Política de Privacidade

    Última atualização: 05 de abril de 2026

    O Commerce IQ está comprometido com a proteção dos dados pessoais de seus Usuários. Esta Política de Privacidade descreve como coletamos, utilizamos, armazenamos, compartilhamos e protegemos suas informações, em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD) e demais normas aplicáveis.

    1. Definições

    • Dados Pessoais: informações relacionadas a uma pessoa natural identificada ou identificável.
    • Titular: a pessoa natural a quem se referem os dados pessoais.
    • Controlador: Commerce IQ, responsável pelas decisões referentes ao tratamento de dados pessoais.
    • Operador: terceiros que tratam dados pessoais em nome do Commerce IQ (subprocessadores).
    • Tratamento: toda operação realizada com dados pessoais (coleta, armazenamento, uso, compartilhamento, exclusão, etc.).
    • Dados de Terceiros: dados provenientes das Fontes de Dados integradas (VTEX, UAPPI, Google Ads, Meta Ads, TikTok Ads, GA4) que o Usuário sincroniza com a Plataforma.

    2. Dados que Coletamos

    2.1. Dados fornecidos pelo Usuário

    DadoFinalidadeBase Legal
    NomeIdentificação e personalizaçãoExecução de contrato
    EmailLogin, comunicação, notificaçõesExecução de contrato
    Senha (hash)AutenticaçãoExecução de contrato
    Nome da AgênciaMulti-tenancyExecução de contrato

    2.2. Dados coletados automaticamente

    DadoFinalidadeBase Legal
    Endereço IPSegurança e logs de acessoLegítimo interesse
    Navegador e dispositivoCompatibilidade e suporteLegítimo interesse
    Páginas acessadas e açõesMelhoria da PlataformaLegítimo interesse
    Data e hora de acessoLogs de auditoriaLegítimo interesse

    2.3. Dados sincronizados de Fontes de Dados (Dados de Terceiros)

    Quando o Usuário conecta suas Fontes de Dados, a Plataforma sincroniza informações provenientes dessas plataformas:

    VTEX:
    • Pedidos (ID, valor, status, data, itens, frete)
    • Dados de clientes (email, frequência de compra, valor — anonimizados para exibição)
    • Catálogo (produtos, SKUs, categorias, preços)
    • Estoque (quantidade por SKU e centro de distribuição)
    • Logística (transportadoras, prazo, custo de frete)
    • Pagamentos (método, parcelas, adquirente, status de aprovação)
    UAPPI:
    • Pedidos (ID, valor, status, data, itens, frete)
    • Dados de clientes (email, frequência de compra, valor — anonimizados para exibição)
    • Catálogo (produtos pai, SKUs/variações, categorias, preços)
    • Estoque (quantidade por SKU)
    • Logística (transportadoras, prazo, custo de frete, SLA)
    • Pagamentos (método, parcelas, adquirente, status de aprovação)
    • Cupons e promoções
    Google Ads:
    • Campanhas (nome, tipo, status, métricas de performance)
    • Métricas (spend, impressões, cliques, conversões, ROAS)
    • Google Shopping (produtos anunciados, performance por produto)
    Meta Ads:
    • Campanhas (nome, objetivo, status, métricas)
    • Métricas por plataforma (Facebook, Instagram, Audience Network, Threads, Messenger)
    • Funil de conversão (impressões, cliques, adds to cart, purchases)
    TikTok Ads:
    • Campanhas (nome, objetivo, status, métricas)
    • Métricas (spend, impressões, cliques, conversões, ROAS, CPC, CTR)
    • Conversões de compra (purchases, valor de conversão, custo por conversão)
    Google Analytics 4:
    • Sessões, usuários, canais de aquisição
    • Eventos e conversões
    • Dados geográficos (país, estado — sem geolocalização precisa)
    • Funil de conversão do site
    • Segmentação novos vs retornantes

    Base legal para Dados de Terceiros: execução de contrato (o Usuário contrata a Plataforma para processar esses dados) e consentimento (o Usuário autoriza ativamente a conexão com cada Fonte de Dados).

    2.4. Dados do Agente IA

    DadoFinalidadeBase Legal
    Perguntas feitas ao agenteProcessamento da consultaExecução de contrato
    Respostas geradasPrestação do serviçoExecução de contrato
    Histórico de conversasContinuidade do atendimentoExecução de contrato
    Tokens consumidosControle de uso por planoExecução de contrato

    3. Finalidade do Tratamento

    Utilizamos os dados coletados para:

    1. Prestação do serviço: operar a Plataforma, sincronizar dados, gerar dashboards e permitir o uso do Agente IA
    2. Autenticação e segurança: verificar a identidade do Usuário, prevenir acessos não autorizados e manter logs de auditoria
    3. Comunicação: enviar notificações sobre a conta, alertas de expiração de token, atualizações da Plataforma e informações sobre o serviço
    4. Melhoria do serviço: analisar padrões de uso para aprimorar funcionalidades, performance e experiência do Usuário
    5. Cumprimento legal: atender obrigações legais, regulatórias ou determinações de autoridades competentes
    6. Cobrança: processar pagamentos e gerenciar assinaturas

    4. Compartilhamento de Dados

    O Commerce IQ compartilha dados pessoais apenas nas seguintes situações e com os seguintes terceiros:

    4.1. Subprocessadores (Operadores)

    TerceiroFunçãoDados compartilhadosLocalização
    SupabaseBanco de dados e autenticaçãoDados de conta, dados sincronizadosEstados Unidos (AWS)
    RailwayHospedagem da aplicação e workerDados em trânsito durante processamentoEstados Unidos
    AnthropicProcessamento do Agente IA (Claude)Perguntas do Usuário + contexto do TenantEstados Unidos
    GoogleOAuth e APIs (Google Ads, GA4)Tokens de acesso (criptografados)Estados Unidos
    MetaOAuth e API (Meta Ads)Tokens de acesso (criptografados)Estados Unidos
    TikTokOAuth e API (TikTok Ads)Tokens de acesso (criptografados)Estados Unidos / Singapura

    4.2. Transferência internacional de dados

    Os dados são armazenados e processados em servidores localizados nos Estados Unidos. Essa transferência é realizada com base no Art. 33, II da LGPD (cláusulas contratuais padrão e políticas de proteção dos provedores).

    4.3. Quando NÃO compartilhamos dados

    • Nunca vendemos dados pessoais a terceiros
    • Nunca compartilhamos dados de um Tenant com outro Tenant ou Agência
    • Nunca utilizamos dados do Usuário para publicidade direcionada
    • Nunca fornecemos dados a terceiros para fins de marketing

    4.4. Compartilhamento por obrigação legal

    Podemos compartilhar dados quando exigido por lei, ordem judicial ou determinação de autoridade competente.

    5. Agente IA e Tratamento de Dados

    5.1. O Agente IA é alimentado pelo modelo Claude, desenvolvido pela Anthropic. Quando o Usuário faz uma pergunta ao Agente IA, os seguintes dados são enviados à Anthropic para processamento:

    • A pergunta do Usuário
    • Contexto resumido do Tenant (KPIs, campanhas ativas, alertas de estoque)
    • Resultados de consultas ao banco de dados necessários para responder à pergunta

    5.2. Dados NÃO utilizados para treinamento: A Anthropic não utiliza as interações com o Agente IA para treinar ou melhorar seus modelos de IA. Os dados são processados exclusivamente para gerar a resposta e são descartados após o processamento.

    5.3. O histórico de conversas com o Agente IA é armazenado na Plataforma para permitir continuidade e consulta posterior. O Usuário pode solicitar a exclusão do histórico a qualquer momento.

    5.4. O Agente IA opera exclusivamente dentro do escopo dos dados do Tenant do Usuário. Ele não acessa dados de outros Tenants, Agências ou Usuários.

    6. Armazenamento e Segurança

    6.1. Medidas de segurança

    • Criptografia de credenciais: todas as chaves de API, tokens e credenciais de integração são criptografadas com AES-256-GCM antes do armazenamento
    • Row Level Security (RLS): políticas de segurança no banco de dados que garantem isolamento total entre Tenants
    • SSL/TLS: todas as conexões são criptografadas em trânsito
    • Autenticação segura: senhas armazenadas em hash (bcrypt). Conexões com Google e Meta via OAuth 2.0
    • Controle de acesso: três níveis de permissão (administrador, usuário, visualizador)
    • Logs de auditoria: ações administrativas são registradas com identificação do responsável, ação e data/hora
    • Backups automáticos: realizados diariamente pelo provedor de banco de dados

    6.2. Retenção de dados

    PlanoRetenção
    Lojista Starter / Gerente Starter1 ano
    Lojista Pro / Gerente Pro2 anos
    Lojista Enterprise / Gerente Enterprise2 anos

    Dados mais antigos que o período de retenção são automaticamente excluídos durante o processo de sincronização.

    6.3. Retenção após cancelamento

    • Após o cancelamento da conta, os dados são mantidos por 30 (trinta) dias para possibilitar exportação
    • Após esse período, todos os dados são permanentemente excluídos
    • Logs de auditoria podem ser retidos por até 5 (cinco) anos para cumprimento de obrigações legais

    7. Direitos do Titular

    Em conformidade com a LGPD (Arts. 17 a 22), o Titular dos dados pessoais tem direito a:

    1. Confirmação e acesso: confirmar a existência de tratamento e acessar seus dados pessoais
    2. Correção: solicitar a correção de dados incompletos, inexatos ou desatualizados
    3. Anonimização, bloqueio ou eliminação: solicitar a anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos
    4. Portabilidade: solicitar a portabilidade dos dados a outro fornecedor de serviço
    5. Eliminação: solicitar a eliminação dos dados pessoais tratados com base no consentimento
    6. Informação sobre compartilhamento: ser informado sobre as entidades com as quais o Commerce IQ realizou compartilhamento
    7. Revogação do consentimento: revogar o consentimento a qualquer momento

    Como exercer seus direitos

    Para exercer qualquer dos direitos acima, o Titular deve entrar em contato pelo email privacidade@commerceiq.com.br, informando:

    • Nome completo
    • Email cadastrado na Plataforma
    • Descrição do direito que deseja exercer

    O Commerce IQ responderá à solicitação em até 15 (quinze) dias úteis, conforme previsto na LGPD.

    8. Cookies e Tecnologias de Rastreamento

    8.1. Cookies utilizados

    TipoCookieFinalidadeDuração
    EssencialSessão de autenticaçãoManter o Usuário logadoSessão
    EssencialPreferências (tema, tenant)Personalização da interface30 dias
    EssencialCSRF tokenProteção contra ataques cross-siteSessão

    8.2. Cookies que NÃO utilizamos

    • Não utilizamos cookies de publicidade ou remarketing
    • Não utilizamos pixels de rastreamento de terceiros
    • Não utilizamos ferramentas de analytics de terceiros no dashboard
    • Não compartilhamos dados de navegação com redes de publicidade

    8.3. Gerenciamento de cookies

    O Usuário pode gerenciar cookies através das configurações do seu navegador. A desativação de cookies essenciais pode impedir o funcionamento adequado da Plataforma.

    9. Dados de Menores

    A Plataforma não é destinada a menores de 18 anos. Não coletamos intencionalmente dados pessoais de menores. Caso tenhamos conhecimento de que dados de menores foram coletados inadvertidamente, procederemos à sua exclusão imediata.

    10. Dados de Clientes do Tenant (Proteção LGPD)

    10.1. Quando o Usuário sincroniza dados de pedidos de sua plataforma de e-commerce (VTEX ou UAPPI), a Plataforma pode processar dados pessoais de clientes finais do e-commerce.

    10.2. Nesse contexto:

    • O Usuário (Agência/Loja) é o Controlador dos dados de seus clientes finais
    • O Commerce IQ atua como Operador, processando esses dados exclusivamente para a prestação do serviço contratado

    10.3. O Commerce IQ se compromete a:

    • Tratar os dados de clientes finais exclusivamente conforme as instruções do Usuário
    • Não utilizar esses dados para finalidades próprias
    • Não compartilhar esses dados com terceiros, exceto os subprocessadores necessários
    • Excluir esses dados quando solicitado pelo Usuário ou ao término do contrato

    10.4. Anonimização na exibição: a Plataforma anonimiza dados sensíveis de clientes finais nos dashboards (ex: emails parcialmente mascarados), em conformidade com o princípio da minimização.

    10.5. O Usuário é responsável por garantir que possui base legal para o tratamento dos dados de seus clientes finais.

    11. Incidentes de Segurança

    11.1. Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos Titulares, o Commerce IQ se compromete a:

    • Comunicar à ANPD e aos Titulares afetados em prazo razoável, conforme Art. 48 da LGPD
    • Descrever a natureza dos dados pessoais afetados
    • Informar as medidas técnicas e de segurança utilizadas
    • Indicar as medidas adotadas para reverter ou mitigar os efeitos do incidente

    12. Alterações nesta Política

    12.1. Esta Política de Privacidade pode ser atualizada periodicamente. Alterações relevantes serão comunicadas por email ou notificação na Plataforma com antecedência mínima de 15 (quinze) dias.

    12.2. A versão mais recente estará sempre disponível em app.commerceiq.com.br/privacidade.

    12.3. O uso continuado da Plataforma após a comunicação de alterações implica aceitação da nova Política.

    13. Encarregado de Proteção de Dados (DPO)

    O Commerce IQ designou um Encarregado de Proteção de Dados para atender as demandas dos Titulares e da ANPD:

    Email: privacidade@commerceiq.com.br

    Canal: app.commerceiq.com.br/contato

    14. Legislação Aplicável e Foro

    Esta Política de Privacidade é regida pela legislação brasileira, especialmente pela Lei nº 13.709/2018 (LGPD).

    Fica eleito o foro da Comarca de São Paulo/SP como competente para dirimir quaisquer controvérsias, com exclusão de qualquer outro, por mais privilegiado que seja.

    15. Contato

    Privacidade e dados: privacidade@commerceiq.com.br

    Geral: contato@commerceiq.com.br

    Plataforma: app.commerceiq.com.br