Política de privacidade

Como a Carros AI coleta, usa e protege os dados pessoais de lojistas, usuários e leads na plataforma AutoHub — em conformidade com a Lei Geral de Proteção de Dados (LGPD). Escrita pra ser lida: direta, sem juridiquês desnecessário.

Última atualização

10 de maio de 2026

Vigência a partir de

10 de maio de 2026

Versão

1.0 · beta

Resumo executivo

Não vendemos seus dados. Não usamos publicidade de terceiros. Coletamos apenas o que precisamos para operar a plataforma. Você tem controle sobre seus dados e pode solicitar acesso, correção ou exclusão a qualquer momento.

Quem somos (controlador de dados)

A Carros AI é a empresa responsável pela plataforma AutoHub — sistema operacional B2B para lojistas de veículos. Somos o controlador dos dados pessoais de lojistas e seus usuários cadastrados na plataforma.

Para dados de leads, clientes finais e contatos gerenciados pelo lojista dentro do AutoHub, o lojista é o controlador e a Carros AI atua como operadora, processando esses dados exclusivamente para prestar o serviço contratado.

Contato do encarregado de dados (DPO): privacidade@carrosai.com

Dados que coletamos

Coletamos dados nas seguintes categorias:

Cadastro do lojista: CNPJ, razão social, nome fantasia, endereço, telefone, e-mail da loja e dados do responsável legal (nome, CPF, WhatsApp, e-mail de acesso).
Dados dos usuários: Nome completo, CPF, e-mail, telefone, cargo, papel de acesso (admin, vendedor, viewer) e registros de autenticação.
Dados de uso da plataforma: Anúncios criados, buscas realizadas, cliques, tempo de sessão, funcionalidades acessadas e interações com o copiloto IA.
Conteúdo enviado: Fotos, vídeos, áudios, descrições e documentos de veículos que o lojista carrega na plataforma.
Dados de leads (operadora): Mensagens recebidas via WhatsApp, portais integrados ou formulários; dados de contato de possíveis compradores gerenciados pelo lojista.
Dados técnicos: Endereço IP, tipo de dispositivo, navegador, sistema operacional, identificadores de sessão e logs de acesso para segurança e diagnóstico.

Como coletamos os dados

Os dados são coletados por três vias principais:

Diretamente do lojista ou usuário — no cadastro, no painel, no preenchimento de fichas de veículos, no envio de fotos e nas interações com o copiloto IA.
Automaticamente durante o uso — logs de acesso, rastreamento de funcionalidades (via tracks-collector interno), cookies de sessão e tokens JWT.
De fontes externas autorizadas — Receita Federal (dados do CNPJ), portais integrados ativados pelo lojista (OLX, Mercado Livre etc.) e provedores de autenticação (Authentik/OIDC).

Para que usamos os dados

Usamos os dados para as seguintes finalidades:

Prestação do serviço — operar o painel, processar anúncios, executar leilões, sincronizar portais integrados e entregar funcionalidades do copiloto IA.
Autenticação e segurança — verificar identidade, controlar acesso por papel, detectar atividades suspeitas e proteger a plataforma contra fraudes.
Melhoria do produto — análise de uso agregada e anonimizada para priorizar o roadmap, testar funcionalidades e aprimorar modelos de IA.
Comunicação — enviar notificações transacionais (e-mail de confirmação, redefinição de senha, alertas de leilão) e, quando o lojista consentir, comunicações sobre novidades da plataforma.
Cumprimento legal — atender obrigações fiscais, regulatórias e determinações judiciais ou administrativas.

Bases legais (LGPD)

Cada tratamento de dado tem uma base legal específica prevista na Lei nº 13.709/2018 (LGPD):

Execução de contrato: Dados de cadastro e uso necessários para operar a plataforma conforme os Termos de Uso aceitos pelo lojista.
Legítimo interesse: Logs de segurança, análise de uso agregada, prevenção a fraudes e melhoria dos modelos de IA — sempre com salvaguardas e sem expor dados individuais identificáveis.
Cumprimento de obrigação legal: Guarda de registros de acesso (Marco Civil da Internet), dados fiscais e documentos exigidos pela legislação aplicável.
Consentimento: Comunicações de marketing e newsletter — sempre opt-in, com revogação fácil a qualquer momento.

Compartilhamento de dados

Não vendemos dados pessoais. Compartilhamos apenas nas seguintes situações, com as garantias adequadas:

Portais integrados ativados pelo lojista — OLX, Mercado Livre, Webmotors, iCarros: apenas os dados do anúncio (fotos, ficha técnica, preço) dentro do escopo da integração.
Provedores de infraestrutura — hospedagem (Hetzner Cloud), object storage, provedor de e-mail transacional e observabilidade — sob acordos de processamento de dados (DPA) e com acesso mínimo necessário.
Modelos de IA de terceiros — para tarefas como visão computacional e processamento de linguagem natural. Dados enviados são anonimizados ou limitados ao contexto da tarefa; nunca treinamos modelos de terceiros com dados confidenciais do lojista sem consentimento explícito.
Autoridades — quando exigido por lei, ordem judicial ou regulatória, limitado ao mínimo necessário para atender a requisição.

Retenção e exclusão de dados

Mantemos dados pelo tempo necessário a cada finalidade ou pelo prazo exigido por lei. Como referência:

Dados de cadastro ativo — enquanto a conta estiver ativa.
Após encerramento de conta — dados são anonimizados ou excluídos em até 90 dias, exceto os que precisam ser retidos por obrigação legal (ex.: registros fiscais por 5 anos, logs de acesso por 6 meses conforme o Marco Civil).
Backups — ciclo de retenção de até 30 dias adicionais após a exclusão ativa, para recuperação de incidentes.

O lojista pode solicitar a exclusão antecipada dos seus dados pelo painel ou pelo e-mail do DPO — o pedido será atendido dentro do prazo legal.

Segurança dos dados

Adotamos medidas técnicas e organizacionais adequadas ao risco, incluindo:

Transmissão criptografada via HTTPS/TLS em todos os endpoints.
Autenticação via OIDC com suporte a autenticação multifator (MFA) na camada de identidade (Authentik).
Isolamento de dados por tenant — cada lojista acessa somente seus próprios dados.
Controle de acesso por papel (admin, vendedor, viewer) com escopo mínimo necessário.
Logs de acesso e auditoria com retenção mínima exigida por lei.
Backups regulares em armazenamento isolado com política de retenção definida.

Nenhum sistema é 100% seguro. Em caso de incidente de segurança relevante que afete dados pessoais, comunicaremos os titulares e a ANPD conforme exigido pela LGPD.

Seus direitos como titular

A LGPD garante a você os seguintes direitos, que você pode exercer a qualquer momento pelo painel ou pelo e-mail do DPO:

Confirmação e acesso: Saber se tratamos seus dados e ter acesso a eles.
Correção: Solicitar a atualização de dados incompletos, inexatos ou desatualizados.
Anonimização ou exclusão: Pedir o bloqueio, anonimização ou eliminação de dados desnecessários ou tratados em desconformidade com a lei.
Portabilidade: Receber seus dados em formato estruturado para outro fornecedor de serviço.
Revogação de consentimento: Retirar o consentimento para tratamentos baseados nessa base legal, sem prejuízo dos tratamentos anteriores.
Informação sobre compartilhamento: Saber com quais entidades compartilhamos seus dados.
Oposição: Opor-se a tratamentos realizados com base em legítimo interesse, se entender que há violação.

Respondemos a pedidos em até 15 dias úteis. Em casos complexos, podemos estender o prazo comunicando o motivo.

Cookies e rastreamento

Usamos os seguintes tipos de cookies e tecnologias similares:

Cookies de sessão (essenciais) — necessários para autenticação e funcionamento do painel. Sem estes, não é possível usar a plataforma logada.
Cookies de preferência — armazenam configurações como tema de interface e filtros salvos.
Rastreamento de uso interno — via tracks-collector próprio para entender como funcionalidades são usadas e melhorar o produto. Não compartilhamos com plataformas de publicidade de terceiros.

Não usamos cookies de publicidade de terceiros, pixels de redes sociais nem plataformas de rastreamento cross-site no painel AutoHub.

Transferência internacional de dados

Alguns de nossos provedores de infraestrutura e modelos de IA operam fora do Brasil. Nesse caso, garantimos que a transferência ocorre com salvaguardas adequadas, como:

Cláusulas contratuais padrão (SCCs) com o fornecedor.
Uso de fornecedores que atendem a marcos de proteção de dados reconhecidos internacionalmente (ex.: GDPR na UE).
Minimização de dados — transferimos apenas o mínimo necessário para a tarefa específica.

Menores de idade

O AutoHub é uma plataforma exclusivamente B2B, voltada para lojistas pessoas jurídicas. Não coletamos intencionalmente dados de menores de 18 anos. Todos os usuários devem ter no mínimo 18 anos para se cadastrar.

Se identificarmos que dados de um menor foram fornecidos por engano, faremos a exclusão imediata.

Alterações desta política

Esta política pode ser atualizada para refletir mudanças no produto, na legislação ou nas nossas práticas de tratamento de dados. Quando a alteração for relevante, comunicaremos com antecedência razoável pelo painel, por e-mail ou por outro canal adequado.

O uso continuado da plataforma após a entrada em vigor da nova versão configura conhecimento e aceitação das atualizações. A data de última atualização sempre fica visível no topo desta página.

Contato e DPO

Para exercer seus direitos como titular, reportar incidentes ou tirar dúvidas sobre esta política:

E-mail do DPO / privacidade: privacidade@carrosai.com
E-mail dos fundadores: fundadores@carrosai.com

Dúvidas? Fala com a gente.

Privacidade não é burocracia — é respeito. Se algo aqui não ficou claro ou você quiser exercer qualquer direito, escreve pra privacidade@carrosai.com. Respondemos pessoalmente.

Política de privacidade

Última atualização

10 de maio de 2026

Vigência a partir de

10 de maio de 2026

Versão

1.0 · beta

Resumo executivo

Quem somos (controlador de dados)

Contato do encarregado de dados (DPO): privacidade@carrosai.com

Dados que coletamos

Coletamos dados nas seguintes categorias:

Cadastro do lojista: CNPJ, razão social, nome fantasia, endereço, telefone, e-mail da loja e dados do responsável legal (nome, CPF, WhatsApp, e-mail de acesso).
Dados dos usuários: Nome completo, CPF, e-mail, telefone, cargo, papel de acesso (admin, vendedor, viewer) e registros de autenticação.
Dados de uso da plataforma: Anúncios criados, buscas realizadas, cliques, tempo de sessão, funcionalidades acessadas e interações com o copiloto IA.
Conteúdo enviado: Fotos, vídeos, áudios, descrições e documentos de veículos que o lojista carrega na plataforma.
Dados de leads (operadora): Mensagens recebidas via WhatsApp, portais integrados ou formulários; dados de contato de possíveis compradores gerenciados pelo lojista.
Dados técnicos: Endereço IP, tipo de dispositivo, navegador, sistema operacional, identificadores de sessão e logs de acesso para segurança e diagnóstico.

Como coletamos os dados

Os dados são coletados por três vias principais:

Diretamente do lojista ou usuário — no cadastro, no painel, no preenchimento de fichas de veículos, no envio de fotos e nas interações com o copiloto IA.
Automaticamente durante o uso — logs de acesso, rastreamento de funcionalidades (via tracks-collector interno), cookies de sessão e tokens JWT.
De fontes externas autorizadas — Receita Federal (dados do CNPJ), portais integrados ativados pelo lojista (OLX, Mercado Livre etc.) e provedores de autenticação (Authentik/OIDC).

Para que usamos os dados

Usamos os dados para as seguintes finalidades:

Prestação do serviço — operar o painel, processar anúncios, executar leilões, sincronizar portais integrados e entregar funcionalidades do copiloto IA.
Autenticação e segurança — verificar identidade, controlar acesso por papel, detectar atividades suspeitas e proteger a plataforma contra fraudes.
Melhoria do produto — análise de uso agregada e anonimizada para priorizar o roadmap, testar funcionalidades e aprimorar modelos de IA.
Comunicação — enviar notificações transacionais (e-mail de confirmação, redefinição de senha, alertas de leilão) e, quando o lojista consentir, comunicações sobre novidades da plataforma.
Cumprimento legal — atender obrigações fiscais, regulatórias e determinações judiciais ou administrativas.

Bases legais (LGPD)

Cada tratamento de dado tem uma base legal específica prevista na Lei nº 13.709/2018 (LGPD):

Execução de contrato: Dados de cadastro e uso necessários para operar a plataforma conforme os Termos de Uso aceitos pelo lojista.
Legítimo interesse: Logs de segurança, análise de uso agregada, prevenção a fraudes e melhoria dos modelos de IA — sempre com salvaguardas e sem expor dados individuais identificáveis.
Cumprimento de obrigação legal: Guarda de registros de acesso (Marco Civil da Internet), dados fiscais e documentos exigidos pela legislação aplicável.
Consentimento: Comunicações de marketing e newsletter — sempre opt-in, com revogação fácil a qualquer momento.

Compartilhamento de dados

Não vendemos dados pessoais. Compartilhamos apenas nas seguintes situações, com as garantias adequadas:

Portais integrados ativados pelo lojista — OLX, Mercado Livre, Webmotors, iCarros: apenas os dados do anúncio (fotos, ficha técnica, preço) dentro do escopo da integração.
Provedores de infraestrutura — hospedagem (Hetzner Cloud), object storage, provedor de e-mail transacional e observabilidade — sob acordos de processamento de dados (DPA) e com acesso mínimo necessário.
Modelos de IA de terceiros — para tarefas como visão computacional e processamento de linguagem natural. Dados enviados são anonimizados ou limitados ao contexto da tarefa; nunca treinamos modelos de terceiros com dados confidenciais do lojista sem consentimento explícito.
Autoridades — quando exigido por lei, ordem judicial ou regulatória, limitado ao mínimo necessário para atender a requisição.

Retenção e exclusão de dados

Mantemos dados pelo tempo necessário a cada finalidade ou pelo prazo exigido por lei. Como referência:

Dados de cadastro ativo — enquanto a conta estiver ativa.
Após encerramento de conta — dados são anonimizados ou excluídos em até 90 dias, exceto os que precisam ser retidos por obrigação legal (ex.: registros fiscais por 5 anos, logs de acesso por 6 meses conforme o Marco Civil).
Backups — ciclo de retenção de até 30 dias adicionais após a exclusão ativa, para recuperação de incidentes.

O lojista pode solicitar a exclusão antecipada dos seus dados pelo painel ou pelo e-mail do DPO — o pedido será atendido dentro do prazo legal.

Segurança dos dados

Adotamos medidas técnicas e organizacionais adequadas ao risco, incluindo:

Transmissão criptografada via HTTPS/TLS em todos os endpoints.
Autenticação via OIDC com suporte a autenticação multifator (MFA) na camada de identidade (Authentik).
Isolamento de dados por tenant — cada lojista acessa somente seus próprios dados.
Controle de acesso por papel (admin, vendedor, viewer) com escopo mínimo necessário.
Logs de acesso e auditoria com retenção mínima exigida por lei.
Backups regulares em armazenamento isolado com política de retenção definida.

Nenhum sistema é 100% seguro. Em caso de incidente de segurança relevante que afete dados pessoais, comunicaremos os titulares e a ANPD conforme exigido pela LGPD.

Seus direitos como titular

A LGPD garante a você os seguintes direitos, que você pode exercer a qualquer momento pelo painel ou pelo e-mail do DPO:

Confirmação e acesso: Saber se tratamos seus dados e ter acesso a eles.
Correção: Solicitar a atualização de dados incompletos, inexatos ou desatualizados.
Anonimização ou exclusão: Pedir o bloqueio, anonimização ou eliminação de dados desnecessários ou tratados em desconformidade com a lei.
Portabilidade: Receber seus dados em formato estruturado para outro fornecedor de serviço.
Revogação de consentimento: Retirar o consentimento para tratamentos baseados nessa base legal, sem prejuízo dos tratamentos anteriores.
Informação sobre compartilhamento: Saber com quais entidades compartilhamos seus dados.
Oposição: Opor-se a tratamentos realizados com base em legítimo interesse, se entender que há violação.

Respondemos a pedidos em até 15 dias úteis. Em casos complexos, podemos estender o prazo comunicando o motivo.

Cookies e rastreamento

Usamos os seguintes tipos de cookies e tecnologias similares:

Cookies de sessão (essenciais) — necessários para autenticação e funcionamento do painel. Sem estes, não é possível usar a plataforma logada.
Cookies de preferência — armazenam configurações como tema de interface e filtros salvos.
Rastreamento de uso interno — via tracks-collector próprio para entender como funcionalidades são usadas e melhorar o produto. Não compartilhamos com plataformas de publicidade de terceiros.

Não usamos cookies de publicidade de terceiros, pixels de redes sociais nem plataformas de rastreamento cross-site no painel AutoHub.

Transferência internacional de dados

Alguns de nossos provedores de infraestrutura e modelos de IA operam fora do Brasil. Nesse caso, garantimos que a transferência ocorre com salvaguardas adequadas, como:

Cláusulas contratuais padrão (SCCs) com o fornecedor.
Uso de fornecedores que atendem a marcos de proteção de dados reconhecidos internacionalmente (ex.: GDPR na UE).
Minimização de dados — transferimos apenas o mínimo necessário para a tarefa específica.

Menores de idade

Se identificarmos que dados de um menor foram fornecidos por engano, faremos a exclusão imediata.

Alterações desta política

Contato e DPO

Para exercer seus direitos como titular, reportar incidentes ou tirar dúvidas sobre esta política:

E-mail do DPO / privacidade: privacidade@carrosai.com
E-mail dos fundadores: fundadores@carrosai.com

Dúvidas? Fala com a gente.

Privacidade não é burocracia — é respeito. Se algo aqui não ficou claro ou você quiser exercer qualquer direito, escreve pra privacidade@carrosai.com. Respondemos pessoalmente.