Capivara da Capivaracapivara
Capivara
Documento legal · v1.2.0

Política de Privacidade da Capivara

Em vigor desde

SHA-256: c219f6ba962c18549653e854

Política de Privacidade da Capivara

Versão 1.1.0 · Vigência a partir de 22 de maio de 2026

Esta Política de Privacidade descreve como a Capivara coleta, usa, armazena e protege dados pessoais dos usuários da plataforma, em conformidade com a Lei Geral de Proteção de Dados (Lei 13.709/2018 — "LGPD").

1. Quem é a controladora

Capivara (operada por Dose de Growth) é a controladora dos dados pessoais dos seus usuários cadastrados.

1.1. Encarregado de Proteção de Dados (DPO)

Conforme LGPD Art. 41, designamos um Encarregado responsável por:

  • Receber comunicações da ANPD e dos titulares
  • Orientar nossos colaboradores sobre proteção de dados
  • Executar demais atribuições determinadas pela controladora

Contato do Encarregado:

  • Email: lgpd@suacapivara.com.br
  • Tempo de resposta: até 15 dias úteis (LGPD Art. 19)

1.2. Identificação da operadora

A Capivara atua como controladora dos dados dos seus usuários cadastrados, e como operadora dos dados pessoais que os usuários consultam por nosso intermédio (CPF, CNPJ, dados veiculares de terceiros).

Quando você (usuário) consulta dados de um terceiro pela Capivara, VOCÊ é o controlador desses dados de terceiros e é responsável pelo tratamento conforme LGPD. Nós executamos a busca por sua conta e ordem.

2. Quais dados coletamos

2.1. Dados que VOCÊ fornece

  • Cadastro: nome completo, CPF, email, telefone (opcional), senha (hash bcrypt)
  • Empresa (B2B): CNPJ, razão social, nome fantasia, email de faturamento
  • Pagamento: dados de cartão (processados pelo gateway Asaas, não armazenamos), dados de PIX/boleto
  • Comunicação: mensagens enviadas ao suporte

2.2. Dados coletados automaticamente

  • Navegação: IP, user-agent, páginas visitadas, timestamp
  • Telemetria de consulta: alvo consultado, plano selecionado, finalidade declarada
  • Cookies essenciais: sessão, CSRF, preferências (sem cookies de marketing por padrão)

2.3. Dados que NÃO coletamos

  • Cookies de marketing/tracking de terceiros (sem Google Analytics 4 ou similar com perfil identificável)
  • Dados de localização GPS precisos
  • Dados biométricos
  • Dados de menores de 18 anos (a Plataforma é restrita a adultos)

3. Por que coletamos (base legal)

3.1. Bases legais aplicáveis

FinalidadeBase legal (LGPD Art. 7º)
Operação da contaExecução de contrato (V)
Cobrança e pagamentoExecução de contrato (V)
Cumprimento de obrigação legal (fiscal, antifraude)Obrigação legal (II)
Auditoria e logs de segurançaLegítimo interesse (IX)
Comunicação transacional (email pós-consulta)Execução de contrato (V)
Comunicação de marketingConsentimento (I) — opt-in explícito

3.2. Logs de aceite (consent_logs)

Cada aceite de Termos, Política de Privacidade, consentimento LGPD ou termo de responsabilidade é registrado com:

  • IP do dispositivo
  • User-agent (navegador)
  • Timestamp ISO 8601
  • Hash do documento aceito (SHA-256)
  • Texto completo do documento (snapshot imutável)

Esses registros são mantidos por 5 anos.

4. Com quem compartilhamos

4.1. Operadores nossos

  • Supabase (banco de dados, autenticação, storage) — Frankfurt, Alemanha (GDPR-compliant) ou São Paulo, Brasil
  • Vercel (hospedagem do site/API) — Brasil (região gru1)
  • Asaas (pagamento PIX/boleto/cartão + NF-e) — Brasil
  • Resend (email transacional) — União Europeia
  • Bureaus de dados (apenas para a consulta solicitada, com finalidade declarada)

Cada operador tem contrato de processamento (DPA) com cláusulas de proteção alinhadas à LGPD.

4.2. Quando NÃO compartilhamos

  • Nunca vendemos dados pessoais
  • Nunca compartilhamos pra marketing de terceiros
  • Não cedemos dados de consulta a outras empresas, exceto quando solicitado pelo próprio Usuário (export LGPD)

4.3. Quando podemos ser obrigados a compartilhar

  • Ordem judicial específica e fundamentada
  • Requisição da ANPD em procedimento administrativo
  • Investigação policial mediante mandado

Nesses casos, o Usuário será notificado, exceto quando a legislação proibir a notificação.

5. Por quanto tempo guardamos

Categoria de dadoPrazo
Cadastro (perfil ativo)Enquanto a conta estiver ativa
Cadastro (conta encerrada)5 anos após encerramento (prazo prescricional)
Relatórios de consulta90 dias acessíveis, depois anonimizados automaticamente
Logs de pagamento5 anos (obrigação fiscal)
Logs de aceite (consent_logs)5 anos (LGPD)
Cookies de sessãoAté logout ou 30 dias
Logs de segurança6 meses

6. Seus direitos (LGPD Art. 18)

Você pode, a qualquer momento:

  • Confirmar se tratamos seus dados (Art. 18 I)
  • Acessar seus dados (Art. 18 II)
  • Corrigir dados incorretos (Art. 18 III)
  • Eliminar dados anonimizados, desnecessários ou tratados em desconformidade (Art. 18 IV)
  • Portabilidade: receber seus dados em formato estruturado (Art. 18 V) — disponível em /configuracoes
  • Eliminar dados tratados com consentimento (Art. 18 VI) — disponível em /configuracoes
  • Saber com quem compartilhamos (Art. 18 VII)
  • Revogar consentimento (Art. 18 IX)

Para exercer esses direitos: lgpd@suacapivara.com.br ou diretamente em /configuracoes.

7. Segurança

7.1. Medidas técnicas

  • HTTPS obrigatório em todas as conexões
  • Senhas em bcrypt (custo 10+)
  • API keys em hash SHA-256 (nunca em texto puro no banco)
  • Row Level Security (RLS) em todas as tabelas com dados de usuário
  • Logs de acesso administrativo
  • Backups diários do Supabase

7.2. Procedimento em caso de incidente de segurança (LGPD Art. 48)

Caso ocorra incidente de segurança envolvendo dados pessoais que possa causar risco ou dano relevante aos titulares, a Capivara se compromete a:

  1. Conter o incidente o mais rápido possível
  2. Investigar e documentar a natureza, dados afetados, número aproximado de titulares envolvidos
  3. Notificar a ANPD em prazo razoável (referência: 2 dias úteis)
  4. Notificar os titulares afetados quando o risco for relevante
  5. Aplicar medidas corretivas pra evitar reincidência

Canal de comunicação de incidentes (interno ou externo): lgpd@suacapivara.com.br

Se você suspeitar que sua conta ou seus dados foram comprometidos, contate-nos imediatamente.

7.3. Adequação dos operadores (Art. 39)

Nossos operadores (Supabase, Vercel, Asaas, Resend) têm contratos com cláusulas de proteção de dados (DPA) alinhadas à LGPD. Para clientes empresariais que precisem de DPA específico (subprocessador), entre em contato pelo lgpd@suacapivara.com.br.

8. Cookies

A Capivara usa apenas cookies essenciais:

  • Sessão de autenticação (Supabase Auth)
  • CSRF token (proteção contra ataques)
  • Preferências locais (tema, idioma — armazenado em localStorage)

Não usamos cookies de tracking de terceiros (Google Analytics, Facebook Pixel) por padrão. Caso isso mude no futuro, você será notificada e poderá optar.

Detalhes completos: /cookies

9. Crianças e adolescentes

A Capivara é restrita a maiores de 18 anos. Não coletamos dados de menores intencionalmente. Se descobrir que coletamos dados de alguém menor de 18, contate-nos imediatamente em lgpd@suacapivara.com.br para remoção.

10. Transferência internacional

Alguns operadores nossos (Supabase Frankfurt, Resend UE) processam dados fora do Brasil. Garantimos que essa transferência ocorre:

  • Em países com nível adequado de proteção (LGPD Art. 33 I), OU
  • Com cláusulas contratuais padrão (DPA) (LGPD Art. 33 II)

11. Atualizações

Esta Política pode ser atualizada. Mudanças relevantes serão comunicadas por email com 15 dias de antecedência. Versões antigas ficam disponíveis na seção "Meus aceites" do painel.

12. Contato

  • DPO / Encarregado: lgpd@suacapivara.com.br
  • Suporte: contato@suacapivara.com.br

Ao clicar em "Aceito a Política de Privacidade", você declara que leu, entendeu e concorda com o tratamento dos seus dados conforme descrito acima.

Documento versão 1.2.0 · Hash de integridade: c219f6ba962c1854e9a0caa74abae5d326f1f9b98a0835c5c5f8e6319653e854

Em caso de divergência sobre o que você aceitou em algum momento, consulte o histórico em /configuracoes/meus-aceites.