Pular para o conteúdo

LGPD · Lei 13.709/2018

Política de Privacidade.

Esta política explica de forma direta quais dados pessoais a Caify trata, em que papel jurídico atua (controladora ou operadora), com quem compartilha, por quanto tempo guarda e quais são os seus direitos como titular nos termos da Lei Geral de Proteção de Dados (Lei nº 13.709/2018).

Última atualização · 25 de maio de 2026

1. Quem é a Caify e quem é o DPO

A Caify é uma marca operada por GMS Tech, inscrita no CNPJ sob o nº 60.079.474/0001-00, com sede em Curitiba/PR.

Encarregado pelo Tratamento de Dados Pessoais (DPO), nos termos do art. 41 da LGPD:

  • E-mail: privacidade@caify.shop
  • Prazo de resposta: até 15 dias úteis, conforme art. 19, II da LGPD
  • Atribuições (art. 41, § 2º): aceitar reclamações de titulares, prestar esclarecimentos, receber comunicações da ANPD, orientar funcionários e contratados sobre práticas a serem tomadas e executar as demais atribuições determinadas pela controladora.

2. Em qual papel a Caify atua (e quando)

A Caify atua em papéis distintos conforme o tipo de dado tratado, nos termos do art. 5º, incisos VI e VII, da LGPD:

2.1 Quando a Caify é Controladora (art. 5º, VI)

Caify decide sobre o tratamento, define finalidades e responde perante o titular e a ANPD. Aplica-se aos seguintes dados:

  • Dados do próprio Contratante (Centro Acadêmico, Atlética ou pessoa natural cliente): nome, e-mail, CPF/CNPJ, telefone, dados de login;
  • Dados de representantes legais e administradores indicados pelo Contratante;
  • Base de leads e prospects de marketing da Caify (quem visita o site, baixa material, deixa contato);
  • Logs técnicos, telemetria e analytics agregado usados pela Caify para melhorar o produto.

2.2 Quando a Caify é Operadora (art. 5º, VII)

O Contratante (CA/Atlética) é o controlador e a Caify trata os dados em seu nome, seguindo suas instruções. Aplica-se aos seguintes dados:

  • Dados de consumidores finais (alunos que compram nas lojas operadas com o software Caify): nome, e-mail, CPF, telefone, endereço de entrega, histórico de pedidos;
  • Dados de catálogo da loja e informações de operação que o Contratante decide coletar.

Como operadora, a Caify (i) trata os dados conforme instruções documentadas do Contratante; (ii) garante segurança técnica adequada; (iii) notifica o Contratante em caso de incidente; (iv) auxilia o Contratante a responder a pedidos de titulares; e (v) elimina ou devolve os dados ao fim do contrato, conforme o art. 39 da LGPD.

2.3 Papéis em uma transação típica

Quando um aluno compra um moletom na loja do CA:

  • Controlador dos dados do aluno = CA (decide quais produtos vende, qual política de troca aplica, qual atendimento presta);
  • Operadora desses dados = Caify (presta a infraestrutura técnica para que o CA receba e processe o pedido);
  • Controlador independente dos dados de pagamento = Mercado Pago (PSP regulamentada pelo BACEN, com política própria de privacidade).

Esta divisão de papéis é formalizada no Acordo de Tratamento de Dados (DPA) que rege a relação Caify-Contratante, anexo aos Termos de Uso.

3. Quais dados coletamos

3.1 Dados de cadastro e conta (Caify = controladora)

  • E-mail, nome, telefone (opcional);
  • CPF ou CNPJ do Contratante;
  • Nome, sigla, universidade, tipo (CA, Atlética, Outro) e cor de marca da organização que opera a loja;
  • Endereço de IP, data, hora e versão dos Termos aceitos no cadastro.

3.2 Dados de uso da plataforma (Caify = controladora dos próprios; operadora dos do CA)

  • Logs de acesso, ações administrativas e trilha de auditoria;
  • Histórico de pedidos, produtos, estoque e relatórios da loja;
  • Configurações de aparência, integrações e métodos de pagamento.

3.3 Dados de pagamento (controlador = Mercado Pago / Stripe)

  • Os dados de cartão e meios de pagamento são processados diretamente pelo Mercado Pago e pela Stripe. A Caify não armazena números de cartão, CVV ou senhas bancárias;
  • Recebemos apenas identificadores de transação, status, valores e o número de tentativa, para reconciliação operacional.

3.4 Dados dos clientes finais — alunos (Caify = operadora; CA = controlador)

Quando um aluno faz um pedido em uma loja operada pelo software Caify, coletamos os dados necessários para que o CA entregue o produto e cumpra obrigações fiscais: nome, e-mail, telefone, endereço, CPF (quando exigido), preferências de envio e histórico do pedido. Esses dados pertencem ao CA controlador, e a Caify atua como operadora conforme as instruções dele.

3.5 Dados técnicos e de cookies (Caify = controladora)

Cookies, identificadores de sessão, métricas de uso agregadas e dados de navegação. Detalhes em Política de Cookies.

4. Por que e com qual base legal usamos

Tratamos dados pessoais com base nas hipóteses do art. 7º da LGPD:

  • Execução de contrato (art. 7º, V) — para criar e operar a loja, processar pedidos, prestar suporte e emitir documentos fiscais;
  • Cumprimento de obrigação legal (art. 7º, II) — registros fiscais, tributários e contábeis exigidos pela legislação brasileira;
  • Legítimo interesse (art. 7º, IX) — segurança da plataforma, prevenção a fraude, melhoria de produto e métricas agregadas de uso;
  • Consentimento (art. 7º, I) — cookies de analytics e marketing, comunicações promocionais e quaisquer tratamentos não cobertos pelas hipóteses acima.

5. Com quem compartilhamos (suboperadores)

A Caify não vende dados pessoais. Compartilhamos somente o estritamente necessário com suboperadores que executam serviços em nosso nome, vinculados contratualmente a este nível de proteção:

  • Mercado Pago — processamento de pagamentos (PIX, cartão, boleto). Atua como controlador independente dos dados de pagamento.
  • Stripe — cobrança de licença mensal (planos com mensalidade).
  • Melhor Envio — cálculo e contratação de fretes.
  • Focus NFe — emissão de notas fiscais.
  • Google Cloud, Cloudflare e Neon — hospedagem, CDN e banco de dados.
  • Google Analytics e Google Tag Manager — métricas agregadas de uso do site marketing, apenas após consentimento (Consent Mode v2).
  • Resend — envio de e-mails transacionais (códigos de login, notificações de pedido).
  • Autoridades públicas — quando exigido por lei, ordem judicial ou requisição válida.

A lista completa de suboperadores e suas finalidades está formalizada no DPA. Mudanças relevantes são comunicadas com 30 dias de antecedência.

6. Transferência internacional

Alguns suboperadores (Google, Stripe, Cloudflare, Resend) processam dados em servidores fora do Brasil. Realizamos essas transferências com base nas hipóteses do art. 33 da LGPD, em países que oferecem grau adequado de proteção e mediante cláusulas contratuais específicas (Standard Contractual Clauses).

7. Por quanto tempo guardamos

Mantemos os dados pelo tempo necessário para as finalidades descritas, e depois eliminamos de forma segura:

  • Conta ativa — enquanto a loja existir e por até 12 meses após a desativação;
  • Registros fiscais e contábeis — pelo prazo legal de até 5 anos, conforme legislação tributária (art. 195 do CTN);
  • Logs de segurança e auditoria — por até 6 meses;
  • Logs de acesso a aplicações de internet — 6 meses, nos termos do art. 15 do Marco Civil da Internet (Lei 12.965/2014);
  • Dados anonimizados e estatísticos — podem ser mantidos por prazo indeterminado, pois não permitem reidentificação do titular (art. 12 da LGPD).

8. Seus direitos como titular

Você tem, a qualquer momento, os direitos garantidos pelo art. 18 da LGPD:

  • Confirmação de que tratamos os seus dados (art. 18, I);
  • Acesso aos dados que mantemos sobre você (art. 18, II);
  • Correção de dados incompletos, inexatos ou desatualizados (art. 18, III);
  • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade (art. 18, IV);
  • Portabilidade dos dados para outro fornecedor (art. 18, V);
  • Eliminação dos dados tratados com base no consentimento (art. 18, VI);
  • Informação sobre com quem compartilhamos seus dados (art. 18, VII);
  • Informação sobre a possibilidade de revogar o consentimento (art. 18, VIII);
  • Revogação do consentimento, a qualquer momento (art. 18, IX).

Para exercer qualquer desses direitos, escreva para privacidade@caify.shop. Respondemos em até 15 dias úteis.

Importante. Quando o pedido for sobre dados em que a Caify atua como operadora (dados de aluno coletados pelo CA), nós encaminhamos sua solicitação ao CA controlador, que responde diretamente. A Caify presta suporte técnico nesse caso.

9. Segurança dos dados e incidentes

Adotamos medidas técnicas e organizacionais adequadas ao risco do tratamento, nos termos do art. 46 da LGPD:

  • Criptografia em trânsito (TLS 1.2+) e em repouso;
  • Controle de acesso por função (princípio do menor privilégio);
  • Autenticação sem senha + 2FA opcional para administradores;
  • Trilha de auditoria de todas as ações administrativas;
  • Backups periódicos com criptografia;
  • Avaliação de risco anual.

Incidentes de segurança. Em caso de incidente que possa acarretar risco ou dano relevante aos titulares, notificaremos a ANPD e os titulares afetados em prazo razoável (geralmente até 48 horas após a confirmação do incidente), conforme determina o art. 48 da LGPD.

10. Crianças e adolescentes

A criação e operação de uma loja na Caify é restrita a maiores de 18 anos. Lojas operadas com o software Caify podem vender produtos a clientes finais de qualquer idade conforme suas próprias políticas — quando isso envolver dados de crianças ou adolescentes, o Contratante (CA controlador) é responsável por obter o consentimento específico e em destaque dos pais ou responsáveis, na forma do art. 14 da LGPD.

11. Cookies e tecnologias similares

Usamos cookies essenciais (login, segurança) sempre que você navega na Caify. Cookies de analytics e marketing são carregados apenas após o seu consentimento expresso. Para detalhes e gerenciamento, leia a nossa Política de Cookies.

12. Acordo de Tratamento de Dados (DPA)

Para a relação entre a Caify (operadora) e o Contratante (controlador), nos termos dos arts. 39 e 42 da LGPD, vige o Acordo de Tratamento de Dados (DPA), que formaliza:

  • Objeto, duração e finalidade do tratamento;
  • Categorias de titulares e de dados pessoais;
  • Instruções documentadas do Contratante;
  • Direitos e obrigações de cada parte;
  • Lista de suboperadores autorizados;
  • Medidas de segurança e notificação de incidentes;
  • Devolução e eliminação dos dados ao fim do contrato.

O DPA é anexo aos Termos de Uso e aceito automaticamente no cadastro de loja.

13. Alterações nesta política

Esta política pode ser revisada para refletir mudanças regulatórias ou melhorias na plataforma. Mudanças materiais são comunicadas por e-mail e publicadas aqui com pelo menos 30 dias de antecedência. Continuar usando a Caify após a entrada em vigor da nova versão significa que você concorda com ela.

14. Autoridade Nacional de Proteção de Dados

Se você acreditar que algum direito não foi atendido, pode também procurar a Autoridade Nacional de Proteção de Dados (ANPD), autoridade competente para fiscalizar e aplicar sanções nos termos da LGPD.

15. Contato

Encarregado pelo Tratamento de Dados (DPO):
E-mail: privacidade@caify.shop
Prazo de resposta: até 15 dias úteis.

Suporte geral: contato@caify.shop

Endereço para correspondência formal: GMS Tech — CNPJ 60.079.474/0001-00 — Curitiba/PR.