Pular para o conteúdo
MIX
Começar grátis →

Documento jurídico

Política de Privacidade

Como tratamos dados pessoais de visitantes, leads, clientes e terceiros — em conformidade com a LGPD (Lei nº 13.709/2018), Marco Civil da Internet (Lei nº 12.965/2014) e regulamentações da ANPD.

Versão
v2.0.0
Em vigor desde
09/05/2026

1. Resumo executivo

Esta Política descreve, em linguagem clara e em conformidade com o art. 9º da LGPD, como [PREENCHER: Razão social completa] (MIX CRM) coleta, utiliza, compartilha, retém e protege dados pessoais. Em síntese:

  • Coletamos apenas o necessário para operar o site, captar leads e prestar o serviço.
  • Não vendemos dados. Não usamos dados de clientes para treinar modelos de IA de uso geral.
  • Compartilhamos apenas com os subprocessadores listados na seção 9, sob cláusulas-padrão contratuais quando há transferência internacional.
  • Você tem todos os direitos previstos no art. 18 da LGPD e pode exercê-los pelo canal do Encarregado: dpo@usemix.app.

2. Identificação do controlador

Para fins desta Política, o controlador dos dados pessoais é:

  • Razão social: [PREENCHER: Razão social completa]
  • Nome fantasia: MIX CRM
  • CNPJ: [PREENCHER: 00.000.000/0001-00]
  • Endereço: [PREENCHER: Logradouro, número, complemento, bairro, cidade/UF, CEP]
  • Inscrição estadual: [PREENCHER: Inscrição estadual ou Isento]
  • Contato geral: contato@usemix.app
  • Encarregado (DPO): [PREENCHER: nome do Encarregado pelo Tratamento de Dados Pessoais] dpo@usemix.app

3. Definições

Para os fins desta Política, aplicam-se as definições do art. 5º da LGPD, em especial:

  • Dado pessoal: informação relacionada a pessoa natural identificada ou identificável.
  • Dado pessoal sensível: dado sobre origem racial ou étnica, convicção religiosa, opinião política, filiação sindical, dado referente à saúde ou à vida sexual, dado genético ou biométrico.
  • Titular: pessoa natural a quem se referem os dados pessoais.
  • Tratamento: qualquer operação realizada com dados pessoais (coleta, armazenamento, uso, transferência, eliminação etc.).
  • Controlador: a quem competem as decisões referentes ao tratamento.
  • Operador: quem realiza o tratamento em nome do controlador.
  • Encarregado (DPO): indicado pelo controlador como canal de comunicação entre o controlador, os titulares e a ANPD.
  • Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento.
  • Eliminação: exclusão de dado ou de conjunto de dados.

4. Papéis no tratamento (controlador × operador)

A MIX CRM atua em diferentes papéis conforme o cenário. Esta separação é essencial para determinar quem responde por cada conjunto de dados:

CenárioControladorOperador
Visitante do www.usemix.app (anônimo ou identificado)MIX CRM
Lead do www.usemix.app (formulário de contato/newsletter)MIX CRM
Cliente pagante — dados cadastrais (nome, email, CNPJ, dados fiscais)MIX CRM
Cliente pagante — telemetria e logs de uso do appMIX CRM
Lead, contato, imóvel ou mensagem cadastrado pelo cliente DENTRO do CRMClienteMIX CRM
Mensagens trocadas via integração WhatsApp BusinessClienteMIX CRM (intermediação técnica)
Logs técnicos de execução do CRM (audit log de operações)MIX CRM

Importante: quando um cliente da MIX cadastra dados de leads, contatos, imóveis ou mensagens dentro do CRM, esse cliente é o controlador desses dados, e a MIX atua como operadora — tratando os dados conforme as instruções documentadas pelo cliente, na forma do art. 39 da LGPD. Solicitações de titulares relacionadas a esses dados devem ser endereçadas primariamente ao cliente que os controla; a MIX apoia tecnicamente o atendimento.

5. Quem é o titular dos dados

  • Visitante: qualquer pessoa que acessa o site www.usemix.app, com ou sem identificação.
  • Lead: visitante que preenche formulário de contato, newsletter, demo ou ferramentas grátis.
  • Cliente-usuário: pessoa natural vinculada à pessoa jurídica contratante (responsável pela conta, administrador, vendedor etc.) que utiliza o CRM.
  • Terceiro do cliente: pessoa natural cujos dados foram cadastrados no CRM pelo cliente (lead, contato, parte em negociação, locatário, comprador). Para essa categoria, a MIX é operadora — ver seção 4.

6. Categorias de dados coletados

6.1 De visitantes anônimos do site

  • Identificador anônimo (anonymous_id) gerado no servidor e armazenado em cookie httpOnly por 2 anos. Não identifica pessoalmente.
  • Eventos de uso (páginas vistas, cliques em CTAs, scroll depth, ferramentas utilizadas).
  • Contexto técnico: país inferido por IP, tipo de dispositivo, viewport, user-agent. O endereço IP nunca é armazenado em texto — apenas hash HMAC.
  • Origem da visita: parâmetros UTM, referrer, gclid, fbclid, llm_referrer (quando vem de ChatGPT, Claude, Perplexity etc.).

6.2 De leads (após preenchimento de formulário)

  • Email (obrigatório), nome, telefone, empresa, CNPJ, cargo, tamanho de equipe, mensagem.
  • Histórico de atribuição: ferramenta/comparação/conteúdo que precedeu o cadastro.
  • Score de qualificação (0-100) calculado automaticamente — ver seção 13.
  • Consentimento granular para finalidade de marketing (separado do consentimento para analytics).

6.3 De clientes-usuários (durante o uso do CRM)

  • Dados cadastrais da pessoa jurídica e dos usuários autorizados.
  • Dados fiscais e de cobrança (faturamento via Stripe).
  • Logs de uso, audit log de operações sobre PII, IP de acesso (hash).
  • Configurações de produto e preferências.

6.4 De terceiros cadastrados pelo cliente dentro do CRM

Os dados que o cliente carrega ou cadastra no CRM (leads, contatos, imóveis, mensagens WhatsApp, anexos) são tratados pela MIX como operadora. O cliente é responsável por possuir base legal para esse tratamento. A MIX não tem ingerência sobre finalidade ou retenção desses dados — apenas executa o serviço conforme contratado.

7. Bases legais (art. 7º LGPD)

Cada finalidade tem uma base legal específica:

FinalidadeBase legal
Operação do site e analytics próprio anonimizadoLegítimo interesse — art. 7º, IX
Resposta a contato/demonstração solicitada pelo leadProcedimentos preliminares a contrato — art. 7º, V
Envio de newsletter e comunicação de marketingConsentimento — art. 7º, I (revogável a qualquer tempo)
Execução do contrato com clientes pagantesExecução de contrato — art. 7º, V
Cobrança, faturamento e prevenção a fraudeExecução de contrato + obrigação legal — art. 7º, II e V
Guarda de logs de acesso (Marco Civil)Cumprimento de obrigação legal — art. 7º, II
Audit log de operações sobre PIILegítimo interesse + obrigação legal — art. 7º, II e IX
Defesa em processos judiciais e administrativosExercício regular de direitos — art. 7º, VI

8. Finalidades específicas

  • Operar e melhorar o site www.usemix.app e o aplicativo CRM.
  • Atender solicitações de contato, demonstração e propostas comerciais.
  • Enviar comunicações de marketing aos leads que consentiram, com possibilidade de descadastro em todo email e mediante pedido a contato@usemix.app.
  • Executar o contrato com clientes pagantes e prestar suporte técnico.
  • Cobrar mensalidades e emitir documentos fiscais.
  • Cumprir obrigações legais e fiscais.
  • Detectar e prevenir fraude, abuso e violações dos Termos de Uso.
  • Defender direitos da MIX em processos judiciais, administrativos e arbitrais.

Não usamos dados pessoais dos clientes (nem dos terceiros cadastrados pelos clientes) para treinar modelos de inteligência artificial de uso geral. Modelos internos usados em recursos como lead scoring e match são treinados com dados agregados e anonimizados.

9. Compartilhamento e subprocessadores

Compartilhamos dados pessoais com os subprocessadores listados abaixo, exclusivamente para as finalidades descritas. Cada subprocessador está vinculado por contrato a obrigações de sigilo, segurança e tratamento conforme a LGPD.

SubprocessadorFinalidadePaísMecanismo de transferênciaCategorias de dados
Neon, Inc.Banco de dados PostgreSQL gerenciadoEstados UnidosCláusulas-padrão contratuais — Resolução CD/ANPD nº 19/2024Dados cadastrais, eventos de uso, conteúdo do cliente
Vercel, Inc.Hospedagem da aplicação web e funções edgeEstados UnidosCláusulas-padrão contratuais — Resolução CD/ANPD nº 19/2024Dados de navegação, IP (hash), logs de aplicação
Meta Platforms, Inc.WhatsApp Business Cloud API (mensageria oficial)Estados UnidosCláusulas-padrão contratuais — Resolução CD/ANPD nº 19/2024Telefones, mensagens, mídias trocadas via WhatsApp
Google LLCGoogle Calendar, Google Meet e autenticação OAuthEstados UnidosCláusulas-padrão contratuais — Resolução CD/ANPD nº 19/2024Email, dados de calendário, links de reunião
Stripe Payments CompanyProcessamento de pagamentos e emissão de faturasEstados UnidosCláusulas-padrão contratuais — Resolução CD/ANPD nº 19/2024Dados de pagamento, dados fiscais (CNPJ, razão social)
Resultados Digitais S.A. (RD Station)Sincronização opcional com plataforma de marketingBrasilNão aplicável (tratamento em território nacional)Email, nome, empresa, score (apenas se cliente conectar)
Pipedrive OÜImportação opcional de dados na migração inicialEstônia (UE) e Estados UnidosCláusulas-padrão contratuais — Resolução CD/ANPD nº 19/2024Contatos, deals, atividades (apenas se cliente conectar)

Não compartilhamos dados com terceiros para fins próprios deles (exceto quando necessário para execução do contrato — exemplo: enviar mensagem WhatsApp via Meta a pedido do cliente). Não vendemos, alugamos ou cedemos dados pessoais.

10. Transferência internacional de dados

Parte dos subprocessadores listados na seção 9 está sediada nos Estados Unidos ou em outros países. Essas transferências ocorrem com base no art. 33, II, da LGPD (cláusulas-padrão contratuais), nos termos da Resolução CD/ANPD nº 19/2024, que aprovou o conteúdo das cláusulas-padrão contratuais brasileiras para transferência internacional de dados pessoais.

Os contratos com nossos subprocessadores incluem essas cláusulas, garantindo nível de proteção compatível com a legislação brasileira. Cópia dos instrumentos pode ser solicitada ao Encarregado, sob NDA, por clientes corporativos em due diligence.

Para finalidades específicas em que a transferência depende de consentimento, ela é coletada de forma destacada, conforme art. 33, VIII, da LGPD.

11. Retenção

Mantemos dados pessoais apenas pelo tempo necessário ao cumprimento das finalidades, ou por prazo superior quando há obrigação legal ou exercício regular de direito. Após esses prazos, os dados são eliminados ou anonimizados.

Categoria de dadoPrazo de retençãoBase legalJustificativa
Eventos de uso anônimos (anonymous_id, page_path, UTM)18 mesesLegítimo interesse (Art. 7º, IX LGPD)Análise de funil próprio; agregado anonimizado
IP de origemNão armazenado em texto — apenas hash HMAC, retido por 6 mesesMarco Civil Art. 15 (logs)Cumprimento de obrigação legal de guarda de logs
Dados de leads (email, nome, telefone, empresa)Enquanto a relação comercial estiver ativa, ou 5 anos após o último contatoExecução de contrato preliminar / legítimo interesseContinuidade de relacionamento; revogação atendida em 15 dias
Dados cadastrais de clientes pagantesDurante a vigência do contrato + 5 anos (prescrição cível) e 5 anos fiscaisExecução de contrato + obrigação legal (CC Art. 206 + Lei 8.218/91)Defesa em ações judiciais e fiscalização tributária
Dados de pagamento (Stripe)Conforme política do Stripe; tokens armazenados pelo prazo do contratoExecução de contratoCobrança recorrente e estorno
Conteúdo carregado pelo cliente (leads, imóveis, mensagens do CRM)Durante a vigência + 30 dias para extração + purgeExecução de contrato (cliente é controlador)Cliente é controlador desses dados; MIX é operadora
Logs de auditoria (acessos, alterações em PII)12 mesesLegítimo interesse + obrigação legalDefesa em disputa, prevenção a fraude, prova de não-violação
Backups (point-in-time)30 dias rotativosLegítimo interesseRecuperação de desastre; pedidos de eliminação aplicam após o ciclo

Pedidos de eliminação antecipada (art. 18, VI LGPD) são atendidos em até 15 dias, ressalvadas as hipóteses do art. 16 (cumprimento de obrigação legal, estudos por órgão de pesquisa, transferência a terceiro mediante anonimização, uso exclusivo do controlador desde que anonimizado).

12. Direitos do titular (art. 18 LGPD)

Você tem direito a, mediante requisição:

  1. Confirmação da existência de tratamento.
  2. Acesso aos dados.
  3. Correção de dados incompletos, inexatos ou desatualizados.
  4. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
  5. Portabilidade a outro fornecedor (entrega em formato estruturado e interoperável — JSON ou CSV).
  6. Eliminação dos dados tratados com consentimento.
  7. Informação sobre entidades públicas e privadas com as quais houve compartilhamento.
  8. Informação sobre a possibilidade de não fornecer consentimento e suas consequências.
  9. Revogação do consentimento.

Como exercer: envie pedido a dpo@usemix.app. Para sua proteção, podemos exigir validação de identidade antes de atender. Respondemos em até 15 dias corridos (art. 19, §3º LGPD). Se a solicitação for tecnicamente impossível ou afastada por previsão legal, justificamos por escrito.

Para dados que você cadastrou no CRM como cliente da MIX: nesses casos a MIX é operadora, e o pedido deve ser endereçado primeiramente a você como controlador. Se um terceiro nos procurar diretamente, redirecionaremos a solicitação a você em até 48 horas.

13. Decisões automatizadas (art. 20 LGPD)

Você tem direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluindo decisões destinadas a definir perfil pessoal, profissional, de consumo e de crédito ou aspectos da sua personalidade.

Utilizamos os seguintes mecanismos automatizados, em linguagem acessível:

MecanismoPapel da MIXCritérios usadosResultadoComo pedir revisão
Lead scoring de visitantes do www.usemix.appMIX CRM é controladoraPáginas visitadas, ferramentas usadas, conteúdo de comparação acessado, UTM
Não usa dados sensíveis (saúde, religião, política, sexualidade, biometria)		Pontuação 0-100 que indica prioridade de atendimento comercialRevisão humana mediante pedido a dpo@usemix.app em até 15 dias
Match lead × imóvel (vertical imobiliária)Cliente da MIX é controlador; MIX é operadoraCritérios definidos pelo cliente (faixa de preço, bairro, dormitórios) e perfil do lead
Não usa dados sensíveis		Ranking de até 5 imóveis com maior aderênciaO direito de revisão é exercido perante o cliente da MIX (controlador). MIX dá suporte técnico ao processo.
Qualificação automática (BANT, SQL/MQL)Cliente da MIX é controlador; MIX é operadoraDados informados pelo lead, comportamento dentro do funil do cliente
Não usa dados sensíveis		Etapa do pipeline e prioridadeDireito de revisão exercido perante o cliente da MIX

Decisões automatizadas não usam dados sensíveis. Os critérios e a lógica em nível necessário para entendimento podem ser detalhados a pedido, ressalvado segredo comercial e industrial.

14. Dados sensíveis

A MIX não solicita dados pessoais sensíveis (saúde, biometria, religião, opinião política, orientação sexual, filiação sindical, dados genéticos) para suas atividades. Caso um cliente carregue, ainda que inadvertidamente, dados sensíveis dentro do CRM, esse tratamento se dará sob a exclusiva responsabilidade do cliente como controlador, cabendo a ele garantir base legal específica do art. 11 da LGPD. A MIX, como operadora, executará o serviço conforme contratado, sem assumir as obrigações próprias do controlador.

15. Crianças e adolescentes

O serviço se destina a maiores de 18 anos atuando em nome de pessoas jurídicas. Não coletamos intencionalmente dados de menores de 18 anos. Caso recebamos notícia de coleta inadvertida de dados de menor de 12 anos, eliminamos os dados em até 48 horas, salvo determinação legal em contrário (art. 14 LGPD).

Para clientes que cadastram no CRM dados de adolescentes (12-18 anos) por necessidade de negócio (ex: locação imobiliária com menor entre os ocupantes), o cliente é responsável por observar o disposto no art. 14 da LGPD, em especial a obtenção de consentimento por pelo menos um dos pais ou responsável legal.

16. Segurança técnica e organizacional

Adotamos medidas técnicas e administrativas aptas a proteger os dados contra acessos não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão (art. 46 LGPD), incluindo:

  • Criptografia em trânsito (TLS 1.3) e em repouso (AES-256), com chaves rotacionadas.
  • Autenticação por magic link e cookie HMAC; recomendação de MFA para administradores.
  • Controle de acesso baseado em função (RBAC), princípio do menor privilégio.
  • Audit log imutável de operações sobre dados pessoais identificáveis (PII).
  • Backups automáticos point-in-time (até 30 dias), armazenados em região distinta da principal.
  • Mascaramento de email e IP em logs operacionais.
  • Revisão periódica de permissões e segregação de ambientes.

17. Notificação de incidente de segurança

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos a ANPD e os titulares afetados em prazo razoável, conforme art. 48 da LGPD e regulamentação aplicável. A comunicação incluirá:

  • Descrição da natureza dos dados afetados.
  • Informações sobre os titulares envolvidos.
  • Indicação das medidas técnicas e de segurança utilizadas.
  • Riscos relacionados ao incidente.
  • Motivos da demora, se a comunicação não for imediata.
  • Medidas adotadas para reverter ou mitigar os efeitos do prejuízo.

Canal interno para reportar suspeita de incidente: seguranca@usemix.app.

18. Cookies e tecnologias equivalentes

Usamos cookies, localStorage e tecnologias correlatas exclusivamente para operar o site e oferecer analytics próprio anonimizado. Não utilizamos cookies de publicidade de terceiros, Google Analytics, Meta Pixel ou ferramentas similares.

A relação completa, com nome, finalidade, duração e base legal, está na nossa Política de Cookies.

19. Profiling e de-anonimização

Antes do preenchimento de formulário, o visitante é identificado apenas pelo anonymous_id (não-pessoal). Quando o visitante preenche um formulário e se torna lead, podemos vincular o histórico de navegação anônima ao registro do lead, para compreender o caminho até a conversão e personalizar a comunicação subsequente. Esse vínculo é considerado tratamento de dado pessoal e tem como base legal o legítimo interesse (art. 7º, IX) ou consentimento (art. 7º, I), conforme o caso. Você pode solicitar desvinculação a qualquer tempo pelo canal do Encarregado.

20. Encarregado pelo Tratamento (DPO)

Em cumprimento ao art. 41 da LGPD, designamos:

  • Nome: [PREENCHER: nome do Encarregado pelo Tratamento de Dados Pessoais]
  • Email: dpo@usemix.app
  • Endereço para correspondência: [PREENCHER: Logradouro, número, complemento, bairro, cidade/UF, CEP]
  • Prazo para primeira resposta: 5 dias úteis. Resposta conclusiva conforme art. 19, §3º da LGPD (até 15 dias corridos).

21. Reclamação à ANPD

Caso entenda que o tratamento de seus dados não está em conformidade com a LGPD, você pode apresentar reclamação à Autoridade Nacional de Proteção de Dados pelo canal oficial em gov.br/anpd. Encorajamos que você nos procure primeiro pelo canal do Encarregado — a ANPD recomenda que o titular busque o controlador antes de formalizar reclamação.

22. Atualizações desta Política

Esta Política pode ser atualizada para refletir alterações em práticas, tecnologias, exigências legais ou recomendações da ANPD. Atualizações materiais (que afetem direitos do titular ou ampliem finalidades) serão comunicadas por email aos titulares ativos com 30 dias de antecedência, e a versão anterior fica arquivada para consulta.

A versão vigente é sempre identificada pelo número e pela data de vigência no topo deste documento. Mudanças menores (correção de erros materiais, ajuste editorial) ficam registradas no histórico ao final.

Esta Política é regida pela legislação brasileira. Eventuais controvérsias serão dirimidas no foro da Comarca de [PREENCHER: comarca]/[PREENCHER: UF], salvo nas hipóteses em que a lei imperativamente determinar outro foro, em especial quando uma das partes for qualificada como consumidor pela legislação aplicável.

Histórico de versões

VersãoDataResumo das alterações
v2.0.009/05/2026Reformulação completa: bases legais Art. 7º, papéis controlador/operador, decisões automatizadas Art. 20, transferência internacional Res. CD/ANPD 19/2024, matriz de retenção, notificação de incidente Art. 48.
v1.0.015/10/2025Versão inicial, formato curto LGPD-aware.

Documentos relacionados

A gente usa cookies pra entender o que funciona e o que não funciona aqui. Sem terceiros — dado fica conosco. Política.