base em interesses legítimos.
Direito de não estar sujeito a decisões automatizadas (Art. 22.º RGPD / Art. 20 LGPD) — O direito de não estar sujeito a decisões tomadas exclusivamente com base no tratamento automatizado, incluindo a definição de perfis, que produzam efeitos jurídicos ou que o afetem significativamente.
Direito à informação sobre compartilhamento (Art. 18, VII LGPD) — O direito de obter informação sobre as entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados.
Direito de revogação do consentimento (Art. 18, IX LGPD) — O direito de revogar o consentimento a qualquer momento, quando o tratamento se basear nessa base legal.

Para exercer qualquer dos direitos acima referidos, o titular dos dados deverá entrar em contato conosco através do e-mail dpo@fleetmoto.com ou por escrito para o endereço indicado na seção 2 desta Política. O pedido será respondido no prazo de 30 dias, nos termos do artigo 12.º, n.º 3, do RGPD.

A Empresa poderá solicitar informações adicionais para verificar a identidade do titular antes de atender ao pedido, visando garantir a segurança dos dados pessoais.

8. Segurança dos Dados

A Empresa implementa medidas técnicas e organizacionais adequadas para garantir a segurança dos dados pessoais contra o acesso não autorizado, a perda acidental, a destruição ou a danificação, em conformidade com o artigo 32.º do RGPD e o artigo 46 da LGPD. Entre as medidas implementadas incluem-se:

Criptografia em trânsito e em repouso — Todas as comunicações são protegidas por protocolo TLS/HTTPS. Os dados armazenados no banco de dados são criptografados em repouso.
Autenticação segura — O sistema de autenticação inclui hashing seguro de senhas, gestão de sessões com tokens expiráveis e suporte para autenticação de dois fatores (2FA).
Controle de acessos — A Plataforma implementa um sistema de permissões baseado em funções com isolamento rigoroso, garantindo que cada organização somente acesse seus próprios dados.
Registro de atividades — As ações sensíveis são registradas em logs de auditoria para detecção e investigação de incidentes de segurança.
Backups — São realizados backups regulares do banco de dados com procedimentos de recuperação testados.
Revisão contínua — As medidas de segurança são revisadas e atualizadas periodicamente para acompanhar a evolução das ameaças e das melhores práticas.

Apesar das medidas adotadas, nenhum sistema de transmissão ou armazenamento de dados é absolutamente seguro. A Empresa compromete-se a adotar todas as medidas razoáveis e proporcionais para proteger os dados pessoais dos seus usuários.

9. Subcontratantes

Para a prestação dos serviços da Plataforma, a Empresa recorre a subcontratantes (operadores/processadores de dados) nos termos do artigo 28.º do RGPD e do artigo 5.º, inciso VII, da LGPD. Todos os subcontratantes foram selecionados criteriosamente e oferecem garantias suficientes de implementação de medidas técnicas e organizacionais adequadas à proteção dos dados pessoais.

Os subcontratantes atuais são os seguintes:

Subcontratante	Serviço Prestado	Localização dos Dados	Garantias
Supabase	Banco de dados e armazenamento de arquivos	União Europeia (região UE)	Conformidade com RGPD, criptografia em repouso e em trânsito, certificações SOC 2
Vercel	Hospedagem da aplicação web (Edge Network)	Rede Edge global (com nós na UE)	Conformidade com RGPD, DPA disponível, certificações SOC 2 e ISO 27001
Resend	Envio de e-mails transacionais (convites, notificações)	Estados Unidos da América	Conformidade com RGPD, DPA disponível, cláusulas contratuais padrão (SCCs)
Stripe	Processamento de pagamentos e gestão de assinaturas	Estados Unidos da América / União Europeia	Certificação PCI DSS Nível 1, conformidade com RGPD, DPA disponível, Data Privacy Framework UE-EUA, cláusulas contratuais padrão (SCCs). Consulte stripe.com/privacy
Cloudflare	Verificação de segurança (Turnstile captcha) e proteção contra bots	Rede global (com nós na UE)	Conformidade com RGPD, DPA disponível, certificações ISO 27001 e SOC 2, Data Privacy Framework UE-EUA
Google	Autenticação social (login com Google via OAuth 2.0)	Estados Unidos da América / Global	Conformidade com RGPD, DPA disponível, Data Privacy Framework UE-EUA, certificações ISO 27001 e SOC 2

Com todos os subcontratantes foram celebrados acordos de tratamento de dados (Data Processing Agreements — DPA) que estabelecem as obrigações de cada parte em matéria de proteção de dados, incluindo medidas de segurança, notificação de violações e limitações ao tratamento.

A lista de subcontratantes poderá ser atualizada periodicamente. Em caso de alteração substancial, os usuários serão informados através da atualização desta Política.

10. Transferências Internacionais

A Empresa privilegia o armazenamento e tratamento de dados pessoais dentro do Espaço Econômico Europeu (EEE). No entanto, alguns dos nossos subcontratantes poderão tratar dados pessoais fora do EEE, especialmente nos Estados Unidos da América.

Quando são realizadas transferências de dados pessoais para países terceiros que não disponham de uma decisão de adequação da Comissão Europeia nos termos do artigo 45.º do RGPD, a Empresa assegura que são implementadas garantias adequadas, nomeadamente:

Cláusulas contratuais padrão (SCCs) — Aprovadas pela Comissão Europeia nos termos do artigo 46.º, n.º 2, al. c), do RGPD;
Data Privacy Framework UE-EUA — Para subcontratantes certificados sob o marco de privacidade de dados UE-EUA, quando aplicável;
Medidas suplementares — Incluindo avaliações do impacto da transferência (TIA) e medidas técnicas adicionais de proteção, em conformidade com as recomendações do Comitê Europeu para a Proteção de Dados (CEPD).

Em concreto, os seguintes subcontratantes podem tratar dados fora do EEE: o Stripe trata dados de pagamento nos EUA ao abrigo do Data Privacy Framework UE-EUA e de cláusulas contratuais padrão (SCCs); a Cloudflare trata dados de verificação de segurança na sua rede global ao abrigo do Data Privacy Framework UE-EUA e de SCCs; o Google trata dados de autenticação OAuth nos EUA ao abrigo do Data Privacy Framework UE-EUA e de SCCs; a Resend trata dados de e-mail nos EUA ao abrigo de cláusulas contratuais padrão (SCCs).

Para usuários brasileiros, é importante notar que o artigo 33 da LGPD também regulamenta a transferência internacional de dados pessoais. A Empresa cumpre tanto os requisitos do RGPD quanto os da LGPD no que se refere a transferências internacionais.

Os usuários podem obter informações adicionais sobre as garantias aplicáveis às transferências internacionais entrando em contato com o nosso Encarregado de Proteção de Dados através do e-mail dpo@fleetmoto.com.

11. Cookies

A Plataforma utiliza cookies e tecnologias semelhantes para garantir o seu correto funcionamento e melhorar a experiência do usuário. Um cookie é um pequeno arquivo de texto armazenado no dispositivo do usuário quando este acessa a Plataforma.

Os cookies utilizados pela Plataforma dividem-se nas seguintes categorias:

Cookies estritamente necessários — Essenciais para o funcionamento da Plataforma, incluindo cookies de sessão, autenticação e verificação de segurança Cloudflare Turnstile. Não requerem consentimento (artigo 5.º, n.º 3, da Diretiva 2002/58/CE).
Cookies de preferências — Permitem memorizar as preferências do usuário, como o idioma selecionado e as configurações de interface.
Cookies de desempenho e análise — Utilizados para fins estatísticos e de melhoria da Plataforma. Coletam informações de forma anônima e agregada.

A Plataforma não utiliza cookies de publicidade nem de rastreamento de terceiros para fins de marketing. O usuário pode gerenciar suas preferências de cookies através das configurações do seu navegador. No entanto, a desativação de cookies estritamente necessários poderá afetar o funcionamento da Plataforma.

12. Violações de Dados

Em caso de violação de dados pessoais (incidente de segurança), conforme definida no artigo 4.º, n.º 12, do RGPD e no artigo 46 da LGPD, a Empresa atuará de acordo com os seguintes procedimentos:

Notificação à autoridade de controle (Art. 33.º RGPD / Art. 48 LGPD) — A violação de dados pessoais será notificada à Comissão Nacional de Proteção de Dados (CNPD) no prazo máximo de 72 horas após a Empresa ter conhecimento da mesma, salvo se a violação não for suscetível de resultar em risco para os direitos e liberdades das pessoas singulares. Quando aplicável, a ANPD também será notificada em prazo razoável, conforme regulamento da Autoridade.
Notificação aos titulares dos dados (Art. 34.º RGPD / Art. 48 LGPD) — Quando a violação de dados pessoais for suscetível de implicar alto risco para os direitos e liberdades das pessoas, a Empresa comunicará a violação aos titulares dos dados sem demora injustificada.
Registro de violações — A Empresa mantém um registro de todas as violações de dados pessoais, incluindo os fatos relacionados com a violação, seus efeitos e as medidas de reparação adotadas, nos termos do artigo 33.º, n.º 5, do RGPD.

A notificação à CNPD incluirá, no mínimo, a natureza da violação, as categorias e número aproximado de titulares de dados afetados, as consequências prováveis da violação e as medidas adotadas ou propostas para mitigar a violação.

A Empresa dispõe de um plano de resposta a incidentes de segurança que define os procedimentos internos a seguir em caso de violação de dados, incluindo a identificação, contenção, avaliação e comunicação do incidente.

13. Menores

A Plataforma CFM — CONTROL FLEET MOTOS é um serviço profissional de gestão de frotas destinado exclusivamente a empresas e profissionais. Nossos serviços não são destinados a menores de 16 anos, em conformidade com o artigo 8.º do RGPD e o artigo 16.º da Lei n.º 58/2019 portuguesa. No contexto brasileiro, o artigo 14 da LGPD estabelece regras específicas para o tratamento de dados de crianças e adolescentes.

A Empresa não coleta intencionalmente dados pessoais de menores de 16 anos. Caso tenhamos conhecimento de que foram coletados dados pessoais de um menor sem o consentimento do responsável legal, procederemos à eliminação imediata desses dados.

Se você tiver conhecimento de que um menor de 16 anos nos forneceu dados pessoais, pedimos que entre em contato conosco imediatamente através do e-mail dpo@fleetmoto.com.

14. Alterações à Política

A Empresa reserva-se o direito de alterar a presente Política de Privacidade a qualquer momento, especialmente para refletir alterações legislativas, regulatórias ou nas nossas práticas de tratamento de dados.

Em caso de alterações substanciais, os usuários serão informados através de notificação na Plataforma ou por e-mail, conforme a natureza da alteração. As alterações entrarão em vigor na data indicada na versão atualizada da Política.

Recomendamos a consulta periódica desta Política para se manter informado sobre como protegemos os seus dados pessoais. A data da última atualização é indicada no início deste documento.

A continuação da utilização da Plataforma após a publicação de alterações à Política de Privacidade constitui aceitação dessas alterações.

15. Contato e Reclamações

Para quaisquer questões, pedidos de exercício de direitos ou reclamações relacionadas com o tratamento dos seus dados pessoais, entre em contato conosco através dos seguintes meios:

Encarregado de Proteção de Dados: dpo@fleetmoto.com
E-mail geral: contact@fleetmoto.com
Endereço: Avenida Do Brasil 127, 2735-674 Agualva-Cacém, Portugal
Telefone: +351 939 048 392

Autoridade de Controle Europeia

Sem prejuízo do direito de entrar em contato diretamente com a Empresa, o titular dos dados tem o direito de apresentar reclamação junto da autoridade de controle competente, nos termos do artigo 77.º do RGPD:

Comissão Nacional de Proteção de Dados (CNPD)
Av. D. Carlos I, 134 — 1.º, 1200-651 Lisboa
Telefone: +351 213 928 400
Fax: +351 213 976 832
Website: www.cnpd.pt
E-mail: geral@cnpd.pt

Autoridade Brasileira

Usuários localizados no Brasil podem também recorrer à Autoridade Nacional de Proteção de Dados (ANPD), nos termos do artigo 18, par. 1.º, da LGPD:

Autoridade Nacional de Proteção de Dados (ANPD)
Website: www.gov.br/anpd

A Empresa compromete-se a colaborar com a CNPD, a ANPD e com o titular dos dados para a resolução de quaisquer questões relacionadas com o tratamento de dados pessoais.

Data de entrada em vigor: 31 de março de 2026