Política de Privacidade
Esta Política de Privacidade descreve como o ImgMarket, de titularidade de Wellinton Rodrigo Soczek, CNPJ 62.462.848/0001-90, com sede em Curitiba — Paraná, trata os dados pessoais coletados durante o uso da Plataforma, em conformidade com a Lei Geral de Proteção de Dados Pessoais — LGPD (Lei nº 13.709/2018).
1. Definições
- Dado pessoal: informação relacionada a pessoa natural identificada ou identificável.
- Titular: pessoa natural a quem se referem os dados pessoais.
- Controlador: ImgMarket (Wellinton Rodrigo Soczek), responsável pelas decisões sobre o tratamento.
- Operador: terceiros que processam dados em nome do ImgMarket (ex.: Supabase, Stripe, Mercado Pago, Google, OpenAI, Vercel, Railway, Sentry e Meta, quando ferramentas opcionais estiverem habilitadas).
2. Dados que coletamos
2.1. Dados fornecidos diretamente pelo Usuário
- Cadastro: e-mail e senha (a senha é armazenada em formato hash pelo provedor de autenticação) e, quando aplicável, código de indicação usado no cadastro. Em login social, podemos receber dados básicos fornecidos pelo Google, como nome e foto de perfil, quando disponíveis.
- Conteúdo de produtos: fotografias enviadas, nome, descrição, SKU, marketplace de destino, nicho e, quando usados nos formatos informativos, subtítulo, benefícios, cores de marca e tipo de anúncio.
- Comunicação: mensagens enviadas pelo suporte, e-mail ou WhatsApp.
2.2. Dados coletados automaticamente
- Dados técnicos: endereço IP, tipo de navegador, sistema operacional, data e hora de acesso, páginas visitadas.
- Cookies e identificadores: conforme nossa Política de Cookies, incluindo tecnologias similares como localStorage para registrar preferências e código de indicação pendente.
- Métricas de uso: número de produtos criados, imagens geradas, créditos consumidos, integrações conectadas.
2.3. Dados de pagamento
Pagamentos são processados diretamente por provedores como Stripe e Mercado Pago. O ImgMarket não armazena dados completos de cartão de crédito — recebemos apenas identificadores de transação, status, valor e dados limitados necessários para conciliação e suporte.
2.4. Dados de integrações com marketplaces
Quando o Usuário conecta uma conta de marketplace via OAuth, armazenamos access tokens, refresh tokens e prazos de expiração no banco de dados gerenciado pela Supabase, que aplica criptografia em disco (at rest) pelo provedor de infraestrutura e tráfego protegido por TLS, com acesso restrito por políticas de RLS e service role. Esses dados são utilizados exclusivamente para publicar e atualizar anúncios em nome do Usuário, dentro do escopo OAuth autorizado, e podem ser revogados a qualquer momento na tela de Integrações da Plataforma.
3. Finalidades e bases legais (art. 7º da LGPD)
| Finalidade | Dados tratados | Base legal |
|---|---|---|
| Criação e manutenção da conta | Cadastro, técnicos | Execução de contrato (art. 7º, V) |
| Geração de imagens com IA | Fotos de produtos, nicho, descrições | Execução de contrato (art. 7º, V) |
| Processamento de pagamentos e prevenção a fraude | Dados de pagamento, técnicos | Execução de contrato (art. 7º, V) e cumprimento de obrigação legal (art. 7º, II) |
| Suporte ao Usuário | Cadastro, comunicação, métricas | Execução de contrato (art. 7º, V) |
| Programa Indique e Ganhe | Cadastro, código de indicação, vínculo entre indicador e indicado, status da indicação, transações elegíveis e movimentações de créditos | Execução de contrato (art. 7º, V) e legítimo interesse (art. 7º, IX) — prevenção a fraude e abuso promocional |
| Obrigações fiscais e contábeis | Cadastro, transações | Cumprimento de obrigação legal (art. 7º, II) |
| Melhoria do produto (analytics agregado) | Métricas de uso, técnicos | Legítimo interesse (art. 7º, IX) |
| Monitoramento de erros e diagnóstico de incidentes (Sentry) | request_id, rota, mensagens de erro, stack trace e metadados técnicos; identificador do Usuário apenas quando necessário ou configurado | Legítimo interesse (art. 7º, IX) — segurança e estabilidade do Serviço |
| Marketing e comunicação promocional | E-mail, métricas de uso e eventos de pixel, quando habilitados | Consentimento (art. 7º, I) — opt-out a qualquer momento |
4. Compartilhamento com terceiros (operadores)
Compartilhamos dados estritamente necessários com os seguintes operadores, todos sujeitos a obrigações contratuais de proteção de dados:
- Supabase (autenticação, banco de dados, storage de imagens) — hospedado em data centers globais.
- Stripe (processamento de pagamentos) — sujeito ao PCI-DSS.
- Mercado Pago (processamento de pagamentos via Pix).
- Google (Vertex AI / Gemini) — processa fotos e textos para geração de imagens e classificação de nicho.
- OpenAI — processa fotos e textos necessários para geração de criativos publicitários e informativos estruturados, quando esses formatos são selecionados pelo Usuário.
- Vercel (hospedagem do frontend) e Railway (hospedagem do backend).
- Sentry (monitoramento de erros, exceções e stack traces do backend e frontend) — pode receber request_id, rota, mensagens de erro, stack trace e metadados técnicos para fins de diagnóstico de incidentes. Dados de pagamento, fotografias enviadas e tokens de integração não são transmitidos intencionalmente ao Sentry.
- Meta Platforms (Meta/Facebook Pixel) — apenas quando habilitado e autorizado pelo Usuário nos cookies de analytics, para eventos de navegação e conversão.
- Marketplaces conectados (Mercado Livre, Magalu, Nuvemshop) — apenas quando o Usuário utiliza a integração para publicar anúncios.
Não vendemos dados pessoais. O compartilhamento se limita ao necessário para a prestação do Serviço ou ao cumprimento de obrigação legal.
5. Transferência internacional de dados
Os provedores de IA (Google, OpenAI), de infraestrutura (Supabase, Vercel, Railway), pagamento (Stripe, Mercado Pago) e de monitoramento (Sentry) podem processar dados fora do Brasil, inclusive nos Estados Unidos e na União Europeia. As transferências ocorrem com base nas hipóteses previstas no art. 33 da LGPD, em particular:
- Execução do contrato com o titular (art. 33, V);
- Cláusulas contratuais padrão e compromissos de proteção equivalente à LGPD.
6. Retenção dos dados
- Cadastro e dados da conta: mantidos enquanto a conta estiver ativa. Após o encerramento, conservamos por até 5 (cinco) anos para atender a obrigações legais (CDC, prazo prescricional).
- Fotos enviadas e imagens geradas: mantidas no storage enquanto o Usuário desejar manter o produto. O Usuário pode excluir produtos a qualquer momento, removendo as fotos enviadas e imagens geradas associadas a eles.
- Registros financeiros e fiscais: mantidos por até 10 (dez) anos, em atendimento à legislação tributária.
- Indicações e créditos promocionais: vínculos entre indicador e indicado, status da indicação, transação que originou a recompensa e lançamentos de crédito são mantidos enquanto a conta estiver ativa e, após encerramento, pelo prazo necessário para auditoria, prevenção a fraude, cumprimento legal e defesa de direitos. O código de indicação capturado antes do login no localStorage
imgmarket:pending_referralé mantido no navegador por até 30 dias ou até ser usado/removido. - Logs técnicos e métricas: mantidos por até 6 (seis) meses para fins de segurança e diagnóstico, incluindo registros de erros e exceções enviados ao Sentry, retidos conforme a política de retenção do provedor (até 90 dias, por padrão).
- Tokens de integração com marketplaces: removidos ou invalidados localmente imediatamente após desconexão pelo Usuário. O Usuário também pode revogar o acesso no painel do próprio marketplace, quando disponível.
7. Direitos do titular (art. 18 da LGPD)
O Usuário pode, a qualquer momento, exercer os seguintes direitos:
- Confirmação da existência de tratamento;
- Acesso aos dados;
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
- Portabilidade dos dados a outro fornecedor;
- Eliminação dos dados tratados com base em consentimento (ressalvadas as hipóteses de retenção obrigatória);
- Informação sobre compartilhamentos;
- Informação sobre a possibilidade de não fornecer consentimento e suas consequências;
- Revogação do consentimento;
- Oposição a tratamento realizado com base em hipótese diversa do consentimento, em caso de descumprimento da LGPD.
Para exercer qualquer direito, envie solicitação para , com o assunto LGPD — Direitos do Titular. Responderemos em até 15 (quinze) dias.
8. Segurança
Adotamos medidas técnicas e administrativas razoáveis para proteger os dados pessoais contra acessos não autorizados, perda, alteração, comunicação ou difusão indevida, incluindo:
- Conexões criptografadas em trânsito (HTTPS/TLS) entre navegador, backend e provedores;
- Banco de dados gerenciado pela Supabase, com criptografia em disco (at rest) aplicada pelo provedor de infraestrutura e acesso restrito por políticas de Row Level Security e service role;
- Autenticação via JWT validado em cada requisição ao backend;
- Princípio do menor privilégio no acesso a recursos internos e a credenciais de terceiros;
- Registros de auditoria de operações financeiras (ledger de créditos);
- Monitoramento de erros e exceções via Sentry, com escopo limitado e sem dados de pagamento;
- Backups periódicos do banco de dados pelo provedor.
Apesar dos esforços, nenhum sistema é 100% seguro. Em caso de incidente que possa acarretar risco ou dano relevante aos titulares, comunicaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados, conforme o art. 48 da LGPD.
9. Crianças e adolescentes
A Plataforma é destinada a maiores de 18 anos. Não coletamos intencionalmente dados de crianças ou adolescentes. Se identificarmos tal coleta, eliminaremos os dados imediatamente.
10. Encarregado pelo Tratamento de Dados (DPO)
Para questões relacionadas à proteção de dados pessoais, o Encarregado é Wellinton Rodrigo Soczek, contato: .
11. Alterações desta Política
Esta Política pode ser atualizada para refletir mudanças legais ou operacionais. Atualizações relevantes serão comunicadas por e-mail ou aviso na Plataforma com pelo menos 15 (quinze) dias de antecedência.
12. Reclamações
Sem prejuízo de contato direto conosco, o Usuário pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) em gov.br/anpd.
