VortfyVoltar ao início

Documento legal

Política de Privacidade

Última atualização: 03 de maio de 2026 · Versão 2026.05.03

Esta Política de Privacidade descreve como a Vortfy (operada por Zucchi Global Negócios Digitais Ltda., CNPJ 63.516.748/0001-61) coleta, usa, compartilha e protege dados pessoais. Aplica-se ao site vortfy.com, ao painel administrativo (app.vortfy.com), aos storefronts hospedados na Plataforma e a qualquer comunicação que estabelecermos com você.

Esta política é regida pela Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD) e, quando aplicável, pelo Regulamento Geral sobre a Proteção de Dados da União Europeia (GDPR).

1. Quem somos e papéis no tratamento de dados

A Vortfy atua em dois papéis distintos, dependendo do dado:

  • Controladora, em relação aos dados de Lojistas (cadastro, faturamento, suporte, navegação no painel).
  • Operadora, em relação aos dados de Clientes Finais que os Lojistas coletam por meio das suas lojas (pedidos, endereços, contatos). O Controlador desses dados é o próprio Lojista — nós apenas processamos o que ele determina.

Encarregado de Proteção de Dados (DPO): Samuel Zucchi, contato: dpo@vortfy.com.

2. Dados que coletamos

2.1. Dados que você fornece diretamente

  • Cadastro: nome, email, senha (armazenada com hash), e opcionalmente telefone, nome da loja, país, moeda;
  • Faturamento: dados de cobrança gerenciados pelo Stripe (não armazenamos número completo de cartão — apenas os últimos 4 dígitos e a bandeira, para exibição no painel);
  • Suporte: conteúdo das mensagens enviadas pra suporte@vortfy.com ou via formulário de contato;
  • Conteúdo da loja: textos, imagens, configurações, domínios customizados que você cadastra na Plataforma.

2.2. Dados coletados automaticamente

  • Logs técnicos: endereço IP, navegador (user-agent), páginas acessadas, horários, ações realizadas no painel — usados pra segurança, auditoria e diagnóstico técnico;
  • Cookies essenciais: sessão de login, preferência de idioma, tema (claro/escuro). Esses cookies não exigem consentimento por serem estritamente necessários ao funcionamento;
  • Cookies analíticos: apenas quando você consente, usamos ferramentas de análise pra entender uso agregado da Plataforma;
  • Telemetria de erros: via Sentry, capturamos stack traces de erros de aplicação, com mascaramento de dados sensíveis, pra diagnosticar bugs.

2.3. Dados de Clientes Finais (você como Operadora)

Quando os Clientes Finais das suas lojas finalizam um pedido, processamos em seu nome (como Operadora): nome, telefone, email, endereço de entrega, itens do pedido, valor total, metadados de marketing (UTMs), endereço IP e localização aproximada derivada do IP para análise antifraude e segurança operacional. Esses dados são armazenados na sua conta e ficam acessíveis apenas a você (e à equipe de suporte da Vortfy quando necessário pra resolver chamado, com seu consentimento ou requisição).

3. Para que usamos os dados (finalidades)

  • Execução do contrato (LGPD art. 7º, V): operar a Plataforma, autenticar acesso, processar pagamentos, fornecer suporte, entregar funcionalidades contratadas;
  • Cumprimento de obrigação legal (art. 7º, II): emissão de notas fiscais, retenção de logs de auditoria, atendimento a ordens judiciais, prevenção de fraude e lavagem de dinheiro;
  • Legítimo interesse (art. 7º, IX): segurança da Plataforma, prevenção de abuso e fraude em pedidos, melhoria de produto a partir de uso agregado e anonimizado, comunicações operacionais essenciais (alertas de cobrança, notificações de mudanças nos Termos);
  • Consentimento (art. 7º, I): emails de marketing/novidades (opt-in explícito), cookies analíticos, integrações com pixels de terceiros (quando você ativa para sua loja).

4. Compartilhamento de dados

A Vortfy não vende dados pessoais. Compartilhamos apenas com prestadores de serviço (subprocessadores) estritamente necessários pra operação da Plataforma, sob contrato com obrigação de proteção equivalente à nossa. Nossa lista atual de subprocessadores:

  • Supabase Inc. (EUA / UE) — banco de dados Postgres, autenticação, armazenamento de mídia. Hospeda dados de cadastro, lojas, produtos e pedidos. Subprocessador certificado SOC 2.
  • Vercel Inc. (EUA) — hospedagem da aplicação Next.js, CDN, edge functions. Não armazena dados pessoais persistentemente, apenas processa em runtime. Subprocessador certificado SOC 2.
  • Stripe, Inc. (EUA) — processamento dos pagamentos das assinaturas dos Lojistas (não dos pedidos dos Clientes Finais). Stripe é Controlador independente dos dados de cartão, em conformidade com PCI DSS Level 1.
  • Resend (Phaze, Inc.) (EUA) — envio de emails transacionais (confirmação, recuperação de senha, alertas de pedido, notificações). Recebe email + corpo da mensagem.
  • Upstash Inc. (EUA) — cache Redis para analytics em tempo real. Recebe dados de sessão (IP truncado, dispositivo, fonte) por TTL curto.
  • Functional Software, Inc. (Sentry) (EUA) — monitoramento de erros e desempenho. Recebe stack traces e contexto técnico, com mascaramento de dados sensíveis.
  • OpenAI, L.L.C. (EUA) — opcional, usada para validar e normalizar endereços de entrega. Apenas o endereço é enviado, sem identificação do Cliente Final, e a OpenAI não treina modelos com esses dados (API com retenção zero).
  • Meta Platforms, Inc. e Google LLC (EUA) — apenas quando o Lojista ativa pixels de tracking pra suas lojas. Nessa hipótese, os dados são enviados conforme configuração do Lojista, com base legal de consentimento do visitante (cookie banner do storefront da loja).
  • Dropi e Mastershop — quando o Lojista ativa essas integrações, exportamos pedidos pra fulfilment via API, com consentimento explícito do Lojista (Controlador) por loja.

Também podemos compartilhar dados com autoridades públicas quando obrigados por lei, ordem judicial ou requisição administrativa fundada, comunicando o titular sempre que permitido.

5. Transferência internacional de dados

Alguns subprocessadores acima estão sediados nos Estados Unidos. As transferências internacionais de dados pessoais são realizadas com base nas garantias do art. 33 da LGPD, em especial Cláusulas Contratuais Padrão (Standard Contractual Clauses) celebradas com cada subprocessador, ou enquadramento em país com nível adequado de proteção quando reconhecido pela ANPD.

6. Cookies

Usamos os seguintes tipos de cookies:

  • Estritamente necessários: sessão de autenticação, CSRF, preferência de tema. Não exigem consentimento (LGPD art. 7º, V).
  • Funcionais: guardar preferência de idioma, lembrar estado da sidebar etc. Definidos por escolha do usuário no painel.
  • Analíticos: medir uso agregado da Plataforma (ex.: quais funcionalidades são mais usadas). Só ativados após consentimento explícito no banner de cookies.

Você pode gerenciar cookies pelo banner exibido no primeiro acesso e revogar consentimento a qualquer momento no rodapé da página.

7. Segurança

Adotamos medidas técnicas e organizacionais razoáveis pra proteger seus dados, incluindo:

  • Criptografia em trânsito (HTTPS/TLS 1.3) em todos os endpoints;
  • Criptografia em repouso para dados sensíveis (senhas SMTP de Lojistas armazenadas com AES-256-GCM, senhas de usuários com hash bcrypt/argon2 via Supabase Auth);
  • Isolamento multi-tenant em banco com Row-Level Security (RLS) — cada Lojista enxerga apenas seus próprios dados;
  • Logs de auditoria de ações administrativas;
  • Rate limiting em endpoints públicos para prevenir abuso;
  • Monitoramento contínuo de erros e anomalias (Sentry);
  • Treinamento dos colaboradores em proteção de dados.

Apesar disso, nenhum sistema é 100% seguro. Em caso de incidente de segurança que afete dados pessoais, comunicaremos o titular e a ANPD conforme prazos e requisitos da LGPD (art. 48).

8. Retenção de dados

  • Dados de cadastro de Lojista: mantidos enquanto a conta estiver ativa. Após encerramento, retidos por 30 dias para permitir reativação ou exportação de dados, salvo retenção legal obrigatória.
  • Dados financeiros (cobrança): retidos pelo prazo mínimo de 5 anos, conforme legislação tributária.
  • Dados de pedidos (Clientes Finais): mantidos enquanto a conta do Lojista estiver ativa. O Lojista é responsável por excluir pedidos antigos conforme sua política de retenção e por atender solicitações de titulares (Clientes Finais).
  • Logs de auditoria: 12 meses, ou prazo maior quando exigido por lei.
  • Logs de pixel/analytics: 90 dias.
  • Backups: rotacionados em até 30 dias.

9. Seus direitos como titular

A LGPD (art. 18) garante a você os seguintes direitos, exercíveis gratuitamente e mediante requisição:

  • Confirmação da existência de tratamento;
  • Acesso aos seus dados;
  • Correção de dados incompletos, inexatos ou desatualizados;
  • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
  • Portabilidade dos dados a outro fornecedor;
  • Eliminação dos dados tratados com seu consentimento, salvo nas hipóteses de retenção previstas em lei;
  • Informação sobre entidades públicas e privadas com as quais a Vortfy compartilhou seus dados;
  • Revogação do consentimento a qualquer momento;
  • Oposição a tratamento realizado com fundamento em legítimo interesse, quando houver descumprimento.

Pra exercer qualquer direito, envie email para dpo@vortfy.com. Responderemos em até 15 dias corridos. Em casos de pedido manifestamente excessivo ou repetitivo, podemos cobrar custo razoável de atendimento ou negar o pedido com justificativa.

10. Crianças e adolescentes

A Plataforma não é direcionada a menores de 18 anos. Não coletamos intencionalmente dados de crianças ou adolescentes. Se identificarmos tratamento de dados de menor sem o devido consentimento de responsável legal, eliminaremos os dados imediatamente.

11. Alterações nesta Política

Esta Política pode ser atualizada periodicamente. Mudanças relevantes serão notificadas por email ao Lojista e exibidas no painel com antecedência mínima de 15 dias antes de entrar em vigor. A versão sempre atualizada está em vortfy.com/privacidade, com data da última revisão no topo.

12. Como nos contatar

  • Encarregado de Proteção de Dados (DPO): dpo@vortfy.com
  • Suporte geral: suporte@vortfy.com
  • Endereço postal: Rod. José Carlos Daux, 5500, Sala 211, Bloco Campeche A — Saco Grande, Florianópolis/SC, CEP 88.032-005

Se entender que seus direitos não foram atendidos, você pode também procurar a Autoridade Nacional de Proteção de Dados (ANPD)pelo site www.gov.br/anpd.