Política de Privacidade

Última atualização: 3 de maio de 2026

1. Quem somos

Catálogo Pro é uma plataforma SaaS multi-tenant que permite a lojistas brasileiros criarem catálogos digitais de produtos, integrarem WhatsApp e Instagram pra atendimento e vendas, e gerenciarem todo o processo comercial. Esta política explica que dados coletamos, como usamos e quais são seus direitos.

Para fins desta política, "Catálogo Pro", "nós" ou "nosso" se refere ao serviço hospedado em https://catalago-five.vercel.app. "Lojista" é o cliente da plataforma (o dono da loja). "Cliente final" é o consumidor que interage com a loja do lojista via Instagram, WhatsApp ou loja pública online.

2. Conformidade legal

Operamos em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD — Lei nº 13.709/2018) do Brasil e com as Plataforma Terms da Meta (Facebook, Instagram). Quando aplicável, também respeitamos GDPR (UE) e CCPA (Califórnia, EUA).

3. Dados que coletamos

3.1. Do lojista (cliente da plataforma)

• Identificação: nome, e-mail, telefone, CNPJ (opcional).
• Conta: credenciais de login (senha criptografada com hash bcrypt), token MFA opcional.
• Loja: nome, slug, descrição, logo, configurações da loja.
• Produtos: imagens, descrições, preços, estoque cadastrados pelo lojista.
• Credenciais de integração: tokens OAuth de Instagram, Mercado Pago, Mercado Livre, chaves de API de IA — todos criptografados em repouso com AES-256-GCM.
• Pagamentos: histórico de assinaturas via gateway Cakto (não armazenamos dados de cartão — Cakto é o processador).

3.2. Do cliente final (consumidor da loja)

Quando um cliente final interage com a loja do lojista via Instagram ou WhatsApp, podemos receber os seguintes dados, que ficam armazenados na conta do lojista (não em pool global):

• Instagram (via Meta Graph API):
  • Identificador interno do Instagram (IGSID — não é o @username);
  • Username público (@) e nome de exibição quando disponíveis;
  • Foto de perfil pública;
  • Conteúdo das mensagens diretas (DM) que o cliente envia para o lojista;
  • Conteúdo dos comentários públicos em posts do lojista;
  • Respostas a stories que o cliente fizer;
  • Metadados das mensagens (data, hora, tipo).
• WhatsApp: número de telefone, nome de contato, foto de perfil pública, mensagens trocadas com o lojista.
• Pedidos: nome, telefone, endereço de entrega quando o cliente fecha um pedido na loja pública.

4. Como usamos os dados

• Atendimento e automação: mensagens recebidas via Instagram ou WhatsApp são processadas para disparar respostas automáticas configuradas pelo lojista (ex: cliente comenta uma palavra-chave → bot envia DM com link do produto).
• Inbox unificado: exibir as conversas no painel do lojista pra ele atender manualmente quando preferir.
• CRM: agrupar mensagens por contato e mostrar histórico de interações.
• Pedidos e cobrança: processar vendas e gerar links de pagamento.
• Análises agregadas: métricas anônimas de uso (ex: total de automations disparadas, taxa de conversão).
• Recuperação de carrinho e recompra: envio de mensagens via WhatsApp pra clientes que abandonaram carrinho ou estão há tempo sem comprar — sempre com opção de recusar (palavras-chave "não quero", "cancelar").

NÃO vendemos dados a terceiros. NÃO usamos dados de clientes finais para publicidade direcionada. Usamos os dados exclusivamente para o serviço descrito.

5. Como armazenamos os dados

• Banco de dados: Supabase (PostgreSQL hospedado em AWS São Paulo / sa-east-1), com Row Level Security (RLS) garantindo que cada lojista só acesse os dados da própria loja.
• Criptografia em trânsito: HTTPS obrigatório (TLS 1.2+) em todas as conexões.
• Criptografia em repouso: tokens de OAuth, credenciais de Mercado Pago, chaves de API de IA e demais secretos do lojista são criptografados com AES-256-GCM antes de serem persistidos no banco.
• Webhooks autenticados: todos os webhooks (Meta, Cakto, Mercado Pago) validam assinatura HMAC-SHA256 antes de processar dados.
• Rate limiting + auditoria: ações sensíveis (login, mudanças de configuração) são logadas com IP + user agent.

6. Retenção de dados

• Dados ativos do lojista: mantidos enquanto a assinatura estiver ativa.
• Após cancelamento da assinatura: dados do lojista são preservados por 90 dias para reativação. Após esse prazo, são apagados permanentemente, exceto pelos exigidos legalmente (notas fiscais por 5 anos, conforme Receita Federal).
• Mensagens de Instagram/WhatsApp: mantidas enquanto a integração estiver conectada. Lojista pode apagar conversas individuais a qualquer momento pelo painel.
• Logs de webhook bruto: auto-expiram em 7 dias (limpeza automática via pg_cron).
• Token Instagram revogado: quando o cliente desautoriza o app em Configurações do Instagram → Apps e Sites, ou usa o endpoint de Data Deletion, todos os dados associados são apagados em até 30 dias.

7. Compartilhamento com terceiros

Compartilhamos dados apenas com os processadores estritamente necessários para operar o serviço, todos sob contrato com cláusulas de proteção de dados:

• Supabase (banco de dados, auth) — armazenamento principal.
• Vercel — hosting da aplicação.
• Meta (Instagram Graph API) — recebimento e envio de mensagens IG. Só processamos os dados que a Meta nos envia via webhook autorizado pelo cliente final ao usar Instagram.
• Evolution API — gateway WhatsApp.
• Mercado Pago / Cakto — processamento de pagamentos (PCI-DSS compliant).
• Sentry — monitoramento de erros (anonimizado, sem PII).
• Provedores de IA (Google Gemini, Anthropic Claude) — quando o lojista habilita o Vendedor IA, mensagens são enviadas a esses provedores apenas para gerar a resposta. Os provedores não retêm os dados após processamento (de acordo com as ToS deles).

8. Seus direitos (LGPD/GDPR)

Você tem direito a:

• Acesso: saber quais dados temos sobre você.
• Correção: corrigir dados incorretos.
• Exclusão (right to be forgotten): solicitar a remoção total dos seus dados.
• Portabilidade: receber seus dados em formato estruturado.
• Revogação de consentimento: revogar a qualquer momento.
• Oposição: opor-se a processamentos específicos.

Para exercer qualquer um desses direitos, envie e-mail para privacidade@catalogo-five.vercel.app com identificação e o pedido. Respondemos em até 15 dias.

8.1. Solicitação automática de exclusão (Instagram)

Clientes finais que interagiram com lojas Catálogo Pro via Instagram podem solicitar a exclusão dos próprios dados de duas formas:

1. Removendo o app pelo Instagram: Configurações do Instagram → Apps e Sites → Catálogo Pro-IG → Remover. A Meta notifica automaticamente nosso sistema, que apaga os dados do cliente em até 30 dias.
2. Solicitação via Meta: a Meta também aciona o nosso endpoint de exclusão quando você solicita pelo painel deles. O sistema responde com um código de confirmação que você pode consultar em /data-deletion/status.

9. Cookies e tecnologias similares

Usamos cookies estritamente necessários (sessão, CSRF) e cookies analíticos anônimos. Não usamos cookies de publicidade. Consentimento é solicitado quando aplicável.

10. Crianças

O serviço não é destinado a menores de 18 anos. Não coletamos intencionalmente dados de menores. Se identificarmos dados desse tipo, apagamos imediatamente.

11. Mudanças nesta política

Alterações relevantes serão comunicadas por e-mail ao lojista e através de aviso no painel. A data de "Última atualização" no topo da página reflete a versão vigente.

12. Contato — Encarregado de Proteção de Dados (DPO)

Para qualquer dúvida sobre privacidade, exercer direitos ou reportar incidentes:

• E-mail: privacidade@catalogo-five.vercel.app
• Site: https://catalago-five.vercel.app

Você também pode reclamar à Autoridade Nacional de Proteção de Dados (ANPD) em https://www.gov.br/anpd se considerar que seus direitos foram violados.