Política de Privacidade e Proteção de Dados

1. Quem somos (Controladora) e Compromissos

Informações de identificação e regras gerais.

Para fins da Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — “LGPD”), a Controladora (quem decide por que e como os dados são tratados) é: A YELO BOX SELF STORAGE LTDA., pessoa jurídica de direito privado, inscrita no CNPJ/MF sob o nº 62.254.451/0001-02, com sede na Rua Batataes, nº 391, Sala 92, São Paulo/SP, CEP 01423-010 (“YEBOX“).

Nossos compromissos, em português claro:

1. Usar dados somente para finalidades legítimas e explicadas;
2. Coletar o mínimo necessário;
3. Proteger os dados com medidas de segurança;
4. Permitir que você exerça seus direitos;
5. Manter registros e contratos com fornecedores para evitar uso indevido.

2. Quais dados coletamos (e por quê)

Dados que você fornece

São dados necessários para contratar, identificar o titular do contrato e permitir cobrança e atendimento.

• Identificação e contato: Nome, CPF/CNPJ, documento (quando aplicável), endereço, e-mail e telefone. Usamos para elaborar/gerir o contrato, emitir comunicações operacionais e dar suporte. 
  • Base legal: LGPD art. 7º, V (execução de contrato)
• Dados de cobrança e transação: Informações necessárias para processar pagamentos (ex.: identificadores de transação, token do cartão, status de pagamento). Em regra, a YEBOX não precisa guardar o número completo do cartão. 
  • Base legal: LGPD art. 7º, V (execução de contrato) e, quando aplicável, art. 7º, II (obrigação legal)

Como o pagamento é protegido

O que a YEBOX faz: sempre que possível, o pagamento é processado por um provedor especializado (adquirente/PSP). Esse provedor pode transformar os dados do cartão em um token (um código). A partir daí, a YEBOX passa a lidar com o código (token) e com o “resultado” da transação, reduzindo o risco de vazamento do número real do cartão.

O que você pode fazer

Use redes confiáveis ao pagar, não compartilhe códigos de verificação e revise seu extrato periodicamente.

Segurança, acesso e tecnologia

O self storage exige controle de acesso e trilhas de auditoria para proteger clientes, bens e a operação.

• Controle de acesso (credenciais e registros): Podemos registrar eventos de entrada/saída e acessos ao aplicativo/área do cliente para segurança, auditoria e prevenção de fraude. 
  • Base legal: LGPD art. 7º, IX (legítimo interesse) e/ou art. 7º, II (quando houver obrigação legal)
• Biometria/Reconhecimento facial (quando habilitado): Se a unidade/fluxo utilizar biometria, ela serve exclusivamente paraautenticação e controle de acesso(segurança e prevenção de fraude). Em termos técnicos, a imagem pode ser convertida em um template biométrico (um “modelo matemático” para comparar identidades). Esse dado recebe proteção reforçada.
  • Base legal: LGPD art. 11 (dado sensível — hipóteses legais aplicáveis) + art. 46 (segurança)
• Logs do site (quando aplicável): Podemos registrar IP, data/hora e eventos técnicos para segurança e estabilidade. Se o serviço se enquadrar como aplicação de internet, os registros observarão os prazos e parâmetros legais pertinentes. 
  • Base legal: LGPD art. 7º, IX / e normas aplicáveis

Proporcionalidade

A YEBOX busca sempre o “mínimo necessário”: se um dado não é indispensável para operar o serviço, cumprir obrigação legal ou proteger a segurança, ele não deve ser coletado ou será excluído assim que deixar de ser necessário.

3. Para que usamos os dados

Finalidades típicas do serviço e suas bases legais.

• Operar o serviço (contrato): Cadastrar, contratar, permitir acesso, emitir cobranças, atender e manter o relacionamento operacional.
  • Base legal: LGPD art. 7º, V
• Obrigações legais e fiscais: Emitir documentos fiscais, cumprir obrigações tributárias/contábeis e responder a auditorias.
  • Base legal: LGPD art. 7º, II
• Segurança e prevenção a fraudes: Proteger bens e pessoas, apurar incidentes e manter evidências mínimas de segurança.
  • Base legal: LGPD art. 7º, IX / art. 11 (se dado sensível)
• Comunicações e ofertas (quando aplicável): Mensagens operacionais (sempre) e, quando você permitir, mensagens promocionais. Você pode sair da lista (opt-out) e ajustar preferências.
  • Base legal: LGPD art. 7º, V (operacional) / art. 7º, I (quando exigir consentimento)

4. Cookies e tecnologias semelhantes

• Cookies necessários: São indispensáveis para funcionamento básico e segurança (ex.: sessão, autenticação, prevenção de uso indevido). Sem eles, algumas partes do site podem não funcionar corretamente.
  • Base legal: LGPD art. 7º, V e/ou art. 7º, IX
• Cookies analíticos e marketing (não essenciais): Servem para métricas e campanhas. Somente ativamos após sua escolha. Você pode mudar de ideia quando quiser.
  • Base legal: LGPD art. 7º, I (quando aplicável — consentimento)

Central de Preferências

Ao acessar o nosso site você verá o banner para autorizar e para modificar as preferências, basta acessar a qualquer momento esta página. As escolhas valem para todas as páginas do site.

5. Com quem compartilhamos

A YEBOX não vende dados pessoais. Compartilhamos apenas quando necessário para operar o serviço e cumprir a lei.

• Fornecedores de sistemas (ERP/CRM/atendimento): Usados para administrar contratos, chamados e rotinas operacionais. Eles tratam dados sob nossas instruções, com obrigações contratuais de segurança e confidencialidade. 
  • LGPD: operadores sob contrato + segurança
• Controle de acesso e segurança (quando aplicável): Ferramentas de autenticação e controle de entradas/saídas. O acesso é restrito, e os dados têm retenção limitada ao necessário. 
  • LGPD: art. 46 (medidas de segurança)
• Pagamento e antifraude: PSPs/adquirentes processam pagamentos. Em regra, a YEBOX recebe apenas confirmações, identificadores de transação e informações necessárias para conciliação. 
  • LGPD: art. 7º, V e/ou art. 7º, IX
• Autoridades competentes: Quando houver obrigação legal, ordem válida ou necessidade de cooperação em investigação, podemos fornecer dados, sempre com minimização e registro do atendimento. 
  • LGPD: art. 7º, II

6. Transferência internacional (nuvem)

Se seus dados “viajam”, eles continuam protegidos.

O que isso significa na prática?

Podemos usar infraestrutura de nuvem e fornecedores globais. Isso pode implicar armazenamento ou acesso a dados a partir de outras jurisdições (por exemplo, EUA/Europa), dependendo da arquitetura do fornecedor.

• O que a YEBOX faz: exige contratos com obrigações de confidencialidade, segurança, subcontratação controlada, regras de retenção/descarte e notificação de incidentes, além de avaliação de riscos e governança do tratamento.
• O que muda para você: a finalidade do uso dos dados não muda. Seus dados continuam sendo usados apenas para operar o serviço, cumprir obrigações e manter segurança.

 Referência: LGPD art. 33 (transferência internacional) + medidas contratuais/técnicas

 Seus direitos (LGPD)

Você controla seus dados. Nós tratamos e protegemos.

• Acesso: Você pode solicitar confirmação e acesso aos dados que temos sobre você.
• Correção: Atualização de dados incompletos, inexatos ou desatualizados.
• Eliminação: Quando cabível: dados desnecessários ou tratados com consentimento, respeitada a retenção legal.
• Revogação: Você pode retirar consentimentos (ex.: marketing) sem custo.
• Portabilidade: Quando aplicável, conforme regras da ANPD e segredos comerciais/industriais.
• Informação: Você pode pedir explicações sobre uso e compartilhamentos.

Como exercer seus direitos

Envie um e-mail ao DPO/Encarregado (no rodapé). Para sua segurança, podemos pedir confirmação de identidade (por exemplo, validação de dados cadastrais), para evitar que terceiros solicitem informações indevidamente.

8. Por quanto tempo guardamos (ciclo de vida dos dados)

Retemos apenas pelo tempo necessário para operar o serviço, cumprir a lei e nos defender em eventuais processos.

Dado/Categoria	Prazo (regra geral)	Por que guardamos (motivo legal/operacional)
Dados do contrato (cadastro, termo/contrato, histórico de relacionamento) Ex.: nome, CPF/CNPJ, endereço, comunicações operacionais	Até 10 anos após o encerramento (como regra de prudência)	Exercício regular de direitos e defesa em demandas (prazo prescricional geral do Código Civil, quando aplicável), além de histórico mínimo necessário para auditorias e comprovação de fatos.
Responsabilidade civil / incidentes (evidências mínimas) Ex.: registros de incidentes, comunicação de ocorrências	Até 3 anos (regra comum para reparação civil) ou até 10 anos se a hipótese concreta exigir (contratual)	Defesa em processos e apuração de incidentes; prazos prescricionais variam conforme o tipo de pretensão.
Documentos fiscais e contábeis Ex.: notas fiscais, comprovantes, conciliações	Mínimo de 5 anos (podendo ser estendido em caso de auditoria/litígio)	Cumprimento de obrigações tributárias/contábeis e comprovação perante autoridades competentes.
Biometria / template biométrico (quando houver) Autenticação e controle de acesso	Durante a vigência do acesso + até 30 dias para contingências operacionais	Segurança e prevenção de fraude. Após encerramento, o dado é excluído/invalidado dentro do prazo operacional, salvo necessidade de preservação em caso de incidente específico e justificado.
Imagens de CFTV (quando aplicável) Segurança patrimonial	Até 90 dias (regra geral) ou mais se houver incidente em apuração	Proteção de bens e pessoas e apuração de ocorrências. Se houver incidente, preservamos o recorte necessário como evidência.
Logs de site / aplicação (quando aplicável) IP, data/hora, eventos técnicos	Até 6 meses (regra típica quando aplicável)	Segurança e estabilidade; quando caracterizado como aplicação de internet, observância do prazo legal pertinente.
Marketing e preferências E-mail/telefone, opt-in/opt-out	Até revogação/opt-out; depois, mantemos lista mínima de bloqueio	Envio somente quando permitido. Após opt-out, guardamos apenas o mínimo para garantir que você não volte a receber mensagens indevidamente.

Importante: os prazos acima são regras gerais. Podemos reter por mais tempo apenas quando houver obrigação legal/regulatória, auditoria em andamento, litígio, investigação ou necessidade comprovada de preservar evidência (sempre com minimização e registro).

9. Segurança da informação e incidentes

Como protegemos dados e como agimos se algo der errado.

Controles e resposta

• Proteção técnica: Uso de HTTPS/TLS, criptografia quando aplicável, segregação de acessos e monitoramento de eventos de segurança.
• Proteção administrativa: Acesso restrito por necessidade, dever de confidencialidade, revisão de permissões e governança com fornecedores.
• Resposta a incidentes: Se identificarmos um incidente relevante, adotamos medidas de contenção, análise de impacto e registro. Quando aplicável, comunicamos titulares e/ou ANPD conforme a LGPD.

Dica ao usuário: preserve suas credenciais, evite senhas repetidas e não compartilhe seus acessos com terceiros.

10. Decisões automatizadas

Quando máquinas ajudam a decidir algo (e quais são seus direitos).

A YEBOX pode usar mecanismos automatizados em rotinas de segurança e antifraude (por exemplo, sinais de risco de transação ou tentativas de acesso indevido). Se uma decisão automatizada afetar significativamente você, você pode solicitar informações e revisão, conforme a LGPD, respeitados segredos comerciais e medidas de segurança.

11. Alterações desta política

Versões e atualizações.

Podemos atualizar este documento para refletir mudanças legais, técnicas ou operacionais. Quando a mudança for relevante, vamos destacar a atualização nesta página. A data da última versão consta no rodapé.

Encarregado de Dados (DPO)

Dúvidas, solicitações ou exercício de direitos: fale com o Encarregado

Clique aqui para falar com o DPO

Controladora: A YELO BOX SELF STORAGE LTDA., pessoa jurídica de direito privado, inscrita no CNPJ/MF sob o nº 62.254.451/0001-02, com sede na Rua Batataes, nº 391, Sala 92, São Paulo/SP, CEP 01423-010.

E-mail do DPO: privacidade@yelobox.com.br