Este documento é um rascunho técnico e deve ser revisado por advogado antes do uso em produção com usuários externos.

Política de Privacidade

Última atualização: 24 de abril de 2026

Esta Política de Privacidade descreve como o Navi(“Navi”, “nós”) coleta, utiliza, armazena e compartilha dados pessoais dos sellers contratantes e de terceiros cujos dados chegam à plataforma por meio de integrações autorizadas, em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — “LGPD”) e com o Código de Defesa do Consumidor (Lei nº 8.078/1990 — “CDC”).

1. Controlador e Encarregado (DPO)

O controlador dos dados pessoais tratados pelo Navi é o Grupo Gomide, pessoa jurídica de direito privado inscrita no CNPJ nº [CNPJ a ser preenchido], com sede em [Endereço a ser preenchido].

Dúvidas, solicitações e exercício de direitos podem ser dirigidos ao Encarregado pelo Tratamento de Dados Pessoais (DPO) pelo e-mail privacidade@usenavi.app.br.

2. A quem esta Política se aplica

Esta Política se aplica a:

  • Sellers contratantes: pessoas físicas ou jurídicas que contratam o Navi para gerir sua operação no Mercado Livre.
  • Compradores dos sellers: cujos dados chegam ao Navi automaticamente por meio da API oficial do Mercado Livre, como parte da execução do serviço contratado pelo seller.
  • Visitantes: que acessam o site e páginas públicas do Navi.

3. Bases legais do tratamento

O Navi trata dados pessoais com fundamento nas seguintes bases legais da LGPD:

  • Execução de contrato (art. 7º, V): para prestar os serviços contratados pelo seller.
  • Cumprimento de obrigação legal ou regulatória (art. 7º, II): para atender obrigações fiscais, contábeis e legais aplicáveis.
  • Legítimo interesse (art. 7º, IX): para garantir segurança da plataforma, prevenir fraudes, realizar analytics agregado e melhorar o produto.
  • Consentimento (art. 7º, I): quando aplicável, como para comunicações de marketing e uso de cookies não essenciais.

4. Dados coletados

4.1. Dados do seller

  • Dados cadastrais: nome, e-mail, telefone, CNPJ/CPF, razão social.
  • Dados de autenticação (via Clerk): credenciais de acesso e sessão.
  • Credenciais de integração com o Mercado Livre: tokens OAuth (access/refresh) e identificador da conta.
  • Dados de pagamento e faturamento, quando a cobrança estiver ativa, processados por meio do Asaas.

4.2. Dados obtidos via API do Mercado Livre

Para oferecer os módulos de pedidos, estoque, atendimento e conciliação, o Navi recebe e processa, de forma automatizada, dados disponibilizados pela API oficial do Mercado Livre, incluindo:

  • Pedidos, itens vendidos, status, valores e taxas.
  • Estoque, anúncios e informações de produtos.
  • Mensagens trocadas entre seller e compradores, inclusive o conteúdo das mensagens.
  • Dados pessoais de compradores transmitidos pelo Mercado Livre: nome, endereço de entrega, e-mail operacional da plataforma e informações de contato eventualmente contidas em mensagens.
  • Dados financeiros e de repasses (conciliação de pagamentos).

Esses dados pertencem aos respectivos titulares. O Navi atua como operador no tratamento desses dados em nome do seller, que permanece como controlador perante seus compradores, salvo quando a legislação atribuir ao Navi responsabilidade distinta.

4.3. Dados de uso da plataforma

  • Logs de acesso (IP, user-agent, data/hora), para segurança e auditoria.
  • Métricas de uso dos módulos do Navi.
  • Prompts e respostas geradas por IA, no módulo de atendimento automático, quando habilitado.

5. Finalidades do tratamento

  • Prestar os serviços contratados: gestão de pedidos, estoque, atendimento e conciliação.
  • Operar respostas automáticas de atendimento com IA, sob configuração do seller.
  • Emitir cobranças, notas e cumprir obrigações fiscais e contábeis.
  • Prestar suporte técnico e atendimento ao cliente.
  • Enviar comunicações transacionais e, mediante consentimento, informativas.
  • Realizar analytics agregado para evolução do produto.
  • Prevenir fraudes, abusos e violações dos Termos de Uso.
  • Atender ordens judiciais, regulatórias e obrigações legais.

6. Compartilhamento com terceiros

O Navi compartilha dados pessoais apenas na medida necessária para operar o serviço, cumprir obrigações legais ou proteger direitos, observando cláusulas de confidencialidade e medidas técnicas compatíveis com a LGPD.

6.1. Subprocessadores

O Navi utiliza os seguintes subprocessadores para operar a plataforma:

  • Clerk — autenticação e gestão de sessão. Política.
  • Neon — banco de dados PostgreSQL gerenciado. Política.
  • Hetzner — hospedagem de serviços de backend. Política.
  • Vercel — hospedagem do frontend. Política.
  • Cloudflare — DNS, proteção e roteamento de rede. Política.
  • Anthropic — modelos de IA utilizados no módulo de atendimento. Política.
  • Mercado Livre — fonte dos dados de pedidos, produtos, mensagens e repasses. Política.
  • Asaas — processamento de cobranças (uso futuro/quando ativo). Política.
  • Z-API — integração com WhatsApp (uso futuro/quando ativo). Política.

6.2. Outras hipóteses de compartilhamento

  • Autoridades públicas, mediante ordem legal ou judicial.
  • Consultores e auditores legais, contábeis ou de segurança, sob obrigação de confidencialidade.
  • Em operações societárias (fusões, aquisições, sucessão), mediante manutenção do regime de proteção aqui descrito.

7. Transferência internacional

Alguns subprocessadores listados possuem infraestrutura fora do Brasil. Sempre que houver transferência internacional, o Navi adotará salvaguardas compatíveis com o art. 33 da LGPD, incluindo cláusulas contratuais específicas e avaliação do nível de proteção do país de destino.

8. Prazos de retenção

  • Dados de pedidos, faturamento e mensagens: mantidos enquanto a conta estiver ativa e por até 5 (cinco) anos após o cancelamento, para atender obrigações fiscais e contábeis aplicáveis no Brasil.
  • Dados cadastrais do seller: mantidos enquanto houver relação contratual e pelo prazo prescricional aplicável.
  • Prompts e respostas do módulo de IA: retidos para auditoria e melhoria do serviço, podendo ser expurgados sob solicitação do titular ou do seller contratante, salvo obrigação legal de guarda.
  • Logs de segurança: retidos pelo prazo necessário para fins de auditoria.

Após o decurso dos prazos, os dados são eliminados ou anonimizados de forma segura.

9. Direitos do titular

Nos termos do art. 18 da LGPD, o titular pode, a qualquer tempo, solicitar:

  • Confirmação da existência de tratamento;
  • Acesso aos dados pessoais;
  • Correção de dados incompletos, inexatos ou desatualizados;
  • Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos;
  • Portabilidade dos dados;
  • Eliminação dos dados tratados com consentimento;
  • Informação sobre entidades com as quais os dados foram compartilhados;
  • Informação sobre a possibilidade de não fornecer consentimento e as consequências;
  • Revogação do consentimento.

Solicitações devem ser enviadas ao DPO no e-mail privacidade@usenavi.app.br e serão respondidas no prazo razoável previsto em lei.

10. Segurança da informação

O Navi adota medidas técnicas e organizacionais apropriadas para proteger os dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, incluindo:

  • Criptografia em trânsito (TLS) e em repouso para dados sensíveis.
  • Isolamento multi-tenant no banco de dados por meio de Row Level Security (RLS).
  • Controle de acesso por perfil, com autenticação forte via Clerk.
  • Registro de auditoria de eventos sensíveis.
  • Revisão periódica de dependências e correção de vulnerabilidades.

Nenhum sistema é absolutamente imune a incidentes. Em caso de incidente de segurança com risco relevante aos titulares, o Navi notificará a ANPD e os titulares afetados nos termos do art. 48 da LGPD.

11. Cookies e tecnologias similares

O Navi utiliza um conjunto mínimo de cookies, incluindo:

  • Cookies essenciais de sessão, gerenciados pelo Clerk, necessários para manter o usuário autenticado.
  • Cookies de analytics, quando utilizados, apenas de forma agregada e mediante consentimento, onde exigido.

O usuário pode configurar seu navegador para recusar cookies; a recusa de cookies essenciais pode impedir o uso do serviço.

12. Menores de idade

O Navi é um serviço B2B destinado a sellers pessoa jurídica ou pessoa física empresária. Não coletamos intencionalmente dados de menores de idade. Caso seja identificado tratamento de dados de menor, o Navi tomará providências para excluí-los, salvo quando houver base legal para mantê-los.

13. Alterações desta Política

Esta Política pode ser atualizada a qualquer tempo para refletir mudanças legais, regulatórias ou operacionais. A data de “Última atualização” no topo desta página indica a versão vigente. Alterações materiais serão comunicadas por meios adequados.

14. Contato

Encarregado pelo Tratamento de Dados Pessoais (DPO): privacidade@usenavi.app.br.

Grupo Gomide — CNPJ [CNPJ a ser preenchido] — [Endereço a ser preenchido].

15. Legislação e foro

Esta Política é regida pela legislação brasileira, em especial pela LGPD e pelo CDC. Fica eleito o foro da comarca de [cidade/estado do foro] para dirimir quaisquer controvérsias, com renúncia a qualquer outro, por mais privilegiado que seja.