01 Quem somos
O CarMatch é uma plataforma B2B desenvolvida e operada pela ThoThi Technologies (razão social a ser registrada), voltada exclusivamente para pessoas jurídicas — concessionárias e revendedores de veículos com CNPJ ativo.
Nossa plataforma conecta concessionárias por meio de um algoritmo de match entre estoque disponível e intenções de compra cadastradas por outras lojas da rede, viabilizando o repasse inter-dealer de forma organizada, rastreável e eficiente.
Por tratar-se de serviço B2B, as relações são firmadas entre empresas. O Código de Defesa do Consumidor (CDC) não se aplica a este contexto. Os dados tratados são predominantemente dados de pessoas jurídicas e de representantes legais ou responsáveis técnicos das lojas cadastradas.
02 Dados coletados
Coletamos apenas os dados estritamente necessários para a operação da plataforma:
- Dados cadastrais pessoais: nome completo, endereço de email e telefone do responsável pela conta na loja.
- Dados da pessoa jurídica: CNPJ, razão social, nome fantasia, endereço comercial e cidade de operação.
- Dados de uso da plataforma: veículos cadastrados no estoque (marca, modelo, ano, quilometragem, preço, câmbio, combustível), fotos dos veículos enviadas pela loja, intenções de compra registradas e matches gerados pelo algoritmo.
- Dados de clientes da loja (opcionais): nome e contato (telefone/email) do cliente final vinculado a um veículo ou intenção de compra, quando informados pela loja. Esses dados são privados de cada loja: nunca são exibidos a outras lojas da rede nem utilizados pelo CarMatch para qualquer outra finalidade. A loja é responsável por obter o consentimento do seu cliente para esse registro (LGPD art. 7º).
- Dados técnicos: token de dispositivo para envio de notificações push, endereço IP de acesso, timestamps de criação e atualização de registros, e logs de sessão para fins de segurança.
Não coletamos dados sensíveis conforme definição do art. 5º, II da LGPD.
03 Base legal (LGPD art. 7)
O tratamento dos dados pessoais coletados é fundamentado nas seguintes bases legais previstas no art. 7º da Lei 13.709/2018:
- Execução de contrato (art. 7º, V): os dados são necessários para o cumprimento das obrigações contratuais assumidas ao aceitar os Termos de Uso, incluindo a operação do serviço de match, notificações e cobrança da assinatura.
- Legítimo interesse (art. 7º, IX): o uso de logs técnicos e dados de uso para melhoria contínua do algoritmo de match e segurança da plataforma, desde que não prevaleça sobre os direitos e liberdades fundamentais do titular.
- Cumprimento de obrigação legal (art. 7º, II): retenção de dados pelo período exigido por legislação fiscal e trabalhista aplicável.
04 Finalidade do tratamento
Os dados coletados são utilizados exclusivamente para as seguintes finalidades:
- Criação e gestão da conta da concessionária na plataforma.
- Operação do algoritmo de match entre estoque e intenções de compra da rede.
- Envio de notificações push e por email sobre novos matches, atualizações de status e alertas operacionais.
- Processamento da assinatura mensal e controle de acesso por plano contratado.
- Suporte técnico e atendimento ao cliente.
- Análise agregada e anonimizada de uso para melhoria do produto.
Não utilizamos dados pessoais para fins de publicidade comportamental, perfil psicográfico ou venda a terceiros.
05 Compartilhamento de dados
O CarMatch não vende, aluga nem cede dados pessoais a terceiros para fins comerciais. O compartilhamento é restrito ao estritamente necessário para a operação do serviço:
- Entre lojas na plataforma: quando ocorre um match, as lojas envolvidas visualizam apenas o nome da loja parceira, a cidade e o canal de contato comercial (email ou telefone da loja) cadastrado no perfil público. Dados pessoais do responsável pela conta não são expostos automaticamente.
- Provedores de infraestrutura: utilizamos a Supabase (PostgreSQL gerenciado) para armazenamento de dados. A Supabase atua como operadora de dados conforme LGPD, sob contrato de proteção de dados adequado.
- Processador de pagamentos: as assinaturas são contratadas e cobradas exclusivamente pela Apple, por meio de compra dentro do aplicativo (App Store). O CarMatch não coleta nem armazena dados de cartão de crédito; recebemos da Apple apenas a confirmação da assinatura ativa e o identificador da transação, necessários para liberar o plano contratado. O tratamento dos dados de pagamento é regido pela política de privacidade da Apple.
- Autoridades públicas: quando exigido por ordem judicial, regulatória ou legal devidamente fundamentada.
06 Retenção de dados
Os dados são mantidos pelo período necessário para a prestação do serviço contratado. Após o encerramento da conta:
- Dados operacionais (estoque, matches, intenções) são excluídos em até 90 dias após o cancelamento definitivo, salvo se houver pendência contratual ou litigiosa em curso.
- Dados cadastrais e registros financeiros são retidos por 5 anos após o encerramento, em cumprimento às obrigações fiscais e contábeis previstas no Código Civil (art. 1.194) e legislação tributária aplicável.
- Logs de segurança e acesso são mantidos por até 12 meses.
07 Direitos do titular (LGPD art. 18)
O titular dos dados pessoais, nos termos do art. 18 da LGPD, tem direito a:
- Confirmar a existência de tratamento de seus dados pessoais.
- Acessar os dados que mantemos sobre si.
- Corrigir dados incompletos, inexatos ou desatualizados.
- Solicitar a anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade com a LGPD.
- Solicitar a portabilidade dos dados a outro fornecedor de serviço, mediante requisição expressa.
- Revogar o consentimento, quando o tratamento for baseado nessa base legal.
- Obter informação sobre as entidades com as quais compartilhamos dados.
- Peticionar contra o controlador perante a Autoridade Nacional de Proteção de Dados (ANPD).
Para exercer qualquer desses direitos, entre em contato por email:
Contato para direitos LGPD
08 Segurança dos dados
Adotamos medidas técnicas e organizacionais adequadas para proteger os dados pessoais contra acesso não autorizado, perda, alteração ou destruição:
- Banco de dados: Supabase com PostgreSQL, Row Level Security (RLS) habilitado — cada loja acessa apenas seus próprios dados e os dados de match autorizados.
- Transmissão: todos os dados são transmitidos com criptografia TLS 1.3. Conexões sem HTTPS são rejeitadas.
- Autenticação: tokens de sessão com expiração automática. Suporte a autenticação de dois fatores (2FA) para contas administradoras.
- Acesso interno: princípio do menor privilégio — membros da equipe ThoThi Technologies acessam apenas os dados necessários para suporte técnico e correção de incidentes.
Em caso de incidente de segurança que resulte em risco ou dano relevante aos titulares, notificaremos a ANPD e os titulares afetados no prazo legal.
09 Cookies e rastreamento
O CarMatch utiliza apenas cookies de sessão estritamente necessários para manter o estado de autenticação do usuário enquanto ele navega na plataforma. Esses cookies são apagados automaticamente ao encerrar a sessão.
Não utilizamos cookies de terceiros, pixels de rastreamento, scripts de análise comportamental (ex.: Google Analytics, Meta Pixel) ou qualquer tecnologia de identificação que persista entre sessões para fins publicitários ou de perfil.
10 DPO e contato
Dúvidas sobre esta Política de Privacidade, solicitações de direitos ou notificações de incidentes devem ser enviadas ao nosso canal de proteção de dados:
Empresa
ThoThi Technologies · CNPJ a ser registrado · São Paulo, SP
11 Atualizações desta política
Esta Política de Privacidade pode ser atualizada periodicamente para refletir mudanças na legislação, nas práticas de tratamento de dados ou nas funcionalidades da plataforma.
A data de vigência será sempre publicada no cabeçalho desta página. Em caso de alterações materiais que afetem os direitos dos titulares, comunicaremos por email com antecedência mínima de 15 dias. O uso continuado da plataforma após essa data implica a aceitação da versão atualizada.
12 Jurisdição e foro
Esta Política de Privacidade é regida pela legislação brasileira, em especial pela Lei Geral de Proteção de Dados (Lei 13.709/2018) e suas regulamentações posteriores editadas pela Autoridade Nacional de Proteção de Dados (ANPD).
Quaisquer litígios decorrentes desta política serão submetidos ao foro da comarca de São Paulo, SP, com renúncia expressa a qualquer outro, por mais privilegiado que seja.