Privacidade
Última atualização: 12/06/2026
Política de Privacidade — BOX
Última atualização: [DATA DE PUBLICAÇÃO]
Versão: 1.0
Esta Política de Privacidade ("Política") explica, de forma transparente, como a BOX coleta, utiliza, compartilha, armazena e protege os dados pessoais dos usuários da Plataforma, em conformidade com a Lei Geral de Proteção de Dados Pessoais — LGPD (Lei nº 13.709/2018), com o Marco Civil da Internet (Lei nº 12.965/2014) e com o Código de Defesa do Consumidor (Lei nº 8.078/1990).
Esta Política integra os Termos de Uso da BOX. Termos iniciados em maiúscula e não definidos aqui têm o significado atribuído nos Termos de Uso.
1. Quem somos — Controlador e Encarregado (DPO)
1.1. Controlador dos dados pessoais:
[RAZÃO SOCIAL], inscrita no CNPJ sob o nº [CNPJ], com sede em [ENDEREÇO SEDE] ("BOX").
1.2. Encarregado pelo Tratamento de Dados Pessoais (DPO), nos termos do art. 41 da LGPD:
- E-mail: [E-MAIL DPO]
- O DPO é o canal de comunicação entre você, a BOX e a Autoridade Nacional de Proteção de Dados (ANPD).
1.3. Esta Política aplica-se a todos os usuários da Plataforma (compradores, vendedores, visitantes) e às pessoas cujos dados sejam tratados em decorrência do uso da BOX.
2. Quais dados coletamos
Coletamos apenas os dados necessários às finalidades descritas na Seção 3 (princípios da necessidade e da minimização — art. 6º, III, da LGPD).
2.1. Dados de cadastro e perfil
Nome completo; e-mail; identificador público (@handle); telefone/WhatsApp; cidade e UF; senha (armazenada de forma criptografada, nunca em texto claro); foto de perfil (opcional); registros de aceite dos Termos de Uso e desta Política (data e hora).
2.2. Dados de verificação de identidade (KYC)
Quando exigido (em especial para saques, repasses e operações de maior valor): CPF ou CNPJ; documento oficial com foto; comprovante de residência; dados da chave Pix ou conta de titularidade do usuário; dados do cadastro de recebedor junto ao parceiro de pagamento.
2.3. Dados transacionais
Anúncios publicados (descrições, fotos, preços, condição do item); pedidos, trocas e ofertas (valores, status, histórico de eventos); dados dos itens verificados na BOX (fotografias, vídeos, número de série, resultado dos testes, Laudo); endereços de envio e recebimento; dados de frete e rastreamento; movimentações da Carteira BOX (créditos, débitos, saques); registros de disputas, reembolsos e acionamentos da Garantia BOX (incluindo vídeos enviados pelo usuário).
2.4. Dados de pagamento
Identificadores das cobranças e transações gerados pelo parceiro de pagamento (gateway); modalidade (Pix/cartão), parcelas e valores. A BOX não armazena o número completo do seu cartão de crédito; esses dados são tratados diretamente pelo parceiro de pagamento, em ambiente próprio e certificado.
2.5. Dados de comunicação
Mensagens trocadas no chat interno da Plataforma; comunicações com o atendimento; avaliações e comentários; e-mails transacionais enviados e seus registros de entrega.
2.6. Dados de navegação e dispositivo
Endereço IP, data e hora de acesso (registros de acesso a aplicações, mantidos por força do art. 15 do Marco Civil da Internet); tipo de dispositivo, sistema operacional e navegador; páginas visitadas e interações na Plataforma; cookies e tecnologias similares (Seção 6).
2.7. A BOX não coleta deliberadamente dados pessoais sensíveis (art. 5º, II, da LGPD). Pedimos que você não insira esse tipo de informação em anúncios, mensagens ou campos livres.
3. Para que usamos os dados — finalidades e bases legais
Tratamos dados pessoais com fundamento nas bases legais do art. 7º da LGPD, conforme a tabela abaixo:
| # | Finalidade | Dados envolvidos | Base legal (art. 7º LGPD) |
|---|---|---|---|
| 3.1 | Criar e manter sua conta; autenticar acessos | Cadastro, navegação | Execução de contrato (inc. V) |
| 3.2 | Intermediar compras, vendas e trocas; operar o escrow; processar pagamentos, repasses e saques | Transacionais, pagamento, KYC | Execução de contrato (inc. V) |
| 3.3 | Realizar a verificação BOX e emitir o Laudo (incluindo registro de serial e mídia do item) | Transacionais | Execução de contrato (inc. V) |
| 3.4 | Ativar e operar a Garantia BOX e mediar disputas | Transacionais, comunicação | Execução de contrato (inc. V) |
| 3.5 | Cumprir obrigações fiscais, contábeis e regulatórias; atender ordens de autoridades | Transacionais, KYC, cadastro | Obrigação legal/regulatória (inc. II) |
| 3.6 | Guardar registros de acesso por 6 meses (art. 15 do Marco Civil da Internet) | IP, data/hora | Obrigação legal (inc. II) |
| 3.7 | Prevenir fraudes, golpes, lavagem de dinheiro e uso indevido da Plataforma; verificar identidade; aplicar medidas disciplinares | Cadastro, KYC, transacionais, navegação | Legítimo interesse (inc. IX) e, quanto à identificação em processos de autenticação, art. 11, §4º não se aplicando por não haver dado sensível; prevenção à fraude ampara-se ainda no inc. VI (exercício regular de direitos) |
| 3.8 | Exercer direitos em processos judiciais, administrativos ou arbitrais | Todos os necessários | Exercício regular de direitos (inc. VI) |
| 3.9 | Melhorar a Plataforma, medir desempenho e corrigir erros (analytics com dados agregados sempre que possível) | Navegação | Legítimo interesse (inc. IX) |
| 3.10 | Enviar comunicações transacionais (status do pedido, laudo, disputa, garantia) | Cadastro, transacionais | Execução de contrato (inc. V) |
| 3.11 | Enviar comunicações de marketing, novidades e ofertas | Cadastro, navegação | Consentimento (inc. I) — revogável a qualquer momento |
| 3.12 | Cookies não essenciais (analytics/marketing) | Navegação | Consentimento (inc. I) |
3.13. Quando tratamos dados com base em legítimo interesse, realizamos o teste de balanceamento exigido pela LGPD (art. 10), adotando salvaguardas e assegurando que o tratamento não viole direitos e liberdades fundamentais do titular. Você pode se opor a esses tratamentos (Seção 7).
4. Com quem compartilhamos os dados
A BOX não vende dados pessoais. Compartilhamos dados apenas quando necessário, com os seguintes destinatários e para as finalidades indicadas:
4.1. BOX (hub de verificação). Dados do pedido, do item e dos endereços, estritamente para recebimento, inspeção, emissão do Laudo e despacho dos itens.
4.2. Parceiro de pagamento (gateway). Dados necessários ao processamento de cobranças, custódia (escrow), repasses (split), saques via Pix e prevenção a fraudes financeiras, incluindo dados de cadastro de recebedor. O parceiro atua como agente de tratamento próprio para fins de suas obrigações regulatórias.
4.3. Transportadoras e parceiros logísticos. Nome, endereço e telefone do remetente/destinatário, exclusivamente para coleta, transporte, entrega e rastreamento (pernas Vendedor → BOX e BOX → Comprador).
4.4. Provedores de infraestrutura e serviços. Hospedagem, banco de dados, armazenamento de arquivos, envio de e-mails transacionais e ferramentas de monitoramento, sempre sob contrato com obrigações de confidencialidade e proteção de dados (operadores, art. 39 da LGPD).
4.5. Outros usuários (visibilidade inerente à Plataforma). Seu @handle, cidade/UF, reputação, anúncios ativos e avaliações são públicos por natureza no perfil público. O Laudo BOX é público mediante link e exibe dados do item (fotos, testes, serial parcialmente mascarado) — não exibe seus dados de contato. Em uma transação, a contraparte tem acesso aos dados estritamente necessários à sua conclusão.
4.6. Loja parceira KodaBox. Dados necessários à utilização do crédito BOX como meio de pagamento na parceira, limitados à validação da operação.
4.7. Autoridades públicas. Mediante obrigação legal, ordem judicial ou requisição de autoridade competente, nos limites do pedido (por exemplo: Poder Judiciário, Ministério Público, autoridades policiais, fiscais e a ANPD).
4.8. Operações societárias. Em caso de fusão, aquisição ou reorganização, os dados poderão ser transferidos ao sucessor, que permanecerá vinculado a esta Política, com comunicação aos titulares quando exigido.
4.9. Exigimos contratualmente de todos os operadores e parceiros padrões de proteção de dados compatíveis com a LGPD e com esta Política.
5. Transferência internacional de dados
5.1. Alguns provedores de infraestrutura utilizados pela BOX (por exemplo, serviços de nuvem, banco de dados e envio de e-mail) podem armazenar ou processar dados em servidores localizados fora do Brasil.
5.2. Nesses casos, a transferência internacional é realizada em conformidade com os arts. 33 a 36 da LGPD e com a regulamentação da ANPD, mediante: (a) destino a países com grau de proteção adequado; ou (b) cláusulas contratuais padrão e garantias contratuais que asseguram nível de proteção equivalente ao exigido pela legislação brasileira.
5.3. A relação atualizada de categorias de provedores e localidades pode ser solicitada ao DPO.
6. Cookies e tecnologias similares
6.1. Utilizamos cookies e tecnologias similares (localStorage, pixels) nas seguintes categorias:
a) Estritamente necessários: autenticação, sessão, prevenção a fraudes e funcionamento básico da Plataforma. Não dependem de consentimento e não podem ser desativados sem comprometer o serviço;
b) Funcionais: preferências do usuário (por exemplo, filtros e configurações de exibição);
c) Analíticos: medição de audiência e desempenho, preferencialmente com dados agregados — dependem de consentimento;
d) Marketing: personalização de comunicações e campanhas — dependem de consentimento.
6.2. Você pode gerenciar cookies não essenciais pelo painel de preferências da Plataforma e pelas configurações do seu navegador. A revogação do consentimento não afeta a licitude do tratamento realizado anteriormente.
7. Seus direitos como titular (art. 18 da LGPD)
7.1. Você pode exercer, a qualquer momento e gratuitamente, os seguintes direitos:
a) confirmação da existência de tratamento;
b) acesso aos seus dados;
c) correção de dados incompletos, inexatos ou desatualizados;
d) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
e) portabilidade dos dados a outro fornecedor, observada a regulamentação da ANPD;
f) eliminação dos dados tratados com base no consentimento, ressalvadas as hipóteses de conservação do art. 16 da LGPD;
g) informação sobre os compartilhamentos realizados com entidades públicas e privadas;
h) informação sobre a possibilidade de não consentir e as consequências da negativa;
i) revogação do consentimento, a qualquer tempo;
j) oposição a tratamentos baseados em legítimo interesse, quando entender que há violação à LGPD;
k) revisão de decisões automatizadas que afetem seus interesses, quando aplicável (art. 20).
7.2. Como exercer. Pelos canais de atendimento da Plataforma, pela área "Minha conta" (onde diversas ações são autoatendidas, como correção de dados e exclusão de conta) ou diretamente com o DPO em [E-MAIL DPO]. Poderemos solicitar comprovação de identidade para proteger seus dados contra acessos indevidos.
7.3. Prazos. Responderemos às solicitações nos prazos da LGPD e da regulamentação da ANPD — em formato simplificado imediatamente, ou por declaração completa em até 15 (quinze) dias, quando aplicável. Caso alguma solicitação não possa ser atendida integralmente (por exemplo, por dever legal de retenção — Seção 8), informaremos o motivo de forma fundamentada.
7.4. Você também pode peticionar diretamente à ANPD (gov.br/anpd) caso considere que seus direitos não foram atendidos.
8. Retenção e eliminação — e a regra da trilha transacional
8.1. Princípio geral. Mantemos os dados pessoais apenas pelo tempo necessário às finalidades desta Política, observados os prazos legais de guarda e os arts. 15 e 16 da LGPD.
8.2. Prazos de referência:
| Categoria | Prazo de retenção | Fundamento |
|---|---|---|
| Registros de acesso (IP, data/hora) | 6 meses, prorrogáveis por determinação de autoridade | Art. 15 do Marco Civil da Internet |
| Dados cadastrais e de perfil | Enquanto a conta estiver ativa; após a exclusão, ver 8.3 | Execução de contrato |
| Trilha transacional (pedidos, escrow, repasses, laudos, notas, Carteira BOX) | Mínimo de 5 anos após a transação, podendo alcançar 10 anos conforme a obrigação fiscal/civil aplicável | Obrigações legais fiscais e contábeis; prazos prescricionais do CDC e do Código Civil |
| Documentos de KYC | Enquanto exigido pelas normas de prevenção a fraudes e pelas obrigações com o parceiro de pagamento | Obrigação legal / legítimo interesse |
| Mensagens do chat vinculadas a transações | Pelo prazo da trilha transacional correspondente (suporte a disputas e defesa em processos) | Exercício regular de direitos |
| Dados tratados com base em consentimento (ex.: marketing) | Até a revogação do consentimento | Consentimento |
8.3. Exclusão de conta — anonimização do perfil e preservação da trilha transacional.
Quando você solicita a exclusão da sua conta:
a) seu perfil é anonimizado: nome, @handle, e-mail, telefone, foto e demais dados identificadores do perfil são removidos ou substituídos por valores não identificáveis, e o login é definitivamente desativado;
b) a trilha transacional é preservada: registros de pedidos, movimentações de custódia (escrow), repasses, saques, laudos, disputas e documentos fiscais são mantidos pelo prazo legal, pois a BOX tem o dever jurídico de conservá-los (art. 16, I, da LGPD — cumprimento de obrigação legal e regulatória) e o direito de mantê-los para exercício regular de direitos em processos (art. 16, IV c/c art. 7º, VI, da LGPD), inclusive para proteger as contrapartes das suas transações;
c) os registros preservados ficam dissociados do perfil público e deixam de ser utilizados para qualquer finalidade que não a guarda legal, a auditoria, o atendimento a autoridades e a defesa em processos;
d) eventual saldo da Carteira BOX é disponibilizado para saque antes da conclusão da exclusão.
8.4. Findo o prazo legal de guarda, os dados são eliminados de forma definitiva ou anonimizados irreversivelmente.
9. Segurança da informação
9.1. Adotamos medidas técnicas e administrativas aptas a proteger os dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão (art. 46 da LGPD), incluindo:
a) criptografia de dados em trânsito (TLS) e proteção de credenciais com algoritmos de hash robustos;
b) controle de acesso por papéis (usuário, BOX, admin) e políticas de acesso em nível de banco de dados (row-level security), de modo que cada perfil acesse apenas o estritamente necessário;
c) registro e trilha de auditoria de eventos críticos (transições de pedidos, alterações de configuração, ações administrativas);
d) segregação de ambientes e princípio do menor privilégio para a equipe;
e) processamento de dados de cartão exclusivamente pelo parceiro de pagamento, em ambiente certificado;
f) avaliações periódicas de vulnerabilidades e atualização contínua das dependências.
9.2. Incidentes. Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a BOX comunicará a ANPD e os titulares afetados, nos termos do art. 48 da LGPD e da regulamentação aplicável, informando a natureza dos dados, os riscos e as medidas adotadas.
9.3. Nenhum sistema é invulnerável. Você também é responsável por boas práticas: senha forte e exclusiva, sigilo das credenciais e atenção a tentativas de golpe (a BOX nunca pede sua senha por e-mail, telefone ou WhatsApp).
10. Crianças e adolescentes
10.1. A Plataforma é destinada exclusivamente a maiores de 18 anos. Não coletamos intencionalmente dados de crianças e adolescentes.
10.2. Se identificarmos cadastro de menor de 18 anos, a conta será encerrada e os dados eliminados, ressalvadas as hipóteses legais de guarda. Responsáveis legais podem comunicar casos ao DPO em [E-MAIL DPO].
11. Decisões automatizadas
11.1. A BOX pode utilizar regras automatizadas para fins de prevenção a fraudes (por exemplo, sinalização de transações atípicas, limites operacionais e travas de saque). Decisões automatizadas que afetem significativamente o usuário podem ser submetidas a revisão, mediante solicitação pelos canais da Seção 7.
12. Alterações desta Política
12.1. Esta Política pode ser atualizada para refletir mudanças na legislação, na regulamentação da ANPD ou nos serviços da BOX. Alterações relevantes serão comunicadas por e-mail e/ou aviso na Plataforma com antecedência razoável, indicando a data de vigência.
12.2. A versão vigente estará sempre disponível na Plataforma, com a data da última atualização no topo deste documento. O histórico de versões pode ser solicitado ao DPO.
13. Canal do DPO e contato
Encarregado pelo Tratamento de Dados Pessoais (DPO): [E-MAIL DPO]
Para qualquer dúvida, solicitação ou reclamação sobre dados pessoais, fale com o nosso DPO. Caso a resposta não seja satisfatória, você pode recorrer à Autoridade Nacional de Proteção de Dados (ANPD) e aos órgãos de defesa do consumidor (Procon).
[RAZÃO SOCIAL] · CNPJ [CNPJ] · [ENDEREÇO SEDE]
Documento elaborado em conformidade com a Lei nº 13.709/2018 (LGPD), a Lei nº 12.965/2014 (Marco Civil da Internet) e a Lei nº 8.078/1990 (CDC).