MercadoGestor

Política de Privacidade

Última atualização: 30 de abril de 2026

1. Introdução

Esta Política descreve como o MercadoGestor (“Plataforma”) coleta, usa, compartilha e protege dados pessoais, em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD — Lei 13.709/2018) e demais normas aplicáveis.

2. Controlador dos dados

O controlador dos dados pessoais coletados pela Plataforma é [Razão Social a ser preenchida], CNPJ [CNPJ a ser preenchido], com sede em [Endereço a ser preenchido].

Encarregado de Proteção de Dados (DPO): dpo@mercadogestor.com.br.

3. Dados que coletamos

3.1. Dados do usuário titular da conta

  • Nome completo;
  • E-mail (criptografado em repouso);
  • Senha (armazenada apenas como hash Argon2id, jamais em texto puro);
  • Data de criação, último login e versão de sessão;
  • Endereço IP e User-Agent (para auditoria e segurança).

3.2. Dados da empresa cadastrada

  • Razão social, CNPJ, endereço, telefone e e-mail comercial;
  • Membros (papéis e permissões);
  • Dados de assinatura e histórico de pagamento.

3.3. Dados inseridos pelo usuário

O usuário pode cadastrar dados de seus próprios clientes finais, fornecedores e produtos. Sobre esses dados, o MercadoGestor atua como operador (Art. 5º, VII, LGPD) — o controlador é o usuário que os inseriu.

  • Nome de cliente, CPF (criptografado), e-mail, telefone;
  • Histórico de vendas e fiado;
  • Dados operacionais de caixa, estoque e auditoria.

3.4. Cookies

Utilizamos um único cookie essencial (mercadogestor_session) com flag HttpOnly e SameSite=Lax, exclusivamente para manter a sessão autenticada. Não usamos cookies de rastreamento publicitário ou de terceiros.

4. Para que usamos os dados

  • Execução do contrato (Art. 7º, V, LGPD): autenticação, operação do PDV, processamento de assinatura.
  • Cumprimento de obrigação legal (Art. 7º, II): emissão de notas fiscais, retenção fiscal, atendimento a autoridades.
  • Legítimo interesse (Art. 7º, IX): segurança da Plataforma, prevenção a fraudes, auditoria de acessos, monitoramento de erros.
  • Consentimento (Art. 7º, I): comunicações comerciais não-essenciais (pode ser revogado a qualquer momento).

5. Compartilhamento de dados

Compartilhamos dados estritamente com operadores necessários ao funcionamento da Plataforma, todos contratualmente obrigados a respeitar a LGPD:

FornecedorFinalidadeLocal
AsaasProcessamento de pagamentos (cartão e Pix)Brasil
ResendEnvio transacional de e-mail (recuperação, verificação)EUA
SentryMonitoramento de erros e performance da PlataformaEUA
Provedor de NFS-eEmissão de nota fiscal de serviçoBrasil

Transferência internacional: Resend e Sentry estão sediados nos Estados Unidos. A transferência segue o disposto no Art. 33 da LGPD, observando os mecanismos contratuais de proteção adequada.

Não vendemos dados pessoais a terceiros sob nenhuma circunstância.

6. Retenção e exclusão

  • Dados da conta ficam ativos enquanto a assinatura estiver vigente.
  • Após cancelamento, os dados são mantidos por 90 dias para permitir reativação. Em seguida, são anonimizados ou excluídos, exceto registros que devem ser mantidos por obrigação legal (notas fiscais e auditoria mantidas pelo prazo da legislação fiscal — atualmente 5 anos).
  • Backups completos têm rotação de 14 dias.

7. Direitos do titular (Art. 18, LGPD)

O titular dos dados pode, a qualquer momento, solicitar:

  • Confirmação da existência de tratamento;
  • Acesso aos dados;
  • Correção de dados incompletos, inexatos ou desatualizados;
  • Anonimização, bloqueio ou eliminação de dados desnecessários;
  • Portabilidade para outro fornecedor;
  • Eliminação dos dados tratados com base em consentimento;
  • Informação sobre entidades com quem os dados foram compartilhados;
  • Revogação do consentimento.

Para exercer qualquer destes direitos, envie e-mail para dpo@mercadogestor.com.br. Responderemos em até 15 (quinze) dias.

8. Medidas de segurança

  • Senhas armazenadas com hash Argon2id (não reversível).
  • E-mails e CPFs criptografados em repouso (Fernet/AES-128).
  • Conexões protegidas por HTTPS/TLS com HSTS.
  • Cookies de sessão HttpOnly, Secure e SameSite.
  • Política de senha mínima (10 caracteres + complexidade).
  • Sessão única ativa por usuário; novo login invalida sessões anteriores.
  • Rate limiting em rotas sensíveis (login, recuperação de senha).
  • Trilha de auditoria persistente para ações administrativas.
  • Backups diários com retenção e teste periódico de restore.
  • Monitoramento de erros via Sentry com filtro de dados sensíveis.

9. Incidentes de segurança

Em caso de incidente envolvendo dados pessoais, comunicaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados em prazo razoável, conforme o Art. 48 da LGPD.

10. Crianças e adolescentes

A Plataforma não é direcionada a menores de 18 anos. Não coletamos dados conscientemente de crianças ou adolescentes. Se identificarmos coleta inadvertida, removeremos os dados imediatamente.

11. Alterações desta Política

Esta Política pode ser atualizada periodicamente. Mudanças materiais serão comunicadas com aviso prévio de 30 dias por e-mail ou na Plataforma. A versão em vigor sempre estará disponível em mercadogestor.com.br/privacidade.

12. Contato

Dúvidas sobre esta Política ou sobre tratamento de dados: dpo@mercadogestor.com.br.

Aviso: este texto é um modelo base e deve ser revisado por advogado(a) com prática em LGPD antes do uso definitivo. Os campos entre [colchetes] precisam ser preenchidos após CNPJ aprovado.