Política de Privacidade (LGPD)

1. Introdução (Introduction)

Propósito e Compromisso: Esta Política de Privacidade ("Política") tem como objetivo informar a você ("Titular dos Dados", "Usuário") sobre como a [Romantic Crown] ("Nós", "a Loja", "Controlador"), operando através da plataforma Shopify, coleta, utiliza, armazena, compartilha e protege seus dados pessoais.

O tratamento de seus dados é realizado em estrita conformidade com a Lei Geral de Proteção de Dados Pessoais do Brasil (LGPD - Lei nº 13.709/2018) e demais legislações aplicáveis.

A Loja reitera seu compromisso com o respeito à sua privacidade e a proteção dos seus dados, reconhecendo que a transparência e a segurança no tratamento de informações pessoais são fundamentais para construir e manter a confiança, elemento crucial para o desenvolvimento do comércio eletrônico e da economia digital.

Esta Política visa garantir que você compreenda nossas práticas e os direitos que possui sobre seus dados, alinhando-se aos princípios da LGPD, como o respeito à privacidade e à autodeterminação informativa.

Âmbito de Aplicação: Esta Política aplica-se a todas as atividades de tratamento de dados pessoais realizadas pela Loja que envolvam indivíduos localizados no Brasil, seja através da navegação e uso do nosso website hospedado na Shopify, da aquisição de nossos produtos, da interação com nossos canais de atendimento ou de qualquer outro serviço relacionado oferecido pela Loja.

A LGPD se aplica independentemente de a Loja estar sediada no Brasil, bastando que o tratamento de dados ocorra no território nacional, que a atividade tenha por objetivo a oferta de bens ou serviços a indivíduos no Brasil, ou que os dados pessoais tenham sido coletados no Brasil.

Definições Chave: Para garantir a clareza e a compreensão desta Política, apresentamos as definições de termos essenciais conforme a LGPD.

A compreensão destes termos é vital para que o Titular dos Dados entenda plenamente o escopo das operações de tratamento e as responsabilidades envolvidas, cumprindo assim o princípio da transparência exigido pela lei.

• Dado Pessoal: Qualquer informação relacionada a uma pessoa natural identificada ou identificável. Exemplos incluem, mas não se limitam a: nome, endereço de e-mail, endereço residencial ou de entrega, número de telefone, endereço IP, histórico de pedidos, dados de navegação.
• Dado Pessoal Sensível: Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural. A Loja não coleta intencionalmente dados pessoais sensíveis, a menos que seja estritamente necessário para uma finalidade específica e com seu consentimento explícito ou outra base legal aplicável conforme o Art. 11 da LGPD.
• Tratamento: Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
• Controlador: Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Nesta Política, a [Romantic Crown] é a Controladora dos seus dados pessoais.
• Operador: Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do Controlador. Exemplos incluem a plataforma Shopify, processadores de pagamento, empresas de logística e transporte, e fornecedores de ferramentas de marketing ou análise.
• Titular dos Dados: Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento (ou seja, você, o cliente/usuário).
• ANPD (Autoridade Nacional de Proteção de Dados): Órgão da administração pública federal responsável por zelar, implementar e fiscalizar o cumprimento da LGPD em todo o território nacional.

Importância das Definições: A clareza na definição destes termos é um pilar fundamental para a transparência exigida pela LGPD. Uma compreensão equivocada de conceitos como "Tratamento" ou "Controlador" pode levar a interpretações errôneas sobre as responsabilidades e os direitos aqui descritos, comprometendo a efetividade da comunicação e o cumprimento legal.

2. Informações do Controlador de Dados (Data Controller Information)

Identificação da Loja:

• Nome Empresarial Completo: [CLICK GIFT LTDA]
• CNPJ nº: [57338926/0001-09]
• Endereço Registrado/Principal: [RUA PRATES 456 ANDAR 1 SALA A BOM RETIRO SÃO PAULO CEP:01121000]

A identificação clara do Controlador é essencial para a responsabilização e prestação de contas (accountability), princípios basilares da LGPD.

Canal de Contato para Privacidade: Para quaisquer dúvidas sobre esta Política, sobre o tratamento dos seus dados pessoais, ou para exercer seus direitos como Titular dos Dados, entre em contato através do seguinte canal exclusivo:

• E-mail: [contato@romanticcrown.com.br]

Disponibilizar um canal específico facilita o exercício dos direitos dos titulares e a comunicação eficiente sobre privacidade.

Encarregado pelo Tratamento de Dados Pessoais (DPO):

: A [Romantic Crown] nomeou um Encarregado pelo Tratamento de Dados Pessoais (Data Protection Officer - DPO), conforme exigido pelo Artigo 41 da LGPD. O DPO é o ponto de contato entre a Loja, os Titulares dos Dados e a Autoridade Nacional de Proteção de Dados (ANPD). Suas responsabilidades incluem aceitar reclamações e comunicações dos titulares, prestar esclarecimentos, receber comunicações da ANPD, orientar funcionários e contratados sobre as práticas de proteção de dados e executar outras atribuições determinadas pelo Controlador ou previstas em normas complementares.

• Nome do DPO: [Min Chen]
• Contato do DPO: [shopify@lusunpremium.com]

: Conforme regulamentação específica da ANPD para agentes de tratamento de pequeno porte (Resolução CD/ANPD nº 2/2022), a [Romantic Crown], por se enquadrar nos critérios de [mencionar o critério, ex: microempresa, empresa de pequeno porte, startup], opta pela dispensa da nomeação do Encarregado exigida pelo art. 41 da LGPD. No entanto, a Loja mantém um canal de comunicação acessível (informado acima) para atender às demandas dos titulares sobre o tratamento de seus dados pessoais. A ausência de nomeação formal não exime a Loja do cumprimento integral das demais obrigações previstas na LGPD.

Nota: A decisão de não nomear um DPO deve ser cuidadosamente avaliada com base na regulamentação vigente da ANPD e no volume/natureza do tratamento de dados realizado. A regra geral, especialmente para e-commerce que processa um volume considerável de dados, é a necessidade de nomeação. A falha em nomear um DPO quando obrigatório constitui uma violação da LGPD.

Relevância da Nomeação do DPO: A figura do Encarregado (DPO) é central na estrutura de governança de dados da LGPD. Para a maioria das operações de e-commerce, que envolvem tratamento de dados pessoais em larga escala, a nomeação é uma exigência legal. A ausência de um DPO, quando requerido, representa um risco de conformidade significativo, sujeito a sanções pela ANPD. Portanto, a informação precisa sobre a existência e os contatos do DPO (ou a justificativa para sua ausência, se aplicável e legalmente permitida) é um componente crítico desta Política.

3. Dados Pessoais Coletados e Base Legal (Personal Data Collected and Legal Basis)

Como os Dados São Coletados: Seus dados pessoais podem ser coletados de diferentes formas:

• Fornecidos Diretamente por Você: Quando você cria uma conta em nossa loja, realiza um pedido, preenche formulários (como de contato, inscrição em newsletter), se comunica com nosso serviço de atendimento ao cliente, ou publica avaliações de produtos.
• Coletados Automaticamente: Através da sua interação com nosso website, por meio de tecnologias como cookies, pixels (incluindo os gerenciados pelo Shopify), e logs de servidor. Esses dados podem incluir seu endereço IP, tipo de dispositivo, navegador utilizado, páginas visitadas, tempo de permanência, e outras informações técnicas sobre sua navegação. Utilizamos ferramentas de análise, como o Shopify Analytics, para entender como os clientes navegam e interagem com a loja.
• Recebidos de Terceiros: Podemos receber informações sobre você de outras fontes, como da própria plataforma Shopify, de processadores de pagamento (para confirmação da transação), de plataformas de mídia social (se você optar por vincular sua conta ou interagir conosco através delas), de parceiros de marketing e publicidade, ou de provedores de análise de dados.

Categorias de Dados Pessoais Coletados: Coletamos e tratamos diferentes categorias de dados pessoais, conforme necessário para operar nossa loja e fornecer nossos serviços. Abaixo estão as principais categorias e exemplos:

• Dados de Identificação: Nome, sobrenome, nome de usuário ou identificador similar.
• Dados de Contato: Endereço de faturamento, endereço de entrega, endereço de e-mail, números de telefone.
• Dados Financeiros: Detalhes de cartão de pagamento (geralmente processados diretamente pelo gateway de pagamento; a Loja pode ter acesso a informações parciais como os últimos quatro dígitos, bandeira do cartão e data de validade para fins de confirmação e prevenção de fraudes). É importante ressaltar que a Loja não armazena os dados completos do seu cartão de crédito/débito.
• Dados Transacionais: Detalhes sobre pagamentos realizados, histórico de compras, produtos adquiridos, informações sobre devoluções ou trocas.
• Dados Técnicos: Endereço de Protocolo de Internet (IP), dados de login (de forma segura/hash), tipo e versão do navegador, configuração de fuso horário e localização (derivada do IP), tipos e versões de plug-ins do navegador, sistema operacional e plataforma, identificadores de dispositivo, IDs de cookies.
• Dados de Perfil: Nome de usuário e senha (armazenada de forma segura/hash), histórico de compras, produtos favoritos, preferências de usuário, feedback, respostas a pesquisas, itens salvos em listas de desejos.
• Dados de Uso: Informações sobre como você utiliza nosso website (páginas visitadas, produtos visualizados, ações de adicionar ao carrinho, eventos de checkout), interações com comunicações de marketing (abertura de e-mails, cliques em links).
• Dados de Marketing e Comunicações: Suas preferências quanto ao recebimento de marketing da nossa parte, suas preferências de comunicação, histórico de interações com nossas campanhas.
• Conteúdo Gerado pelo Usuário: Avaliações de produtos, comentários em blog (se aplicável), fotos ou outros conteúdos que você submete à Loja.

Bases Legais para o Tratamento: Todo tratamento de dados pessoais realizado pela Loja é fundamentado em uma base legal válida, prevista nos Artigos 7º e 11 (para dados sensíveis, se aplicável) da LGPD. As principais bases legais que utilizamos são:

• Consentimento (Art. 7º, I): Utilizado para finalidades específicas para as quais solicitamos sua autorização explícita, como o envio de e-mails de marketing, uso de cookies não essenciais, ou tratamento de dados sensíveis (se ocorrer). O consentimento deve ser livre, informado, inequívoco, específico para a finalidade e facilmente revogável a qualquer momento. A forma de obtenção do consentimento será clara (ex: uma caixa de seleção não pré-marcada para newsletters).
• Execução de Contrato ou Procedimentos Preliminares (Art. 7º, V): Necessário para cumprir nossas obrigações contratuais com você, como processar seu pedido, receber o pagamento, providenciar a entrega do produto, gerenciar sua conta relacionada à compra, e lidar com devoluções ou garantias.
• Cumprimento de Obrigação Legal ou Regulatória (Art. 7º, II): Quando o tratamento é necessário para cumprir leis ou regulamentos aos quais estamos sujeitos, como a emissão de notas fiscais, cumprimento de obrigações do Código de Defesa do Consumidor, ou atendimento a ordens judiciais ou de autoridades competentes.
• Legítimo Interesse (Art. 7º, IX): Podemos tratar dados com base em nosso legítimo interesse ou de terceiros, desde que suas liberdades e direitos fundamentais não prevaleçam. Exemplos incluem garantir a segurança do nosso site, prevenir fraudes, realizar análises internas para melhorar nossos serviços e produtos, e para fins administrativos. Nesses casos, realizamos uma avaliação (teste de balanceamento) para garantir a legitimidade e a proporcionalidade do tratamento. Os interesses legítimos específicos serão comunicados quando aplicável.
• Proteção do Crédito (Art. 7º, X): Aplicável em situações específicas relacionadas à análise e proteção de crédito, como em casos de vendas parceladas ou verificações para prevenção de fraudes financeiras, sempre em conformidade com a legislação pertinente.

Tabela Resumo: Categorias de Dados, Exemplos e Bases Legais: Para maior clareza e transparência, apresentamos uma tabela que resume as principais categorias de dados coletados, exemplos e a base legal predominante para seu tratamento nas operações essenciais da Loja.

Complexidade na Escolha da Base Legal: A definição da base legal apropriada para cada atividade de tratamento é uma etapa crucial e exige análise cuidadosa. Enquanto a Execução de Contrato é clara para o processamento de pedidos, outras finalidades, como análises ou personalização, podem recair sobre o Legítimo Interesse ou o Consentimento. O uso do Legítimo Interesse, embora flexível, demanda uma justificativa robusta e a realização de um teste de balanceamento documentado para mitigar riscos de questionamento sobre a prevalência dos direitos do titular. A aplicação incorreta de uma base legal (ex: usar 'Execução de Contrato' para justificar o envio de marketing não solicitado) representa uma violação direta da LGPD. A precisão nesta seção é, portanto, essencial para a conformidade.

4. Finalidade do Tratamento de Dados (Purpose of Data Processing)

Finalidades Detalhadas: Seus dados pessoais são tratados para finalidades específicas, legítimas, explícitas e informadas, em linha com os princípios da LGPD, como Finalidade, Adequação e Necessidade. Descrições vagas como "melhorar nossos serviços" são insuficientes; buscamos detalhar como os dados contribuem para resultados específicos. As principais finalidades incluem:

• Processar e Entregar seus Pedidos: Incluindo o recebimento e processamento de pagamentos, gerenciamento de taxas e encargos, organização do envio e entrega dos produtos, e administração de devoluções e trocas.
• Gerenciar nosso Relacionamento com Você: Criar e administrar sua conta de usuário, fornecer suporte ao cliente (responder a dúvidas, solicitações e reclamações), comunicar informações importantes sobre seus pedidos, sua conta ou alterações em nossas políticas.
• Melhorar e Personalizar sua Experiência: Analisar como nosso website é utilizado para otimizar seu layout e funcionalidade, entender as preferências dos clientes para aprimorar nosso catálogo de produtos, oferecer recomendações de produtos ou conteúdos personalizados (o nível de personalização pode exigir Consentimento, especialmente se baseado em perfilamento detalhado).
• Realizar Ações de Marketing e Promoção: Enviar newsletters, informações sobre novos produtos, ofertas especiais ou outras comunicações de marketing, apenas se você tiver fornecido seu Consentimento explícito para isso. Gerenciar suas preferências de recebimento (opt-in/opt-out).
• Garantir a Segurança e Prevenir Fraudes: Proteger nosso website e sistemas contra atividades maliciosas, detectar e prevenir transações fraudulentas, garantir a segurança da rede e dos dados.
• Realizar Análises e Gerar Relatórios Internos: Analisar dados de vendas, tráfego do site e comportamento do usuário para entender o desempenho do negócio e tomar decisões estratégicas (priorizando o uso de dados agregados ou anonimizados sempre que possível).
• Cumprir Obrigações Legais e Regulatórias: Atender a exigências legais, como as fiscais (emissão de notas) ou do direito do consumidor, responder a requisições de autoridades competentes ou ordens judiciais, e proteger nossos direitos legais.

Importância da Especificidade da Finalidade: O princípio da Finalidade na LGPD exige que os dados sejam coletados para propósitos determinados e legítimos. Usar dados coletados para uma finalidade (ex: endereço para entrega) para outra finalidade incompatível (ex: marketing não solicitado) sem uma base legal adicional (como o consentimento) é vedado. Por isso, detalhar cada propósito de forma clara e vinculá-lo à base legal correspondente é essencial para a transparência e conformidade.

5. Compartilhamento de Dados Pessoais (Sharing of Personal Data)

Categorias de Destinatários: Para operar nossa loja e fornecer nossos serviços, podemos precisar compartilhar seus dados pessoais com certas categorias de terceiros. O compartilhamento ocorre apenas quando necessário e sob bases legais válidas. Garantimos que você seja informado sobre com quem seus dados são compartilhados. As categorias de destinatários incluem:

• Plataforma Shopify: Como nossa provedora de plataforma de e-commerce, a Shopify Inc. (e suas afiliadas) atua como Operadora, tratando dados em nosso nome para possibilitar a funcionalidade da loja, hospedagem, processamento inicial de dados, ferramentas de análise, entre outros. A Shopify possui suas próprias políticas e medidas de segurança, e nosso relacionamento é regido por um Adendo de Processamento de Dados (DPA).
• Processadores de Pagamento: Empresas especializadas (ex: Stripe, PayPal, Mercado Pago, PagSeguro) que processam suas transações financeiras de forma segura. Conforme mencionado, a Loja não armazena seus dados completos de cartão.
• Empresas de Logística e Transporte: Para realizar a entrega dos seus pedidos (ex: Correios, transportadoras privadas), compartilhamos seu nome, endereço de entrega e informações de contato.
• Parceiros de Marketing e Publicidade: Ferramentas e plataformas que nos auxiliam em atividades de marketing, como envio de e-mails (ex: Mailchimp, Klaviyo), análise de campanhas, e veiculação de publicidade direcionada (ex: Google Ads, Facebook Pixel). O compartilhamento para fins de publicidade direcionada geralmente requer seu Consentimento prévio, obtido através da gestão de cookies ou opt-ins específicos.
• Provedores de Ferramentas de Análise: Serviços que nos ajudam a entender o tráfego do site e o comportamento do usuário (ex: Google Analytics). O tratamento por essas ferramentas geralmente se baseia em seu Consentimento para cookies analíticos ou em nosso Legítimo Interesse (com dados anonimizados ou pseudonimizados sempre que possível).
• Ferramentas de Atendimento ao Cliente: Plataformas que utilizamos para fornecer suporte, como sistemas de chat online ou helpdesk.
• Desenvolvedores de Aplicativos (Apps): Se utilizarmos aplicativos de terceiros instalados em nossa loja Shopify, esses aplicativos podem acessar certas categorias de dados pessoais conforme as permissões concedidas durante a instalação. A responsabilidade pela escolha e gestão desses aplicativos, garantindo que tratem os dados de forma segura e conforme a LGPD, recai sobre a Loja (Controlador).
• Consultores Profissionais: Nossos advogados, contadores, auditores e seguradoras, quando necessário para a prestação de seus serviços profissionais ou para cumprir obrigações legais ou contratuais.
• Autoridades Legais e Regulatórias: Quando exigido por lei, ordem judicial, ou para proteger nossos direitos legais, podemos compartilhar dados com autoridades governamentais, policiais ou judiciais.

Diligência com Operadores: Exigimos contratualmente que todos os terceiros que atuam como Operadores de dados em nosso nome (como a Shopify, processadores de pagamento, fornecedores de logística, etc.) respeitem a segurança dos seus dados pessoais e os tratem de acordo com a LGPD e nossas instruções. Isso é formalizado através de Adendos de Processamento de Dados (DPAs) ou cláusulas contratuais equivalentes.

Não Comercialização de Dados: A [Romantic Crown] não vende seus dados pessoais no sentido tradicional da palavra (troca de dados por compensação monetária). No entanto, algumas atividades de compartilhamento com parceiros de publicidade online, mediante seu consentimento para cookies de marketing, podem envolver tecnologias que alguns regulamentos (como o CCPA na Califórnia) interpretam de forma ampla. Garantimos transparência sobre essas práticas e o controle via gestão de consentimento.

Risco Associado aos Aplicativos Shopify: O ecossistema de aplicativos da Shopify representa um ponto de atenção significativo para a gestão de dados. Cada aplicativo instalado pode acessar diferentes conjuntos de dados e operar como um Operador distinto (ou, em alguns casos, até mesmo como Controlador conjunto ou independente). Como Controladora principal, a Loja é responsável por garantir que esses aplicativos estejam em conformidade com a LGPD. Isso exige um processo interno de diligência na seleção de aplicativos, revisão de suas políticas de privacidade e permissões solicitadas, e monitoramento contínuo. Embora esta Política informe sobre o possível compartilhamento com aplicativos, a gestão ativa desse risco é uma obrigação operacional da Loja.

6. Armazenamento, Segurança e Retenção de Dados (Data Storage, Security, and Retention)

Local de Armazenamento: Seus dados pessoais são armazenados em servidores seguros, que podem estar localizados no Brasil ou em outros países, dependendo da infraestrutura dos nossos fornecedores de serviços, como a Shopify (que utiliza data centers globais, incluindo Canadá e Estados Unidos). Quando os dados são armazenados ou transferidos para fora do Brasil, adotamos as salvaguardas legais exigidas pela LGPD, conforme detalhado na seção sobre Transferência Internacional de Dados.

Medidas de Segurança: Implementamos e exigimos de nossos parceiros a implementação de medidas técnicas, físicas e administrativas apropriadas para proteger seus dados pessoais contra acesso não autorizado, divulgação, alteração, perda acidental ou destruição. Essas medidas incluem, mas não se limitam a:

• Utilização de servidores e redes seguras com firewalls e sistemas de detecção de intrusão.
• Criptografia de dados sensíveis, tanto em trânsito (usando protocolos como TLS/SSL) quanto em repouso.
• Controles de acesso rigorosos, baseados em necessidade de conhecimento, com autenticação forte (senhas complexas, autenticação multifator sempre que possível).
• Realização de avaliações de segurança e auditorias periódicas para identificar e corrigir vulnerabilidades.
• Políticas internas e treinamento regular de nossos colaboradores sobre segurança da informação e proteção de dados.
• Processamento seguro de pagamentos através de gateways que aderem aos padrões PCI-DSS (Payment Card Industry Data Security Standard).
• Adoção de práticas de minimização de dados, coletando apenas o necessário para cada finalidade.
• Planos de backup e recuperação de dados para garantir a continuidade e a integridade das informações.

Retenção de Dados: Seus dados pessoais são mantidos apenas pelo tempo estritamente necessário para cumprir las finalidades para as quais foram coletados, incluindo o cumprimento de obrigações legais, contratuais, de prestação de contas ou requisição de autoridades competentes. Os critérios utilizados para determinar os períodos de retenção incluem:

• A duração necessária para fornecer os produtos e serviços solicitados e manter nosso relacionamento comercial.
• Prazos exigidos por leis ou regulamentos específicos (ex: leis fiscais podem exigir a guarda de notas fiscais e registros financeiros por 5 anos ou mais; o Código de Defesa do Consumidor pode implicar prazos para reclamações).
• Prazos prescricionais aplicáveis a possíveis ações judiciais ou administrativas.
• A existência contínua da finalidade original do tratamento.
• A manutenção ou revogação do seu consentimento, para tratamentos baseados exclusivamente nesta base legal.

Após o término do período de retenção necessário, os dados pessoais serão eliminados de forma segura ou anonimizados (processo pelo qual o dado perde a possibilidade de associação, direta ou indireta, a um indivíduo), de modo que não possam mais identificá-lo. Evitamos definir prazos fixos genéricos, priorizando uma análise baseada nos critérios acima para cada tipo de dado e finalidade.

Equilíbrio na Retenção: A definição dos períodos de retenção adequados envolve um equilíbrio cuidadoso. Por um lado, a LGPD exige a minimização e a exclusão dos dados quando não mais necessários. Por outro lado, existem obrigações legais (fiscais, consumeristas) e necessidades de negócio legítimas (como a defesa em eventuais litígios dentro dos prazos prescricionais) que podem justificar a retenção por períodos mais longos. Uma política de retenção baseada em critérios claros, em vez de prazos fixos e arbitrários, demonstra uma abordagem estruturada e defensável, alinhada tanto com a LGPD quanto com outras exigências legais e de gestão de risco.

7. Direitos do Titular dos Dados (Data Subject Rights)

Seus Direitos sob a LGPD: A LGPD garante a você, como Titular dos Dados, uma série de direitos sobre seus dados pessoais, que podem ser exercidos a qualquer momento mediante requisição à Loja. Conforme o Artigo 18 da LGPD, seus direitos incluem:

• Confirmação da existência do tratamento: Saber se tratamos seus dados pessoais.
• Acesso aos dados: Obter uma cópia dos dados pessoais que temos sobre você.
• Correção de dados incompletos, inexatos ou desatualizados: Solicitar a retificação de informações incorretas.
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD: Requerer essas ações quando aplicável.
• Portabilidade dos dados: Solicitar a transferência dos seus dados pessoais (em formato estruturado e interoperável) para outro fornecedor de serviço ou produto, mediante requisição expressa, observados os segredos comercial e industrial.
• Eliminação dos dados pessoais tratados com o consentimento: Pedir a exclusão dos dados cujo tratamento foi baseado unicamente no seu consentimento, exceto nas hipóteses de conservação previstas no Artigo 16 da LGPD (como cumprimento de obrigação legal ou estudo por órgão de pesquisa).
• Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados: Saber com quem compartilhamos seus dados.
• Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa: Ser informado sobre seu direito de recusar o consentimento e o que pode acontecer caso o faça.
• Revogação do consentimento: Retirar seu consentimento a qualquer momento, de forma fácil e gratuita. A revogação não afeta a legalidade do tratamento realizado antes dela.
• Revisão de decisões automatizadas: Solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, como definições de perfis.
• Oposição ao tratamento: Opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto na LGPD.
• Peticionar em relação aos seus dados contra o controlador perante a Autoridade Nacional de Proteção de Dados (ANPD).

Como Exercer Seus Direitos: Para exercer qualquer um dos seus direitos listados acima, ou para tirar dúvidas sobre o tratamento dos seus dados, entre em contato conosco através do canal de privacidade dedicado informado na Seção 2 desta Política (E-mail: [contato@romanticcrown.com.br]). Para processar sua solicitação, poderemos precisar verificar sua identidade para garantir que estamos tratando com o titular dos dados ou seu representante legalmente autorizado, prevenindo fraudes. Responderemos à sua solicitação o mais breve possível. A LGPD estabelece que o titular tem direito a uma resposta imediata em formato simplificado ou, por meio de declaração clara e completa, que indique a origem dos dados, a inexistência de registro, os critérios utilizados e a finalidade do tratamento, fornecida no prazo de até 15 (quinze) dias, contado da data do requerimento. O exercício dos seus direitos é gratuito.

Operacionalização das Requisições (DSARs): Declarar os direitos na política é a parte mais simples; garantir a capacidade de atendê-los efetivamente é um desafio operacional significativo. A Loja possui (ou está implementando) processos internos para receber, registrar, verificar a identidade, localizar os dados relevantes (que podem estar na plataforma Shopify, em aplicativos de terceiros, ferramentas de marketing, etc.), executar a ação solicitada (acesso, correção, exclusão, etc.) e responder ao titular dentro do prazo legal de 15 dias. A ausência de um processo funcional para gerenciar as Requisições de Titulares de Dados (DSAR - Data Subject Access Request) representa uma falha grave de conformidade com a LGPD.

8. Cookies e Tecnologias Semelhantes (Cookies and Similar Technologies)

O que são Cookies: Cookies são pequenos arquivos de texto que sites armazenam no seu computador ou dispositivo móvel quando você os visita. Tecnologias semelhantes incluem pixels, web beacons, e scripts, que também podem coletar informações sobre sua interação com nosso site e e-mails. Utilizamos essas tecnologias para diversas finalidades, como garantir o funcionamento técnico do site, lembrar suas preferências, analisar o desempenho e a utilização da nossa loja, personalizar sua experiência e veicular publicidade relevante.

Tipos de Cookies Utilizados: Os cookies e tecnologias semelhantes que utilizamos podem ser classificados nas seguintes categorias:

• Estritamente Necessários: Essenciais para que o site funcione corretamente. Permitem funcionalidades básicas como navegação pelas páginas, acesso a áreas seguras (login) e o funcionamento do carrinho de compras. Estes cookies geralmente não exigem seu consentimento prévio, mas são informados em nossa ferramenta de gestão de consentimento.
• De Desempenho (ou Analíticos): Coletam informações sobre como os visitantes usam o site, como quais páginas são mais visitadas e se ocorrem erros. Ajudam-nos a melhorar o desempenho da loja. Os dados são geralmente coletados de forma agregada e anônima ou pseudônima. O uso destes cookies depende do seu consentimento. Exemplos incluem cookies do Google Analytics.
• Funcionais: Permitem que o site se lembre de escolhas que você fez (como nome de usuário, idioma ou região) para fornecer funcionalidades melhoradas e personalizadas. O uso destes cookies depende do seu consentimento.
• De Publicidade (ou Marketing/Rastreamento): São usados para rastrear sua atividade de navegação através de sites, a fim de construir um perfil dos seus interesses e exibir anúncios mais relevantes para você em nosso site ou em outros sites. Exemplos incluem cookies do Facebook Pixel e Google Ads. O uso destes cookies depende do seu consentimento explícito.

Gestão do Consentimento de Cookies: A LGPD exige um modelo de consentimento "opt-in", o que significa que cookies não essenciais (Desempenho, Funcionais, Publicidade) só podem ser ativados após você nos dar seu consentimento livre, informado e inequívoco. Gerenciamos isso da seguinte forma:

• Ao visitar nosso site pela primeira vez, você verá um banner ou pop-up de consentimento de cookies.
• Este banner informará sobre o uso de cookies e permitirá que você aceite todos, rejeite todos os não essenciais, ou personalize suas preferências, escolhendo quais categorias de cookies deseja ativar.
• Nenhuma caixa para cookies não essenciais estará pré-marcada.
• Você pode revisar e alterar suas preferências de cookies a qualquer momento.
• Disponibilizamos um link ou ícone persistente no site (geralmente no rodapé) que permite reabrir a ferramenta de gestão de consentimento.
• A retirada do consentimento deve ser tão fácil quanto o ato de consentir.
• Utilizamos uma Plataforma de Gestão de Consentimento (CMP) para registrar suas preferências e garantir que os scripts correspondentes sejam bloqueados ou ativados de acordo com sua escolha.

Cookies de Terceiros: Alguns cookies podem ser definidos por domínios diferentes do nosso site, pertencentes a terceiros como provedores de análise (Google Analytics), redes de publicidade (Google, Facebook), ou aplicativos Shopify que utilizamos. Embora não controlemos diretamente a configuração desses cookies, nossa ferramenta de gestão de consentimento busca controlar sua ativação com base nas suas preferências. Recomendamos também consultar as políticas de privacidade desses terceiros.

Necessidade de Gestão Ativa de Consentimento: O modelo de consentimento opt-in da LGPD é um requisito fundamental. Simples banners informativos que não bloqueiam cookies antes do consentimento ou que usam caixas pré-marcadas não são suficientes. A implementação de uma Plataforma de Gestão de Consentimento (CMP) robusta, que efetivamente controle o disparo de scripts de rastreamento com base nas escolhas do usuário, é, na prática, indispensável para lojas que utilizam ferramentas de análise ou marketing digital. A falha em obter consentimento válido para cookies não essenciais é uma violação comum e significativa da LGPD.

9. Transferência Internacional de Dados (International Data Transfer)

Ocorrência de Transferências: Reconhecemos que, para operar nossa loja e utilizar serviços de parceiros globais, seus dados pessoais podem ser transferidos, armazenados e processados em países fora do Brasil. Isso ocorre principalmente devido ao uso da plataforma Shopify, cujos servidores e subprocessadores estão localizados em países como Canadá e Estados Unidos, e potencialmente pelo uso de outros serviços ou aplicativos hospedados internacionalmente.

Salvaguardas para Transferências: A LGPD permite a transferência internacional de dados apenas se o Controlador garantir um nível de proteção de dados adequado, compatível com a própria lei. Para assegurar essa proteção, utilizamos os mecanismos legais previstos na LGPD, que podem incluir:

• Transferência para países ou organismos internacionais que proporcionem grau de proteção de dados pessoais adequado ao previsto na LGPD (decisão de adequação da ANPD). Atualmente, a ANPD está avaliando níveis de adequação.
• Utilização de Cláusulas Contratuais Padrão (Standard Contractual Clauses - SCCs) que estabelecem garantias de proteção de dados entre o exportador (nós) e o importador dos dados no exterior. A ANPD publicou modelos e diretrizes para o uso dessas cláusulas.
• Obtenção do seu consentimento específico e em destaque para a transferência, com informação prévia sobre a ausência de garantias de adequação no país de destino, se for o caso.
• Outros mecanismos autorizados pela LGPD e regulamentados pela ANPD, como Normas Corporativas Globais (Binding Corporate Rules - BCRs) ou selos e certificados de conformidade.

No caso específico da Shopify, as transferências de dados de residentes no EEE/Reino Unido/Suíça para o Canadá são cobertas por uma decisão de adequação da Comissão Europeia reconhecida pela ANPD em certos contextos, e transferências subsequentes para outros países (como os EUA) são protegidas por compromissos contratuais. Para dados originados no Brasil, garantimos que as transferências para a Shopify e outros parceiros internacionais estejam cobertas por mecanismos válidos sob a LGPD, como as Cláusulas Contratuais Padrão.

Cenário Regulatório em Evolução: As regras para transferências internacionais sob a LGPD ainda estão sendo detalhadas e implementadas pela ANPD. O uso de mecanismos como as Cláusulas Contratuais Padrão exige não apenas a assinatura, mas a garantia de que oferecem proteção efetiva na prática, considerando a legislação do país de destino. É fundamental que a Loja monitore continuamente as orientações da ANPD e as mudanças no cenário global de transferências de dados para garantir a conformidade contínua das suas operações que envolvem fluxos internacionais de dados.

10. Atualizações da Política de Privacidade (Privacy Policy Updates)

Cláusula de Modificação: Esta Política de Privacidade pode ser atualizada periodicamente para refletir mudanças em nossas práticas de tratamento de dados, nos serviços oferecidos, ou em decorrência de alterações na legislação aplicável ou em regulamentações da ANPD.

Notificação de Alterações: Quando realizarmos alterações significativas nesta Política, notificaremos você através dos canais apropriados, como um aviso em nosso website ou por e-mail (caso tenhamos seu contato e consentimento para tal comunicação). Recomendamos que você revise esta Política regularmente.

Data da Última Atualização: A data da última revisão desta Política está indicada no início do documento.

11. Contato (Contact)

Reiteração do Canal de Contato: Se você tiver quaisquer perguntas, comentários ou preocupações sobre esta Política de Privacidade, sobre como tratamos seus dados pessoais, ou se desejar exercer seus direitos como Titular dos Dados conforme a LGPD, por favor, entre em contato conosco através do nosso canal dedicado à privacidade:

• E-mail: [contato@romanticcrown.com.br]

Disponibilizar e reiterar um canal claro e acessível é fundamental para que os titulares possam efetivamente se comunicar com o Controlador e exercer seus direitos.