Política de Privacidade da Plataforma CarbAgro
Versão 1 · vigente desde 19/05/2026 · pt-BR
Lei aplicável: Lei nº 13.709/2018 (Lei Geral de Proteção de Dados — LGPD)
1. Introdução
Esta Política de Privacidade descreve como a Plataforma CarbAgro (“Plataforma”) coleta, utiliza, compartilha, armazena, protege e descarta dados pessoais dos seus usuários (“Titulares”), em conformidade com a LGPD e demais normas aplicáveis.
A leitura desta Política é essencial. Em caso de dúvida, o Titular pode contatar o Encarregado pelo Tratamento de Dados Pessoais (“Encarregado” ou “DPO”) nos contatos da seção 13.
2. Controlador
O Controlador dos dados pessoais tratados na Plataforma é:
- Razão social: CARBAGRO LTDA
- CNPJ: 60.755.603/0001-25
- Endereço: Praça Nereu Ramos, 90, Sala do Empreendedor, Centro, Biguaçu/SC, CEP 88160-116
- Contato geral: contato@carbagro.com.br
3. Encarregado pelo Tratamento de Dados (DPO)
- Nome: Adilson José Pereira Junior
- E-mail: adilson@carbagro.com.br
O Encarregado é o canal oficial para exercício dos direitos do Titular (seção 9) e para esclarecimentos sobre esta Política.
4. Dados Pessoais Coletados
A CarbAgro coleta os seguintes dados pessoais, conforme o perfil e a jornada de uso de cada Titular:
4.1. Dados de identificação e cadastro
- Nome completo ou razão social
- CPF ou CNPJ
- Tipo de documento e classificação pessoa física/jurídica
- Data de nascimento (PF)
- Número de identidade (RG ou equivalente)
- Telefone, e-mail
- Nacionalidade, ocupação, estado civil (PF)
- Razão social, tipo societário (MEI, LTDA, S/A, EIRELI), inscrição estadual, faturamento mensal estimado (PJ)
- Fotografia de perfil
4.2. Dados de endereço
Endereço residencial, comercial, da fazenda e/ou de cobrança, incluindo logradouro, número, complemento, bairro, cidade, estado e CEP.
4.3. Dados financeiros e bancários
- Nome do titular da conta bancária
- CPF/CNPJ do titular da conta
- Chave Pix
- Banco, agência, conta e dígito
- Identificadores e status de subconta na instituição financeira parceira
As informações financeiras sensíveis (chave Pix, número da conta) são armazenadas de forma criptografada em repouso (algoritmo Fernet, gestão de chaves segregada). Os últimos dígitos da conta podem ser exibidos em claro apenas para confirmação visual pelo próprio Titular.
4.4. Dados geoespaciais de imóvel rural
Geometria do polígono do imóvel rural (sistema geodésico SIRGAS 2000 — EPSG:4674), área em hectares, código do Cadastro Ambiental Rural (CAR), código do Certificado de Cadastro de Imóvel Rural (CCIR), código do Cadastro Nacional de Imóveis Rurais (CNIR), número de matrícula no Cartório de Registro de Imóveis.
Quando vinculados a pessoa física ou jurídica identificada, estes dados são tratados como dados pessoais para fins desta Política.
4.5. Dados de uso e conteúdo
- Listagens publicadas no Marketplace
- Propostas, mensagens e anotações
- Documentos enviados (laudos, comprovantes, certidões)
- Cálculos de emissão e relatórios gerados
4.6. Dados técnicos e de telemetria
- Endereço IP, agente do usuário (user-agent)
- Identificador de sessão e tokens digitais
- Registros de acesso e de operações relevantes (log de auditoria)
- Dados de diagnóstico de erro (mensagens de erro, stack traces)
4.7. Cookies
O detalhamento do uso de cookies está na Política de Cookies.
5. Como os Dados são Coletados
a) Diretamente do Titular: no preenchimento de cadastro, KYC, contratação de produtos, envio de documentos e interação com a Plataforma.
b) Automaticamente: mediante uso da Plataforma (telemetria, log de auditoria, cookies estritamente necessários).
c) De terceiros: mediante autorização do Titular, por meio de Solicitação de Ação (ActionRequest) — por exemplo, dados públicos do SICAR vinculados ao código CAR informado pelo Titular.
d) De agentes da rede comercial: quando o Titular é cadastrado por intermediação de Finder ou Vendedor aprovado, este pode preencher dados iniciais sujeitos a confirmação pelo próprio Titular.
6. Finalidades e Bases Legais
O tratamento de dados pessoais pela CarbAgro observa as bases legais da LGPD (art. 7º), conforme tabela abaixo:
| Finalidade | Base legal LGPD |
|---|---|
| Cadastro, KYC, autenticação e gestão da conta | Execução de contrato (art. 7º, V) |
| Operações financeiras, pagamentos, saques, conformidade BCB | Execução de contrato + cumprimento de obrigação legal/regulatória (art. 7º, II e V) |
| Emissão e aposentadoria de Créditos e Selos | Execução de contrato (art. 7º, V) |
| Emissão de notas fiscais e demais obrigações tributárias | Cumprimento de obrigação legal (art. 7º, II) |
| Registro de log de auditoria imutável | Cumprimento de obrigação legal + legítimo interesse na integridade do sistema (art. 7º, II e IX) |
| Prevenção a fraudes, abuso e ilícitos | Legítimo interesse (art. 7º, IX) |
| Suporte ao usuário e comunicações operacionais | Execução de contrato (art. 7º, V) |
| Aprimoramento técnico, telemetria de erros e segurança | Legítimo interesse (art. 7º, IX) |
| Comunicações de marketing (quando aplicáveis) | Consentimento (art. 7º, I), revogável a qualquer tempo |
7. Compartilhamento com Terceiros
A CarbAgro compartilha dados pessoais somente nas hipóteses descritas a seguir, observando os princípios da necessidade e da finalidade:
7.1. Operadores (processam dados em nome da CarbAgro)
- Instituição de pagamento parceira (Asaas). Atua sob autorização do Banco Central do Brasil (Resolução Conjunta BCB nº 16/2025). Recebe dados de identificação, KYC, endereço, contato e dados bancários do Titular, exclusivamente para abertura de subconta, processamento de pagamentos, antifraude, saques e cumprimento de obrigações regulatórias da própria instituição.
- Provedor de e-mail transacional (ZeptoMail / Zoho). Recebe nome e e-mail do Titular para envio de mensagens transacionais (boas-vindas, redefinição de senha, confirmação de e-mail, notificações de operação). Pode envolver tratamento internacional de dados (ver seção 11).
- Provedor de telemetria de erros (Sentry). Recebe dados técnicos de diagnóstico de erros que podem, eventualmente, incluir identificador interno do usuário, endereço IP e contexto da requisição, com finalidade exclusiva de detecção e correção de falhas. Pode envolver tratamento internacional de dados (ver seção 11).
- Infraestrutura de armazenamento e processamento. Provedores de hospedagem, banco de dados e armazenamento de arquivos, contratados sob cláusulas de proteção de dados.
7.2. Controladores independentes e órgãos públicos
- Sistema de Cadastro Ambiental Rural (SICAR) — Serviço Florestal Brasileiro. A consulta ocorre por solicitação do Titular (ou por Solicitação de Ação aprovada pelo Titular) e devolve dados públicos vinculados ao código CAR informado. O SICAR atua como controlador independente da informação pública.
- Secretarias de Fazenda Estaduais (SEFAZ). Recebem dados fiscais para emissão de nota fiscal eletrônica, em cumprimento de obrigação legal tributária.
- Autoridades administrativas, regulatórias e judiciais. Mediante requisição formal fundada em lei (Banco Central, ANPD, Receita Federal, autoridades policiais, Poder Judiciário, Ministério Público etc.).
7.3. Serviços técnicos auxiliares
- Provedor de resolução de captchas (2Captcha). Utilizado apenas para superar barreiras técnicas em integrações públicas (ex.: consultas ao SICAR). Não recebe dados pessoais do Titular — apenas imagens de captcha geradas pelo serviço público consultado.
7.4. Comunicação a fornecedor de serviço ambiental
Para certificação de créditos de carbono, dados relativos a propriedade, metodologia, vintage e relatório podem ser compartilhados com peritos, auditores e organismos certificadores envolvidos no projeto, sempre mediante contrato com cláusulas de confidencialidade e proteção de dados.
7.5. Operações societárias
Em hipóteses de reorganização societária (fusão, aquisição, cisão), os dados pessoais poderão ser transferidos ao sucessor, observada a manutenção do nível de proteção previsto nesta Política, com prévia comunicação aos Titulares quando exigido por lei.
7.6. Vedações
A CarbAgro não comercializa dados pessoais e não compartilha com terceiros para finalidades publicitárias de terceiros sem consentimento específico.
8. Armazenamento, Segurança e Retenção
8.1. Medidas de segurança
A CarbAgro adota medidas técnicas e administrativas razoáveis para proteger os dados pessoais, incluindo:
- Criptografia em trânsito (HTTPS/TLS) em todas as comunicações;
- Criptografia em repouso (Fernet) para dados bancários e chaves Pix;
- Autenticação por tokens digitais com expiração curta, rotação e blacklist em caso de troca de senha;
- Controle de acesso por papel (RBAC) e segregação de privilégios administrativos;
- Registro auditável e imutável de operações críticas (log de auditoria protegido contra alteração e remoção, inclusive por administradores);
- Backups regulares de bancos de dados, em provedor segregado e com política de retenção definida;
- Testes periódicos de segurança e gestão de vulnerabilidades.
8.2. Retenção
Os dados são retidos enquanto necessários à finalidade que motivou seu tratamento e, após esse período, descartados ou anonimizados, observados os seguintes critérios:
| Categoria de dados | Período mínimo de retenção |
|---|---|
| Dados cadastrais e de KYC | Enquanto a conta estiver ativa, e por até 5 anos após o seu encerramento, para fins de defesa em processos administrativos ou judiciais |
| Dados financeiros e fiscais | 5 anos, a contar da operação, em cumprimento da legislação tributária |
| Notas fiscais eletrônicas e registros contábeis | 5 anos, conforme exigência fiscal |
| Log de auditoria | Mantido em base imutável; sua eliminação não é tecnicamente possível por exigência regulatória de integridade e por base legal de cumprimento de obrigação legal (art. 16, II, LGPD) |
| Arquivos de exportação de dados pessoais (DataExportRequest) | Eliminados automaticamente em até 30 dias após a sua disponibilização |
| Dados de imóvel rural certificado | Pelo prazo do projeto de carbono + 10 anos, em razão de exigências metodológicas de rastreabilidade de créditos |
8.3. Limitação ao direito de eliminação
Determinados dados, mesmo após pedido de eliminação do Titular, podem ser preservados por:
a) cumprimento de obrigação legal ou regulatória (art. 16, II, LGPD — ex.: registros fiscais); b) integridade de registros financeiros e do log de auditoria imutável; c) exercício regular de direitos em processo judicial, administrativo ou arbitral (art. 16, IV, LGPD).
Nesses casos, a CarbAgro informará ao Titular os dados retidos e a respectiva base legal.
9. Direitos do Titular
Nos termos do art. 18 da LGPD, o Titular pode, a qualquer tempo, exercer os seguintes direitos:
a) confirmação da existência de tratamento; b) acesso aos dados tratados; c) correção de dados incompletos, inexatos ou desatualizados; d) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade; e) portabilidade dos dados, mediante requisição expressa, observada a regulamentação da ANPD; f) eliminação dos dados pessoais tratados com base no consentimento, ressalvadas as hipóteses de retenção legal; g) informação sobre entidades públicas e privadas com as quais a CarbAgro compartilha dados; h) informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; i) revogação do consentimento, quando for a base legal aplicável; j) oposição ao tratamento realizado com base em hipótese legal de dispensa de consentimento, em caso de descumprimento da LGPD; k) petição em face do Controlador perante a ANPD.
9.1. Como exercer
O Titular pode exercer seus direitos:
a) por meio das funcionalidades da Plataforma, incluindo o pedido de exportação (“DataExportRequest”) e o pedido de exclusão (“DataDeletionRequest”); ou b) por contato direto com o Encarregado (seção 3).
9.2. Prazos
A CarbAgro responderá às solicitações em até 15 (quinze) dias úteis, contados da identificação inequívoca do Titular requerente. Em casos de complexidade técnica ou volume excepcional, este prazo poderá ser fundamentadamente prorrogado, mediante comunicação ao Titular.
10. Tratamento de Dados de Crianças e Adolescentes
A Plataforma não se destina a menores de 18 anos. O cadastro exige maioridade civil. Caso identifique tratamento inadvertido de dados de menor, a CarbAgro promoverá a exclusão imediata e a comunicação ao responsável legal quando aplicável.
11. Transferência Internacional de Dados
Determinados operadores podem realizar parte do tratamento fora do território nacional, em especial o provedor de e-mail transacional e o provedor de telemetria de erros (seção 7.1). Tais transferências ocorrem em países que garantam grau adequado de proteção, ou mediante cláusulas contratuais específicas, em conformidade com o art. 33 da LGPD.
12. Comunicação de Incidentes
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos Titulares, a CarbAgro comunicará a ANPD e os Titulares afetados nos prazos e nas formas determinados pela autoridade.
13. Contato
Para o exercício de direitos e demais assuntos relativos a esta Política:
- Encarregado (DPO): Adilson José Pereira Junior — adilson@carbagro.com.br
- Endereço para correspondência: Praça Nereu Ramos, 90, Sala do Empreendedor, Centro, Biguaçu/SC, CEP 88160-116
- Canal eletrônico: contato@carbagro.com.br
14. Alterações desta Política
Esta Política pode ser atualizada para refletir mudanças legais, regulatórias ou operacionais. As versões anteriores ficam disponíveis mediante solicitação. Alterações materiais serão comunicadas aos Titulares, podendo, conforme o caso, exigir nova confirmação de ciência.
15. Foro
Esta Política é regida pela legislação brasileira. Eventuais controvérsias serão dirimidas no foro indicado nos Termos de Uso.
CARBAGRO LTDA CNPJ: 60.755.603/0001-25 Endereço: Praça Nereu Ramos, 90, Sala do Empreendedor, Centro, Biguaçu/SC, CEP 88160-116 DPO: Adilson José Pereira Junior — adilson@carbagro.com.br