Política de Privacidade
Última atualização: 21 de junho de 2026
A Bistro Di Castro valoriza a sua privacidade e trata seus dados pessoais em conformidade com a Lei nº 13.709/2018 (LGPD). Esta política explica quais dados coletamos, por quê, com quem compartilhamos e quais são os seus direitos. Os dados do controlador e do Encarregado (DPO) estão ao final desta página.
1. Dados que coletamos
- Cadastro/conta: nome, e-mail e autenticação por e-mail/senha ou Google. Não armazenamos sua senha — ela é gerida pelo provedor de autenticação.
- Entrega: nome do destinatário, telefone, endereço completo (rua, número, complemento, bairro, cidade, estado, CEP), observações e data desejada de entrega.
- Pedidos: itens, valores, status e identificadores de pagamento.
- Pagamento: processado pelo Mercado Pago. Os dados do cartão são tokenizados no seu navegador e nunca chegam aos nossos servidores.
- Marketing: e-mail, seu consentimento, o engajamento com nossos e-mails (entregas, aberturas e cliques) e o status de inscrição.
- Dados técnicos e de uso: endereço IP (usado de forma transitória para limitar abusos), registros de acesso, informações de navegador/dispositivo e dados de navegação coletados por ferramentas de medição de audiência (Google Analytics).
- Armazenamento local: conteúdo do carrinho e um identificador anônimo, guardados no seu próprio navegador.
2. Finalidades e bases legais (Art. 7º, LGPD)
| Finalidade | Base legal |
|---|---|
| Processar pedidos, pagamentos e entregas | Execução de contrato |
| Criar e manter sua conta | Execução de contrato |
| Emissão fiscal e guarda de registros | Cumprimento de obrigação legal |
| Enviar newsletter e promoções | Consentimento (revogável) |
| Medir entrega/abertura/clique dos e-mails | Consentimento |
| Medição de audiência e estatísticas de uso (Google Analytics) | Consentimento |
| Segurança, prevenção a fraude e limitação de abuso (IP) | Legítimo interesse |
| Atendimento e melhoria do serviço | Legítimo interesse |
3. Compartilhamento com terceiros (operadores)
Compartilhamos o mínimo necessário com prestadores que tratam dados em nosso nome:
- Cloudflare — hospedagem, banco de dados, CDN e controle de acesso administrativo.
- Mercado Pago — processamento de pagamentos.
- Google / Firebase — autenticação de conta (login com e-mail ou Google).
- Google Analytics (Google) — medição de audiência e estatísticas de uso do site.
- Resend — envio de e-mails transacionais e de marketing (inclui rastreio de abertura/clique).
- ViaCEP (Correios) — preenchimento de endereço a partir do CEP digitado.
- Google Fonts e Unsplash — fontes e imagens (podem registrar seu IP ao carregar o conteúdo).
Não vendemos seus dados. Transferência internacional: alguns desses provedores operam fora do Brasil; nesses casos, a transferência observa as salvaguardas previstas nos arts. 33 a 36 da LGPD.
4. Cookies e armazenamento local
Usamos cookies e armazenamento funcionais (carrinho, sessão de login, sessão do painel administrativo) e cookies de medição de audiência (Google Analytics), mediante o seu consentimento, para entender como o site é usado e melhorá-lo. Não utilizamos cookies de publicidade. Você pode gerenciar cookies nas configurações do seu navegador.
5. Marketing e descadastro
Só enviamos newsletter a quem optou expressamente (formulário, cadastro ou checkout). Todo e-mail traz um link de descadastro de um clique; você também pode escrever ao DPO. O cancelamento é imediato e definitivo até nova inscrição.
6. Retenção
Mantemos os dados pelo tempo necessário a cada finalidade: dados de conta enquanto ela existir; dados de pedido/fiscais pelo prazo legal aplicável (em regra, 5 anos); dados de marketing até o descadastro. Depois, são eliminados ou anonimizados.
7. Segurança
Tráfego criptografado (HTTPS), pagamentos tokenizados, acesso administrativo restrito e princípio da minimização. Nenhum sistema é 100% infalível, mas adotamos medidas técnicas e organizacionais adequadas.
8. Seus direitos (Art. 18, LGPD)
Você pode, gratuitamente: confirmar a existência de tratamento; acessar, corrigir ou atualizar dados; solicitar anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade; pedir portabilidade; obter informação sobre compartilhamentos; revogar consentimento; e ser informado das consequências da negativa. Para exercer, escreva ao DPO: dpo@bistrodicastro.com — responderemos nos prazos legais.
9. Crianças e adolescentes
O site não se destina a menores de 18 anos e não coletamos intencionalmente seus dados.
10. Alterações
Podemos atualizar esta política; a data de "última atualização" indica a versão vigente. Mudanças relevantes serão comunicadas pelos nossos canais.
11. Controlador, Encarregado (DPO) e contato
- Controlador: Rafacst Tecnologia — CNPJ 66.424.919/0001-10.
- Encarregado pelo Tratamento de Dados (DPO): dpo@bistrodicastro.com
Dúvidas ou solicitações sobre seus dados: dpo@bistrodicastro.com.