Transparência total sobre como coletamos, usamos e protegemos seus dados pessoais na plataforma Delivyo.
Full transparency on how we collect, use, and protect your personal information on the Delivyo platform.
Transparencia total sobre cómo recopilamos, usamos y protegemos sus datos personales en la plataforma Delivyo.
A Delivyo Tecnologia Ltda. ("Delivyo", "nós" ou "nosso") é uma plataforma SaaS multi-tenant para gestão de operações de entrega de última milha. Somos o controlador dos dados pessoais tratados diretamente na operação desta plataforma.
Dados do Controlador
Delivyo Tecnologia Ltda. · CNPJ: [a preencher]
Endereço: [Endereço completo], Brasília – DF, Brasil
E-mail: privacidade@delivyo.com
Quando atuamos como operador em nome de um DSP (Delivery Service Partner) contratante, o DSP é o controlador e a Delivyo segue suas instruções, nos termos do contrato de processamento de dados.
Coletamos apenas os dados estritamente necessários, conforme o princípio da minimização (Art. 6º, III da LGPD).
| Categoria | Dados | Plataforma |
|---|---|---|
| Identificação | Nome, CPF, RG, CNH, e-mail, telefone, foto | App Motorista · Painel Web · Site |
| Geolocalização | GPS em tempo real — somente durante rotas ativas | App Motorista |
| Financeiros | Chave PIX, banco, agência, conta corrente | App Motorista · Painel Web |
| Operacionais | Rotas, entregas, métricas DCR/DPMO, compliance, disponibilidade | Todos |
| Dispositivo | Modelo, SO, ID do dispositivo, endereço IP | Apps Móveis |
| Comunicação | Notificações via WhatsApp Business API | App Motorista |
| Site | Cookies essenciais, logs de acesso, formulários de contato | delivyo.com |
Todo tratamento possui finalidade determinada e base legal específica (Arts. 7º e 9º da LGPD).
| Finalidade | Base Legal (LGPD) |
|---|---|
| Criação de conta e verificação de identidade | Execução de contrato — Art. 7º, V |
| Rastreamento de rotas e entregas ativas | Execução de contrato — Art. 7º, V |
| Cálculo de métricas de performance (DCR, DPMO) | Execução de contrato — Art. 7º, V |
| Processamento de pagamentos a MEIs | Execução de contrato + Obrigação legal — Art. 7º, V e II |
| Emissão de documentos fiscais (SEFAZ) | Obrigação legal — Art. 7º, II |
| Conformidade com requisitos Amazon DSP | Execução de contrato — Art. 7º, V |
| Notificações operacionais (WhatsApp) | Execução de contrato + Consentimento — Art. 7º, V e I |
| Segurança da plataforma e prevenção a fraudes | Legítimo interesse — Art. 7º, IX |
| Cumprimento de obrigações legais e regulatórias | Obrigação legal — Art. 7º, II |
Não vendemos seus dados pessoais. Compartilhamos apenas nas situações abaixo:
Dados operacionais e de performance para gestão da força de trabalho e conformidade com o programa Amazon DSP.
Métricas de entrega e compliance exigidas pelo programa DSP, nos termos dos acordos entre o DSP contratante e a Amazon.
SEFAZ, SERPRO, Receita Federal e demais autoridades quando exigido por lei ou ordem judicial.
Infraestrutura de nuvem, processadores de pagamento (Banco Inter), WhatsApp/Meta, ZapSign — todos sob contrato com cláusulas de confidencialidade.
Quando seus dados são transferidos para fora do Brasil, adotamos os mecanismos dos Arts. 33–36 da LGPD e da Resolução CD/ANPD nº 19/2024:
• Cláusulas Padrão Contratuais (SCCs) aprovadas pela ANPD para países sem decisão de adequação.
• Garantias adequadas de proteção conforme avaliação da ANPD.
• Necessidade de transferência para execução de contrato internacional (Art. 33, V).
Mantemos dados apenas pelo tempo necessário às finalidades declaradas e para cumprimento de obrigações legais (Art. 16 da LGPD).
| Categoria | Período | Justificativa |
|---|---|---|
| Dados fiscais e financeiros | 5 a 10 anos | CTN Arts. 173–174; Lei 8.212/91 Art. 46 |
| Documentos de identidade (CNH, CPF, RG) | Contrato + 5 anos | Código Civil Art. 206, §5º, I |
| GPS bruto (rotas ativas) | 90 dias | Minimização — Art. 6º, III LGPD |
| Performance e dados de rotas | Contrato + 2 anos | Prazo prescricional para disputas |
| Logs de acesso à internet | 6 meses mínimo | Marco Civil da Internet, Art. 15 |
| Registros de consentimento | Duração + 5 anos | Ônus da prova do controlador |
| Comunicações WhatsApp | 2 anos | Resolução de disputas operacionais |
Após o vencimento, os dados são excluídos de forma segura ou anonimizados irreversivelmente.
Como exercer: envie para privacidade@delivyo.com ou acesse delivyo.com/privacidade/solicitacao. Respondemos em até 15 dias corridos.
Adotamos medidas técnicas e organizacionais adequadas ao risco (Art. 46 LGPD e Res. CD/ANPD 15/2024).
TLS 1.3+ em trânsito, AES-256 em repouso para todos os dados sensíveis.
RBAC com MFA obrigatório em todos os acessos críticos e logs de auditoria contínuos.
Dados bancários e financeiros tokenizados — nunca armazenados em texto claro.
Identificadores pseudonimizados onde tecnicamente viável, reduzindo riscos de re-identificação.
Avaliações regulares de vulnerabilidade e testes de penetração por terceiros qualificados.
Notificação à ANPD em até 3 dias úteis conforme Resolução 15/2024.
• Alocação de rotas: distribui entregas com base em disponibilidade, localização e métricas históricas de performance.
• Gamificação: cálculo automático de nível (Elite → Ouro → Prata → Bronze → Iniciante) por indicadores objetivos.
• Monitoramento de compliance: verificação automática de conformidade com requisitos Amazon DSP.
Você tem o direito de solicitar revisão humana de qualquer decisão automatizada com efeitos significativos sobre você. Envie para privacidade@delivyo.com.
Os serviços da Delivyo destinam-se exclusivamente a pessoas maiores de 18 anos. Não coletamos conscientemente dados de menores. Caso isso ocorra inadvertidamente, procederemos à exclusão imediata.
Esta Política pode ser atualizada periodicamente. Alterações relevantes serão comunicadas com antecedência mínima de 30 dias por notificação no aplicativo e/ou e-mail. A data da última atualização estará sempre indicada no topo. A continuidade do uso implica aceitação da versão atualizada.
Para exercer seus direitos ou esclarecer dúvidas sobre o tratamento de dados.
Delivyo Tecnologia Ltda. ("Delivyo," "we," "our," or "us") is a multi-tenant SaaS platform for last-mile delivery operations management. This Privacy Policy explains how we collect, use, disclose, and protect personal information in connection with our mobile apps and website.
Controller / Business Contact
Delivyo Tecnologia Ltda. · CNPJ: [to be completed]
Address: [Full address], Brasília, DF, Brazil
Email: privacy@delivyo.com
We collect the following categories of personal information (CCPA §1798.140(v)) in the 12 months preceding this policy:
| CCPA Category | Specific Data Elements | Sensitive PI? |
|---|---|---|
| Identifiers | Name, email, phone, IP address, device ID | No |
| Government IDs | Driver's license, national ID numbers (CPF, RG) | ✅ Yes — §1798.140(ae)(1) |
| Financial Information | Bank account, routing number, PIX key | ✅ Yes — §1798.140(ae)(2) |
| Precise Geolocation | Real-time GPS during active delivery routes (≤1,850 ft radius) | ✅ Yes — §1798.140(ae)(3) |
| Professional / Employment | Routes, deliveries, metrics (DCR, DPMO), availability, compliance status | No |
| Device / Internet Activity | Device model, OS, app usage logs | No |
| Communications | Operational notifications via WhatsApp Business API | No |
Directly from you (registration, app use); automatically (device data, GPS during active routes); from DSP business clients (employment/assignment data); from government APIs (identity verification via SERPRO and SEFAZ).
Account creation, identity verification, and driver onboarding.
Active route tracking, optimization, and delivery confirmation.
DCR/DPMO calculation and gamification tier scoring.
Payment processing to independent MEI contractors.
Amazon DSP program and Brazilian tax obligation compliance.
Platform security, fraud prevention, and abuse detection.
We do not use personal information for advertising or to build consumer profiles for sale to third parties.
We do not sell your personal information (CCPA §1798.140(t)) and do not share it for cross-context behavioral advertising.
| Recipient Category | Data Shared | Purpose |
|---|---|---|
| DSP Business Clients | Operational data, performance metrics | Workforce management, Amazon DSP compliance |
| Amazon | Delivery metrics and compliance data | Amazon DSP program requirements |
| Cloud Infrastructure Providers | All platform data (encrypted) | Secure hosting and storage |
| Payment Processors (Banco Inter) | Financial and banking data | MEI contractor payment processing |
| WhatsApp / Meta Platforms | Phone number, message content | Operational notification delivery |
| Digital Signature Services (ZapSign) | Identity documents | Contract execution |
| Government Authorities | Tax and identity data | Legal obligations (SEFAZ, SERPRO) |
| Law Enforcement / Courts | As legally required | Legal process compliance |
Delivyo is headquartered in Brazil and operates globally. Your personal information may be transferred to countries other than your country of residence. We implement appropriate safeguards including Standard Contractual Clauses and data processing agreements. California residents retain all CCPA/CPRA rights regardless of where data is processed.
| Category | Retention Period |
|---|---|
| Tax and financial records | 5–10 years after contract termination |
| Government-issued IDs | Contract duration + 5 years |
| Precise GPS location (raw) | 90 days; aggregated data up to 2 years |
| Performance and operational data | Contract duration + 2 years |
| Device and access logs | 12 months |
| Consent records | Duration of consent + 5 years |
| WhatsApp communications | 2 years |
Upon expiration, data is securely deleted or irreversibly anonymized.
Submit a Request (two methods required under CCPA):
• Online Form: delivyo.com/privacy/request
• Email: privacy@delivyo.com
• Toll-Free (California): [+1-xxx-xxx-xxxx — to be completed]
Response within 45 calendar days (extendable by 45 days). Free of charge; max 2 requests per 12-month period.
🔗 Privacy Preference Links (California)
• Do Not Sell or Share My Personal Information
• Limit the Use of My Sensitive Personal Information
TLS 1.3+ in transit, AES-256 at rest for all sensitive data.
Role-based access with mandatory multi-factor authentication.
Financial data tokenized — never stored in plaintext.
User identifiers pseudonymized where technically feasible.
Regular penetration tests and vulnerability assessments by qualified third parties.
Breach notification to users and regulators per applicable law timelines.
We use automated systems for route allocation, gamification scoring (tiers: Elite → Gold → Silver → Bronze → Beginner), and Amazon DSP compliance monitoring. You have the right to request human review of any automated decision that significantly affects you, to express your view, and to contest the result.
Contact privacy@delivyo.com. We will disclose the logic, significance, and envisioned consequences upon request, consistent with CPPA Automated Decision-Making Technology regulations (effective 2026).
Our services are intended solely for individuals 18 years of age or older. We do not knowingly collect personal information from children. If we learn we have inadvertently done so, we will delete it promptly.
We may update this Privacy Policy periodically. Material changes will be communicated with at least 30 days' advance notice via in-app notification and/or email. Under CCPA, we will notify you before using previously collected PI for new undisclosed purposes. Continued use of our services after the effective date constitutes acceptance.
To exercise your rights or ask questions about this policy.
Delivyo Tecnologia Ltda. ("Delivyo", "nosotros" o "nuestro") es una plataforma SaaS multi-tenant para gestión de operaciones de entrega de última milla. La presente Política se rige principalmente por el RGPD (Reglamento UE 2016/679) para usuarios en el Espacio Económico Europeo (EEE).
Responsable del Tratamiento
Delivyo Tecnologia Ltda. · CNPJ: [a completar]
Dirección: [Dirección completa], Brasília, DF, Brasil
Correo: privacidad@delivyo.com
Recopilamos únicamente los datos estrictamente necesarios, conforme al principio de minimización (Art. 5(1)(c) RGPD).
| Categoría | Datos Específicos | Plataforma |
|---|---|---|
| Identificación | Nombre, correo, teléfono, DNI/NIE, carnet de conducir, fotografía | App Conductor · Panel Web · Web |
| Geolocalización | Ubicación GPS en tiempo real — solo durante rutas activas | App Conductor |
| Datos financieros | Cuenta bancaria, IBAN, datos de pago | App Conductor · Panel Web |
| Datos operativos | Rutas, entregas, métricas DCR/DPMO, cumplimiento, disponibilidad | Todos |
| Dispositivo | Modelo, SO, ID de dispositivo, dirección IP | Apps Móviles |
| Comunicaciones | Notificaciones operativas vía WhatsApp Business API | App Conductor |
| Finalidad | Base Jurídica (RGPD) |
|---|---|
| Creación de cuenta y verificación de identidad | Ejecución de contrato — Art. 6(1)(b) |
| Rastreo de rutas y entregas activas | Ejecución de contrato — Art. 6(1)(b) |
| Métricas de rendimiento (DCR, DPMO) | Ejecución de contrato — Art. 6(1)(b) |
| Procesamiento de pagos | Ejecución de contrato + Obligación legal — Art. 6(1)(b) y (c) |
| Obligaciones fiscales y documentales | Obligación legal — Art. 6(1)(c) |
| Conformidad Amazon DSP | Ejecución de contrato — Art. 6(1)(b) |
| Notificaciones operativas (WhatsApp) | Ejecución de contrato + Consentimiento — Art. 6(1)(b) y (a) |
| Seguridad y prevención del fraude | Interés legítimo — Art. 6(1)(f) |
| Cumplimiento de obligaciones legales | Obligación legal — Art. 6(1)(c) |
No vendemos sus datos personales. Todos los Encargados del Tratamiento están vinculados por contratos conforme al Art. 28 RGPD.
Datos operativos y de rendimiento para gestión de la fuerza laboral y conformidad Amazon DSP.
Proveedores de alojamiento seguro bajo contratos Art. 28 RGPD que procesan datos cifrados.
Número de teléfono y mensajes para entrega de notificaciones operativas.
Datos fiscales e identidad para cumplimiento de obligaciones legales en cada jurisdicción.
Cuando sus datos se transfieren fuera del EEE, implementamos las garantías del Capítulo V RGPD:
• Cláusulas Contractuales Tipo (CCT) aprobadas por la Comisión Europea para países sin decisión de adecuación.
• Decisiones de adecuación cuando corresponda.
• Salvaguardas adicionales mediante cifrado de extremo a extremo y seudonimización.
| Categoría | Período | Justificación |
|---|---|---|
| Datos fiscales y financieros | 5–10 años | Obligaciones fiscales UE (6–10 años según Estado Miembro) |
| Documentos de identidad | Contrato + 5 años | KYC/AML (5 años post-relación comercial) |
| GPS en bruto | 90 días; agregados hasta 2 años | Minimización y proporcionalidad |
| Datos de rendimiento operativo | Contrato + 2 años | Plazo prescriptivo para disputas |
| Registros de acceso y dispositivo | 12 meses | Seguridad y auditoría |
| Registros de consentimiento | Duración + 5 años | Carga de la prueba del responsable |
| Comunicaciones WhatsApp | 2 años | Resolución de disputas operativas |
Al vencer el plazo, los datos se eliminan de forma segura o se anonimizan de modo irreversible.
Ejercer sus derechos: privacidad@delivyo.com o delivyo.com/privacidad/solicitud. Respondemos en 1 mes, prorrogable 2 meses adicionales.
TLS 1.3+ en tránsito, AES-256 en reposo para todos los datos sensibles.
RBAC con MFA obligatorio y registros de auditoría continuos.
Datos financieros tokenizados — nunca almacenados en texto claro.
Evaluación de impacto completada para el tratamiento de geolocalización en tiempo real.
Pruebas de penetración regulares por terceros cualificados.
Notificación a la autoridad en 72 horas (Art. 33 RGPD) y a afectados según Art. 34.
• Asignación de rutas: algoritmo basado en disponibilidad, localización y métricas históricas.
• Gamificación: cálculo automático de nivel (Élite → Oro → Plata → Bronce → Iniciante).
• Monitorización de cumplimiento: verificación automática de requisitos Amazon DSP.
Tiene derecho a solicitar intervención humana, expresar su punto de vista y contestar la decisión. Contacte: privacidad@delivyo.com.
Los servicios de Delivyo están destinados exclusivamente a personas mayores de 18 años. No recopilamos conscientemente datos de menores. Si tenemos conocimiento de ello, procederemos a su eliminación inmediata.
Podremos actualizar periódicamente esta Política. Los cambios materiales se comunicarán con al menos 30 días de antelación mediante notificación en la aplicación y/o correo electrónico. La continuación del uso implica la aceptación de la Política actualizada.
Para ejercer sus derechos o resolver dudas sobre esta política.