A Política de Segurança de Dados e Privacidade da , sociedade limitada inscrita no CNPJ/MF sob o nº , com sede na estabelece os princípios fundamentais que regem o compromisso da empresa com a proteção, segurança e privacidade dos dados pessoais de seus usuários, clientes, parceiros e fornecedores. A BemDitto é responsável por esta loja e site, incluindo todas as informações, conteúdos, funcionalidades, ferramentas, produtos e serviços relacionados, com o objetivo de oferecer uma experiência de compra personalizada e segura. Esta política foi desenvolvida em estrita conformidade com as disposições da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), do Marco Civil da Internet (Lei nº 12.965/2014) e demais normativas aplicáveis à proteção de dados no território brasileiro, assegurando que todas as operações de tratamento de dados pessoais sejam realizadas de forma transparente, segura e respeitando os direitos fundamentais dos titulares.

Para os fins desta política, aplicam-se as definições estabelecidas na legislação brasileira de proteção de dados, sendo considerados dados pessoais toda informação relacionada a pessoa natural identificada ou identificável, incluindo mas não se limitando a nome completo, documentos de identificação, endereços residenciais e comerciais, informações de contato como telefones e endereços eletrônicos, dados bancários e financeiros, informações de navegação e comportamento digital, preferências de consumo, histórico de compras, dados biométricos quando aplicável, e qualquer outra informação que possa, direta ou indiretamente, identificar uma pessoa física. O tratamento de dados pessoais compreende toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. A empresa atua como controladora dos dados pessoais coletados em suas operações comerciais e digitais, sendo responsável pelas decisões referentes ao tratamento desses dados, sempre observando os princípios da finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização e prestação de contas.

A empresa coleta dados pessoais de seus usuários e clientes através de múltiplos canais e em diferentes momentos da jornada de relacionamento comercial, sempre com base em fundamentos legais específicos e para finalidades determinadas e legítimas. Durante o processo de cadastro e criação de conta na plataforma digital, são coletados dados de identificação pessoal como nome completo, data de nascimento, números de documentos oficiais (CPF, RG), informações de contato incluindo endereços de e-mail, números de telefone fixo e móvel, endereços residenciais completos com CEP, dados profissionais quando relevantes para o relacionamento comercial, e preferências de comunicação e marketing. No contexto das transações comerciais e processos de compra, a empresa coleta informações financeiras e de pagamento, incluindo dados de cartões de crédito e débito (armazenados de forma tokenizada e criptografada), informações bancárias para transferências e boletos, histórico de transações e compras, dados de entrega e logística, informações sobre produtos adquiridos, valores transacionados, e dados relacionados a programas de fidelidade e benefícios. A navegação e utilização dos serviços digitais da marca geram automaticamente dados técnicos e comportamentais, como endereços IP, informações sobre dispositivos utilizados (tipo, modelo, sistema operacional), dados de geolocalização quando autorizados, cookies e tecnologias similares, histórico de navegação e interação com o site, preferências de produtos e categorias, tempo de permanência nas páginas, origem do tráfego, e padrões de comportamento de compra. Todas essas informações são tratadas exclusivamente para finalidades específicas e legítimas, incluindo a execução de contratos de compra e venda, processamento de pagamentos e gestão financeira, logística de entrega e pós-venda, atendimento ao cliente e suporte técnico, personalização da experiência de compra e recomendações de produtos, comunicação de ofertas e promoções quando autorizada, prevenção a fraudes e atividades ilícitas, cumprimento de obrigações legais e regulatórias, análises estatísticas e melhoria dos serviços oferecidos, e gestão de relacionamento comercial de longo prazo.

O tratamento de dados pessoais pela empresa fundamenta-se em bases legais específicas previstas na Lei Geral de Proteção de Dados Pessoais, sendo aplicada a base legal mais adequada conforme a finalidade e o contexto de cada operação de tratamento. A execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular constitui o principal fundamento legal para o tratamento de dados no contexto das relações comerciais estabelecidas, abrangendo desde o processo de cadastro e criação de conta até a conclusão da entrega dos produtos adquiridos, incluindo todas as etapas intermediárias como processamento de pagamentos, logística de entrega, atendimento pós-venda, e gestão de garantias. O cumprimento de obrigação legal ou regulatória pelo controlador justifica o tratamento de dados quando necessário para atender exigências de órgãos governamentais, autoridades fiscais, reguladores do setor de comércio eletrônico, órgãos de defesa do consumidor, e demais entidades que possuam competência legal para solicitar informações específicas sobre as operações comerciais da empresa. O legítimo interesse do controlador é aplicado em situações específicas onde o tratamento é necessário para finalidades legítimas da marca, desde que não prevaleçam os direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais, incluindo atividades como prevenção a fraudes, segurança da informação, análises estatísticas para melhoria dos serviços, comunicação de informações relevantes sobre produtos e serviços, e gestão de risco comercial. O consentimento do titular é solicitado de forma específica, destacada e inequívoca para finalidades que não se enquadrem nas bases legais anteriores, particularmente para atividades de marketing direto, comunicação de ofertas promocionais, coleta de dados sensíveis quando aplicável, utilização de cookies não essenciais, e compartilhamento de dados com parceiros comerciais para finalidades específicas. A proteção da vida ou da incolumidade física do titular ou de terceiro pode justificar o tratamento em situações excepcionais onde seja necessário para preservar a segurança e integridade física das pessoas envolvidas nas operações comerciais ou logísticas da empresa.

A empresa pode compartilhar dados pessoais de seus clientes e usuários com terceiros específicos, sempre observando os princípios de necessidade, proporcionalidade e finalidade, garantindo que o compartilhamento ocorra exclusivamente para viabilizar a prestação dos serviços contratados ou para cumprimento de obrigações legais. Os dados pessoais podem ser compartilhados com prestadores de serviços e parceiros comerciais que atuam como operadores de dados, incluindo empresas especializadas em processamento de pagamentos e transações financeiras, operadoras de cartão de crédito e instituições bancárias, empresas de logística e transporte responsáveis pela entrega dos produtos, provedores de serviços de tecnologia da informação e hospedagem de dados, empresas de marketing digital e comunicação quando autorizado pelo titular, prestadores de serviços de atendimento ao cliente e suporte técnico, empresas de análise de dados e inteligência comercial, e fornecedores de soluções de segurança da informação e prevenção a fraudes. A marca é desenvolvida com tecnologia da Shopify, plataforma internacional de comércio eletrônico, que atua como operadora de dados e pode processar informações pessoais dos usuários conforme suas próprias políticas de privacidade e em conformidade com os padrões internacionais de proteção de dados, sendo que a Shopify mantém certificações de segurança reconhecidas mundialmente e implementa medidas técnicas e organizacionais adequadas para proteger os dados pessoais processados em sua infraestrutura. O compartilhamento com autoridades públicas, órgãos reguladores e entidades governamentais ocorre exclusivamente quando exigido por lei, determinação judicial, requisição de autoridades competentes, ou quando necessário para cooperar com investigações oficiais, sempre respeitando os limites legais e os direitos dos titulares dos dados. A transferência internacional de dados pessoais pode ocorrer quando necessária para a prestação dos serviços contratados, particularmente em função da utilização da plataforma Shopify, sendo que tais transferências são realizadas exclusivamente para países que ofereçam grau de proteção de dados pessoais adequado ao previsto na legislação brasileira, ou mediante a implementação de cláusulas contratuais específicas, certificações internacionais, ou outros mecanismos de proteção reconhecidos pela Autoridade Nacional de Proteção de Dados. Em todas as situações de compartilhamento, a marca exige que os terceiros receptores dos dados implementem medidas de segurança adequadas, respeitem os princípios de proteção de dados, utilizem as informações exclusivamente para as finalidades autorizadas, e mantenham a confidencialidade e integridade dos dados pessoais compartilhados.

A empresa implementa um conjunto abrangente de medidas técnicas, administrativas e físicas de segurança da informação, desenvolvidas para proteger os dados pessoais contra acessos não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito. As medidas técnicas de proteção incluem a utilização de sistemas de criptografia avançada para dados em trânsito e em repouso, implementação de protocolos seguros de comunicação (HTTPS/TLS), sistemas de autenticação multifator para acesso a sistemas críticos, firewalls e sistemas de detecção e prevenção de intrusões, monitoramento contínuo de segurança e análise de vulnerabilidades, backup regular e seguro dos dados com testes periódicos de recuperação, controles de acesso baseados em perfis e necessidade de conhecimento, e atualizações regulares de software e sistemas de segurança. As medidas administrativas englobam a definição de políticas internas de segurança da informação e proteção de dados, treinamento regular dos colaboradores sobre práticas de segurança e proteção de dados pessoais, implementação de procedimentos de resposta a incidentes de segurança, auditorias internas e externas regulares dos sistemas e processos, contratos específicos com fornecedores e parceiros estabelecendo obrigações de proteção de dados, procedimentos de controle de acesso físico e lógico aos sistemas, e programas de conscientização sobre segurança da informação. As medidas físicas incluem controles de acesso às instalações onde são processados dados pessoais, sistemas de monitoramento e vigilância das áreas críticas, proteção contra desastres naturais e incidentes ambientais, e segregação adequada dos ambientes de processamento de dados. A empresa mantém um plano de resposta a incidentes de segurança que estabelece procedimentos específicos para identificação, contenção, investigação e notificação de eventuais violações de dados pessoais, garantindo que a Autoridade Nacional de Proteção de Dados e os titulares afetados sejam comunicados nos prazos e condições estabelecidos pela legislação vigente. Todos os sistemas utilizados para processamento de dados pessoais são regularmente testados e auditados para garantir a efetividade das medidas de segurança implementadas, sendo realizadas avaliações de impacto à proteção de dados quando necessário conforme a natureza, escopo e finalidades do tratamento.

A empresa estabelece critérios específicos para determinação dos prazos de retenção de dados pessoais, baseados na finalidade do tratamento, exigências legais e regulatórias, necessidades operacionais legítimas, e direitos dos titulares dos dados. Os dados pessoais coletados para execução de contratos de compra e venda são mantidos pelo período necessário para cumprimento integral das obrigações contratuais, incluindo prazos de garantia dos produtos, possibilidade de exercício de direitos relacionados à relação de consumo, e atendimento a eventuais demandas pós-venda, sendo eliminados após o decurso dos prazos prescricionais aplicáveis conforme a legislação civil e consumerista brasileira. As informações financeiras e de pagamento são retidas pelo período mínimo exigido pela legislação fiscal e contábil, observando-se os prazos estabelecidos pela Receita Federal, Banco Central e demais órgãos reguladores, sendo eliminadas após o cumprimento integral das obrigações legais de guarda documental. Os dados de navegação e comportamento digital são mantidos por períodos menores, compatíveis com as finalidades de melhoria dos serviços e personalização da experiência do usuário, sendo anonimizados ou eliminados quando não mais necessários para tais finalidades. Os registros de comunicação e atendimento ao cliente são preservados pelo tempo necessário para garantir a qualidade do serviço prestado e resolver eventuais questões pendentes, respeitando-se os prazos de prescrição para reclamações consumeristas. A eliminação de dados pessoais é realizada de forma segura e irreversível, utilizando técnicas apropriadas para garantir que as informações não possam ser recuperadas ou reconstruídas, incluindo a destruição física de mídias de armazenamento quando aplicável e a utilização de algoritmos de eliminação segura para dados digitais. A empresa mantém registros das operações de eliminação de dados para fins de auditoria e comprovação do cumprimento das obrigações legais, preservando apenas as informações mínimas necessárias para demonstrar a conformidade com os procedimentos estabelecidos. Em casos específicos onde a eliminação possa conflitar com obrigações legais de preservação de documentos ou quando houver determinação judicial ou administrativa para manutenção dos dados, a marca suspende os procedimentos de eliminação até a resolução da questão, comunicando aos titulares quando aplicável sobre a manutenção temporária das informações.

A empresa reconhece e garante o exercício pleno dos direitos dos titulares de dados pessoais estabelecidos na Lei Geral de Proteção de Dados Pessoais, disponibilizando canais adequados e procedimentos transparentes para que os usuários possam exercer seus direitos de forma efetiva e gratuita. O direito de confirmação da existência de tratamento permite que qualquer pessoa solicite informações sobre se a marca possui dados pessoais seus em tratamento, recebendo resposta clara e objetiva sobre a existência ou não de tais dados em suas bases. O direito de acesso aos dados pessoais garante que o titular possa obter cópia integral de todos os seus dados pessoais tratados pela empresa, incluindo informações sobre as finalidades do tratamento, categorias de dados coletados, fontes de coleta, critérios de retenção, e terceiros com quem os dados foram compartilhados. O direito de correção assegura que o titular possa solicitar a atualização, correção ou complementação de dados pessoais incompletos, inexatos ou desatualizados, sendo que a empresa implementará as correções solicitadas no menor prazo possível e comunicará as alterações a terceiros com quem os dados tenham sido compartilhados quando necessário. O direito de anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a legislação permite que o titular solicite a cessação do tratamento inadequado de seus dados pessoais, sendo que a empresa avaliará cada solicitação considerando as bases legais aplicáveis e eventuais obrigações legais de retenção. O direito à portabilidade dos dados pessoais garante que o titular possa solicitar a transferência de seus dados pessoais para outro fornecedor de serviço ou produto, mediante requisição expressa e observadas as questões de segredo comercial e industrial, sendo fornecidos os dados em formato estruturado e de uso comum. O direito de eliminação dos dados pessoais tratados com base no consentimento permite que o titular solicite a exclusão definitiva de suas informações quando o consentimento for revogado e não houver outra base legal que justifique a manutenção do tratamento. O direito à informação sobre entidades públicas e privadas com as quais a loja realizou uso compartilhado de dados garante transparência sobre todos os compartilhamentos realizados, incluindo identificação dos destinatários e finalidades do compartilhamento. O direito à informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa assegura que o titular seja adequadamente informado sobre as implicações de suas escolhas relacionadas ao tratamento de dados pessoais. O direito de revogação do consentimento permite que o titular retire sua autorização para tratamento de dados pessoais a qualquer momento, sendo que a revogação não afeta a licitude do tratamento realizado antes da retirada do consentimento. Todos esses direitos podem ser exercidos através dos canais de contato disponibilizados pela empresa, sendo que as solicitações serão analisadas e respondidas no prazo máximo estabelecido pela legislação, com eventual prorrogação devidamente justificada quando a complexidade da solicitação assim exigir.

A loja online da marca utiliza cookies e tecnologias similares de rastreamento para melhorar a experiência de navegação dos usuários, personalizar conteúdos e ofertas, analisar o comportamento de navegação, e otimizar o funcionamento de seus serviços digitais, sempre respeitando a privacidade dos usuários e oferecendo controles adequados sobre tais tecnologias. Os cookies essenciais são utilizados para garantir o funcionamento básico do site e dos serviços oferecidos, incluindo cookies de sessão para manutenção do login do usuário, cookies de carrinho de compras para preservar itens selecionados durante a navegação, cookies de segurança para prevenção de fraudes e ataques maliciosos, e cookies técnicos necessários para o correto funcionamento das funcionalidades do site. Os cookies de desempenho e análise são empregados para coletar informações sobre como os usuários interagem com o site, permitindo identificar páginas mais visitadas, tempo de permanência, origem do tráfego, dispositivos utilizados, e outros dados estatísticos que auxiliam na melhoria contínua dos serviços oferecidos, sendo que essas informações são tratadas de forma agregada e anonimizada sempre que possível. Os cookies de funcionalidade permitem que o site lembre das escolhas e preferências dos usuários, como idioma selecionado, região de entrega, preferências de exibição, e outras configurações personalizadas que melhoram a experiência de navegação. Os cookies de marketing e publicidade são utilizados para exibir anúncios relevantes e personalizados, medir a efetividade de campanhas publicitárias, e limitar o número de vezes que um anúncio é exibido para o mesmo usuário, sendo que estes cookies dependem do consentimento específico do usuário e podem ser desabilitados a qualquer momento. A empresa utiliza também tecnologias similares como web beacons, pixels de rastreamento, e local storage para finalidades semelhantes aos cookies, sempre observando os mesmos princípios de transparência e controle pelo usuário. Os usuários têm controle total sobre os cookies utilizados, podendo aceitar, recusar ou personalizar suas preferências através das configurações disponibilizadas no site, sendo que a recusa de cookies não essenciais não prejudica o acesso aos serviços básicos oferecidos. As configurações de cookies podem ser alteradas a qualquer momento pelo usuário, e a empresa fornece informações claras sobre como gerenciar essas configurações tanto no site quanto através das configurações do navegador utilizado. A marca pode utilizar serviços de terceiros para análise de tráfego e comportamento, como Google Analytics e ferramentas similares, sendo que esses terceiros possuem suas próprias políticas de privacidade e práticas de tratamento de dados, às quais os usuários podem acessar através dos links fornecidos nas configurações de cookies do site.

A empresa reconhece a necessidade de proteção especial aos dados pessoais de crianças e adolescentes, implementando medidas específicas para garantir que o tratamento de dados de menores de idade ocorra sempre no melhor interesse da criança e do adolescente, com observância rigorosa dos princípios estabelecidos na Lei Geral de Proteção de Dados Pessoais e no Estatuto da Criança e do Adolescente. O tratamento de dados pessoais de crianças menores de 12 anos é realizado exclusivamente com o consentimento específico e em destaque dado por pelo menos um dos pais ou responsável legal, sendo que a empresa implementa mecanismos para verificar que o consentimento foi efetivamente dado pelo responsável legal e não pela própria criança. Para adolescentes entre 12 e 18 anos incompletos, o tratamento de dados pessoais observa as disposições específicas da legislação, podendo ser realizado com o consentimento do próprio adolescente em situações específicas ou com a autorização dos pais ou responsáveis legais conforme a natureza e sensibilidade dos dados envolvidos. A coleta de dados de menores de idade é limitada ao estritamente necessário para a finalidade pretendida, evitando-se a coleta excessiva ou desnecessária de informações pessoais, e priorizando-se sempre alternativas que minimizem o tratamento de dados pessoais. A empresa não direciona suas atividades de marketing e publicidade especificamente para crianças e adolescentes, evitando a criação de perfis comportamentais baseados em dados pessoais de menores de idade para finalidades comerciais. Os dados pessoais de menores de idade são tratados com medidas de segurança reforçadas, incluindo controles de acesso mais restritivos, criptografia adicional quando aplicável, e procedimentos específicos para resposta a incidentes que envolvam dados de crianças e adolescentes. Os pais ou responsáveis legais têm direito de acessar os dados pessoais de seus filhos menores tratados pela marca, podendo solicitar correção, atualização ou eliminação dessas informações, bem como revogar o consentimento anteriormente concedido. A empresa mantém registros específicos dos consentimentos obtidos para tratamento de dados de menores de idade, incluindo informações sobre como o consentimento foi coletado, quando foi concedido, e por quem foi autorizado. Em caso de identificação de tratamento inadequado de dados de crianças ou adolescentes, a empresa implementa imediatamente medidas corretivas, incluindo a cessação do tratamento inadequado, notificação aos responsáveis legais quando aplicável, e comunicação às autoridades competentes quando exigido pela legislação. A empresa oferece canais específicos para que pais e responsáveis possam exercer os direitos relacionados aos dados pessoais de seus filhos menores, garantindo atendimento prioritário e especializado para questões envolvendo proteção de dados de crianças e adolescentes.

A loja reserva-se o direito de modificar, atualizar ou complementar esta Política de Privacidade a qualquer momento, sempre que necessário para refletir mudanças na legislação aplicável, alterações nos serviços oferecidos, implementação de novas tecnologias, modificações nas práticas de tratamento de dados, ou para melhor esclarecer os procedimentos de proteção de dados adotados pela empresa. Todas as alterações realizadas nesta política serão comunicadas aos usuários e titulares de dados através dos canais de comunicação disponíveis, incluindo publicação de aviso destacado no site da empresa, envio de comunicação por e-mail para os usuários cadastrados quando a alteração for substancial, e disponibilização da nova versão da política com destaque para as principais modificações implementadas. As modificações entrarão em vigor imediatamente após sua publicação no site da empresa, exceto quando expressamente determinado prazo específico para entrada em vigor ou quando a legislação aplicável estabelecer procedimento diferenciado para implementação das alterações. Os usuários que continuarem utilizando os serviços da marca após a publicação de alterações na política serão considerados como tendo aceito tacitamente as novas condições estabelecidas, sendo recomendado que os usuários revisem periodicamente esta política para se manterem informados sobre as práticas de proteção de dados adotadas. Em caso de alterações substanciais que afetem significativamente os direitos dos titulares ou as finalidades de tratamento de dados pessoais, a empresa poderá solicitar novo consentimento específico dos usuários quando exigido pela legislação ou quando considerar apropriado para garantir a transparência e legitimidade do tratamento. A empresa mantém um histórico das versões anteriores desta política para fins de auditoria e comprovação da evolução das práticas de proteção de dados, preservando a capacidade de demonstrar a conformidade com as obrigações legais vigentes em cada período. Os usuários podem solicitar informações sobre alterações específicas realizadas na política ou esclarecer dúvidas sobre como as modificações afetam o tratamento de seus dados pessoais através dos canais de contato disponibilizados pela empresa.

Para exercício dos direitos dos titulares de dados pessoais, esclarecimento de dúvidas sobre esta Política de Privacidade, comunicação de incidentes de segurança, ou qualquer questão relacionada ao tratamento de dados pessoais pela empresa, os usuários podem entrar em contato através dos seguintes canais: e-mail , WhatsApp , ou correspondência física para o endereço . A empresa compromete-se a responder todas as solicitações relacionadas à proteção de dados pessoais no menor prazo possível, observando os prazos máximos estabelecidos pela Lei Geral de Proteção de Dados Pessoais, e a prestar todas as informações necessárias para o adequado exercício dos direitos dos titulares. O atendimento especializado em proteção de dados está disponível em horário comercial, sendo que solicitações urgentes relacionadas a incidentes de segurança ou violações de dados pessoais recebem tratamento prioritário independentemente do horário de recebimento. Todas as comunicações relacionadas à proteção de dados pessoais são tratadas com confidencialidade e segurança adequadas, sendo implementados procedimentos específicos para verificação da identidade dos solicitantes e proteção das informações trocadas durante o atendimento.