E-mail Tracking by QRPlus
E-mail Tracking by QRPlus
Criar acesso
Privacidade

Política de privacidade do Email Tracking by QRPlus

Esta Política de Privacidade descreve como o Email Tracking by QRPlus coleta, recebe, processa, registra, armazena, protege, compartilha e elimina dados pessoais e dados corporativos no contexto da prestação do serviço.

O conteúdo abaixo foi estruturado para refletir um padrão de governança compatível com ambientes corporativos, observando a LGPD, boas práticas de segurança da informação, auditoria, segregação de acesso, rastreabilidade operacional e minimização de uso indevido de dados.

1. Identificação do serviço e escopo

O Email Tracking by QRPlus é um serviço técnico de intermediação de envio de e-mails. Sua função principal consiste em receber a requisição do cliente, processar o conteúdo necessário para inserção de mecanismos de rastreamento e, em seguida, encaminhar a mensagem ao servidor SMTP efetivamente responsável pelo envio ao destinatário final.

O serviço não se apresenta como remetente originário da comunicação, não define campanhas por iniciativa própria, não gerencia listas de destinatários de forma autônoma e não substitui a infraestrutura oficial de envio do cliente. Sua atuação é limitada à camada intermediária de processamento técnico, observabilidade e geração de evidências operacionais.

2. Papéis das partes na LGPD

Sempre que houver tratamento de dados pessoais em nome do cliente, o cliente será considerado, em regra, o Controlador, por definir a finalidade, a necessidade, a base legal e as instruções relacionadas ao envio das mensagens, ao uso do serviço e à gestão dos dados de seus titulares.

A QRPlus, no âmbito do Email Tracking, atua como Operadora, tratando dados em nome do cliente com a finalidade restrita de viabilizar a intermediação técnica do serviço, os registros de rastreamento, a segurança operacional, a integridade do ambiente e a disponibilização de métricas e evidências técnicas relacionadas à operação.

Caso exista instrumento contratual específico, incluindo DPA, anexos de segurança ou cláusulas próprias de proteção de dados, esses documentos complementam esta política e prevalecem no que trouxerem definições operacionais mais detalhadas.

3. Dados tratados

A natureza dos dados tratados pode variar conforme a forma de integração e o uso definido pelo cliente. Em geral, o serviço pode tratar:

  • dados de identificação da conta, tenant, remetente técnico, credenciais de integração e parâmetros operacionais;
  • dados constantes do corpo do e-mail, especialmente HTML, links, imagens de rastreamento, cabeçalhos e metadados;
  • endereços de e-mail de destinatários, assunto, identificadores de mensagens, registros de entrega, abertura e clique;
  • dados técnicos derivados da interação, como data e hora, endereço IP, user-agent, dispositivo, URL acionada e identificadores de sessão;
  • logs de requisições, logs de processamento, trilhas de auditoria, eventos de segurança, acessos administrativos e registros de suporte.

O cliente reconhece que o serviço pode, por sua natureza, processar dados pessoais incluídos no conteúdo das mensagens ou em seus metadados. A QRPlus não determina autonomamente esse conteúdo e recomenda a aplicação dos princípios da necessidade, adequação e minimização.

4. Finalidades do tratamento

Os dados tratados no contexto do serviço são utilizados exclusivamente para finalidades legítimas, determinadas e compatíveis com a operação do produto, incluindo:

  • recebimento, validação, processamento técnico e reencaminhamento da mensagem ao SMTP configurado pelo cliente;
  • inserção de mecanismos de rastreamento compatíveis com o escopo contratado;
  • geração de métricas de abertura, clique, eventos e comportamento técnico da mensagem;
  • manutenção da segurança, prevenção de fraude, detecção de anomalias, investigação de incidentes e rastreabilidade operacional;
  • auditoria técnica, troubleshooting, análise de falhas, verificação de performance e reconstrução de eventos;
  • cumprimento de obrigações legais, regulatórias, contratuais ou de requisição formal de autoridade competente.

A QRPlus não utiliza os dados tratados no serviço para venda, compartilhamento comercial, enriquecimento de bases de terceiros, perfilização comercial própria, criação de campanhas próprias ou qualquer exploração econômica dissociada da execução do serviço contratado.

5. Bases legais e responsabilidades do cliente

A definição da base legal aplicável ao envio de mensagens e ao tratamento dos dados nelas contidos compete ao cliente, na qualidade de Controlador. Isso inclui, sem limitação, obter consentimento quando necessário, demonstrar legítimo interesse quando cabível, manter registros de origem da base, atender solicitações de titulares e comprovar a licitude da comunicação realizada.

A QRPlus não se responsabiliza pela escolha da base legal do cliente nem pela legitimidade do mailing, da campanha, do conteúdo ou da comunicação enviada por intermédio do serviço. O uso da plataforma não substitui análise jurídica, regulatória ou de compliance do cliente.

6. Propriedade e não comercialização dos dados

Todos os dados, conteúdos, registros, métricas, informações de rastreamento, arquivos, eventos e evidências técnicas relacionadas ao uso do serviço pertencem ao cliente ou a quem de direito pertençam, conforme a relação jurídica mantida pelo cliente com seus próprios titulares, usuários, destinatários e parceiros.

A QRPlus não adquire qualquer direito de propriedade sobre os dados do cliente em razão da prestação do serviço. O tratamento é realizado exclusivamente para execução operacional, suporte, segurança, auditoria e obrigações legais. A QRPlus não vende, não licencia e não compartilha, para fins comerciais, os dados tratados no âmbito do Email Tracking.

7. Compartilhamento de dados e subprocessadores

Os dados poderão ser compartilhados apenas nas hipóteses estritamente necessárias à prestação do serviço e à conformidade legal, como com provedores de infraestrutura, hospedagem, monitoramento, observabilidade, armazenamento, segurança ou comunicação que suportem a operação da plataforma.

A QRPlus também poderá utilizar subprocessadores ou parceiros tecnológicos essenciais para a execução do ambiente, desde que sujeitos a obrigações contratuais compatíveis com confidencialidade, segurança e proteção de dados. Sempre que possível e juridicamente permitido, o compartilhamento será limitado ao mínimo necessário.

Dados também poderão ser divulgados a autoridades públicas, órgãos reguladores ou judiciais quando houver obrigação legal, ordem judicial, requisição formal ou necessidade de defesa de direitos.

8. Segurança da informação e controles corporativos

A QRPlus adota abordagem em camadas para segurança da informação, compatível com ambiente corporativo e com o nível de criticidade operacional do serviço. Os controles podem incluir, conforme a arquitetura vigente:

  • criptografia de dados em trânsito por protocolos seguros, inclusive TLS, quando aplicável;
  • criptografia ou mecanismos equivalentes de proteção de dados em repouso, conforme sensibilidade e contexto técnico;
  • segregação lógica de ambientes, contas, tenants, bancos, serviços e perfis operacionais;
  • controle de acesso baseado em papéis e necessidade de conhecimento;
  • registro de acessos administrativos, trilhas de auditoria e monitoramento contínuo de eventos relevantes;
  • proteção de credenciais, gestão de segredos, autenticação forte e revisão periódica de permissões;
  • rotinas de backup, redundância compatível, monitoração de disponibilidade, observabilidade e resposta a falhas;
  • procedimentos internos de gestão de incidentes, contenção, investigação, correção e melhoria contínua.

Nenhuma medida de segurança é absoluta. Ainda assim, a QRPlus mantém compromisso contínuo com atualização de controles, monitoramento do ambiente, endurecimento de configuração, rastreabilidade e prevenção de acessos indevidos, perda, alteração não autorizada, destruição ou divulgação indevida.

9. Logs, rastreabilidade e auditoria

Por questões de segurança, suporte, integridade e reconstrução de eventos, a QRPlus registra logs de chamadas, integrações, processamentos, encaminhamentos, respostas, erros, acessos administrativos e outras evidências técnicas necessárias à operação do serviço.

Esses registros são relevantes para apuração de incidentes, reconstrução da sequência de eventos, comprovação da atuação do serviço como camada intermediária, análise de indisponibilidades e suporte a auditorias técnicas, contratuais ou jurídicas. A QRPlus recomenda que o cliente mantenha seus próprios registros, logs de envio e mecanismos de auditoria para compor a visão integral da operação.

10. Retenção, exportação e eliminação

Como regra geral, os dados permanecem armazenados enquanto o cliente mantiver relação contratual ativa com a QRPlus e o serviço estiver em uso regular, observadas necessidades operacionais, de segurança, integridade histórica, auditoria e suporte.

Após o encerramento da relação comercial ou da assinatura, o cliente poderá solicitar a exportação dos dados disponíveis em prazo razoável, conforme a viabilidade técnica e o escopo contratado.

Na ausência de ajuste específico em sentido diverso, os dados entram em rotina de expurgo em até 30 (trinta) dias após o encerramento da contratação. Esse prazo poderá ser prorrogado em situações específicas mediante solicitação, análise operacional, negociação comercial e eventual cobrança adicional, especialmente quando a retenção extraordinária implicar custo, reserva de infraestrutura, suporte estendido ou processamento adicional.

Determinados registros poderão ser mantidos por prazo superior quando necessários ao cumprimento de obrigação legal, defesa em processo administrativo, arbitral ou judicial, prevenção a fraude, continuidade mínima da trilha de auditoria ou preservação de direitos da QRPlus.

11. Direitos dos titulares

Na medida em que a QRPlus atuar como Operadora, o atendimento principal aos direitos dos titulares caberá ao cliente, na condição de Controlador. Sempre que tecnicamente possível e juridicamente apropriado, a QRPlus poderá cooperar com o cliente para viabilizar solicitações relacionadas à confirmação de tratamento, acesso, correção, anonimização, eliminação, portabilidade, informação sobre compartilhamento ou revisão de dados, na extensão aplicável ao serviço.

Caso um titular entre em contato diretamente com a QRPlus em situação em que o cliente seja o Controlador, a solicitação poderá ser redirecionada ao cliente, sem prejuízo da cooperação operacional cabível.

12. Transferência internacional, incidentes e confidencialidade

Caso a operação do serviço envolva infraestrutura, subprocessadores ou recursos tecnológicos localizados fora do Brasil, a QRPlus adotará medidas contratuais, técnicas e organizacionais razoáveis para assegurar nível de proteção compatível com a legislação aplicável.

A QRPlus mantém procedimentos internos para tratamento de incidentes de segurança que envolvam confidencialidade, integridade ou disponibilidade dos dados e sistemas sob sua esfera de atuação. Quando exigido por lei, contrato ou pela materialidade do evento, a empresa buscará comunicar o cliente em prazo razoável com as informações disponíveis no momento.

A QRPlus adota dever de confidencialidade sobre os dados, conteúdos, documentos e informações tratados no âmbito do serviço, permitindo acesso interno apenas a pessoas autorizadas e na extensão necessária à operação, suporte, segurança, compliance ou atendimento de obrigações legais.

13. Documentos complementares, atualizações e contato

Clientes corporativos ou sujeitos a exigências específicas de compliance poderão solicitar instrumento complementar de proteção de dados, incluindo DPA, cláusulas contratuais específicas, anexos de segurança ou documentos correlatos, os quais poderão estabelecer detalhes adicionais sobre instruções de tratamento, subprocessadores, medidas técnicas, auditoria, cooperação regulatória e responsabilidades entre as partes.

Esta política poderá ser atualizada periodicamente para refletir evolução do serviço, alterações regulatórias, melhoria de controles internos, ajustes operacionais ou novos requisitos contratuais. A versão vigente será aquela disponibilizada oficialmente pela QRPlus.

Solicitações relacionadas a privacidade, proteção de dados, exportação, retenção, segurança, incidentes ou formalização de documentos complementares poderão ser encaminhadas pelos canais oficiais de atendimento da QRPlus ou por canal específico definido contratualmente com o cliente.

Falar com especialista