SustentaLinkVoltar à página inicial

LGPD · Lei Geral de Proteção de Dados Pessoais

Política de Privacidade

A sua privacidade é levada a sério no SustentaLink. Este documento explica, de forma transparente, como tratamos os dados pessoais de quem utiliza a nossa plataforma, em estrita conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — “LGPD”) e demais normas aplicáveis.

Última atualização: 15 de junho de 2026Em vigor desde: 15 de junho de 2026Versão: 2.0

Você no controle

Acesse, corrija, exporte ou elimine seus dados a qualquer momento — em até 15 dias.

Dados protegidos

Criptografia em trânsito, senhas em hash e controle de acesso por papel (RLS).

Sem venda de dados

Nunca vendemos seus dados. Compartilhamos apenas com operadores essenciais ao serviço.

1. Identificação do controlador

O SustentaLink é o controlador dos dados pessoais coletados por meio da plataforma disponível em sustentalink.com.br, conforme definido no art. 5º, VI, da LGPD. Isso significa que cabe a nós tomar as decisões sobre o tratamento dos seus dados pessoais e responder pela sua adequação à legislação.

Controlador: SustentaLink

Canal de privacidade / Encarregado (DPO): privacidade@sustentalink.com.br

Contato geral: contato@sustentalink.com.br

2. Abrangência e aceite

Esta Política aplica-se a todas as pessoas que interagem com o SustentaLink, incluindo (i) responsáveis e representantes dos estabelecimentos que contratam nossos planos, (ii) visitantes do site e das páginas públicas de Selo e (iii) qualquer pessoa que entre em contato conosco.

Ao criar uma conta, contratar um plano ou continuar a navegar pela plataforma, você declara ter lido, compreendido e concordado com as práticas descritas neste documento. Caso não concorde com algum ponto, recomendamos que não utilize a plataforma e que entre em contato conosco para esclarecimentos.

Esta Política deve ser lida em conjunto com os nossos Termos de Uso.

3. Definições importantes

Para facilitar a leitura, adotamos os conceitos definidos na LGPD:

  • Dado pessoal: informação relacionada a pessoa natural identificada ou identificável.
  • Dado pessoal sensível: dado sobre origem racial ou étnica, convicção religiosa, opinião política, dado referente à saúde, à vida sexual, genético ou biométrico, entre outros. O SustentaLink, em regra, não coleta dados sensíveis.
  • Titular: a pessoa natural a quem se referem os dados pessoais (você).
  • Tratamento: toda operação realizada com dados pessoais (coleta, uso, armazenamento, compartilhamento, eliminação etc.).
  • Controlador: quem toma as decisões sobre o tratamento (o SustentaLink).
  • Operador: quem trata dados em nome do controlador (ex.: nossos prestadores de tecnologia).
  • Encarregado (DPO): pessoa indicada para atuar como canal de comunicação entre o controlador, os titulares e a ANPD.
  • ANPD: Autoridade Nacional de Proteção de Dados.

4. Dados pessoais que coletamos

Coletamos apenas os dados necessários para prestar o serviço de certificação ESG, organizados nas seguintes categorias:

CategoriaExemplos de dados
CadastroNome do responsável, e-mail e senha (armazenada apenas como hash via Supabase Auth).
Dados do negócioRazão social, nome fantasia, CNPJ, categoria do estabelecimento e endereço (quando necessário para envio do Kit Físico).
Evidências ESGFotos, documentos (PDF) e descrições enviados voluntariamente para validação das práticas sustentáveis.
PagamentoProcessado pela Stripe. Não armazenamos dados do cartão de crédito; guardamos apenas identificadores da assinatura e o status do pagamento.
Uso da plataformaPáginas visitadas, ações realizadas, tipo de dispositivo, navegador e localização aproximada (via Vercel Analytics, de forma agregada e sem identificação pessoal).
Suporte e comunicaçõesConteúdo de e-mails e mensagens trocadas conosco para atendimento, dúvidas ou solicitações.
TécnicosEndereço IP, registros de acesso e logs de auditoria, necessários por força do Marco Civil da Internet (Lei 12.965/2014) e para segurança.

Não solicitamos dados pessoais sensíveis. Caso você os inclua espontaneamente em uma evidência ou mensagem, eles serão tratados exclusivamente para a finalidade a que se destinam e poderão ser removidos a seu pedido.

5. Como coletamos os dados

  • Diretamente de você: ao se cadastrar, preencher dados do negócio, enviar evidências, contratar um plano ou entrar em contato.
  • Automaticamente: por meio de cookies e ferramentas de analytics, conforme a seção 9, quando você navega pela plataforma.
  • De terceiros: informações sobre o status do pagamento fornecidas pela Stripe (sem dados de cartão) e eventuais dados de autenticação geridos pelo Supabase Auth.

6. Finalidades e bases legais

Todo tratamento de dados pessoais possui uma finalidade específica e uma base legal prevista na LGPD:

FinalidadeBase legal (LGPD)
Criar e gerenciar sua conta, emitir e exibir o Selo, processar pagamentos e enviar o Kit Físico.Execução de contrato (art. 7º, V)
Retenção fiscal e contábil das transações e guarda de registros de acesso.Cumprimento de obrigação legal/regulatória (art. 7º, II)
Melhorar a plataforma, prevenir fraudes, garantir segurança e gerar métricas agregadas.Legítimo interesse (art. 7º, IX)
Envio de comunicações de marketing e novidades (opcionais).Consentimento (art. 7º, I), revogável a qualquer momento
Exercício regular de direitos em processos judiciais, administrativos ou arbitrais.Exercício regular de direitos (art. 7º, VI)

Quando o tratamento se basear em legítimo interesse, realizamos a devida ponderação para garantir que ele não se sobreponha aos seus direitos e liberdades fundamentais. Você pode solicitar informações sobre essa avaliação a qualquer momento.

7. Compartilhamento com terceiros

Não vendemos seus dados pessoais. Compartilhamos dados estritamente com operadores essenciais à prestação do serviço, todos contratualmente obrigados a proteger as informações:

OperadorFinalidade
SupabaseBanco de dados, autenticação e armazenamento de arquivos.
StripeProcessamento de pagamentos e gestão de assinaturas.
ResendEnvio de e-mails transacionais (confirmações, notificações).
VercelHospedagem da aplicação e analytics agregado.

Também poderemos compartilhar dados quando (i) exigido por lei, ordem judicial ou autoridade competente; (ii) necessário para proteger direitos, segurança e integridade do SustentaLink, dos usuários ou de terceiros; ou (iii) no contexto de reorganização societária (fusão, aquisição ou venda de ativos), hipótese em que esta Política continuará a reger os dados transferidos.

Atenção — exposição pública do Selo: o nome do estabelecimento, a categoria e as evidências aprovadas ficam visíveis publicamente na página do Selo (/cert/seu-slug). Essa exposição é parte essencial do serviço, é consentida no momento da contratação e pode ser interrompida com o cancelamento da assinatura.

8. Transferência internacional de dados

Alguns de nossos operadores (como Supabase, Stripe, Resend e Vercel) podem armazenar ou processar dados em servidores localizados fora do Brasil. Nesses casos, adotamos salvaguardas adequadas previstas nos arts. 33 a 36 da LGPD — como cláusulas contratuais de proteção de dados e a verificação de que o destino oferece grau de proteção compatível com a legislação brasileira — para assegurar que seus dados continuem protegidos.

9. Cookies e tecnologias de rastreamento

Utilizamos um conjunto mínimo de cookies e tecnologias semelhantes:

  • Estritamente necessários: garantem o funcionamento da plataforma, especialmente a sessão de autenticação. Sem eles, não é possível acessar a sua conta.
  • Analytics agregado: via Vercel Analytics, que mede o uso da plataforma de forma estatística, sem rastrear indivíduos e sem cookies persistentes de identificação.

Você pode gerenciar ou bloquear cookies nas configurações do seu navegador. A desativação dos cookies necessários, porém, pode comprometer funcionalidades essenciais.

10. Retenção e descarte de dados

Mantemos os dados pessoais apenas pelo tempo necessário ao cumprimento das finalidades para as quais foram coletados, observados os prazos legais:

  • Conta ativa: enquanto durar a assinatura e o relacionamento.
  • Após o cancelamento: até 6 meses para histórico de auditoria; em seguida, os dados pessoais são anonimizados ou eliminados.
  • Obrigações fiscais e contábeis: até 5 anos para registros exigidos por lei.
  • Registros de acesso (logs): pelo prazo mínimo legal previsto no Marco Civil da Internet.

Encerrados os prazos e as bases legais que justificam a guarda, os dados são eliminados de forma segura ou anonimizados de modo irreversível.

11. Seus direitos como titular

A LGPD (art. 18) garante a você, titular dos dados, os seguintes direitos, que pode exercer gratuitamente e a qualquer momento:

  • Confirmação e acesso: saber se tratamos seus dados e acessar os que mantemos sobre você.
  • Correção: retificar dados incompletos, inexatos ou desatualizados.
  • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei.
  • Eliminação dos dados tratados com base no consentimento, ressalvadas as hipóteses de guarda legal.
  • Portabilidade dos dados a outro fornecedor, mediante requisição expressa.
  • Informação sobre as entidades públicas e privadas com as quais compartilhamos seus dados.
  • Informação sobre a possibilidade de não fornecer consentimento e suas consequências.
  • Revogação do consentimento a qualquer momento, inclusive para comunicações de marketing (opt-out).
  • Oposição a tratamentos realizados com fundamento em uma das bases legais dispensáveis de consentimento, em caso de descumprimento da LGPD.
  • Revisão de decisões tomadas unicamente com base em tratamento automatizado.

12. Como exercer seus direitos

Para exercer qualquer um dos direitos acima, escreva para o nosso Encarregado pelo e-mail privacidade@sustentalink.com.br. Para a sua segurança, podemos solicitar informações adicionais para confirmar a sua identidade antes de atender ao pedido.

Responderemos às solicitações no menor prazo possível e, em regra, em até 15 (quinze) dias. Pedidos complexos ou em grande volume podem demandar prazo adicional, do que você será informado. Alguns direitos podem ser limitados quando existir obrigação legal de manter os dados.

13. Segurança da informação

Adotamos medidas técnicas e administrativas razoáveis para proteger os dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, incluindo:

  • Criptografia de dados em trânsito (HTTPS/TLS);
  • Armazenamento de senhas exclusivamente como hash, nunca em texto puro;
  • Controle de acesso por papel, com regras de segurança em nível de linha (Row Level Security) no Supabase;
  • Registros (logs) de auditoria das operações relevantes;
  • Princípios de minimização de dados e privacidade desde a concepção (privacy by design).

Apesar dos nossos esforços, nenhum sistema é completamente imune a riscos. Caso identifique qualquer vulnerabilidade ou anomalia, comunique imediatamente o nosso Encarregado.

14. Incidentes de segurança

Na hipótese de um incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos o ocorrido à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados em prazo razoável, nos termos do art. 48 da LGPD, informando a natureza dos dados envolvidos, as medidas adotadas e as recomendações para reduzir os efeitos.

15. Dados de crianças e adolescentes

O SustentaLink é destinado a estabelecimentos e seus responsáveis maiores de 18 anos. Não coletamos intencionalmente dados de crianças ou adolescentes. Caso identifiquemos a coleta inadvertida desses dados, adotaremos as providências para eliminá-los. Se você acredita que isso ocorreu, contate o nosso Encarregado.

16. Decisões automatizadas

A análise das evidências ESG e a emissão do Selo envolvem a revisão humana do nosso auditor responsável. Não tomamos decisões que afetem seus interesses baseadas unicamente em tratamento automatizado de dados. Caso isso venha a ocorrer, você terá direito de solicitar a revisão da decisão, nos termos do art. 20 da LGPD.

17. Alterações nesta política

Esta Política pode ser atualizada periodicamente para refletir mudanças legais, regulatórias ou em nossos serviços. Sempre que houver alteração relevante, atualizaremos a data no topo deste documento e, quando apropriado, comunicaremos você por e-mail ou por aviso na plataforma. Recomendamos a consulta periódica desta página. A versão vigente é sempre a publicada nesta URL.

18. Encarregado (DPO) e ANPD

O nosso Encarregado de Proteção de Dados (DPO) é o canal responsável por receber comunicações, dúvidas e solicitações relacionadas a dados pessoais:

privacidade@sustentalink.com.br

Caso entenda que seus direitos não foram adequadamente atendidos, você também pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) por meio dos canais oficiais disponíveis em gov.br/anpd.

19. Legislação aplicável e foro

Esta Política é regida e interpretada de acordo com as leis da República Federativa do Brasil, em especial a LGPD (Lei 13.709/2018) e o Marco Civil da Internet (Lei 12.965/2014). Fica eleito o foro da comarca onde o SustentaLink está sediado para dirimir eventuais controvérsias, com renúncia a qualquer outro, por mais privilegiado que seja.

Quer ler também os Termos de Uso?