10 pontos que sua loja deve atender. A maioria não atende.

1. Registro de atividades de processamento

Obrigatório sob o Art. 30 LGPD — mesmo para pequenas empresas. Documente: quais dados, finalidade, base legal, período de retenção, destinatários. Uma tabela simples é suficiente. O PlotonIQ gera essa visão geral automaticamente.

2. Contratos de processamento de dados (CPD)

Obrigatório com cada serviço de nuvem que processa dados de seus clientes: software de contabilidade, ferramentas de email, hospedagem, software do setor. O PlotonIQ fornece um CPD. Solicite um de todos os seus outros provedores.

3. Política de privacidade

Específica: quais cookies, quais análises, quais terceiros, detalhes de contato do controlador.

4. Servidores da UE

Dados de clientes em servidores dos EUA são problemáticos pós-Schrems II. Mais seguro: servidores alemães. PlotonIQ: Hetzner Falkenstein, certificado ISO 27001. Nenhuma transferência para terceiros países.

5. Períodos de retenção

Lei tributária: 10 anos para faturas, 6 anos para correspondência comercial. Fotos do local: excluir após projeto + período de garantia. Dados de candidatos a emprego: 6 meses após rejeição.

6. Criptografia

Trânsito: TLS 1.2+ (preferencialmente 1.3). Armazenamento: AES-256. Senhas: bcrypt ou Argon2. Chaves de API: criptografadas, nunca em texto simples.

7. Controle de acesso

Nem todo instalador precisa de acesso a todas as faturas. Sistema de funções: Admin (tudo), Escritório (clientes, orçamentos, faturas), Instalador (trabalhos próprios, controle de tempo).

8. Fotos apenas em aplicativos gerenciados

Fotos do local em telefones pessoais = dados de clientes em dispositivos não gerenciados. Solução: capturar no aplicativo PlotonIQ — upload criptografado, nunca armazenado no dispositivo.

9. Substituir WhatsApp

WhatsApp compartilha metadados com a Meta. Não é compatível com LGPD sem API Business + CPD. Para aprovações: portal do cliente PlotonIQ com aprovação digital e timestamp.

10. Avaliação de impacto para geofencing

Rastreamento GPS para instaladores requer uma avaliação de impacto de proteção de dados sob o Art. 35 LGPD. Documente: finalidade, base legal, salvaguardas. Os funcionários devem ser informados.