Política de Privacidade

Última Atualização: 06/11/2025

Esta Política de Privacidade explica como a CantinaPay coleta, utiliza, compartilha e protege dados pessoais, em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD).

1. Controlador e Responsabilidade

A CantinaPay Tecnologia LTDA atua como Controladora dos dados necessários para cadastro, gestão de contas, segurança, autenticação, cobranças, carteira digital e repasses.

Escolas e cantinas parceiras podem atuar como Controladoras Independentes ou Co-Controladoras em tratamentos relacionados a obrigações fiscais, administrativas, controle alimentar e políticas internas da instituição.

2. Dados Coletados

  • Pais/Responsáveis: nome, CPF, e-mail, telefone, endereço, vínculo com estudantes, preferências de comunicação e configurações de controle de consumo.
  • Estudantes: nome, identificação escolar, turma/série, número de matrícula, código de compra, foto de identificação e, quando autorizado, imagem e hash biométrico para autenticação.
  • Cantinas/Escolas: CNPJ, razão social, endereço, dados fiscais necessários, conta bancária ou dados de pagamento para repasses, dados de contato de responsáveis pela operação.

3. Dados de Comportamento e Uso

Coletamos informações como histórico de compras, itens adquiridos, horários de consumo, canal de compra (totem, aplicativo, PDV), tempo de uso, páginas acessadas, interações com o aplicativo e registros de acesso (IP, data, hora, dispositivo) para:

  • oferecer relatórios a pais, escolas e cantinas;
  • identificar padrões de uso e otimizar a operação da cantina;
  • melhorar a experiência do usuário e os recursos da plataforma.

4. Tratamento de Dados de Crianças e Adolescentes

O tratamento de dados de menores ocorre sempre no melhor interesse do titular e somente mediante consentimento do responsável legal, quando aplicável.

Pais ou responsáveis podem, a qualquer momento, solicitar relatórios, correção ou exclusão de dados, observados os limites legais e obrigações de retenção fiscal.

5. Dados Sensíveis (Biometria Facial)

A autenticação facial é realizada por meio de captura de imagem e geração de um hash biométrico, armazenado de forma segura e utilizado exclusivamente para identificação em totens e pontos autorizados.

A base legal para esse tratamento é o consentimento expresso do responsável legal do estudante ou do próprio titular, quando aplicável.

6. Finalidades e Bases Legais

Categoria Finalidade Base Legal
Dados de Cadastro Identificação, criação de conta, login e gestão de acesso Execução de contrato
Dados de Consumo Histórico de compras, relatórios para pais/escolas e gestão da cantina Execução de contrato e legítimo interesse
Biometria Facial Autenticação segura em totens e pontos de atendimento Consentimento expresso
Logs e Auditoria Segurança, prevenção de fraudes, rastreabilidade e suporte Legítimo interesse e cumprimento de obrigação legal
Dados Técnicos Monitoramento de desempenho do totem, aplicativos e infraestrutura Legítimo interesse
Dados Financeiros/Transacionais Captura, liquidação, conciliação e repasse de valores Execução de contrato e obrigação legal

7. Pagamentos, Carteira Digital e Transações

A CantinaPay opera uma carteira digital para gestão de saldo de alunos, incluindo recargas feitas por pais/responsáveis e compras realizadas em cantinas parceiras. Nesse contexto, tratamos:

  • valores transacionados, datas, horários e estabelecimentos envolvidos;
  • forma de pagamento utilizada (Pix, cartão, outros meios disponíveis);
  • registros de recargas, compras, estornos e repasses;
  • informações de conciliação financeira com cantinas e escolas.

Não armazenamos dados completos de cartões de crédito ou débito. O processamento de pagamentos é realizado por Instituições de Pagamento, Adquirentes, Subcredenciadoras ou outros PSPs autorizados, que atuam como Operadores ou Controladores Independentes, conforme seus próprios termos e políticas.

8. Monitoramento e Antifraude

Para proteção dos titulares e da operação, realizamos monitoramento e prevenção a fraudes, incluindo:

  • registro de tentativas de autenticação inválidas;
  • mecanismos de detecção de spoofing facial (uso de fotos, vídeos ou dispositivos indevidos);
  • análise de uso atípico da carteira digital ou do saldo;
  • verificação de padrões suspeitos de acesso e transação.

Em casos de suspeita de fraude, a CantinaPay poderá restringir funcionalidades, bloquear temporariamente contas ou solicitar validações adicionais, sempre buscando proteger o titular e a integridade da plataforma.

9. Dados Técnicos do Totem e Aplicativos

Coletamos dados técnicos dos dispositivos utilizados para acessar a plataforma, como:

  • logs de funcionamento do totem (erros, reinícios, status da câmera e impressora, uso de recursos);
  • informações do dispositivo (modelo, sistema operacional, identificadores técnicos);
  • endereço IP, porta de acesso e geolocalização aproximada;
  • dados de desempenho e métricas de uso.

Esses dados são utilizados exclusivamente para garantir o funcionamento contínuo, a segurança e a melhoria da experiência do usuário, não sendo comercializados.

10. Informações de Consumo e Saúde

Registros de consumo alimentar (itens adquiridos, frequência de compra, valores e horários) podem revelar informações relacionadas a hábitos alimentares e bem-estar. Esses dados são tratados para:

  • fornecer visibilidade aos pais e responsáveis sobre o que está sendo consumido;
  • permitir que escolas e responsáveis configurem limites e restrições de consumo;
  • apoio a políticas internas de educação alimentar.

Esse tratamento é realizado no melhor interesse do estudante, não sendo utilizado para discriminação, análise de crédito ou qualquer finalidade não relacionada ao contexto escolar e de alimentação.

11. Co-Controladoria com Escolas e Cantinas

Em alguns tratamentos específicos, especialmente em:

  • configuração de produtos permitidos ou bloqueados para determinados estudantes;
  • definição de políticas de consumo, valores máximos por dia e restrições alimentares;
  • emissão de relatórios para acompanhamento escolar;

CantinaPay e as instituições parceiras podem atuar como Co-Controladoras, compartilhando decisões sobre a forma e a finalidade do tratamento de dados. As responsabilidades são estabelecidas contratualmente entre as partes.

12. Compartilhamento de Dados

Dados pessoais podem ser compartilhados apenas com:

  • escolas e cantinas parceiras, estritamente para operação do serviço;
  • prestadores de serviços de tecnologia (hospedagem, nuvem, monitoramento, e-mail, notificações);
  • provedores de pagamento, bancos, adquirentes, subcredenciadoras e PSPs;
  • empresas de antifraude, quando necessário;
  • autoridades públicas, quando houver obrigação legal ou ordem judicial.

Todos os Operadores contratados são obrigados a tratar os dados pessoais em conformidade com a LGPD e com esta Política. Não vendemos dados pessoais.

13. Transferência Internacional de Dados

Alguns dados podem ser armazenados ou processados em servidores localizados fora do Brasil, em razão do uso de serviços de computação em nuvem e soluções de terceiros.

Nesses casos, a CantinaPay adota medidas para garantir que a transferência ocorra com as salvaguardas adequadas, em conformidade com a LGPD, incluindo cláusulas contratuais específicas e/ou utilização de provedores com políticas de proteção de dados compatíveis.

14. Cookies e Tecnologias Similares

Utilizamos cookies e tecnologias semelhantes para:

  • manter sessões autenticadas;
  • lembrar preferências de uso;
  • produzir estatísticas de acesso e uso da plataforma.

Você pode gerenciar o uso de cookies diretamente nas configurações do seu navegador. A desativação de determinados cookies pode impactar funcionalidades da plataforma.

15. Inteligência Artificial e Decisões Automatizadas

A CantinaPay pode utilizar recursos de inteligência artificial e algoritmos para:

  • gerar relatórios e insights operacionais para cantinas e escolas;
  • previsão de demanda e otimização de estoque;
  • recomendações de configurações operacionais.

Usuários podem solicitar revisão humana de resultados ou decisões automatizadas que considerem impactar seus interesses.

16. Dados Agregados e Anonimizados

Podemos utilizar dados de forma agregada e anonimizanda, sem identificação de titulares, para:

  • análises estatísticas;
  • melhoria contínua da plataforma;
  • desenvolvimento de novos recursos;
  • treinamento e avaliação de modelos de inteligência artificial.

Dados anonimizados não são considerados dados pessoais pela LGPD.

17. Segurança da Informação

Adotamos medidas técnicas e organizacionais para proteger os dados pessoais, incluindo:

  • criptografia em trânsito e, quando aplicável, em repouso;
  • controle de acesso baseado em necessidade e perfil;
  • backups automáticos e planos de contingência;
  • monitoramento de eventos e logs de auditoria;
  • ambientes segregados para desenvolvimento, testes e produção.

Apesar dos nossos esforços, nenhum sistema é totalmente imune a incidentes de segurança. Em caso de incidente relevante, os titulares e a ANPD serão comunicados, quando exigido pela legislação.

18. Retenção e Eliminação de Dados

Os dados pessoais são mantidos apenas pelo tempo necessário para cumprir as finalidades para as quais foram coletados e para:

  • cumprimento de obrigações legais e regulatórias;
  • exercício regular de direitos em processos judiciais, administrativos ou arbitrais;
  • preservação de registros mínimos exigidos por normas fiscais e contábeis.

Exemplos de prazos:

  • Dados de transações e documentos fiscais: mantidos por, no mínimo, 5 (cinco) anos, ou por prazo superior, se exigido por lei.
  • Biometrias faciais: excluídas em até 30 dias após a revogação do consentimento ou encerramento da conta, salvo em caso de necessidade de retenção para defesa em processos judiciais ou administrativos.

19. Direitos dos Titulares

Nos termos da LGPD, os titulares de dados (ou seus responsáveis legais, no caso de menores) podem exercer os seguintes direitos:

  • confirmação da existência de tratamento;
  • acesso aos dados pessoais;
  • correção de dados incompletos, inexatos ou desatualizados;
  • anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos;
  • portabilidade dos dados, quando aplicável;
  • eliminação de dados tratados com base no consentimento;
  • informação sobre compartilhamento e responsabilidades;
  • revogação do consentimento, quando aplicável.

Solicitações podem ser feitas por meio do e-mail: atendimento@cantinapay.com.br.

20. Encarregado pelo Tratamento de Dados (DPO)

A CantinaPay indica um Encarregado (DPO) para atuar como canal de comunicação entre a empresa, os titulares e a ANPD.

E-mail para contato do DPO: dpo@cantinapay.com.br

21. Atualizações desta Política

Esta Política de Privacidade pode ser atualizada periodicamente para refletir melhorias da plataforma, novos recursos ou mudanças legais e regulatórias.

Alterações relevantes serão comunicadas por meio do aplicativo, do painel web e/ou por e-mail, com destaque para as principais modificações.

Recomendamos que você revise esta Política regularmente para manter-se informado sobre como protegemos seus dados.