Política de Privacidade

Esta Política descreve como a TCOM LTDA, operadora da plataforma Desio (a "Desio"), trata dados pessoais no contexto da oferta, compra, reserva, operação de vouchers, CRM e uso do produto, em conformidade com a Lei Geral de Proteção de Dados Pessoais — Lei nº 13.709/2018 ("LGPD") e com as normas da Agência Nacional de Proteção de Dados ("ANPD").

TCOM LTDA CNPJ: 65.291.044/0001-63 Endereço: Rua Francisco Rocha, 198 — Batel — Curitiba/PR — CEP 80.420-130 Contato geral: contato@desio.app Contato de privacidade: privacidade@desio.app Encarregado pelo Tratamento de Dados Pessoais (DPO): Ricardo Krug — privacidade@desio.app

Os termos utilizados nesta Política têm o significado atribuído pela LGPD. Para facilitar a leitura, destacamos:

• Titular: a pessoa natural a quem se referem os dados pessoais objeto de tratamento (por exemplo, Você).
• Tratamento: toda operação realizada com dados pessoais, como coleta, uso, armazenamento, compartilhamento, eliminação e demais atos correlatos.
• Dado Pessoal: informação relacionada a pessoa natural identificada ou identificável.
• Dado Pessoal Sensível: dado sobre origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, saúde, vida sexual, dado genético ou biométrico, quando vinculado a pessoa natural.
• Consentimento: manifestação livre, informada e inequívoca pela qual o Titular concorda com tratamento de seus dados pessoais para finalidade determinada.
• Legítimo Interesse: base legal que autoriza tratamento em situações concretas, quando compatível com os direitos e liberdades fundamentais do Titular, observadas medidas de minimização e transparência.
• Controlador: a quem competem as decisões sobre o tratamento de dados pessoais.
• Operador: quem trata dados pessoais em nome do Controlador.
• Controladoria Independente: situação em que duas partes tratam o mesmo dado, cada uma como Controladora, para finalidades próprias e não compartilhadas.
• Encarregado (DPO): pessoa indicada para atuar como canal entre Titulares, Desio e ANPD.
• Incidente de Segurança: evento confirmado que comprometa confidencialidade, integridade, disponibilidade ou autenticidade de dados pessoais.
• Anonimização: processo pelo qual um dado perde a possibilidade de associação a pessoa natural, observadas técnicas razoáveis.
• Eliminação: exclusão de dado ou conjunto de dados armazenado em banco de dados.
• ANPD: Agência Nacional de Proteção de Dados.
• Marco Civil da Internet: Lei nº 12.965/2014, que, entre outras matérias, disciplina a guarda de registros de acesso a aplicações.

Os papéis de tratamento variam conforme a finalidade. Como regra geral:

• a Desio atua como Controladora das atividades próprias da plataforma, incluindo segurança, prevenção à fraude, billing, observabilidade, analytics próprios e geração de insights agregados e desidentificados
• o Parceiro atua como Controlador da relação comercial com seus clientes para atendimento, reservas, execução da oferta, CRM e campanhas próprias
• em determinados fluxos técnicos, a Desio atua como Operadora em nome do Parceiro
• para segurança da plataforma, billing, antifraude e analytics próprios, a Desio atua como Controladora Independente em relação a esses mesmos dados

O simples acesso técnico da Desio aos dados, ou a geração de benchmarks agregados e desidentificados, não transforma, por si só, toda a operação em controle conjunto.

Quando houver necessidade contratual específica de cláusulas adicionais sobre processamento, a Desio pode fornecer DPA sob demanda em contexto de procurement ou enterprise. Detalhes sobre quando o DPA é aplicável e como solicitar estão em desio.app/dpa.

Dependendo do fluxo utilizado, a Desio pode tratar:

Dados de identificação e contato:

• nome
• e-mail
• telefone

Dados de compra, voucher e reserva:

• itens contratados, quantidade, valor, moeda e histórico de transações
• códigos de voucher, status, data de uso e dados de reserva
• dados do presenteado em compras de gift card, quando informados pelo comprador

Dados necessários ao pagamento:

• CPF
• CEP
• número do endereço de cobrança
• identificadores do pagamento e do cliente no Provedor de Pagamentos

Dados de navegação e operação:

• endereço IP
• navegador, dispositivo, páginas visitadas e eventos técnicos
• identificador pseudônimo de visita de primeira parte (`desio_vid`) durante a janela de medição limitada antes da escolha do Usuário
• preferências de cookies e sinais de atribuição de campanha, quando presentes

Dados de CRM do Parceiro:

• tags, segmentos, recência, frequência, valor monetário (RFM), estágio de relacionamento e outras informações derivadas da operação do estabelecimento

Dados sensíveis em fluxo específico:

• alergias ou restrições alimentares somente quando o Titular optar por informar esse conteúdo em campo separado, com aceite específico e destacado para essa finalidade operacional

A Desio pode coletar dados pessoais a partir de diferentes fontes, sempre observando a LGPD:

• Diretamente do Titular — ao fazer cadastro, compra, reserva, contato com suporte ou ao preencher campos na plataforma.
• Automaticamente, pela navegação — via cookies, web storage e mecanismos de medição, conforme a Política de Cookies.
• De Parceiros — quando o Parceiro importa, em sua operação, bases de CRM para uso dentro da plataforma, observadas as declarações do Parceiro sobre origem, base legal e legitimidade dos dados.
• De Provedores de Pagamento — informações necessárias à liquidação, antifraude e conciliação financeira, compartilhadas por instituições como Asaas.
• De fontes públicas ou ferramentas anti-fraude, quando necessário para proteção da Desio, do Parceiro e dos demais Titulares.

A Desio utiliza apenas os dados pessoais necessários para cada finalidade específica e legítima, sempre de forma proporcional e compatível com o uso da plataforma. As principais finalidades são:

• criar, operar e proteger contas e sessões
• processar compras, vouchers, gift cards e reservas
• intermediar checkout, cobrança, confirmação e notificações transacionais
• permitir a operação do Parceiro dentro da plataforma, inclusive CRM e campanhas próprias do Parceiro
• prevenir fraude, abuso, chargeback indevido e incidentes de segurança
• medir desempenho da plataforma e melhorar o produto
• gerar relatórios e insights agregados e desidentificados, inclusive benchmarks
• cumprir obrigações legais, regulatórias, fiscais e de defesa de direitos
• executar recursos opcionais de analytics, marketing e UPD apenas quando houver a permissão necessária
• realizar auditoria interna, prevenção de ilícitos, investigação de irregularidades e proteção de direitos da Desio e de terceiros
• comunicar-se com o Titular sobre funcionamento da plataforma, atualizações, pesquisas de satisfação e, quando houver base legal adequada, ações promocionais

A Desio pode tratar dados pessoais com base em:

• Execução de contrato ou procedimentos preliminares (art. 7º, V, da LGPD) — por exemplo, processamento de compras, reservas e gestão de conta.
• Cumprimento de obrigação legal ou regulatória (art. 7º, II) — por exemplo, retenção fiscal, guarda de registros.
• Exercício regular de direitos em processo judicial, administrativo ou arbitral (art. 7º, VI).
• Legítimo interesse (art. 7º, IX, e art. 10 da LGPD) — quando compatível com os direitos do Titular, especialmente para segurança, prevenção à fraude, operação do produto, medição própria limitada antes da escolha do Usuário e proteção da Desio e de terceiros.
• Consentimento (art. 7º, I, e art. 11, I) — quando exigido por lei ou adotado para finalidades específicas, como cookies opcionais, marketing opcional, User-Provided Data (UPD) e dados sensíveis fornecidos pelo Titular em campo próprio (por exemplo, alergias e restrições alimentares).
• Proteção ao crédito (art. 7º, X), quando aplicável à operação.

Quando a Desio usar legítimo interesse como fundamento, buscará aplicar medidas de minimização, retenção compatível, limitação de escopo e documentação proporcional do risco.

Antes de o Titular aceitar ou recusar categorias opcionais, a Desio pode manter uma medição própria limitada, de primeira parte, por até 7 (sete) dias, para operar, proteger e entender o desempenho da vitrine digital.

Essa medição limitada:

• usa identificador pseudônimo de primeira parte (`desio_vid`)
• não ativa Google, Meta ou User-Provided Data (UPD) antes da escolha do Usuário
• não depende de cookies de marketing
• é interrompida quando o Titular registra escolha que desabilite analytics opcionais

Cookies, scripts e integrações opcionais adicionais são regidos pela Política de Cookies.

A Desio pode usar recursos de User-Provided Data e medição aprimorada de conversões com Google e Meta somente quando houver a permissão aplicável do Titular.

Quando esse recurso estiver ativo para uma compra ou fluxo elegível:

• e-mail e telefone passam por hash SHA-256 antes do envio
• os dados são usados para medição de conversão, atribuição e melhoria de campanhas
• o serviço principal continua funcionando normalmente mesmo sem essa autorização

Você pode revisar preferências em desio.app/privacy/preferences e exercer direitos adicionais em desio.app/privacy/request.

A Desio usa cookies essenciais, de funcionalidade e, após a escolha do Usuário, cookies de analytics e marketing opcionais.

Detalhes completos sobre categorias, exemplos, provedores e como gerenciar preferências estão na Política de Cookies.

Você pode ajustar suas preferências a qualquer momento pelo link "Gerenciar Cookies" no rodapé da plataforma.

Os dados podem ser compartilhados com:

• Restaurantes e estabelecimentos Parceiros, quando necessários à execução da oferta contratada, da reserva ou do atendimento.
• Provedores de Pagamento, especialmente o Asaas, para processar cobranças, repasses e prevenção à fraude.
• Provedores de infraestrutura, banco de dados, armazenamento, e-mail e analytics, na medida necessária para a operação da plataforma.
• Google, Meta e ferramentas correlatas, apenas nas hipóteses em que a funcionalidade correspondente estiver ativada e houver a permissão aplicável para analytics, marketing ou UPD.
• Autoridades públicas, reguladores ou terceiros legitimados, quando houver obrigação legal, ordem competente ou necessidade de defesa de direitos.
• Sucessores em operações societárias (fusão, aquisição, incorporação, reorganização), garantida a continuidade da proteção dos dados e observada a legislação aplicável.

A Desio não vende listas de dados pessoais a terceiros para fins comerciais estranhos à prestação de seus serviços.

A lista pública e atualizada de todos os sub-processadores que tratam dados pessoais em nome da Desio (provedores de infraestrutura, IA, pagamento, e-mail, analytics, suporte) está em desio.app/sub-processors, com finalidade, categoria de dado e região de processamento por provedor.

Parte da infraestrutura e alguns fornecedores utilizados pela Desio podem estar localizados fora do Brasil, inclusive nos Estados Unidos e em países da União Europeia.

Nessas hipóteses, a Desio observa os mecanismos de transferência internacional previstos no art. 33 da LGPD e na Resolução CD/ANPD nº 19/2024, adotando salvaguardas contratuais, técnicas e organizacionais adequadas para assegurar nível de proteção compatível com a legislação brasileira.

A Desio prioriza a contratação de provedores com padrões reconhecidos de segurança da informação, certificações técnicas e reputação consolidada, exigindo contratualmente a implementação de medidas de segurança compatíveis com boas práticas do setor, a limitação do tratamento ao estritamente necessário e a retenção adequada à finalidade.

Informações contratuais adicionais podem ser disponibilizadas sob demanda em contexto enterprise ou de procurement, por privacidade@desio.app.

A retenção varia conforme a finalidade e a obrigação legal envolvida.

Em linhas gerais:

• dados transacionais e registros relevantes para defesa de direitos podem ser mantidos pelo prazo legal aplicável
• registros de acesso à aplicação são mantidos pelo prazo mínimo exigido pelo Marco Civil da Internet (art. 15)
• a medição própria limitada antes da escolha do Usuário usa janela reduzida de até 7 dias (`desio_vid`)
• cookies e ferramentas opcionais pós-consentimento seguem os prazos técnicos próprios de cada categoria e provedor, conforme a Política de Cookies

Encerrada a finalidade e esgotada a necessidade legal de retenção, os dados podem ser eliminados, anonimizados ou mantidos apenas nas hipóteses do art. 16 da LGPD (cumprimento de obrigação legal ou regulatória, estudo por órgão de pesquisa com anonimização, transferência a terceiro nos termos da LGPD ou uso exclusivo do controlador com anonimização).

A Desio adota medidas técnicas e organizacionais proporcionais ao porte e à natureza da operação, incluindo:

• controle de acesso e autenticação
• criptografia em trânsito
• segregação lógica de ambientes
• trilhas de auditoria e monitoramento
• práticas de segurança no ciclo de desenvolvimento do produto
• orientação interna sobre boas práticas de segurança e proteção de dados

Em caso de Incidente de Segurança sujeito à comunicação regulatória, a Desio buscará cumprir os prazos e requisitos aplicáveis, inclusive a regulamentação vigente da ANPD. Como referência operacional atual:

• comunicação à ANPD em até 3 (três) dias úteis, quando aplicável
• comunicação aos Titulares em até 3 (três) dias úteis, quando aplicável
• complementação de informações no prazo regulatório cabível

Nos termos do art. 18 da LGPD e da legislação aplicável, Você pode solicitar:

• confirmação da existência de tratamento
• acesso aos dados
• correção de dados incompletos, inexatos ou desatualizados
• anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade
• portabilidade, observados segredos comercial e industrial e a regulamentação aplicável
• eliminação de dados tratados com consentimento, quando cabível
• informação sobre compartilhamento com entidades públicas e privadas
• informação sobre a possibilidade de não fornecer consentimento e as consequências da negativa
• revogação de consentimento
• oposição, nos casos legalmente previstos
• revisão de decisões tomadas unicamente com base em tratamento automatizado, quando aplicável

Solicitações podem ser feitas pelo portal de direitos do titular em desio.app/privacy/request ou por privacidade@desio.app.

Prazos:

• formato simplificado: resposta imediata, quando viável, nos termos do art. 19 da LGPD
• declaração clara e completa: em até 15 (quinze) dias, contados da solicitação

O exercício dos direitos é gratuito. A Desio pode solicitar informações adicionais para confirmar a identidade do Titular antes de dar seguimento à solicitação, de modo a proteger os dados contra acesso indevido.

A plataforma não é direcionada a menores de idade como público principal e não é destinada a crianças.

O cadastro e a contratação de Ofertas requerem capacidade civil, nos termos dos Termos para Clientes.

Caso um responsável legal identifique tratamento indevido envolvendo menor, deve entrar em contato com a Desio em privacidade@desio.app para análise e providências cabíveis, incluindo eventual eliminação dos dados associados.

Esta Política pode ser atualizada para refletir mudanças de produto, operação, fornecedores ou legislação.

Alterações relevantes são comunicadas por aviso na plataforma, e-mail cadastrado ou outro meio adequado. A versão vigente e a data de efetividade permanecem indicadas nesta página.

A continuidade do uso da plataforma após a vigência da nova versão implica ciência das alterações, sem prejuízo do direito do Titular de exercer oposição, revogar consentimento ou solicitar eliminação, nos termos desta Política.

Para esclarecer dúvidas sobre esta Política ou exercer direitos relacionados aos seus dados pessoais, fale com o Encarregado pelo Tratamento de Dados Pessoais (DPO) da Desio:

• Encarregado: Ricardo Krug
• E-mail: privacidade@desio.app
• Portal de direitos do titular: desio.app/privacy/request

Contatos adicionais:

• Geral: contato@desio.app