Política de Privacidade
Última atualização: 3 de maio de 2026
1. Quem somos
Catálogo Pro é uma plataforma SaaS multi-tenant que permite a lojistas brasileiros criarem catálogos digitais de produtos, integrarem WhatsApp e Instagram pra atendimento e vendas, e gerenciarem todo o processo comercial. Esta política explica que dados coletamos, como usamos e quais são seus direitos.
Para fins desta política, "Catálogo Pro", "nós" ou "nosso" se refere ao serviço hospedado em https://catalago-five.vercel.app. "Lojista" é o cliente da plataforma (o dono da loja). "Cliente final" é o consumidor que interage com a loja do lojista via Instagram, WhatsApp ou loja pública online.
2. Conformidade legal
Operamos em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD — Lei nº 13.709/2018) do Brasil e com as Plataforma Terms da Meta (Facebook, Instagram). Quando aplicável, também respeitamos GDPR (UE) e CCPA (Califórnia, EUA).
3. Dados que coletamos
3.1. Do lojista (cliente da plataforma)
- Identificação: nome, e-mail, telefone, CNPJ (opcional).
- Conta: credenciais de login (senha criptografada com hash bcrypt), token MFA opcional.
- Loja: nome, slug, descrição, logo, configurações da loja.
- Produtos: imagens, descrições, preços, estoque cadastrados pelo lojista.
- Credenciais de integração: tokens OAuth de Instagram, Mercado Pago, Mercado Livre, chaves de API de IA — todos criptografados em repouso com AES-256-GCM.
- Pagamentos: histórico de assinaturas via gateway Cakto (não armazenamos dados de cartão — Cakto é o processador).
3.2. Do cliente final (consumidor da loja)
Quando um cliente final interage com a loja do lojista via Instagram ou WhatsApp, podemos receber os seguintes dados, que ficam armazenados na conta do lojista (não em pool global):
- Instagram (via Meta Graph API):
- Identificador interno do Instagram (IGSID — não é o @username);
- Username público (@) e nome de exibição quando disponíveis;
- Foto de perfil pública;
- Conteúdo das mensagens diretas (DM) que o cliente envia para o lojista;
- Conteúdo dos comentários públicos em posts do lojista;
- Respostas a stories que o cliente fizer;
- Metadados das mensagens (data, hora, tipo).
- WhatsApp: número de telefone, nome de contato, foto de perfil pública, mensagens trocadas com o lojista.
- Pedidos: nome, telefone, endereço de entrega quando o cliente fecha um pedido na loja pública.
4. Como usamos os dados
- Atendimento e automação: mensagens recebidas via Instagram ou WhatsApp são processadas para disparar respostas automáticas configuradas pelo lojista (ex: cliente comenta uma palavra-chave → bot envia DM com link do produto).
- Inbox unificado: exibir as conversas no painel do lojista pra ele atender manualmente quando preferir.
- CRM: agrupar mensagens por contato e mostrar histórico de interações.
- Pedidos e cobrança: processar vendas e gerar links de pagamento.
- Análises agregadas: métricas anônimas de uso (ex: total de automations disparadas, taxa de conversão).
- Recuperação de carrinho e recompra: envio de mensagens via WhatsApp pra clientes que abandonaram carrinho ou estão há tempo sem comprar — sempre com opção de recusar (palavras-chave "não quero", "cancelar").
NÃO vendemos dados a terceiros. NÃO usamos dados de clientes finais para publicidade direcionada. Usamos os dados exclusivamente para o serviço descrito.
5. Como armazenamos os dados
- Banco de dados: Supabase (PostgreSQL hospedado em AWS São Paulo / sa-east-1), com Row Level Security (RLS) garantindo que cada lojista só acesse os dados da própria loja.
- Criptografia em trânsito: HTTPS obrigatório (TLS 1.2+) em todas as conexões.
- Criptografia em repouso: tokens de OAuth, credenciais de Mercado Pago, chaves de API de IA e demais secretos do lojista são criptografados com AES-256-GCM antes de serem persistidos no banco.
- Webhooks autenticados: todos os webhooks (Meta, Cakto, Mercado Pago) validam assinatura HMAC-SHA256 antes de processar dados.
- Rate limiting + auditoria: ações sensíveis (login, mudanças de configuração) são logadas com IP + user agent.
6. Retenção de dados
- Dados ativos do lojista: mantidos enquanto a assinatura estiver ativa.
- Após cancelamento da assinatura: dados do lojista são preservados por 90 dias para reativação. Após esse prazo, são apagados permanentemente, exceto pelos exigidos legalmente (notas fiscais por 5 anos, conforme Receita Federal).
- Mensagens de Instagram/WhatsApp: mantidas enquanto a integração estiver conectada. Lojista pode apagar conversas individuais a qualquer momento pelo painel.
- Logs de webhook bruto: auto-expiram em 7 dias (limpeza automática via pg_cron).
- Token Instagram revogado: quando o cliente desautoriza o app em Configurações do Instagram → Apps e Sites, ou usa o endpoint de Data Deletion, todos os dados associados são apagados em até 30 dias.
7. Compartilhamento com terceiros
Compartilhamos dados apenas com os processadores estritamente necessários para operar o serviço, todos sob contrato com cláusulas de proteção de dados:
- Supabase (banco de dados, auth) — armazenamento principal.
- Vercel — hosting da aplicação.
- Meta (Instagram Graph API) — recebimento e envio de mensagens IG. Só processamos os dados que a Meta nos envia via webhook autorizado pelo cliente final ao usar Instagram.
- Evolution API — gateway WhatsApp.
- Mercado Pago / Cakto — processamento de pagamentos (PCI-DSS compliant).
- Sentry — monitoramento de erros (anonimizado, sem PII).
- Provedores de IA (Google Gemini, Anthropic Claude) — quando o lojista habilita o Vendedor IA, mensagens são enviadas a esses provedores apenas para gerar a resposta. Os provedores não retêm os dados após processamento (de acordo com as ToS deles).
8. Seus direitos (LGPD/GDPR)
Você tem direito a:
- Acesso: saber quais dados temos sobre você.
- Correção: corrigir dados incorretos.
- Exclusão (right to be forgotten): solicitar a remoção total dos seus dados.
- Portabilidade: receber seus dados em formato estruturado.
- Revogação de consentimento: revogar a qualquer momento.
- Oposição: opor-se a processamentos específicos.
Para exercer qualquer um desses direitos, envie e-mail para privacidade@catalogo-five.vercel.app com identificação e o pedido. Respondemos em até 15 dias.
8.1. Solicitação automática de exclusão (Instagram)
Clientes finais que interagiram com lojas Catálogo Pro via Instagram podem solicitar a exclusão dos próprios dados de duas formas:
- Removendo o app pelo Instagram: Configurações do Instagram → Apps e Sites → Catálogo Pro-IG → Remover. A Meta notifica automaticamente nosso sistema, que apaga os dados do cliente em até 30 dias.
- Solicitação via Meta: a Meta também aciona o nosso endpoint de exclusão quando você solicita pelo painel deles. O sistema responde com um código de confirmação que você pode consultar em /data-deletion/status.
9. Cookies e tecnologias similares
Usamos cookies estritamente necessários (sessão, CSRF) e cookies analíticos anônimos. Não usamos cookies de publicidade. Consentimento é solicitado quando aplicável.
10. Crianças
O serviço não é destinado a menores de 18 anos. Não coletamos intencionalmente dados de menores. Se identificarmos dados desse tipo, apagamos imediatamente.
11. Mudanças nesta política
Alterações relevantes serão comunicadas por e-mail ao lojista e através de aviso no painel. A data de "Última atualização" no topo da página reflete a versão vigente.
12. Contato — Encarregado de Proteção de Dados (DPO)
Para qualquer dúvida sobre privacidade, exercer direitos ou reportar incidentes:
- E-mail: privacidade@catalogo-five.vercel.app
- Site: https://catalago-five.vercel.app
Você também pode reclamar à Autoridade Nacional de Proteção de Dados (ANPD) em https://www.gov.br/anpd se considerar que seus direitos foram violados.