Última atualização: 15 de junho de 2026 — Versão 1.2
1. Apresentação
A ROXO ("ROXO", "nós", "nosso" ou "empresa"), plataforma de gestão de marketplaces e atendimento com inteligência artificial, valoriza a privacidade, a segurança e a transparência no tratamento de dados pessoais e está comprometida com a proteção da privacidade de seus usuários, clientes, parceiros, colaboradores e visitantes ("você" ou "titular").
Esta Política de Privacidade e de Tratamento de Dados Pessoais descreve como coletamos, usamos, armazenamos, compartilhamos, protegemos e eliminamos dados pessoais, em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD — Lei nº 13.709/2018), o Marco Civil da Internet (Lei nº 12.965/2014), o Código de Defesa do Consumidor (Lei nº 8.078/1990) e demais legislações aplicáveis. Aplica-se a todos os que interajam com os sistemas, plataformas, aplicações, APIs e serviços fornecidos pela ROXO.
Controlador dos dados
- Razão social: ROCKETSHOP HOSPEDAGEM DE SITES E DESENVOLVIMENTO DE E-COMMERCE LTDA - ME
- CNPJ: 38.404.004/0001-08
- Endereço: Rua Francisco Alves Batista, 8230 — Colinas Parque — Auriflama/SP — CEP 15352-204
- Marca: ROXO (roxo.ai)
Encarregado pelo Tratamento de Dados Pessoais (DPO)
- Nome: Vítor Martins Gonçalves
- E-mail: [email protected]
O Encarregado é o canal de comunicação entre o controlador, os titulares e a Autoridade Nacional de Proteção de Dados (ANPD), disponível para dúvidas, solicitações e exercício de direitos relacionados aos seus dados pessoais.
2. Definições
- Dado pessoal: informação relacionada a pessoa natural identificada ou identificável.
- Dado pessoal sensível: dado sobre origem racial/étnica, convicção religiosa, opinião política, saúde, vida sexual, dado genético ou biométrico.
- Titular: pessoa natural a quem se referem os dados pessoais.
- Tratamento: toda operação realizada com dados pessoais (coleta, uso, armazenamento, compartilhamento, eliminação etc.).
- Controlador: quem decide sobre o tratamento de dados pessoais.
- Operador: quem trata dados pessoais em nome do controlador.
- Encarregado (DPO): pessoa indicada para atuar como canal de comunicação sobre proteção de dados.
3. Papéis: quando somos Controlador e quando somos Operador
O ROXO atua em dois papéis distintos:
- Como Controlador: em relação aos dados dos nossos próprios usuários e clientes (quem contrata e usa a plataforma) — dados de cadastro, autenticação, faturamento, uso da plataforma e leads do nosso site.
- Como Operador: em relação aos dados pessoais de terceiros (por exemplo, consumidores finais, compradores de marketplaces e contatos) que nossos clientes tratam por meio da plataforma. Nesses casos, o cliente do ROXO é o Controlador e define as finalidades; o ROXO trata esses dados seguindo as instruções do cliente, os Termos de Uso e esta Política.
4. Dados pessoais coletados
4.1. Dados fornecidos diretamente por você
Identificação: nome completo, CPF ou CNPJ, e-mail, telefone/WhatsApp, endereço completo (quando aplicável).
Autenticação: senha criptografada (hash), token de autenticação multifator (quando habilitado), histórico de login e sessões.
Pagamento: dados de assinaturas e transações; dados fiscais para emissão de notas fiscais. Dados completos de cartão são processados pelos provedores de pagamento — não armazenamos o número completo do cartão.
Negócio: nome da empresa/loja, segmento de atuação e informações das contas de marketplaces e canais conectados (Mercado Livre, Shopee, Magalu, Amazon, TikTok, Shein, AliExpress, entre outros).
4.2. Dados coletados automaticamente
Navegação: endereço IP, tipo/versão do navegador, sistema operacional, páginas visitadas e tempo de permanência, origem do acesso (referrer), cookies e identificadores de sessão.
Uso da plataforma: funcionalidades utilizadas, logs de ações, histórico de sincronizações com marketplaces e métricas de performance.
Dispositivo: identificadores únicos de dispositivo, modelo/fabricante, resolução de tela e localização geográfica aproximada (baseada em IP).
4.3. Dados de integrações de marketplaces (terceiros)
Ao conectar contas de marketplaces, acessamos via API autorizada (OAuth 2.0):
- Produtos: catálogos, preços, estoque, descrições, imagens e especificações.
- Pedidos: dados de compradores (nome, endereço, telefone, e-mail), histórico e status de entrega, dados de faturamento.
- Clientes finais: informações necessárias ao processamento de pedidos, histórico de comunicação/atendimento e dados de endereço para logística.
Esses dados são tratados predominantemente sob o papel de Operador (Seção 3).
4.4. Dados de integrações com as Plataformas Meta
- WhatsApp Business Platform (Cloud API): número/identificador do WhatsApp (wa_id), conteúdo das conversas do canal de atendimento, identificadores da conta WhatsApp Business (WABA) e tokens de acesso.
- Messenger e Instagram Messaging: identificadores do usuário na plataforma (PSID/IGSID), nome de exibição/@usuário, foto e conteúdo das mensagens.
- Login do Facebook (OAuth): identificador do usuário no app (app-scoped user id) de quem autoriza a conexão, páginas administradas e tokens de acesso.
O uso, as restrições e a exclusão desses dados estão detalhados na Seção 6.
4.5. Dados de colaboradores e afiliados
Para gestão de pessoas (RH) e do programa de afiliados, podemos tratar dados como nome, CPF, RG, dados bancários e chave PIX. Dados sensíveis ou de maior risco (CPF, RG, dados bancários) são armazenados de forma criptografada.
5. Finalidades do tratamento e bases legais
5.1. Execução de contrato (Art. 7º, V)
- Criação e gerenciamento de conta de usuário
- Processamento de assinaturas e pagamentos
- Fornecimento dos serviços e sincronização com APIs de marketplaces
- Gestão de pedidos, estoque e produtos
- Automação de mensagens e atendimento ao cliente
- Geração de relatórios e análises de vendas
5.2. Legítimo interesse (Art. 7º, IX)
- Melhoria contínua e desenvolvimento de funcionalidades
- Análise de métricas e comportamento de uso
- Prevenção de fraudes e abusos
- Segurança da informação e suporte técnico
5.3. Consentimento (Art. 7º, I; Art. 8º)
- Comunicações promocionais e newsletters
- Marketing direcionado
- Cookies não essenciais (analytics, remarketing)
O consentimento pode ser revogado a qualquer momento (Seção 11), sem prejuízo do tratamento já realizado.
5.4. Obrigação legal/regulatória (Art. 7º, II)
- Cumprimento de obrigações fiscais e tributárias
- Atendimento a ordens judiciais e requisições de autoridades
- Retenção para fins de auditoria e emissão de documentos fiscais
6. Plataformas Meta — uso, restrições, permissões e exclusão
Esta seção atende às exigências da Meta (Meta Platform Terms, Developer Policies e expectativas de Política de Privacidade) para uso de WhatsApp Business Platform, Messenger, Instagram e Login do Facebook.
6.1. Como usamos os dados das Plataformas Meta
- Exclusivamente para operar o canal de atendimento/mensageria escolhido pelo cliente: receber e responder mensagens, organizar conversas, aplicar automações e, quando habilitado, respostas geradas pela nossa inteligência artificial ("Aura").
- Respeitamos as janelas e regras de cada canal (por exemplo, a janela de 24 horas do Messenger/Meta).
6.2. O que NÃO fazemos
- Não vendemos, licenciamos ou compramos dados obtidos das Plataformas Meta.
- Não usamos esses dados para fins não autorizados, perfis de crédito, vigilância, discriminação ou redirecionamento não autorizado.
- Não compartilhamos esses dados fora do necessário para a prestação do serviço e o cumprimento da lei.
- Dados de publicidade/terceiros, quando existirem, são utilizados apenas de forma agregada e anônima.
6.3. Automação e inteligência artificial
Parte do atendimento pode ser realizada por automações e por assistente de IA. Sempre que aplicável, sinalizamos a natureza automatizada da interação.
6.4. Permissões solicitadas (mínimo necessário)
Solicitamos apenas as permissões necessárias para operar os canais conectados pelo cliente:
- WhatsApp Business Platform: whatsapp_business_messaging e whatsapp_business_management — enviar/receber mensagens e gerir o número WhatsApp Business.
- Messenger e Instagram: pages_messaging, pages_show_list, pages_read_engagement, pages_manage_metadata, instagram_basic e instagram_manage_messages — receber e responder mensagens das páginas/perfis conectados.
- Login do Facebook: public_profile e business_management — autorizar e identificar a conexão das páginas do cliente.
Não solicitamos permissões que não utilizamos.
6.5. Exclusão de dados (Data Deletion)
Você pode solicitar a exclusão dos dados associados ao seu identificador da Meta de duas formas:
- Pelo aplicativo Meta: ao remover o app nas configurações do Facebook, a Meta nos envia uma solicitação automática (Data Deletion Callback). Processamos a anonimização/eliminação dos dados correspondentes e disponibilizamos uma página pública de acompanhamento com código de confirmação.
- Diretamente conosco: pelo formulário "Excluir meus dados" em /excluir-meus-dados ou pelo e-mail [email protected].
7. Compartilhamento de dados e operadores (sub-processadores)
7.1. Compartilhamento necessário para a prestação dos serviços
Não comercializamos dados pessoais. Compartilhamos dados apenas quando necessário, com operadores como:
- Provedores de pagamento: Stripe e Mercado Pago.
- Infraestrutura e nuvem: provedores de hospedagem e armazenamento de objetos (incluindo AWS/armazenamento compatível com S3) e serviços do Google Cloud.
- Plataformas de mensageria: Meta (WhatsApp Business Platform, Messenger e Instagram).
- Inteligência artificial: OpenAI, para funcionalidades de IA.
- Analytics e mídia: Google (Analytics/Ads) e pixels de Meta/TikTok, conforme o seu consentimento.
- Marketplaces e logística: os marketplaces conectados pelo cliente, serviços de rastreamento/frete (ex.: Correios) e de emissão fiscal (NF-e).
- Atendimento: provedores de plataformas de atendimento ao cliente, quando utilizados.
Garantias: os operadores são contratualmente obrigados a tratar os dados conforme a LGPD, com cláusulas de segurança, confidencialidade e limitação de uso, e estão sujeitos a verificações de conformidade.
7.2. Compartilhamento legal
- Autoridades: quando exigido por lei, ordem judicial ou regulamentação.
- Processos legais: em resposta a intimações, mandados ou processos.
- Proteção de direitos: para investigar, prevenir ou agir contra atividades ilegais, fraude ou ameaças à segurança.
7.3. Não comercializamos dados
A ROXO não vende, aluga ou comercializa dados pessoais para terceiros com fins de marketing ou publicidade.
8. Transferência internacional de dados
Alguns operadores podem armazenar dados fora do Brasil (por exemplo, pagamento, nuvem, IA e mensageria). Nesses casos, a transferência observa o art. 33 da LGPD, com salvaguardas como:
- Transferências para países/entidades com nível de proteção adequado;
- Cláusulas contratuais adequadas;
- Certificações internacionais de segurança (ex.: ISO 27001, SOC 2), quando aplicável;
- Garantia de proteção equivalente à exigida pela LGPD.
9. Segurança da informação
9.1. Medidas técnicas
Criptografia: TLS 1.2+/1.3 para dados em trânsito; AES-256 para dados em repouso; hashing seguro de senhas (não armazenamos senhas em texto plano).
Controle de acesso: autenticação multifator (MFA) para acessos administrativos; princípio do privilégio mínimo; segregação por perfil (superadmin, gerente, admin, atendimento) e isolamento por empresa (multitenant); tokens OAuth 2.0 com expiração.
Rede: firewall e segmentação, proteção contra DDoS, monitoramento de tráfego e detecção de intrusões.
Aplicação: proteção CSRF, validação/sanitização de entrada, rate limiting de APIs e atualizações regulares de segurança.
9.2. Medidas organizacionais
- Política de Segurança da Informação documentada e revisada
- Treinamento periódico da equipe sobre LGPD e segurança
- Controle de acesso físico a ambientes e servidores
- Políticas de senha e de mesa limpa
- Gestão de vulnerabilidades e plano de resposta a incidentes
9.3. Monitoramento e auditoria
- Logs de acesso e de ações críticas (retenção de 12 meses)
- Auditoria periódica de acessos e permissões
- Revisões de segurança e monitoramento de anomalias
9.4. Comunicação de incidentes
Em caso de incidente de segurança relevante, comunicaremos os titulares afetados e a ANPD nos termos do art. 48 da LGPD.
10. Retenção e eliminação de dados
10.1. Períodos de armazenamento
- Conta ativa: enquanto o usuário mantiver conta ativa
- Transações: 5 anos (legislação fiscal e tributária)
- Logs de acesso: 12 meses (segurança e auditoria)
- Dados de marketing: até a revogação do consentimento
10.2. Exclusão
Encerrado o período de retenção ou mediante solicitação do titular (quando aplicável): exclusão lógica (dados inativados), exclusão física (remoção definitiva, inclusive de backups, em prazo razoável) ou anonimização (quando necessário manter estatísticas agregadas). Podem ser mantidos dados quando houver obrigação legal, prevenção a fraudes, resolução de disputas ou exercício regular de direitos.
11. Direitos do titular e como exercê-los (Art. 18)
Você pode solicitar: confirmação da existência de tratamento; acesso; correção de dados incompletos/inexatos/desatualizados; anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade; portabilidade; informação sobre compartilhamentos; informação sobre a possibilidade de não consentir; revogação do consentimento; e oposição a tratamento baseado em legítimo interesse.
Como exercer:
- E-mail do Encarregado: [email protected]
- Formulário público de exclusão: /excluir-meus-dados
- Prazo de resposta: conforme a legislação aplicável
Poderemos solicitar informações para confirmar sua identidade antes de atender ao pedido, como medida de segurança. Quando o ROXO atuar como Operador (Seção 3), a solicitação poderá ser encaminhada ao cliente Controlador responsável pelos dados.
12. Cookies e tecnologias similares
12.1. Tipos de cookies
- Essenciais (não requerem consentimento): autenticação/sessão, segurança e preferências de interface.
- Performance e analytics (com consentimento): Google Analytics e métricas de uso.
- Marketing (com consentimento): pixels de Meta, Google Ads e similares.
12.2. Consentimento e gerenciamento
No site institucional adotamos o Google Consent Mode v2: ferramentas como o Google Analytics só passam a gravar cookies após o seu aceite no banner de consentimento. Você pode aceitar ou recusar a qualquer momento pelo banner de cookies e também ajustar preferências no navegador. O bloqueio de cookies essenciais pode impactar o funcionamento da plataforma.
13. Dados de crianças e adolescentes
A plataforma ROXO destina-se a empresas e a maiores de 18 anos e não coleta intencionalmente dados de menores. Eventual tratamento observará o melhor interesse do menor e o art. 14 da LGPD. Caso identifique tratamento indevido, contate o Encarregado ([email protected]) para remoção.
14. Alterações nesta Política
Esta Política pode ser atualizada para refletir mudanças em nossas práticas, na legislação, em novas funcionalidades ou na melhoria de medidas de segurança. Alterações relevantes serão comunicadas por e-mail e/ou aviso na plataforma. A versão vigente fica disponível em roxo.ai, com a data da última atualização indicada no topo.
15. Legislação aplicável e foro
Esta Política é regida pelas leis da República Federativa do Brasil, em especial a LGPD (Lei nº 13.709/2018), o Marco Civil da Internet (Lei nº 12.965/2014), o Código de Defesa do Consumidor (Lei nº 8.078/1990) e o Código Civil (Lei nº 10.406/2002). Fica eleito o foro da comarca da sede do Controlador (Auriflama/SP) para dirimir controvérsias, ressalvadas as regras de competência legal, em especial as de proteção ao consumidor.
16. Contato e Autoridade Nacional
Encarregado (DPO): Vítor Martins Gonçalves — [email protected]. Atendimento de segunda a sexta, das 9h às 18h (horário de Brasília).
Autoridade Nacional de Proteção de Dados (ANPD): para reclamações não resolvidas — site: www.gov.br/anpd · e-mail: [email protected].
17. Consentimento
Ao utilizar a plataforma ROXO, você declara que leu, compreendeu e concorda com esta Política; está ciente de como seus dados são coletados, usados e protegidos; consente com o tratamento conforme aqui descrito; e pode revogar o consentimento a qualquer momento pelos canais indicados.
CTO