Última atualização: 26 de setembro de 2025

Este documento apresenta a Política de Privacidade da Mystea Comércio de Produtos Naturais Ltda. (CNPJ 00.000.000/0001‑00), sediada em Curitiba‑PR. Como e‑commerce de chás naturais, velas artesanais e sabonetes aromatizados, levamos a sério a proteção dos dados pessoais dos nossos clientes, potenciais clientes, fornecedores e visitantes. Elaboramos esta política em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 – LGPD) e demais normas aplicáveis, com base em orientações governamentais e boas práticas de mercado.

1. Definições fundamentais

  • Dados pessoais: qualquer informação relacionada a pessoa natural identificada ou identificável (nome, CPF, telefone, e‑mail, endereço, endereço IP, cookies etc.).

  • Dados pessoais sensíveis: dados sobre origem racial/étnica, convicção religiosa, opinião política, filiação a sindicato, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos. A Mystea não coleta dados sensíveis, salvo quando necessário para proteger a saúde (alergias aos ingredientes dos produtos) ou cumprir obrigações legais, obtendo consentimento específico quando exigido.

  • Tratamento: toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle.

  • Controlador: pessoa jurídica responsável pelas decisões referentes ao tratamento de dados. Para esta política, a controladora é a Mystea.

  • Operador: pessoa que realiza o tratamento em nome do controlador (empresas de hospedagem, gateways de pagamento, transportadoras, softwares de marketing).

  • Encarregado/DPO: pessoa indicada pela Mystea para atuar como canal de comunicação entre a empresa, os titulares e a ANPD. O Encarregado atual é Maria da Silva, e‑mail privacidade@mystea.com.br.

2. Dados pessoais que coletamos

Coletamos apenas os dados necessários para cumprir finalidades específicas, respeitando o princípio da necessidade.

2.1 Dados informados diretamente pelos titulares

  1. Cadastro e compras: nome completo, CPF/CNPJ, data de nascimento, gênero (opcional), telefone, endereço completo, e‑mail e senha. Para compras, coletamos dados de pagamento (número do cartão, nome do titular, data de validade, código de segurança). Utilizamos gateways de pagamento certificados; armazenamos apenas identificadores parciais (por exemplo, quatro últimos dígitos) e códigos de autorização, não guardando o número completo do cartão nos nossos sistemas.

  2. Comunicação com o suporte: informações fornecidas por e‑mail, chat, telefone ou redes sociais, bem como registros de atendimento.

  3. Newsletter e marketing: nome e e‑mail para envio de novidades e promoções.

  4. Comentários, avaliações e mensagens em formulários: conteúdo de avaliações de produtos, perguntas em nosso FAQ ou mensagens enviadas pelo formulário de contato.

  5. Conta social: se você optar por se cadastrar ou fazer login usando redes sociais (Google, Facebook, Apple, etc.), coletaremos as informações autorizadas por essas plataformas (nome, e‑mail, foto de perfil). Essas plataformas são responsáveis pelo tratamento inicial e fornecem seus dados mediante sua autorização; recomendamos que consulte suas políticas de privacidade.

2.2 Dados coletados automaticamente

  1. Dados de navegação: endereço IP, dispositivo, sistema operacional, tipo e versão do navegador, geolocalização aproximada, data e hora de acesso, URL de referência, resolução de tela, idioma, tempo de permanência e páginas visitadas.

  2. Cookies e identificadores eletrônicos: para lembrar preferências, acompanhar sessões, realizar análises de desempenho e direcionar publicidade. Os tipos de cookies utilizados estão descritos na Seção 7.

  3. Registros de transações e logs: histórico de compras, itens visualizados, carrinho de compras, tentativas de login, resultados de antifraude e histórico de atendimento.

  4. Dados anonimizados: utilizamos técnicas de anonimização para gerar estatísticas agregadas de navegação e vendas. Esses dados não identificam ou tornam identificável o titular, nos termos do art. 12 da LGPD, e podem ser usados sem consentimento para fins analíticos.

2.3 Dados sensíveis e informações sobre saúde

Quando você voluntariamente nos informa restrições alimentares ou alergias relacionadas ao consumo de chás, tratamos esses dados sensíveis para protegê‑lo de riscos à saúde. O tratamento baseia‑se na proteção da vida ou da incolumidade física do titular (art. 7º, VII, LGPD) e exige consentimento livre e informado.

2.4 Dados de terceiros

Podemos receber dados pessoais de parceiros logísticos, plataformas de pagamento ou redes de afiliados quando você realiza compras em marketplaces ou utiliza cupons de nossos parceiros. Também podemos consultar birôs de crédito e plataformas antifraude para avaliar risco de operações; nesses casos, tratamos apenas as informações necessárias para evitar fraudes ou inadimplência.

3. Finalidades do tratamento e bases legais

Adotamos diferentes bases legais para tratar dados pessoais, conforme art. 7º da LGPD. A tabela a seguir resume as principais finalidades e bases legais:

Finalidade Exemplos de uso Base legal
Execução de contrato e de procedimentos preliminares Processar pedidos, emitir notas fiscais, gerenciar contas, entregar produtos, confirmar pagamentos, oferecer suporte, permitir login via redes sociais Execução de contrato (art. 7º, V, LGPD)
Cumprimento de obrigação legal ou regulatória Emissão de documentos fiscais, prestação de contas ao fisco, cumprimento de normas sanitárias e de defesa do consumidor Obrigação legal (art. 7º, II, LGPD)
Consentimento Envio de comunicações de marketing, coleta de dados sensíveis sobre alergias, uso de cookies de marketing Consentimento (art. 7º, I, LGPD); pode ser revogado a qualquer momento
Legítimo interesse Análise de uso do site, prevenção a fraudes e segurança, personalização de conteúdo, oferta de produtos relacionados, registro de atendimento Legítimo interesse (art. 10, LGPD), observando a necessidade e o equilíbrio com direitos e liberdades do titular
Execução regular de direitos Cobrança de dívidas, defesas em processos judiciais ou administrativos, envio de informações a órgãos de proteção ao crédito Execução regular de direitos (art. 7º, VI, LGPD)
Proteção da vida ou da incolumidade física Tratamento de alergias ou restrições alimentares, comunicação de alertas de saúde Proteção da vida (art. 7º, VII, LGPD)

Poderemos utilizar mais de uma base legal para uma mesma finalidade, especialmente quando tivermos obrigação de manter registros ou comprovar consentimento.

4. Compartilhamento de dados pessoais

Somente compartilhamos dados pessoais com terceiros para cumprir finalidades legítimas. Os principais destinatários são:

  • Provedores de pagamento e antifraude: empresas que processam transações eletrônicas (como PagSeguro, Mercado Pago) e prestadores de serviços antifraude para validar compras e combater atividades ilícitas.

  • Transportadoras e correios: empresas responsáveis pela entrega dos pedidos. Recebem nome, endereço, telefone e, se necessário, informações adicionais para garantir a entrega.

  • Prestadores de serviços de tecnologia e hospedagem: fornecedores de plataformas de e‑commerce, computação em nuvem, análise de dados e serviços de armazenamento. Dados podem ser transferidos para servidores no exterior, conforme a Seção 5.

  • Plataformas de marketing e publicidade: serviços de e‑mail marketing, redes sociais (Facebook, Google Ads, Instagram), redes de afiliados e parceiros de remarketing. Compartilhamos identificadores para segmentar campanhas quando você consentir.

  • Autoridades governamentais, órgãos de controle ou entidades regulatórias: quando exigido por lei, ordem judicial ou solicitação da ANPD, de órgãos de defesa do consumidor e autoridades fiscais.

  • Birôs de crédito e entidades de proteção ao crédito: para análise de risco, prevenção a fraudes e cobranças.

  • Consultores, advogados e auditores: quando necessário para a defesa de nossos direitos em processos administrativos, judiciais ou arbitrais.

  • Eventos societários: em caso de fusão, aquisição, incorporação ou reestruturação societária. Nesta hipótese, os dados serão transferidos somente se o adquirente ou sucessor assumir o compromisso de observância desta política ou apresentar política equivalente.

Não comercializamos dados pessoais. Sempre que possível, compartilhamos dados de forma anonimizada ou pseudonimizada para reduzir riscos aos titulares.

5. Transferências internacionais

Alguns fornecedores de tecnologia, hospedagem e marketing que utilizamos mantêm servidores em outros países. Nesses casos, os dados pessoais podem ser transferidos para fora do Brasil. As transferências ocorrem apenas quando o país destinatário oferece nível de proteção equivalente ao da LGPD ou quando existem mecanismos de proteção como cláusulas contratuais padrão, normas corporativas globais, selos, certificações ou autorizações da ANPD. Exemplos de provedores utilizados incluem Amazon Web Services (AWS) e Google Cloud, cujos data centers podem ficar nos Estados Unidos ou na União Europeia.

6. Segurança e boas práticas

Adotamos medidas técnicas e administrativas para proteger seus dados contra acessos não autorizados, destruição, perda, alteração, comunicação ou difusão. Entre as medidas estão:

  • Controle de acesso restrito a dados pessoais com base na necessidade e em múltiplos níveis de autenticação;

  • Criptografia de dados sensíveis em trânsito e em repouso;

  • Monitoramento e auditoria contínua dos sistemas, com logs de acesso e detecção de anomalias;

  • Políticas e treinamento de colaboradores, para conscientizar sobre boas práticas de segurança e confidencialidade;

  • Procedimentos de resposta a incidentes e comunicação aos titulares e autoridades competentes, quando necessário.

Ainda que sigamos padrões de segurança reconhecidos (como as normas ISO 27001/27701 e controles de privacidade recomendados pela ANPD), nenhum sistema é completamente invulnerável. Se você identificar ou suspeitar de algum incidente envolvendo seus dados, entre em contato imediatamente com nosso Encarregado.

7. Cookies e tecnologias de rastreamento

Utilizamos cookies e tecnologias semelhantes para melhorar a navegação, analisar desempenho e personalizar anúncios. Os tipos de cookies incluem:

  1. Cookies necessários: garantem o funcionamento básico do site (manter login, lembrar produtos no carrinho). Sem eles, alguns serviços podem não funcionar.

  2. Cookies funcionais: permitem lembrar preferências (idioma, região) e personalizar a experiência.

  3. Cookies analíticos ou de desempenho: coletam informações de forma anônima sobre como os visitantes utilizam o site, possibilitando melhorar conteúdo e funcionalidades.

  4. Cookies de publicidade ou marketing: usados para apresentar anúncios relevantes e medir a eficácia de campanhas.

Ao acessar nosso site pela primeira vez, apresentamos um banner de cookies solicitando seu consentimento para cookies não necessários. Você pode gerenciar ou revogar consentimentos a qualquer momento pelas configurações de cookies no site ou no navegador.

8. Decisões automatizadas e perfilamento

A Mystea utiliza ferramentas automatizadas para analisar transações e identificar possíveis fraudes, com base em algoritmos que consideram histórico de compras, comportamento de navegação e dados fornecidos. Essas análises são necessárias para proteger os titulares e a própria empresa contra fraudes. Quando uma compra é sinalizada como suspeita, nossa equipe revisa manualmente antes de tomar qualquer decisão. Não tomamos decisões que produzam efeitos jurídicos ou afetem significativamente o titular exclusivamente com base em tratamento automatizado (art. 20 da LGPD). Você tem direito de solicitar revisão de decisões automatizadas ou obter informações sobre os critérios utilizados.

9. Retenção e descarte de dados

Mantemos dados pessoais apenas pelo tempo necessário para cumprir as finalidades previstas nesta política e obrigações legais. Os principais prazos são:

  • Registros de transações e documentos fiscais: mantidos por, no mínimo, cinco anos após o término da relação comercial, conforme legislação fiscal e de defesa do consumidor.

  • Dados de cadastro e histórico de atendimento: mantidos enquanto a conta estiver ativa ou enquanto forem necessários para exercício de direitos em processos judiciais ou administrativos.

  • Dados de marketing: mantidos até a revogação do consentimento ou pelo período de até dois anos sem interação, conforme melhores práticas.

  • Logs de acesso e navegação: mantidos por até seis meses, conforme o Marco Civil da Internet (Lei nº 12.965/2014), ou por prazo maior quando necessário para atender investigações.

Após o término dos prazos, eliminamos ou anonimizamos os dados de forma segura.

10. Direitos dos titulares

Nos termos do art. 18 da LGPD, os titulares têm os seguintes direitos, que podem ser exercidos gratuitamente a qualquer momento:

  1. Confirmação da existência de tratamento de dados pessoais;

  2. Acesso aos dados pessoais tratados;

  3. Correção de dados incompletos, inexatos ou desatualizados;

  4. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou em desconformidade;

  5. Portabilidade dos dados a outro fornecedor de serviço ou produto, observada a regulamentação da autoridade nacional;

  6. Eliminação dos dados pessoais tratados com base no consentimento, exceto nas hipóteses em que a lei exigir conservação;

  7. Informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados;

  8. Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;

  9. Revogação do consentimento a qualquer momento, mediante manifestação expressa;

  10. Oposição ao tratamento de dados realizado com base em legítimo interesse, caso identifique situação de descumprimento da LGPD;

  11. Revisão de decisões automatizadas tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses;

  12. Peticionar perante a Autoridade Nacional de Proteção de Dados e órgãos de defesa do consumidor;

  13. Solicitar cópia eletrônica integral dos dados, quando o tratamento tiver origem no consentimento ou em contrato, conforme art. 19, § 3º, da LGPD.

11. Exercício dos direitos e contato

Para exercer quaisquer direitos, esclarecer dúvidas ou apresentar reclamações, entre em contato com o Encarregado de Proteção de Dados, Maria da Silva, pelo e‑mail privacidade@mystea.com.br ou pelo formulário disponível em nosso site. Ao receber sua solicitação, poderemos solicitar informações adicionais para confirmar sua identidade. Conforme art. 19 da LGPD, a resposta será fornecida em formato simplificado imediatamente ou, se necessário, por declaração completa em até 15 dias.
Se você não estiver satisfeito com nossa resposta, poderá peticionar diretamente à ANPD ou aos órgãos de defesa do consumidor.

12. Crianças e adolescentes

Nossos produtos e serviços destinam‑se a pessoas com 18 anos ou mais. Não coletamos intencionalmente dados de crianças ou adolescentes. Caso identifiquemos o tratamento indevido de dados de menores, eliminaremos as informações. Se for necessário tratar dados de menores (por exemplo, para programas educacionais ou de jovens aprendizes), obteremos consentimento específico do responsável legal, conforme art. 14 da LGPD.

13. Links externos e serviços de terceiros

Nosso site pode conter links para sites de terceiros (blogs parceiros, redes sociais, parceiros logísticos, gateways de pagamento). A Mystea não se responsabiliza pelas práticas de privacidade desses sites ou serviços. Recomendamos que você leia as políticas de privacidade de cada site que visitar.
Ao utilizar serviços de terceiros integrados ao nosso (como login social ou pagamento via parceiros), você está sujeito aos termos e políticas dessas plataformas. Esses serviços podem coletar e tratar seus dados de maneira independente e são considerados controladores para fins da LGPD.

14. Atualizações desta política

Esta política pode ser alterada a qualquer momento para refletir mudanças em nossas práticas, em requisitos legais ou regulatórios. Quando houver alterações significativas (por exemplo, inclusão de novas finalidades ou tipos de dados), você será informado por meio de aviso no site ou envio de e‑mail, com destaque sobre as mudanças e a possibilidade de revogar seu consentimento. Manteremos histórico das versões anteriores para consulta.

Referências: Esta política foi construída com base na Lei Geral de Proteção de Dados (LGPD), em especial nos arts. 7º e 18, nas orientações do Guia de Elaboração de Termo de Uso e Política de Privacidade do Governo Federal e nas recomendações do Serpro sobre elaboração de políticas de privacidade. Também foi inspirada nas boas práticas adotadas por grandes empresas que definem claramente conceitos de dados pessoais, bases legais e mecanismos de segurança.