<!-- TODO: bump versão ao preencher CNPJ (placeholders [RAZÃO SOCIAL], [CNPJ], [ENDEREÇO COMERCIAL] ainda pendentes; reaceite só após dados reais) -->
Versão: 1.1 — 28/05/2026
Esta Política de Privacidade explica como o BORAH trata dados pessoais de usuários, estabelecimentos, candidatos à reivindicação de perfil e demais pessoas que interagem com a plataforma.
O objetivo é deixar claro:
O BORAH (marca comercial "iBorah") é uma plataforma digital de descoberta, avaliação, votação e relacionamento entre consumidores e estabelecimentos de alimentação, acessível pelos domínios iborah.app e iborah.com.br.
Para os fins da Lei 13.709/2018 (LGPD), o controlador dos dados pessoais tratados na plataforma é:
Todas as referências a "BORAH", "iBorah", "a plataforma", "nós" ou "nossa" nesta Política designam a pessoa jurídica acima identificada, responsável pelas decisões referentes ao tratamento de dados pessoais.
Nos termos do Art. 41 da Lei 13.709/2018 (LGPD), o BORAH indica seu Encarregado pela Proteção de Dados Pessoais (Data Protection Officer — DPO), que é o canal de comunicação entre o controlador, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD).
Compete ao Encarregado:
Contato do Encarregado: [email protected]
[Encarregado(a): [DPO NOME] — opcional; pode ser mantido apenas o canal institucional]
Para exercer qualquer direito previsto na LGPD ou enviar dúvidas sobre o tratamento de seus dados, utilize o canal acima.
Conforme o fluxo utilizado, o BORAH pode tratar:
Quando compatível com a lógica do produto e autorizado pelo usuário, o BORAH pode tratar dados de localização, presença e contexto de visita para:
No fluxo de reivindicação de estabelecimento, o BORAH pode tratar:
Fotos, imagens e outros arquivos de mídia enviados por usuários e empresários são armazenados em infraestrutura de nuvem (atualmente OCI Object Storage). O tratamento inclui armazenamento, processamento de compressão e disponibilização pública dentro da plataforma, conforme autorização concedida nos Termos de Uso.
O BORAH pode coletar dados de navegação interna ao aplicativo em formato anonimizado e agregado, como categorias de culinária pesquisadas, tipos de estabelecimento visualizados e padrões gerais de uso. Esses dados não identificam individualmente o usuário e são utilizados exclusivamente para fins internos descritos na Seção 4.
O BORAH pode tratar dados pessoais para:
O BORAH oferece a estabelecimentos a possibilidade de contratar espaços publicitários dentro da plataforma (sistema de ADS). Para melhorar a relevância dos anúncios exibidos a cada usuário, o BORAH pode utilizar dados comportamentais de navegação interna, conforme descrito na Seção 3.7, de forma exclusivamente anonimizada e agregada.
Essa finalidade apresenta as seguintes garantias:
a) Uso interno exclusivo: Os dados comportamentais são utilizados apenas para selecionar quais anúncios exibir dentro do próprio app BORAH. O BORAH não vende, não cede e não transfere dados de usuários a anunciantes ou a qualquer terceiro para fins de publicidade externa.
b) Sem perfil individual: O processamento não cria perfis nominais de comportamento. Os sinais utilizados são agregados por padrões de uso, sem vinculação a identidade, e-mail, CPF ou qualquer identificador pessoal.
c) Métricas entregues aos anunciantes: Os estabelecimentos anunciantes recebem apenas métricas de desempenho agregadas de seus anúncios (impressões, cliques, taxa de conversão aproximada), sem acesso a dados pessoais identificáveis de quem os visualizou.
d) Identificação obrigatória dos anúncios: Todo conteúdo pago na plataforma é identificado com a marcação "Patrocinado" ou "Destaque Patrocinado", nos termos do Art. 36 do Código de Defesa do Consumidor.
O tratamento de dados poderá se apoiar, conforme o caso, em uma ou mais das seguintes bases legais da LGPD:
Sobre o legítimo interesse para ADS internos: O tratamento de dados comportamentais anonimizados para relevância de anúncios internos baseia-se no legítimo interesse do BORAH (Art. 7º, IX da LGPD), conforme ponderação que considera: (i) o interesse legítimo de viabilizar a receita de anúncios como parte do modelo de negócio da plataforma; (ii) a expectativa razoável do usuário ao utilizar um app com modelo freemium que inclui espaços publicitários; (iii) a inexistência de impacto negativo relevante, dado que os dados são anonimizados, agregados e utilizados exclusivamente de forma interna. O titular pode opor-se a esse tratamento nos termos da Seção 9.
Dados sensíveis e documentos de verificação devem receber tratamento restrito, proporcional e compatível com a finalidade específica de segurança e validação da plataforma.
O BORAH poderá compartilhar dados com:
O BORAH não deve compartilhar dados pessoais da comunidade com estabelecimentos de forma aberta e identificável além do estritamente necessário ao funcionamento legítimo da plataforma.
O BORAH não compartilha dados pessoais de usuários com anunciantes para fins de publicidade externa.
Os dados serão armazenados pelo tempo necessário para:
Os logs de acesso à plataforma são armazenados pelo prazo mínimo de 6 (seis) meses, conforme exigência do Art. 15 da Lei 12.965/2014 (Marco Civil da Internet).
Quando possível e juridicamente viável, os dados serão eliminados, anonimizados ou bloqueados após o término da necessidade de tratamento.
O BORAH adota medidas técnicas e organizacionais compatíveis com o estágio do produto para reduzir riscos de acesso indevido, vazamento, fraude, alteração ou destruição não autorizada.
Essas medidas incluem, conforme aplicável:
Nenhum sistema é absolutamente imune a incidentes, mas o BORAH busca operar com padrão de proteção proporcional à natureza dos dados tratados.
O titular de dados poderá solicitar, nos termos da LGPD:
O BORAH não é direcionado a crianças. Caso identifique tratamento indevido de dados de menor em desconformidade com a legislação aplicável, a plataforma poderá limitar uso, remover conteúdo ou adotar medidas adicionais de proteção.
Esta Política poderá ser atualizada para refletir mudanças legais, operacionais, técnicas ou de produto. A versão vigente deverá permanecer identificada por data e número de versão.
Para suporte, exercício de direitos LGPD, contestações ou comunicações jurídicas, utilize:
O controlador responsável é [RAZÃO SOCIAL], CNPJ [CNPJ], com endereço comercial em [ENDEREÇO COMERCIAL].
| Versão | Data | Alterações |
|--------|------|------------|
| 1.0 | 02/05/2026 | Versão inicial consolidada |
| 1.1 | 28/05/2026 | Adicionados: Seção 3.6 (dados de mídia), Seção 3.7 (dados comportamentais anonimizados), Seção 4.1 (publicidade e ADS internos com garantias), detalhamento da base legal de legítimo interesse na Seção 5 para ADS, referência ao processador de pagamento na Seção 6, prazo de guarda de logs (Art. 15 MCI) na Seção 7, controle OCI na Seção 8, direito de oposição ao ADS na Seção 9. |
| (pendente) | — | Inserida identificação do controlador (Seção 2) e Encarregado/DPO (Seção 2-A) com placeholders. Bump de versão e reaceite somente após preenchimento dos dados reais do CNPJ. |
*Última atualização: 28/05/2026*
*Próxima revisão obrigatória: antes do lançamento público*