Política de Privacidade.

A Chronyx coleta apenas o que precisa pra funcionar, criptografa tudo que armazena, não vende dados a ninguém, e devolve ou apaga seus dados quando você pedir.

A Chronyx (chronyx.com.br), com sede em São Paulo (SP), é a controladora das informações pessoais coletadas em todos os seus produtos: site institucional, painel web, aplicativos mobile, APIs e canais de atendimento.

Para qualquer assunto sobre privacidade, o ponto de contato direto é o nosso Encarregado de Tratamento de Dados (DPO): dpo@chronyx.com.br.

3.1 Identificação básica (você fornece)

• Nome completo e email — obrigatórios pra criar conta;
• Senha — armazenada criptografada com bcrypt; nunca em texto puro, nem por nossa equipe;
• Telefone (WhatsApp), nome de empresa, cidade — opcionais, ajudam o suporte e o comercial;
• Cargo, segmento, tamanho da operação — só se você preencher voluntariamente em formulários de demo.

3.2 Geração de uso (a plataforma cria)

• Lista de dispositivos cadastrados, com nome, IMEI/identificador, modelo do tracker;
• Posições GPS recebidas (latitude, longitude, velocidade, direção, hora);
• Vídeos, snapshots e eventos enviados por MDVRs conectados;
• Configurações de cercas virtuais, regras de alerta, contatos pra notificação;
• Histórico de eventos da conta (login, criação de device, alterações importantes).

3.3 Técnicos automáticos (o navegador e o servidor capturam)

• Endereço IP (mantemos em logs por até 12 meses pra segurança e investigação de incidentes);
• User-agent do navegador ou app;
• Cookie de sessão criptografado (detalhes em /cookies);
• Push token do app mobile (caso você ative notificações).

Cada peça de informação tem uma justificativa específica. A regra geral: se não dá pra apontar pra que serve um dado, ele não deveria estar sendo coletado.

• Email + senha: identificar você de forma única e proteger o login;
• Lista de dispositivos: razão de ser do produto — sem ela, não há painel pra mostrar;
• Posições GPS / vídeos: ponto central do serviço — esses dados são literalmente o que você contratou pra ver;
• Telefone e empresa: contato comercial e suporte mais ágil;
• Logs técnicos (IP, user-agent): detectar abuso, fraude e investigar incidentes de segurança;
• Histórico de eventos: auditoria interna, suporte ao usuário e atendimento a requisições legais.

• Operar o serviço — exibir o que você quer ver, processar configurações, disparar alertas;
• Cobrar — gerar faturas conforme o número de dispositivos ativos no ciclo;
• Apoiar você — quando você abrir um ticket ou nos chamar, podemos consultar os logs pertinentes pra responder com precisão;
• Avisar coisas operacionais — manutenção programada, mudança importante de produto, problemas de segurança que afetem você;
• Proteger todos — detectar tentativas de fraude, abuso, varredura automatizada e reagir a isso.

O que não fazemos com seus dados:

• Nunca usamos pra perfilamento publicitário;
• Nunca vendemos, alugamos ou trocamos dados com qualquer empresa;
• Não treinamos modelos de IA externos com seus dados de movimentação;
• Não enviamos newsletter de marketing sem você ter aceitado expressamente.

Trabalhamos com um número pequeno e claramente definido de fornecedores que dão suporte à infraestrutura. Nenhum deles recebe seus dados pra fins próprios — apenas operam pra gente:

• Provedor da hospedagem física (servidores no Brasil);
• Provedor de banco de dados gerenciado (quando aplicável, e dentro do território nacional);
• Provedor de envio de email transacional (verificação de cadastro, recuperação de senha, alertas operacionais).

Todos esses operadores assinaram contrato com cláusulas alinhadas à LGPD. Lista atualizada de subprocessadores está disponível mediante solicitação ao DPO.

Em caso de ordem judicial, requisição de autoridade competente ou exigência legal específica, a Chronyx pode ter de fornecer dados a órgãos públicos. Nesses casos: respondemos exclusivamente o que foi pedido, mantemos registro interno do pedido, e — sempre que a lei permitir — avisamos o usuário afetado.

7.1 Em trânsito

Todo o tráfego entre seu navegador/app e nossos servidores é cifrado com TLS 1.2 ou superior. Não há opção de acesso em HTTP puro — tentativa de conexão sem TLS é redirecionada automaticamente.

7.2 Em repouso

Senhas são derivadas com bcrypt (custo configurado pra ser caro de quebrar). Tokens de sessão são gerados com aleatoriedade criptográfica e validados via assinatura HMAC. Discos do banco de dados ficam em volumes com criptografia de filesystem ativada.

7.3 Controle de acesso interno

• Cada pessoa da equipe tem credencial pessoal, intransferível e com permissão mínima necessária;
• Acesso a dados de cliente exige aprovação dupla (4 olhos) e fica gravado em log auditável;
• Estações de trabalho são bloqueadas automaticamente após inatividade;
• Software instalado é restrito a uma whitelist mantida pelo time de segurança;
• Senhas seguem regras mínimas (tamanho, complexidade, rotação periódica).

7.4 Resposta a incidentes

Mantemos um plano de resposta a incidentes com investigação técnica imediata, comunicação aos afetados em prazo razoável, e reporte à ANPD nas hipóteses previstas pela LGPD. Até o momento da publicação desta política, a Chronyx não teve incidentes de segurança reportáveis.

• Posições GPS: 7 dias no plano gratuito; ilimitado nos pagos enquanto a conta estiver ativa;
• Vídeos do MDVR: ficam principalmente no próprio MDVR; cópia em cloud por 7 a 30 dias dependendo do plano;
• Logs técnicos (IP, user-agent, eventos de segurança): 12 meses;
• Faturamento e dados contábeis: 5 anos (obrigação fiscal);
• Conta encerrada: dados pessoais e operacionais são apagados em até 30 dias da solicitação, exceto o que a lei nos obrigar a manter.

Internamente seguimos uma postura única: dados de cliente são tratados com a mesma seriedade que tratamos os nossos próprios. Algumas regras concretas:

• Ninguém da Chronyx pode acessar localização de cliente "por curiosidade";
• Não há tela interna em que um operador veja, por padrão, dados nominais de usuários;
• Acessos justificados (suporte ativo, investigação de bug) ficam logados e podem ser auditados;
• Conversa sobre dados de cliente em redes sociais ou em qualquer ambiente público é proibida;
• Em desligamento de membro da equipe, todas as credenciais são revogadas no mesmo dia.

Usamos apenas cookies estritamente funcionais (sessão de login). Não há rastreamento de propaganda nem analytics de terceiros. Detalhes completos em /cookies.

A plataforma não é destinada ao uso direto por menores de 18 anos. Pais e responsáveis podem rastrear dispositivos de filhos menores, dentro do contexto de cuidado parental — sob responsabilidade da família e em conformidade com o Estatuto da Criança e do Adolescente.

Para adolescentes próximos da maioridade que tenham consciência do rastreamento, recomendamos a conversa aberta entre família — alinhamento explícito é, na nossa visão, o caminho saudável.

A LGPD garante direitos amplos a você. Listamos abaixo de forma resumida; para o passo a passo completo de como exercer cada um, veja /lgpd.

• Confirmar se a Chronyx trata dados seus, e quais;
• Acessar uma cópia legível dos seus dados;
• Corrigir dados incompletos, errados ou desatualizados;
• Solicitar exclusão (com as exceções legais aplicáveis);
• Receber seus dados em formato estruturado pra portar pra outro fornecedor;
• Revogar consentimento dado anteriormente para usos opcionais;
• Reclamar à ANPD em gov.br/anpd.

Se mudarmos algo material aqui, avisaremos por email com pelo menos 30 dias de antecedência e publicaremos a nova versão sempre em /privacidade. Mudanças menores (ortografia, esclarecimentos sem alteração de prática) podem ser publicadas sem aviso prévio.

Se você acredita que estamos tratando dados de forma inadequada, ou suspeita de incidente:

• Email direto: dpo@chronyx.com.br
• Canal ético: etica@chronyx.com.br (denúncia tratada com sigilo)
• Página de contato: /contato

Toda manifestação de boa-fé é recebida sem retaliação. Investigamos, respondemos e, se necessário, ajustamos práticas internas.