1. Controlador de dados
O controlador dos dados pessoais tratados pelo Katto Hub é Kauan Felipe Cunha de Faria, pessoa física operando sob a marca Katto Neo. No momento atual a operação não possui CNPJ — Pix e faturas saem em nome do controlador (mesmo nome que aparece no rodapé deste site).
- Controlador
- Kauan Felipe Cunha de Faria
- Marca operada
- Katto Neo / Katto Hub
- Domicílio profissional
- Uberlândia / MG · Brasil
- Contato
- dpo@kattoneo.com
2. Encarregado pelo Tratamento de Dados (DPO)
O encarregado pelo tratamento de dados pessoais (Data Protection Officer), nos termos do Art. 41 da LGPD, é Kauan Felipe Cunha de Faria, que acumula a função neste estágio inicial da empresa.
- Email do DPO
- dpo@kattoneo.com
- Prazo de resposta
- até 15 dias úteis
- Atribuições
- Receber reclamações, prestar esclarecimentos a titulares e à ANPD, orientar funcionários e operadores (Art. 41, §2º LGPD)
Mais detalhes sobre o canal e atribuições em /dpo.
3. Dados pessoais coletados
A categoria de dados varia conforme a sua interação com o serviço. Coletamos apenas o necessário para cada finalidade descrita na seção 4.
- Identificação: nome, CPF (apenas no checkout), email, número de WhatsApp.
- Profissionais: nome da empresa, cargo, segmento, faixa de funcionários e faixa de faturamento.
- Técnicos: endereço IP, user agent, timestamps de acesso e cookies (detalhes em /cookies).
- De uso: páginas visitadas, ações realizadas dentro do produto e métricas agregadas de comportamento.
- De pagamento: processados diretamente pelo Asaas. Não armazenamos número de cartão (PCI-SAQ A-EP).
4. Finalidades e bases legais
Toda coleta tem uma finalidade específica e uma base legal da LGPD que a justifica.
| Finalidade | Dados usados | Base legal LGPD |
|---|---|---|
| Operação do serviço (executar contrato) | Identificação, profissionais, técnicos, uso | Art. 7º V — execução de contrato |
| Suporte e atendimento | Identificação, técnicos, uso | Art. 7º IX — legítimo interesse |
| Marketing e comunicação comercial | Identificação, profissionais | Art. 7º I — consentimento (revogável) |
| Cumprimento de obrigação legal/fiscal | Identificação, pagamento | Art. 7º II — obrigação legal |
- Finalidade
- Operação do serviço (executar contrato)
- Dados usados
- Identificação, profissionais, técnicos, uso
- Base legal LGPD
- Art. 7º V — execução de contrato
- Finalidade
- Suporte e atendimento
- Dados usados
- Identificação, técnicos, uso
- Base legal LGPD
- Art. 7º IX — legítimo interesse
- Finalidade
- Marketing e comunicação comercial
- Dados usados
- Identificação, profissionais
- Base legal LGPD
- Art. 7º I — consentimento (revogável)
- Finalidade
- Cumprimento de obrigação legal/fiscal
- Dados usados
- Identificação, pagamento
- Base legal LGPD
- Art. 7º II — obrigação legal
5. Compartilhamento de dados
Para operar o serviço, contamos com operadores (subprocessadores) que tratam dados em nosso nome, sob contrato de proteção de dados.
| Operador | Função | País | Política |
|---|---|---|---|
| Asaas | Processamento de pagamentos (Pix, cartão, boleto) | Brasil | Ver política |
| Supabase | Banco de dados Postgres + autenticação | Singapura (instância br-sa-east) | Ver política |
| Cloudflare | Storage de arquivos (CDN R2) | EUA / global | Ver política |
| Vercel | Hospedagem do site e da aplicação | EUA | Ver política |
| Google (GTM + Analytics 4) | Análise agregada de tráfego (mediante consentimento) | EUA | Ver política |
| OpenAI | Processamento de conversas com a IA Nexus (anonimizadas quando possível) | EUA | Ver política |
| Anthropic | Processamento auxiliar de IA em recursos selecionados (anonimizado quando possível) | EUA | Ver política |
- Operador
- Asaas
- Função
- Processamento de pagamentos (Pix, cartão, boleto)
- País
- Brasil
- Política
- Ver política
- Operador
- Supabase
- Função
- Banco de dados Postgres + autenticação
- País
- Singapura (instância br-sa-east)
- Política
- Ver política
- Operador
- Cloudflare
- Função
- Storage de arquivos (CDN R2)
- País
- EUA / global
- Política
- Ver política
- Operador
- Vercel
- Função
- Hospedagem do site e da aplicação
- País
- EUA
- Política
- Ver política
- Operador
- Google (GTM + Analytics 4)
- Função
- Análise agregada de tráfego (mediante consentimento)
- País
- EUA
- Política
- Ver política
- Operador
- OpenAI
- Função
- Processamento de conversas com a IA Nexus (anonimizadas quando possível)
- País
- EUA
- Política
- Ver política
- Operador
- Anthropic
- Função
- Processamento auxiliar de IA em recursos selecionados (anonimizado quando possível)
- País
- EUA
- Política
- Ver política
6. Retenção de dados
Mantemos os dados pelo tempo necessário para cumprir as finalidades descritas e atender obrigações legais.
- Durante a vigência do contrato: dados ativos enquanto sua conta estiver em uso.
- Após o cancelamento — identificação e fiscais: 5 anos (obrigação legal — Código Tributário Nacional e Código Civil).
- Após o cancelamento — uso e técnicos: 6 meses, depois eliminação ou anonimização.
- Marketing: mantidos até a revogação do consentimento.
Você pode solicitar a eliminação antecipada via /direitos (LGPD Art. 18 VI), exceto sobre dados que precisem ser mantidos por obrigação legal.
7. Direitos do titular (LGPD Art. 18)
Como titular dos dados, você tem garantidos os seguintes direitos, que podem ser exercidos a qualquer momento e gratuitamente:
- Confirmação da existência de tratamento
- Acesso aos dados
- Correção de dados incompletos, inexatos ou desatualizados
- Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade com a LGPD
- Portabilidade dos dados a outro fornecedor
- Eliminação dos dados pessoais tratados com base no consentimento
- Informação sobre as entidades públicas e privadas com as quais houve compartilhamento
- Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa
- Revogação do consentimento a qualquer momento
9. Segurança
Adotamos medidas técnicas e organizacionais para proteger os dados:
- Criptografia: dados criptografados em repouso (Supabase + Cloudflare R2) e em trânsito (TLS 1.3).
- Backups: backup diário automático do banco de dados.
- Isolamento entre clientes: cada empresa tem seus dados isolados via Row Level Security do Postgres.
- Acesso restrito: apenas colaboradores estritamente necessários têm acesso a dados pessoais (atualmente: somente o controlador).
- Notificação de incidentes: em caso de incidente de segurança relevante, notificamos a ANPD em até 2 dias úteis (Art. 48 LGPD) e os titulares afetados.
10. Crianças e adolescentes
O Katto Hub é destinado ao uso empresarial por maiores de 18 anos. Não coletamos intencionalmente dados de crianças ou adolescentes. Se identificarmos que dados de menores foram fornecidos sem o consentimento adequado dos responsáveis legais, eliminaremos esses dados imediatamente.
11. Alterações nesta política
Podemos atualizar esta Política para refletir mudanças no serviço, em requisitos legais ou em nossas práticas. Quando isso acontecer:
- Notificação prévia: comunicação por email com 15 dias de antecedência para alterações materiais.
- Versão atual: versão 1.0 — última atualização em 15 de maio de 2026.
- Histórico de versões: disponível mediante solicitação ao DPO.
12. Contato
Canais oficiais para questões de privacidade e proteção de dados:
- DPO (Encarregado)
- dpo@kattoneo.com
- Exercer direitos LGPD
- /direitos
- ANPD (autoridade nacional)
- gov.br/anpd