Política de Privacidade
Versão 1.0 · publicada em 27/04/2026
1. Quem somos e o que esta política cobre
Kurato é uma plataforma SaaS brasileira que ajuda creators a montar e operar vitrines públicas de produtos afiliados de múltiplos marketplaces (Amazon BR, Mercado Livre, Shopee, Magalu, Kabum, Terabyte e outros que vierem a ser integrados).
Esta Política descreve quais dados coletamos, com qual finalidade, com quem compartilhamos, por quanto tempo guardamos e quais direitos você tem sobre eles.
Operadora: Kurato. Contato: contato@kurato.com.br.
2. Definições legais (LGPD)
- Dados pessoais: qualquer informação relacionada a pessoa natural identificada ou identificável.
- Titular: você, creator que usa o Kurato, ou visitante que clica em links da vitrine pública.
- Controlador: você é o controlador dos dados que carrega no Kurato (catálogo, links, mídia, descrições).
- Operador: o Kurato é operador desses dados — processa em seu nome e conforme suas instruções.
- Tratamento: qualquer operação com dados pessoais — coleta, uso, armazenamento, compartilhamento, exclusão.
- Subprocessador: terceiros que processam dados em nome do Kurato (lista no Capítulo 5).
3. Dados que coletamos e por quê (bases legais — LGPD art. 7º)
| Dado | Origem | Finalidade | Base legal |
|---|---|---|---|
| Email + nome | Signup (formulário ou Google OAuth) | Login + comunicação operacional | Execução de contrato (art. 7º, V) |
| Credenciais de afiliação (chaves de API e identificadores de afiliado dos marketplaces) | Formulário no painel de configurações | Operar a integração com cada marketplace em seu nome | Execução de contrato (art. 7º, V) |
| Catálogo de produtos (títulos, imagens, links, preços) | Cadastro do creator ou import | Render da vitrine pública + analytics privado | Execução de contrato |
| Cliques em links de afiliado | Visitantes da vitrine pública | Analytics do creator (cliques agregados por produto, dispositivo e país) | Legítimo interesse (art. 7º, IX) — ver Capítulo 4 |
| Histórico de preços | Refresh disparado pelo creator ou cron interno | Mostrar variação de preço na vitrine + alertas | Execução de contrato |
| Dados de cobrança (Stripe customer + subscription) | Checkout | Processar pagamentos recorrentes | Execução de contrato + obrigação legal (CDC) |
4. Dados de visitantes da vitrine pública
Visitantes que clicam nos links de afiliado da vitrine pública não fazem login no Kurato. Mesmo assim, alguns dados mínimos são coletados pra entregar o tracking de cliques pro creator dono:
- Hash criptográfico do endereço IP com salt. Nunca armazenamos o IP em texto puro nem em formato reversível.
- Categoria do navegador (mobile, desktop, bot). Não armazenamos a string completa de identificação do navegador.
- Domínio de origem do clique (apenas o domínio, sem demais parâmetros da URL).
- País aproximado a partir do endereço IP, sem precisão de cidade.
Não fazemos perfilamento individual. Não vendemos esses dados. Não compartilhamos com adtech. Não usamos cookies de tracking de analytics (Google Analytics, Hotjar, Meta Pixel, etc).
Base legal: legítimo interesse (LGPD art. 7º, IX) com balanceamento — dado mínimo, finalidade restrita ao analytics do próprio creator, sem reidentificação possível.
5. Compartilhamento com terceiros (subprocessadores)
Compartilhamos dados apenas com subprocessadores estritamente necessários pra operar o serviço. Lista atual:
| Subprocessador | Finalidade | Localização | Acordo |
|---|---|---|---|
| Provedor de banco de dados | Banco de dados, autenticação e armazenamento de arquivos | Brasil | DPA padrão |
| Provedor de hospedagem web | Hospedagem da aplicação e logs operacionais | EUA | DPA padrão |
| Provedor de DNS e roteamento de email | DNS do domínio kurato.com.br e roteamento de email institucional | Global | DPA padrão |
| Stripe | Processamento de pagamentos recorrentes | EUA + Brasil | PSP autorizado pelo BACEN |
| Provedor de email transacional | Envio de emails operacionais (boas-vindas, alertas, recuperação de senha) | EUA | DPA padrão |
| Login com Google (autenticação) | EUA | Escopo mínimo (email e nome) | |
| Provedor de IA (LLM) | Funcionalidades futuras de IA (não em uso ativo no momento) | EUA | DPA enterprise |
| Provedor de coleta de dados públicos | Coleta complementar de informações públicas dos marketplaces quando a API oficial é insuficiente | Global | Apenas dados públicos dos marketplaces — não recebe dados de creators ou visitantes |
Transferências internacionais: alguns subprocessadores estão fora do Brasil. Garantimos contratos com cláusulas de proteção equivalentes à LGPD (art. 33-36). Não compartilhamos dados pessoais de creators ou visitantes pra finalidade de marketing direto de terceiros.
6. Cookies e tecnologias similares
- Cookies essenciais: sessão de login autenticada e preferências mínimas de interface. Sem opt-in — são pré-requisito do serviço.
- Cookies de analytics: nenhum. Não usamos Google Analytics, Hotjar, Meta Pixel ou similares.
- Cookies de tracking de afiliação: os próprios marketplaces definem cookies no momento que o visitante clica e é redirecionado. Esses cookies estão fora do controle do Kurato e seguem as políticas individuais de cada marketplace.
7. Como guardamos os dados
- Credenciais de afiliação (chaves de API e tokens dos marketplaces): armazenadas com criptografia simétrica forte (AES-256-GCM), com a chave mestra mantida separada do banco de dados. Nem consultas diretas ao banco nem backups expõem o conteúdo em texto puro.
- Senhas de login: armazenadas com algoritmo de hash criptográfico unidirecional, com salt único por usuário. O Kurato nunca tem acesso à senha em texto puro.
- Backups: realizados automaticamente, criptografados em repouso.
- Logs operacionais: retidos por períodos limitados conforme a política de cada subprocessador, com prazo mínimo legal de 12 meses (Marco Civil da Internet).
8. Retenção e exclusão (LGPD art. 16)
- Dados de cadastro: enquanto a conta estiver ativa.
- Após cancelamento: 90 dias em retenção (pra reativação fácil), depois exclusão completa.
- Logs de acesso: guardados por 12 meses conforme exige o Marco Civil da Internet (Lei 12.965/2014, art. 13).
- Backups: ciclo de 30 dias — após exclusão da conta, backups são purgados em até 30 dias.
9. Direitos do titular (LGPD art. 18)
Como creator, você tem direito a:
- Acesso aos seus dados — exportação completa via contato@kurato.com.br (resposta em até 15 dias úteis).
- Correção de dados incorretos ou desatualizados.
- Anonimização ou exclusão de dados desnecessários, excessivos ou tratados em desconformidade.
- Portabilidade em formato CSV/JSON.
- Eliminação total com encerramento de conta.
- Informação sobre compartilhamento — esta política cobre, mas você pode pedir relatório específico.
- Revogação de consentimento quando aplicável.
Como exercer: envie email pra contato@kurato.com.br com assunto [LGPD] e identificação. Resposta em até 15 dias úteis.
10. Encarregado de proteção de dados (DPO)
No estágio atual, a equipe fundadora do Kurato exerce informalmente a função de encarregado pelo tratamento de dados pessoais.
- Contato: contato@kurato.com.br com assunto
[LGPD] - Quando a base de creators ativos crescer, designaremos um DPO formal e atualizaremos esta política.
11. Comunicação de incidentes
Em caso de violação de dados pessoais que possa acarretar risco aos titulares:
- Notificaremos a ANPD em prazo razoável.
- Notificaremos os titulares afetados via email cadastrado.
- Detalharemos: dados afetados, escopo do incidente, medidas tomadas, riscos prováveis, e recomendações de proteção.
12. Mudanças nesta política
Versionamos esta política. Mudanças relevantes serão notificadas por email cadastrado com 15 dias de antecedência. Continuar usando o serviço após mudanças = aceite. Se discordar, você pode cancelar sem custo (ver Termos de Uso).
Versão atual: v1.0 — publicada em 27/04/2026.
13. Contato
- Email: contato@kurato.com.br
- Solicitações de direitos LGPD: assunto
[LGPD]