Política de Privacidade
Como a CrivoShop coleta, usa, compartilha e protege seus dados pessoais. Última atualização: 27 de abril de 2026.
Esta política descreve como a CrivoShop trata seus dados pessoais em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018). Ao usar o site, você confirma ter lido e entendido este documento.
1. Quem somos
A CrivoShop é uma plataforma editorial brasileira de descoberta e recomendação de produtos. O site não realiza vendas — redireciona para parceiros afiliados oficiais.
2. Encarregado de Dados Pessoais (DPO)
Para exercer seus direitos ou tirar dúvidas sobre tratamento de dados, fale com nosso Encarregado:
- E-mail: dpo@crivoshop.com.br
- Prazo de resposta: até 15 dias corridos (LGPD art. 19).
3. Quais dados coletamos
Distinguimos três grupos:
3.1 Dados cadastrais
- E-mail e nome — fornecidos no cadastro. Base legal: execução de contrato (LGPD art. 7, V).
- Senha — armazenada apenas em formato hash. Mesmo a equipe técnica não acessa a senha original.
- Confirmação de idade (18+) — gravamos apenas o timestamp da declaração, não a data de nascimento (art. 14).
3.2 Dados de navegação e comportamento
- Cliques em ofertas afiliadas: produto, página de origem, UTMs e timestamp. O IP é armazenado apenas como hash, nunca em texto puro. Base legal: legítimo interesse — medir qualidade editorial e detectar fraude.
- Visualizações de produto e buscas: usadas para o sistema de recomendação. Base legal: execução de contrato quando você está logado; legítimo interesse com anonimização quando anônimo.
- Perfil de uso: representação derivada do seu histórico, usada apenas para recomendação. Você pode desativar a personalização em /conta/perfil.
- Visitante anônimo: com consentimento na categoria "analytics", geramos perfil de uso vinculado a um cookie sem dado pessoal para sugerir produtos antes do cadastro. Base legal: consentimento. O perfil expira em 60 dias sem retorno e é absorvido pelo seu histórico ao criar conta.
3.2.1 Cookies estritamente necessários
Os cookies abaixo são considerados estritamente necessários ao funcionamento do site e, portanto, são gravados independentemente do consentimento (LGPD art. 7, II e art. 11; ANPD Guia Orientativo de Cookies — "essenciais").
- presell_visitor — UUID anônimo, validade 1 ano, httpOnly. Usado exclusivamente para correlacionar a sessão técnica de um visitante anônimo (carrinho de leitura, prevenção de fraude de cliques afiliados, deduplicação de visualizações). Não é compartilhado com terceiros, não carrega dado pessoal e não alimenta marketing comportamental até que o titular dê consentimento na categoria "analytics". Base legal: legítimo interesse (operação segura do site e detecção de fraude).
- presell_session / presell_admin_session — cookie HMAC de autenticação, gravado apenas após login. Base legal: execução de contrato.
- presell_consent — registra sua escolha no banner. Sem ele, não há como respeitar sua preferência. Base legal: cumprimento de obrigação legal.
3.3 Dados de analytics (opcionais)
- PostHog: eventos de uso agregado (pageview, cliques, funis). Só carregam se você consentir explicitamente no banner de cookies.
4. Resumo das bases legais
Cada coleta tem uma base legal explícita conforme LGPD art. 7:
| Coleta | Base legal |
|---|---|
| E-mail, nome, senha | Execução de contrato |
| Cliques afiliados | Legítimo interesse (medição/fraude) |
| Visualizações e buscas (logado) | Execução de contrato (recomendação) |
| PostHog (analytics) | Consentimento |
| Cookie presell_visitor (anônimo, essencial) | Legítimo interesse (operação segura, antifraude) |
5. Por quanto tempo guardamos
- Conta (users): até você solicitar exclusão.
- Cliques afiliados: 90 dias. Após, são purgados por job automático.
- Visualizações de produto: 180 dias.
- Buscas: 90 dias.
- Logs de erro: ~90 dias.
- Histórico de solicitações LGPD: mantido por 5 anos para auditoria, com identificação removida após exclusão da conta.
6. Com quem compartilhamos
Não vendemos dados. Compartilhamos apenas com operadores essenciais à prestação do serviço (LGPD art. 33):
- Hospedagem e banco de dados (provedor de infraestrutura em nuvem).
- Analytics (PostHog, Google Analytics) — só se você consentir.
- Monitoramento de erros — com remoção de dados pessoais antes do envio.
- Provedor de IA para recomendação — recebe apenas texto público de produtos, nunca dados de usuário.
- Anti-bot em formulários.
7. Seus direitos (LGPD art. 18)
Você pode, a qualquer momento:
- Acessar os dados que mantemos sobre você — visíveis em /conta.
- Exportar em formato JSON estruturado em /conta/exportar (portabilidade).
- Corrigir dados em /conta/perfil.
- Excluir sua conta em /conta/excluir — eventos passados são anonimizados (`userId = NULL`) e a conta deletada.
- Revogar consentimento de cookies opcionais a qualquer momento via "Gerenciar cookies" no rodapé.
- Solicitar revisão de decisão automatizada (recomendação por IA — art. 20) via DPO.
Para exercícios que não tenham fluxo automatizado (ex.: alteração de e-mail), envie pedido para dpo@crivoshop.com.br. Toda solicitação é registrada com timestamp para auditoria.
8. Como protegemos seus dados
- HTTPS em todo o site.
- Senhas armazenadas com hash robusto — nem a equipe técnica acessa a senha original.
- IPs nunca armazenados em texto puro.
- Cookies de sessão com proteções padrão de mercado (httpOnly, secure, sameSite).
- Logs com remoção automática de dados pessoais.
- Headers de segurança aplicados em todas as rotas.
- Rate limit em operações sensíveis (login, cadastro, busca, cliques).
- Monitoramento contínuo de erros e incidentes.
9. Incidentes de segurança
Na hipótese de incidente que possa acarretar risco aos titulares, comunicamos a ANPD em até 72 horas (LGPD art. 48), conforme procedimento documentado em nossa Política de Resposta a Incidentes. Os titulares afetados são notificados pelo e-mail cadastrado.
10. Menores de idade
O cadastro requer declaração de 18 anos ou mais. Não direcionamos conteúdo a crianças e adolescentes. Caso identifiquemos cadastro de menor, a conta é removida.
11. Alterações desta política
Quando atualizarmos materialmente esta política (novos terceiros, novas finalidades), publicaremos versão revisada com nova data de atualização e, se aplicável, solicitaremos novo consentimento.
12. Dúvidas e reclamações
Para dúvidas, fale com o DPO em dpo@crivoshop.com.br. Você também pode peticionar diretamente à ANPD caso entenda que seus direitos não foram atendidos.