img-transparent.gif

GRAX — Ecossistema Inteligente para Soluções Turísticas

 

POLÍTICA DE PRIVACIDADE E PROTEÇÃO DE DADOS

Versão 1.0 | Abril de 2026
 

1. Identificação do Controlador

A presente Política de Privacidade aplica-se à plataforma GRAX TRIPPAY, operada por GRAX TRIPPAY LTDA, pessoa jurídica de direito privado, inscrita no CNPJ sob o nº 65.805.463/0001-76, na qualidade de Controladora de Dados Pessoais, nos termos da Lei Geral de Proteção de Dados Pessoais (LGPD).

Para fins desta Política, a Controladora é responsável pelas decisões referentes ao tratamento de dados pessoais realizados no âmbito da plataforma.

A GRAX TRIPPAY poderá ser contatada por meio dos seguintes canais:

  • E-mail para assuntos de privacidade e proteção de dados:
    dpo@graxtrippay.com.br
  • site: www.graxtrippay.com.br

O titular dos dados pessoais poderá utilizar os canais acima para exercer seus direitos previstos na LGPD, bem como para esclarecimentos relacionados ao tratamento de seus dados.

2. Natureza da Atividade

A GRAX TRIPPAY consiste em uma plataforma digital de intermediação tecnológica, integrante do ecossistema GRAX, destinada à organização, registro e viabilização de serviços turísticos contratados entre usuários.

A plataforma atua exclusivamente como facilitadora tecnológica, conectando motoristas parceiros, devidamente cadastrados e ativos no sistema, a passageiros viajantes interessados na contratação de serviços turísticos, não realizando, em nenhuma hipótese, a execução direta de transporte, turismo ou qualquer atividade correlata.

A GRAX TRIPPAY não se caracteriza como:

  • prestadora de serviço de transporte;
  • operadora de turismo;
  • agência de viagens;
  • empregadora, contratante ou gestora da atividade dos motoristas parceiros.

Os motoristas cadastrados atuam de forma autônoma e independente, sendo integralmente responsáveis:

  • pela execução do serviço contratado;
  • pela regularidade de sua atividade perante os órgãos competentes (incluindo cadastros obrigatórios, quando aplicável);
  • pela obtenção de licenças, autorizações e seguros exigidos pela legislação vigente.

A plataforma limita-se a fornecer:

  • infraestrutura tecnológica para conexão entre as partes;
  • registro das condições do serviço (incluindo valores, trajetos e dados operacionais);
  • organização e apoio à conciliação financeira, por meio de parceiros terceiros;
  • ferramentas de monitoramento e rastreabilidade operacional.

Não há, entre a GRAX TRIPPAY e os motoristas parceiros, qualquer vínculo de natureza trabalhista, societária ou de subordinação, sendo a relação regida exclusivamente por contratos de natureza civil e comercial.

A atuação da plataforma observa as diretrizes da Lei nº 11.771/2008, bem como demais normas aplicáveis ao setor de turismo e transporte, posicionando-se como solução tecnológica de apoio à formalização, organização e transparência das atividades turísticas.

 

3. Tratamento de Dados Pessoais

O tratamento de dados pessoais realizado pela plataforma ocorre de forma necessária, proporcional e adequada às finalidades operacionais do ecossistema, observando os princípios estabelecidos na Lei Geral de Proteção de Dados Pessoais (LGPD).

Os dados pessoais são tratados para as seguintes finalidades específicas:

  • Execução do contrato: viabilizar o cadastro de usuários, registro de serviços, emissão de ordens de serviço, intermediação entre as partes e organização financeira das transações realizadas na plataforma;
  • Cumprimento de obrigação legal e regulatória: atender exigências de órgãos públicos, incluindo autoridades fiscais, órgãos de turismo, fiscalização de transporte e demais entidades competentes;
  • Segurança operacional e rastreabilidade: garantir a integridade das operações, monitoramento de serviços contratados, prevenção de incidentes e suporte à segurança dos usuários;
  • Prevenção à fraude e uso indevido da plataforma: identificação, mitigação e registro de atividades suspeitas ou ilícitas;
  • Suporte e atendimento ao usuário: gestão de solicitações, comunicações operacionais e resolução de demandas relacionadas aos serviços contratados.

O tratamento de dados pessoais fundamenta-se, prioritariamente, nas seguintes hipóteses legais previstas na LGPD:

  • Execução de contrato ou de procedimentos preliminares relacionados ao contrato (art. 7º, V);
  • Cumprimento de obrigação legal ou regulatória pelo controlador (art. 7º, II).

A plataforma não realiza tratamento de dados pessoais baseado em consentimento como regra geral, limitando seu uso apenas quando estritamente necessário e específico.

Todos os tratamentos são realizados com observância aos princípios da finalidade, adequação, necessidade, segurança, prevenção e responsabilização, sendo adotadas medidas técnicas e administrativas aptas a proteger os dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas.

 

4. Segurança da Informação

A GRAX TRIPPAY adota medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados, destruição, perda, alteração, comunicação ou difusão indevida, em conformidade com o art. 46 da LGPD.

As medidas implementadas consideram:

  • Padrões de segurança da informação e boas práticas de mercado (art. 46, §1º);
  • Controle de acesso restrito e autenticação de usuários;
  • Registro de logs e rastreabilidade das operações;
  • Proteção contra incidentes de segurança e acessos indevidos;
  • Ambientes controlados e monitorados.

Na hipótese de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a GRAX TRIPPAY adotará as providências cabíveis, incluindo comunicação à autoridade competente e aos titulares, nos termos do art. 48 da LGPD.

 

5. Denúncias, Assédio e Afastamento Preventivo

A plataforma adota política de tolerância zero a condutas abusivas, incluindo assédio, discriminação ou qualquer comportamento que viole direitos fundamentais dos usuários.

Mediante denúncia formal, acompanhada de elementos mínimos de verossimilhança, a GRAX TRIPPAY poderá:

  • suspender preventivamente o acesso do motorista parceiro;
  • restringir funcionalidades da conta;
  • promover o bloqueio ou exclusão da conta, quando necessário.

As medidas poderão ser adotadas de forma preventiva, com base na necessidade de proteção dos usuários e da integridade da plataforma, observando:

  • os princípios da prevenção e segurança (art. 6º, VII e VIII da LGPD);
  • o dever de proteção do ambiente digital (art. 7º, V – execução de contrato).

A eventual reversão da medida poderá ocorrer mediante apuração interna, retirada da denúncia ou decisão judicial aplicável.

 

6. Responsabilidade Legal da Plataforma

A GRAX TRIPPAY atua exclusivamente como intermediadora tecnológica, não executando diretamente os serviços ofertados por meio da plataforma.

Dessa forma, sua responsabilidade limita-se às atividades sob seu controle direto, incluindo a disponibilização da infraestrutura tecnológica e o correto funcionamento da plataforma.

A responsabilidade pelos serviços prestados é integralmente dos motoristas parceiros, que atuam de forma autônoma e independente.

A atuação da plataforma observa:

  • o Código Civil Brasileiro (responsabilidade civil);
  • o Código de Defesa do Consumidor;
  • o Marco Civil da Internet;
  • a LGPD (Lei nº 13.709/2018).

A GRAX TRIPPAY não se responsabiliza por:

  • condutas individuais dos motoristas parceiros;
  • execução dos serviços contratados;
  • obrigações legais, fiscais ou regulatórias dos prestadores.

 

7. Retenção de Dados

Os dados pessoais serão armazenados pelo período necessário ao cumprimento das finalidades que justificaram sua coleta, observando:

  • a execução do contrato (art. 7º, V da LGPD);
  • o cumprimento de obrigações legais ou regulatórias (art. 7º, II da LGPD);
  • o exercício regular de direitos em processo judicial, administrativo ou arbitral (art. 7º, VI da LGPD).

Os dados poderão ser mantidos, ainda que após o encerramento da relação contratual, quando necessários para:

  • cumprimento de obrigações legais;
  • auditorias;
  • prevenção a fraudes;
  • defesa em processos judiciais.

Encerrado o prazo de retenção aplicável, os dados serão eliminados ou anonimizados, nos termos do art. 16 da LGPD.

 

8. Atualizações desta Política

A presente Política poderá ser atualizada a qualquer tempo, a critério da GRAX TRIPPAY, para refletir alterações legais, regulatórias ou operacionais.

Sempre que houver alterações relevantes, os usuários serão informados por meio dos canais disponíveis na plataforma.

A continuidade de uso da plataforma pelo usuário após a atualização será interpretada como ciência das novas condições, sendo o tratamento de dados fundamentado na hipótese legal de:

  • execução de contrato (art. 7º, V da LGPD),

não se caracterizando como consentimento, mas como decorrência necessária da manutenção da relação contratual.

A versão vigente da Política estará sempre disponível para consulta na plataforma.

 

9. Compartilhamento de Dados Pessoais

A GRAX TRIPPAY poderá compartilhar dados pessoais com terceiros, exclusivamente quando necessário ao cumprimento das finalidades descritas nesta Política, observando os princípios da necessidade, adequação e finalidade, nos termos do art. 6º da Lei Geral de Proteção de Dados Pessoais (LGPD).

O compartilhamento poderá ocorrer com as seguintes categorias de destinatários:

 

9.1. Parceiros Operacionais

Inclui prestadores de serviços essenciais à operação da plataforma, tais como:

  • provedores de infraestrutura tecnológica (cloud, hospedagem);
  • sistemas de processamento e conciliação de pagamentos;
  • ferramentas de suporte e atendimento.

Esses terceiros atuam como operadores de dados, nos termos do art. 5º, VII da LGPD, e tratam os dados exclusivamente conforme instruções da GRAX TRIPPAY.

9.2. Motoristas Parceiros e Usuários

Os dados necessários à execução do serviço poderão ser compartilhados entre as partes envolvidas na operação, incluindo:

  • identificação básica;
  • informações do serviço contratado;
  • dados operacionais necessários à execução do serviço.

Esse compartilhamento ocorre com fundamento na execução de contrato (art. 7º, V da LGPD).

 

9.3. Órgãos Públicos e Autoridades Competentes

Os dados poderão ser compartilhados com órgãos públicos, quando necessário para:

  • cumprimento de obrigações legais ou regulatórias;
  • atendimento a requisições formais de autoridades;
  • suporte a atividades de fiscalização, especialmente no setor de turismo e transporte.

Fundamento legal:

  • art. 7º, II — cumprimento de obrigação legal ou regulatória;
  • art. 23 — tratamento de dados pelo poder público.

 

9.4. Parceiros de Seguros e Proteção ao Usuário

Dados poderão ser compartilhados com empresas responsáveis pela oferta de seguros (ex.: APP e RC), quando necessário para:

  • contratação de cobertura;
  • análise de risco;
  • eventual regulação de sinistros.

Fundamento legal:

  • execução de contrato (art. 7º, V);
  • exercício regular de direitos (art. 7º, VI).

 

9.5. Prevenção à Fraude e Segurança

A GRAX TRIPPAY poderá compartilhar dados com parceiros especializados em prevenção à fraude, análise de risco e segurança da informação.

Fundamento legal:

  • execução de contrato (art. 7º, V);
  • proteção do crédito (art. 7º, X, quando aplicável);
  • princípios da segurança e prevenção (art. 6º, VII e VIII).

 

9.6. Transferência Internacional de Dados (se aplicável)

Caso haja transferência internacional de dados, esta será realizada em conformidade com o art. 33 da LGPD, mediante garantias adequadas de proteção de dados pessoais.

 

Diretriz Geral

A GRAX TRIPPAY não comercializa dados pessoais e não realiza compartilhamentos fora das hipóteses descritas nesta Política.

 

10. Direitos do Titular de Dados

Nos termos do art. 18 da Lei Geral de Proteção de Dados Pessoais (LGPD), o titular dos dados pessoais possui os seguintes direitos:

  • confirmação da existência de tratamento de dados;
  • acesso aos dados pessoais;
  • correção de dados incompletos, inexatos ou desatualizados;
  • anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
  • portabilidade dos dados, observados os segredos comercial e industrial;
  • eliminação dos dados tratados, quando aplicável;
  • informação sobre as entidades públicas e privadas com as quais houve compartilhamento de dados;
  • informação sobre a possibilidade de não fornecimento de dados e as consequências dessa decisão;
  • revisão de decisões automatizadas, quando aplicável.

 

10.1. Forma de Exercício dos Direitos

Os direitos poderão ser exercidos mediante solicitação expressa do titular por meio do canal de atendimento indicado nesta Política.

A GRAX TRIPPAY poderá solicitar informações adicionais para confirmação da identidade do titular, com o objetivo de prevenir fraudes e garantir a segurança dos dados.

 

10.2. Prazo de Resposta

As solicitações serão respondidas em prazo razoável, observando os prazos legais aplicáveis e a complexidade da requisição, nos termos do art. 19 da LGPD.

 

10.3. Limitações aos Direitos

O atendimento às solicitações poderá ser limitado quando:

  • houver obrigação legal de retenção dos dados (art. 16);
  • os dados forem necessários para cumprimento de contrato (art. 7º, V);
  • houver necessidade para exercício regular de direitos em processos (art. 7º, VI). 

 

11. Governança em Proteção de Dados e Compliance

A GRAX TRIPPAY adota estrutura de governança em proteção de dados pessoais com o objetivo de assegurar a conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD), bem como com normas correlatas aplicáveis ao setor de atuação.

 

11.1. Programa de Governança em Privacidade

A empresa implementa programa de governança em privacidade, nos termos do art. 50 da LGPD, contemplando:

  • políticas e procedimentos internos de proteção de dados;
  • aplicação dos princípios da LGPD (art. 6º);
  • definição de responsabilidades e papéis no tratamento de dados;
  • revisão periódica das práticas de tratamento;
  • mecanismos de prevenção e mitigação de riscos.

 

11.2. Registro das Operações de Tratamento (ROPA)

A GRAX TRIPPAY mantém registro das operações de tratamento de dados pessoais, contendo:

  • finalidades do tratamento;
  • categorias de dados pessoais tratados;
  • base legal (hipótese de tratamento);
  • identificação dos agentes de tratamento;
  • fluxos de compartilhamento de dados.

Esse registro atende às diretrizes do art. 37 da LGPD e serve como instrumento de transparência e governança.

 

11.3. Gestão de Riscos e Segurança

São adotadas práticas contínuas de gestão de riscos relacionadas ao tratamento de dados pessoais, incluindo:

  • identificação e avaliação de riscos;
  • implementação de controles técnicos e administrativos;
  • monitoramento contínuo de incidentes;
  • revisão de vulnerabilidades.

 

11.4. Treinamento e Conscientização

A GRAX TRIPPAY promove ações de capacitação e conscientização interna voltadas à proteção de dados pessoais, com foco em:

  • boas práticas de segurança da informação;
  • tratamento adequado de dados pessoais;
  • prevenção de incidentes e vazamentos.

 

11.5. Auditoria e Melhoria Contínua

Os processos de tratamento de dados estão sujeitos a revisões periódicas, com o objetivo de:

  • garantir conformidade com a LGPD;
  • identificar oportunidades de melhoria;
  • adequar-se a novas exigências regulatórias.

 

12. Encarregado pelo Tratamento de Dados (DPO)

A GRAX TRIPPAY disponibiliza canal de comunicação para assuntos relacionados à proteção de dados pessoais, nos termos do art. 41 da Lei Geral de Proteção de Dados Pessoais (LGPD).

O titular dos dados poderá entrar em contato para:

  • exercer seus direitos previstos no art. 18 da LGPD;
  • esclarecer dúvidas sobre o tratamento de dados;
  • registrar solicitações ou reclamações.

 

12.1. Canal de Contato do Encarregado

  • E-mail: dpo@graxtrippay.com.br
  • Responsável: Bruno Ferreira

 

12.2. Atribuições do Encarregado

O encarregado atua como canal de comunicação entre:

  • a GRAX TRIPPAY (controladora);
  • os titulares dos dados;
  • a Autoridade Nacional de Proteção de Dados (ANPD).

Suas atribuições incluem:

  • receber e tratar solicitações dos titulares;
  • orientar colaboradores sobre práticas de proteção de dados;
  • apoiar a empresa na conformidade com a LGPD.

 

12.3. Modelo de Atuação

A GRAX TRIPPAY poderá adotar modelo simplificado de atendimento ao titular, especialmente compatível com sua estrutura operacional, desde que garantidos:

  • transparência;
  • acessibilidade;
  • efetividade no atendimento.

 

13. Disposições Finais

 

A presente Política de Privacidade estabelece as diretrizes aplicáveis ao tratamento de dados pessoais no âmbito da plataforma GRAX TRIPPAY, sendo parte integrante das condições de uso e da relação contratual estabelecida com seus usuários.

 

Ao utilizar a plataforma, o usuário declara ciência das disposições aqui previstas, estando o tratamento de dados pessoais fundamentado nas hipóteses legais aplicáveis, especialmente na execução de contrato e no cumprimento de obrigações legais e regulatórias, nos termos da Lei Geral de Proteção de Dados Pessoais (LGPD).

 

A GRAX TRIPPAY compromete-se a manter elevados padrões de segurança, transparência e governança no tratamento de dados pessoais, adotando medidas contínuas de melhoria e adequação às normas vigentes.

 

Eventuais omissões ou dúvidas quanto à interpretação desta Política poderão ser esclarecidas por meio do canal oficial do Encarregado pelo Tratamento de Dados:

 

E-mail: dpo@graxtrippay.com.br

 

Esta Política entra em vigor na data de sua publicação e permanecerá válida por prazo indeterminado, podendo ser atualizada conforme necessidade legal, regulatória ou operacional.