A BASTON SOFTWARE LTDA - ME, inscrita no CNPJ sob o nº 62.861.266/0001-86, operadora da plataforma Katalogix (katalogix.com.br), respeita sua privacidade e está comprometida com a proteção dos seus dados pessoais.
Esta Política de Privacidade descreve como coletamos, usamos, armazenamos, compartilhamos e protegemos dados pessoais, em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — LGPD), o Marco Civil da Internet (Lei nº 12.965/2014) e demais normas aplicáveis.
1. A quem esta política se aplica
Esta política se aplica a três grupos de titulares de dados:
- Usuários (lojistas): pessoas que criam conta no Katalogix para gerenciar uma loja.
- Visitantes da loja pública: pessoas que acessam um catálogo hospedado no Katalogix.
- Leads: pessoas que preenchem formulários de interesse em produtos publicados por lojistas.
2. Dados que coletamos
2.1. Dados fornecidos pelo Usuário no cadastro
- Nome completo;
- E-mail;
- Senha (armazenada de forma criptografada);
- Dados da loja: nome, descrição, logotipo, banner, redes sociais, número de WhatsApp, e-mail de contato.
2.2. Dados coletados durante o uso
- Conteúdo cadastrado: produtos, imagens, preços, categorias;
- Logs de acesso: endereço IP, data e horário de acesso, agente de usuário (navegador), páginas visitadas — em conformidade com o art. 15 do Marco Civil da Internet (guarda obrigatória pelo prazo de 6 meses);
- Eventos de uso: criação/edição de produtos, leads recebidos, sessões iniciadas.
2.3. Dados de pagamento
Pagamentos de assinaturas são processados pelo nosso parceiro Mercado Pago. Não armazenamos dados completos de cartão de crédito em nossos servidores — apenas tokens de referência fornecidos pelo Mercado Pago e metadados da transação (status, valor, ciclo, ID da assinatura).
2.4. Dados dos leads (preenchidos no catálogo público)
Quando um visitante preenche um formulário de interesse na loja de um Usuário, coletamos os dados informados (geralmente nome, telefone/WhatsApp e/ou e-mail) e os disponibilizamos para o lojista. Nesses casos, o Katalogix atua como operador de dados; o lojista é o controlador e responsável pela base legal e pela finalidade do tratamento.
2.5. Cookies e tecnologias similares
Utilizamos cookies estritamente necessários para autenticação (manter você logado), proteção contra CSRF e funcionamento básico da plataforma. Não utilizamos cookies de publicidade nem rastreamento cross-site de terceiros para fins de marketing.
2.6. Dados pessoais sensíveis
O Katalogix não coleta intencionalmente dados pessoais sensíveis nos termos do art. 5º, II, da LGPD (origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso/filosófico/político, dado referente à saúde ou à vida sexual, dado genético ou biométrico). Solicitamos que Usuários e Leads não enviem esse tipo de informação por meio de formulários ou conteúdo livre. Caso identifiquemos a presença desses dados, providenciaremos a eliminação ou anonimização, salvo se houver base legal específica para o tratamento.
2.7. Dados de crianças e adolescentes
Não coletamos intencionalmente dados de crianças e adolescentes. Caso identifiquemos cadastro de menor sem autorização do responsável legal, removeremos os dados e encerraremos a Conta.
3. Para que usamos os dados
| Finalidade | Base legal (LGPD) |
|---|---|
| Permitir que o Usuário crie e gerencie a conta e a loja | Execução de contrato (art. 7º, V) |
| Processar pagamentos e renovações de assinatura | Execução de contrato (art. 7º, V) |
| Enviar comunicações operacionais (recibos, alertas, suporte) | Execução de contrato (art. 7º, V) |
| Manter logs de acesso por exigência legal | Cumprimento de obrigação legal (art. 7º, II) |
| Prevenir fraudes, abusos e proteger a plataforma | Legítimo interesse (art. 7º, IX) |
| Melhorar o produto a partir de uso agregado e anonimizado | Legítimo interesse (art. 7º, IX) |
| Enviar comunicações de marketing sobre o Katalogix | Consentimento (art. 7º, I), revogável a qualquer momento |
4. Compartilhamento com terceiros
Compartilhamos dados pessoais apenas quando estritamente necessário, com os seguintes tipos de parceiros:
- Provedor de infraestrutura (hosting): servidores de nuvem onde a plataforma é hospedada.
- Mercado Pago: processamento de pagamentos de assinaturas (cartão, boleto e Pix).
- Cloudflare: CDN, mitigação de ataques e (futuramente) emissão de SSL para domínios personalizados.
- Provedor de e-mail transacional: envio de e-mails de cadastro, recuperação de senha e notificações.
- Autoridades públicas: mediante ordem judicial, requisição administrativa formal ou para cumprimento de obrigação legal.
Não vendemos seus dados pessoais. Não compartilhamos dados de Usuários ou leads com anunciantes nem com terceiros para fins de publicidade direcionada.
5. Transferência internacional
Alguns provedores que utilizamos (como Cloudflare) podem processar dados em servidores fora do Brasil. O Mercado Pago, sendo uma operação brasileira, processa dados dentro do território nacional. Para casos de transferência internacional, garantimos que ocorra para países com nível adequado de proteção ou mediante cláusulas contratuais que assegurem padrões equivalentes aos exigidos pela LGPD.
6. Armazenamento e segurança
Adotamos medidas técnicas e administrativas razoáveis para proteger os dados, incluindo:
- Tráfego protegido por TLS/HTTPS;
- Senhas armazenadas com hash criptográfico (bcrypt/argon2);
- Controle de acesso por papéis e auditoria de eventos sensíveis;
- Backups regulares com retenção limitada;
- Monitoramento contra acessos não autorizados.
Apesar do nosso empenho, nenhum sistema é 100% imune a falhas. Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos os afetados e a Autoridade Nacional de Proteção de Dados (ANPD) nos prazos previstos pela LGPD.
7. Tempo de retenção
- Dados de cadastro e conteúdo: mantidos enquanto a conta estiver ativa. Após o encerramento, são excluídos em até 30 dias, salvo prazo legal superior.
- Dados financeiros: mantidos pelo prazo exigido pela legislação fiscal (até 5 anos).
- Logs de acesso: mantidos por 6 meses, conforme art. 15 do Marco Civil da Internet.
- Leads: mantidos enquanto a conta do lojista estiver ativa ou até que o lead solicite exclusão diretamente ao lojista (controlador).
- Backups: dados podem persistir em backups por até 90 dias após exclusão lógica, sendo apagados ao final do ciclo de retenção.
8. Seus direitos como titular (LGPD)
Conforme o art. 18 da LGPD, você pode exercer, a qualquer momento e de forma gratuita, os seguintes direitos:
- Confirmação da existência de tratamento de dados pessoais sobre você;
- Acesso aos dados que tratamos sobre você;
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
- Portabilidade dos dados a outro fornecedor de serviço ou produto, quando tecnicamente viável e mediante requisição expressa;
- Eliminação dos dados tratados com base no consentimento, ressalvadas as hipóteses de retenção legal (art. 16 da LGPD);
- Informação sobre as entidades públicas e privadas com as quais compartilhamos seus dados;
- Informação sobre a possibilidade de não fornecer consentimento e suas consequências;
- Revogação do consentimento, quando esta for a base legal aplicável;
- Oposição a tratamentos realizados com fundamento em legítimo interesse, mediante demonstração de motivação legítima;
- Revisão de decisões automatizadas que afetem seus interesses (Seção 9).
8.1. Como exercer seus direitos
Envie sua solicitação para o nosso Encarregado de Tratamento de Dados (DPO) por e-mail: [email protected], com o assunto "Solicitação LGPD".
- Responderemos em até 15 dias a partir do recebimento, conforme art. 19 da LGPD;
- Podemos solicitar comprovação de identidade (documento) para garantir a segurança e evitar acesso indevido aos seus dados;
- O atendimento é gratuito e não dependerá de justificativa para a maioria dos pedidos;
- Em casos excepcionais que envolvam complexidade técnica ou legal, poderemos prorrogar o prazo, comunicando-o previamente.
8.2. Direito de reclamação à ANPD
Caso entenda que seus direitos não foram adequadamente atendidos por nós, você pode apresentar reclamação diretamente à Autoridade Nacional de Proteção de Dados (ANPD) pelo site gov.br/anpd.
9. Decisões automatizadas (LGPD, art. 20)
O Katalogix não toma decisões totalmente automatizadas que afetem significativamente os interesses do Usuário ou do Lead — como definição de perfil de crédito, score, contratação, exclusão arbitrária ou recusa de fornecimento.
Eventuais sistemas automáticos da Plataforma servem apenas a finalidades operacionais (deduplicação de e-mail, controle de limites do plano, detecção de spam ou comportamento abusivo). Caso seja submetido a uma decisão automatizada que afete seus direitos, você poderá solicitar revisão humana, gratuitamente, por e-mail ao Encarregado.
10. Lojas dos Usuários (papel de operador)
Em relação aos dados dos Visitantes da loja e dos Leads coletados via formulário, o Lojista (Usuário) é o controlador dos dados, definindo a finalidade do tratamento (ex: contato comercial, follow-up de venda). O Katalogix atua como operador, processando os dados em nome do Lojista e seguindo as instruções gerais previstas nestes documentos (art. 39 da LGPD).
Cada Lojista é responsável por:
- Adotar base legal adequada para o tratamento dos dados de seus clientes/leads;
- Informar os titulares sobre o uso dos dados (própria política de privacidade da loja, quando aplicável);
- Atender, em prazo legal, solicitações de exercício de direitos pelos titulares;
- Zelar pela segurança no uso dos leads recebidos, evitando vazamentos, compartilhamento indevido ou venda de mailing.
Solicitações de Visitantes ou Leads relativas aos dados coletados pela Loja devem ser direcionadas diretamente ao Lojista. O Katalogix, no papel de operador, prestará assistência razoável quando juridicamente exigido.
11. Comunicação de incidentes
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos:
- Os titulares afetados;
- A Autoridade Nacional de Proteção de Dados (ANPD);
nos prazos e na forma previstos pela LGPD (art. 48), informando ao menos: a descrição do incidente, os dados afetados, as medidas técnicas e de segurança utilizadas, os riscos relacionados e as medidas tomadas para reverter ou mitigar os efeitos.
12. Atualizações desta política
Esta política pode ser atualizada para refletir mudanças no serviço, na legislação ou em práticas de mercado. Em caso de alteração materialmente relevante, comunicaremos por e-mail e/ou aviso visível na Plataforma com antecedência mínima de 15 dias.
A versão vigente é sempre esta página, identificada pela data de "Última atualização" no topo. Versões anteriores podem ser solicitadas por e-mail para fins de auditoria.
13. Encarregado pelo Tratamento de Dados (DPO)
Para tratar de qualquer assunto relacionado a privacidade, proteção de dados ou exercício dos seus direitos como titular, entre em contato com o nosso Encarregado:
- E-mail: [email protected]
- Razão social: Baston Software LTDA - ME
- CNPJ: 62.861.266/0001-86
14. Lei aplicável e foro
Esta política é regida pelas leis da República Federativa do Brasil, em especial a LGPD, o Marco Civil da Internet e o Código de Defesa do Consumidor. Eventuais controvérsias serão dirimidas pelo foro do domicílio do titular consumidor (art. 101, I, do CDC) ou, nos demais casos, pelo foro do domicílio da Baston Software LTDA - ME.