Política de Privacidade — CartROI Checkout
Última atualização: 29/05/2026
1. Introdução
Esta Política de Privacidade ("Política") descreve como a Athenis Serviços Digitais LTDA ("Controlador", "nós", "CartROI") coleta, usa, armazena, compartilha e protege dados pessoais de operadores de lojas e de seus clientes.
Estamos comprometidos com a Lei Geral de Proteção de Dados (Lei 13.709/2018 — LGPD) e com a legislação de privacidade aplicável.
2. Controlador de Dados
- Razão Social: Athenis Serviços Digitais LTDA
- Nome Fantasia: Athenis Marketing
- CNPJ: 57.869.744/0001-64
- Endereço: Rua Rio de Janeiro, nº 243, Sala 802, Centro, Belo Horizonte/MG, CEP 30.160-040
- E-mail de contato: contato@cartroi.com
- Encarregado de Dados (DPO): contato@cartroi.com
3. Dados Pessoais Coletados
3.1 Do Lojista (Titular da Conta)
- Nome completo, e-mail, telefone (opcional)
- Senha hasheada (bcrypt, nunca em texto plano)
- CNPJ da empresa
- Dados bancários para saque (criptografados)
3.2 Do Cliente da Loja (Comprador) — coletados no checkout, com consentimento
- Nome e sobrenome, e-mail, telefone
- CPF (PF) ou CNPJ (PJ)
- Data de nascimento (para titularidade do cartão)
- Endereço completo
- Dados do titular do cartão (tipo PF/PJ, nome, documento, data de nascimento)
- Número do cartão (tokenizado pelo gateway — nunca armazenado pelo CartROI)
- CVV (nunca armazenado)
3.3 Dados Técnicos e de Navegação
- Endereço IP, user agent, data/hora de acesso
- Páginas visitadas, cookies, logs de erro
3.4 Dados de Transação
- Valor, método de pagamento, status
- ID da transação interno + ID do pedido na loja
- Metadados do pedido (produtos, quantidades, descontos)
4. Finalidades do Tratamento
| Finalidade | Detalhes |
|---|---|
| Execução do contrato | Processar pagamentos, autorizar transações, emitir comprovantes, recuperar carrinhos |
| Obrigações legais | PCI-DSS, exigências fiscais, antilavagem (AML/KYC), respostas a autoridades |
| Interesses legítimos | Melhorar produtos, prevenir fraude, comunicar atualizações (com opt-out), segurança |
| Consentimento | Newsletters, pixels de marketing (opt-in) |
5. Bases Legais (Art. 7º LGPD)
| Dado | Base Legal | Motivo |
|---|---|---|
| Nome, e-mail, telefone do lojista | Execução de contrato (I) | Operar a conta |
| Dados de cliente no checkout | Execução de contrato (I) | Processar pagamento |
| CPF/CNPJ | Obrigação legal (II) + Contrato (I) | Identificação, PCI-DSS, antifraude |
| Dados de transação | Execução de contrato (I) + Obrigação legal (II) | Pagamento e compliance |
| IP, user agent, logs | Interesses legítimos (IX) | Segurança, debugging, antifraude |
| Cookies analíticos | Consentimento (V) | Melhorar experiência (opt-in) |
6. Compartilhamento com Terceiros
6.1 Gateways de Pagamento
- Mercado Pago e Asaas: nome, e-mail, documento, endereço, dados do cartão (tokenizados)
- Cada gateway tem sua própria Política de Privacidade
- O CartROI não controla dados repassados aos gateways
6.2 Nuvemshop (Tiendanube)
- Dados da loja (nome, CNPJ, endereço) via OAuth
- Política própria da Nuvemshop
6.3 Provedores de Hospedagem
- Fly.io: backend (região São Paulo/GRU)
- Vercel: frontend (CDN global)
- Ambos sob Data Processing Agreements (DPA) compatíveis com LGPD
6.4 Observabilidade
- Sentry: monitoramento de erros (dados técnicos agregados)
- Loki/Prometheus: logs e métricas (sem dados pessoais)
6.5 Autoridades Públicas
- Quando exigido por lei ou ordem judicial
6.6 Operações Societárias
- Em fusão/aquisição/venda, dados podem ser transferidos com notificação prévia
O CartROI NÃO vende, aluga ou comercializa dados pessoais para marketing.
7. Retenção de Dados
| Tipo de Dado | Período | Justificativa |
|---|---|---|
| Dados do lojista | Durante assinatura + 1 ano | Obrigação contratual |
| Dados de clientes do checkout | 24 meses | Antifraude, recuperação, compliance |
| Logs de transação | 5 anos | Código Tributário Nacional |
| IPs, user agents, cookies | 180 dias | Segurança, debugging |
| Backups de banco | 30 dias | Recuperação de falhas |
Após o prazo, dados são eliminados ou anonimizados. Solicitações antes do prazo são avaliadas conforme obrigação legal aplicável.
8. Direitos do Titular (Art. 18 LGPD)
Você tem direito de:
- Acesso — cópia dos dados que temos sobre você
- Correção — corrigir dados imprecisos
- Exclusão — solicitar exclusão (exceto obrigação legal)
- Portabilidade — receber dados em formato estruturado
- Oposição — recusar tratamento para marketing/interesses legítimos
- Revogação de consentimento — a qualquer momento
- Não-discriminação — exercer direitos sem penalidades
Para exercer, envie e-mail para contato@cartroi.com com:
- Nome e documento (CPF/CNPJ)
- Direito que deseja exercer
- Validação de identidade
Resposta em até 15 dias úteis.
9. Cookies
| Tipo | Nome | Finalidade | Duração |
|---|---|---|---|
| Autenticação | session_token | Login persistente | 30 dias |
| Tema | theme | Preferência light/dark | 1 ano |
| Analytics | _ga, _gid | Google Analytics anônimo | 2 anos |
| Antifraude | fraud_token | Detecção de padrões suspeitos | 7 dias |
Cookies podem ser desabilitados no navegador, mas isso pode prejudicar o funcionamento.
10. Segurança
- Criptografia em trânsito: TLS 1.2+
- Criptografia em repouso: AES-256
- Tokenização: dados de cartão nunca armazenados
- Hash de senhas: bcrypt com salt
- Backups: diários, criptografados
- Monitoramento: alertas de acessos anormais
- Isolamento: dados por tenant segregados
Se suspeitar de vazamento, contate contato@cartroi.com imediatamente.
11. Dados de Menores
O CartROI é destinado a maiores de 18 anos. Não coletamos dados conscientemente de menores. Em caso de coleta acidental, os dados serão deletados em até 30 dias.
12. Transferência Internacional
Por padrão, dados não saem do Brasil:
- Fly.io: hospedagem em São Paulo/GRU
- Vercel: CDN global (cache de assets estáticos apenas)
Dados pessoais sensíveis (CPF, cartão, endereço) nunca são armazenados fora do Brasil.
13. Mudanças nesta Política
Atualizações significativas serão comunicadas por e-mail com mínimo 30 dias de antecedência. Continuar usando o CartROI após a data de vigência implica aceitação das mudanças.
14. Contato e Reclamações
- E-mail: contato@cartroi.com
- Endereço: Rua Rio de Janeiro, nº 243, Sala 802, Centro, Belo Horizonte/MG, CEP 30.160-040
- DPO: contato@cartroi.com
Reclamações não resolvidas: ANPD (Autoridade Nacional de Proteção de Dados) — gov.br/anpd.
Controlador: Athenis Serviços Digitais LTDA CNPJ: 57.869.744/0001-64 Data de vigência: 29/05/2026