Política de Privacidade

Esta Política de Privacidade descreve como a plataforma Mesa, operada por Astra Systems (CNPJ 53.317.374/0001-09), coleta, usa, armazena e protege os dados pessoais dos seus usuários, em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD).

1. Controlador e Encarregado de Dados

A Mesa é a controladora dos dados pessoais dos seus clientes diretos (donos de restaurantes que assinam a plataforma) e operadora dos dados de terceiros que o cliente insere na plataforma (funcionários, clientes finais do restaurante, fornecedores). Para tratar de assuntos relacionados a dados pessoais, entre em contato pelo canal de suporte informado no painel.

2. Dados que Coletamos

Do assinante (cliente direto): nome, e-mail, telefone, CNPJ ou CPF, dados de pagamento (processados por gateway terceirizado — não armazenamos número de cartão), razão social, endereço comercial.

Dos usuários do sistema (equipe do cliente): nome, e-mail, papel (dono, gerente, atendente), histórico de ações na plataforma (auditoria).

Dos clientes finais (cadastrados pelo restaurante): nome, telefone, CPF (quando informado), endereço (para delivery), histórico de compras e pagamentos.

Dados técnicos: endereço IP, tipo de navegador, sistema operacional, logs de acesso, cookies essenciais para funcionamento do sistema.

3. Como Usamos os Dados

Utilizamos os dados coletados para: (i) prover e operar o Serviço contratado; (ii) processar pagamentos e emitir notas fiscais; (iii) prestar suporte técnico; (iv) cumprir obrigações legais e fiscais; (v) prevenir fraudes e garantir a segurança da plataforma; (vi) enviar comunicações operacionais (alertas, atualizações, cobranças); (vii) com consentimento, enviar comunicações de marketing — você pode cancelar a qualquer momento.

4. Bases Legais

Tratamos dados com base em: execução de contrato (prestação do Serviço), cumprimento de obrigação legal (fiscal, contábil), legítimo interesse (segurança, prevenção de fraude, melhoria do produto) e consentimento (marketing direto).

5. Compartilhamento

Não vendemos dados pessoais. Compartilhamos apenas com fornecedores essenciais à operação, sob obrigação contratual de confidencialidade e segurança:

• Infraestrutura em nuvem (hospedagem e banco de dados);
• Paddle.com Market Limited — atua como Merchant of Record (MoR) responsável pelo processamento de pagamentos, gestão de assinaturas, faturamento, conformidade fiscal (impostos/IVA) e emissão de recibos. A Paddle recebe dados necessários à transação (nome, e-mail, endereço de cobrança e dados de pagamento) conforme sua Política de Privacidade;
• Provedor de NFC-e homologado pela SEFAZ (quando o plano Premium for utilizado);
• Ferramentas de envio de e-mail transacional;
• Autoridades públicas, quando exigido por lei ou ordem judicial.

6. Armazenamento e Segurança

Os dados são armazenados em servidores em nuvem com criptografia em trânsito (TLS) e em repouso. Adotamos medidas técnicas e organizacionais para proteger contra acesso não autorizado, perda ou destruição, incluindo controle de acesso por perfil, logs de auditoria, backup automático diário e monitoramento contínuo.

7. Retenção

Mantemos os dados enquanto o contrato estiver ativo. Após o cancelamento, os dados ficam disponíveis para exportação por 60 dias e em seguida são removidos, exceto quando houver obrigação legal de retenção (por exemplo, dados fiscais devem ser mantidos pelo prazo legal de 5 anos).

8. Seus Direitos (LGPD)

Você tem direito a: confirmar a existência de tratamento; acessar seus dados; corrigir dados incompletos ou desatualizados; solicitar anonimização, bloqueio ou eliminação de dados desnecessários; solicitar portabilidade; revogar consentimento; ser informado sobre compartilhamentos. Para exercer qualquer destes direitos, entre em contato pelo canal de suporte.

9. Cookies

Utilizamos cookies essenciais para autenticação e funcionamento do sistema. Você pode bloquear cookies no seu navegador, mas isso pode prejudicar o uso da plataforma.

10. Transferência Internacional

Alguns de nossos fornecedores podem estar localizados fora do Brasil. Nesses casos, garantimos que a transferência ocorra com salvaguardas adequadas, em conformidade com o artigo 33 da LGPD.

11. Alterações desta Política

Esta Política pode ser atualizada a qualquer momento. Alterações relevantes serão comunicadas por e-mail ou aviso no painel.

12. Contato

Para exercer seus direitos ou esclarecer dúvidas sobre esta Política, utilize o canal de atendimento informado no painel da plataforma. Responderemos em até 15 dias.