Política de privacidade
Versão v1.0 — 15/05/2026. Esta política descreve como a Calculadora Capital (controladora dos dados) coleta, usa, compartilha e protege seus dados pessoais, em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD).
1. Dados que coletamos
Coletamos dados em três momentos:
- Cadastro e conta: nome, email, senha (criptografada com bcrypt), CPF, telefone, data de nascimento e endereço completo.
- Pagamento: CPF/CNPJ e dados do método de pagamento são enviados diretamente ao gateway (Asaas). Não armazenamos número de cartão — apenas referências (token, últimos 4 dígitos, bandeira).
- Uso do produto: relatórios gerados, simulações, materiais visualizados, IP de acesso, user agent, eventos de analytics (apenas com seu consentimento explícito — ver §6).
- Formulários da landing: email e nome opcional, com base no consentimento ativo (checkbox). Origem (lead magnet, exit intent, etc.) e UTMs.
2. Finalidade e base legal
| Finalidade | Base legal (LGPD) | Retenção |
|---|---|---|
| Autenticação e operação da conta | Execução de contrato (Art. 7º V) | Enquanto ativa |
| Cobrança e emissão fiscal | Cumprimento de obrigação legal (Art. 7º II) | 5 anos após cancelamento |
| Suporte e comunicação transacional | Execução de contrato (Art. 7º V) | Enquanto ativa |
| Marketing e lead nurturing | Consentimento (Art. 7º I) | Até revogação ou 2 anos sem interação |
| Analytics comportamental (PostHog/Clarity) | Consentimento (Art. 7º I) | Até revogação ou 24 meses |
| Logs de acesso (login, API, link público) | Legítimo interesse (Art. 7º IX) | 90 dias |
| Logs de email transacional | Legítimo interesse (Art. 7º IX) | 6 meses |
| Payload de webhook de pagamento | Legítimo interesse + obrigação fiscal | 1 ano (depois redacted, mantém só metadados) |
3. Sub-operadores e transferência internacional
Compartilhamos dados estritamente necessários com os sub-operadores abaixo. Nenhum dado é vendido. Transferências internacionais respeitam Art. 33 LGPD (operadores em jurisdições com nível de proteção adequado ou cláusulas contratuais específicas).
| Operador | Finalidade | País |
|---|---|---|
| Asaas | Processamento de pagamento e emissão fiscal | Brasil |
| Neon (PostgreSQL) | Banco de dados primário | Brasil (sa-east-1) |
| Vercel | Hospedagem e CDN | EUA |
| Vercel Blob | Armazenamento de PDFs e materiais | EUA |
| Cloudflare Stream | Vídeos do curso (transcoding e entrega) | EUA |
| Resend | Emails transacionais (verificação, cobrança, recuperação) | EUA |
| PostHog | Analytics, funnels, session replay (apenas com consentimento) | EUA |
| Microsoft Clarity | Heatmap e gravação de sessão (apenas com consentimento) | EUA |
| Upstash Redis | Rate limiting distribuído | UE/EUA (multi-região) |
4. Cookies e tecnologias similares
Usamos duas categorias de cookies. Você controla via banner de consent (primeira visita) ou link "Cookies" no rodapé.
- Essenciais (sempre ativos): autenticação NextAuth, CSRF, preferência de tema, consent registrado, cookie de exit intent. Sem eles o site não funciona.
- Analytics (opt-in): PostHog (
ph_*) e Microsoft Clarity (_clck,_clsk,CLID,MUID).
5. Segurança
- Senhas com hash bcrypt (cost 10), nunca em texto puro.
- Tokens de reset com hash SHA-256 antes de salvar.
- HSTS, X-Frame-Options, CSP e demais headers de segurança.
- Webhooks de pagamento validados por token em comparação tempo-constante (timing-safe).
- Acesso administrativo a dados pessoais é registrado em
AdminLogcom justificativa obrigatória. - Logs do servidor passam por filtro de redação automática (CPF, cartão, senha são mascarados antes de imprimir).
6. Seus direitos (LGPD Art. 18)
Você pode exercer todos os direitos abaixo, autonomamente, na sua área logada — sem precisar de email/contato manual.
- Acesso e portabilidade — baixe um JSON com tudo que armazenamos sobre você em Meu perfil → Seus direitos.
- Correção — edite seus dados em Meu perfil.
- Exclusão (esquecimento) — anonimização imediata em Meu perfil → Excluir conta. Registros fiscais permanecem por 5 anos sem dados pessoais identificáveis (Art. 16 §I LGPD).
- Revogação de consentimento (analytics) — link "Cookies" no rodapé.
- Oposição, anonimização, informação — escreva ao DPO (§7) com sua solicitação. Respondemos em até 15 dias úteis (Art. 19).
7. Encarregado pela Proteção de Dados (DPO)
Para qualquer dúvida ou exercício de direitos não cobertos pelos autoatendimentos acima, contate nosso encarregado:
Email: dpo@calculadora.capital
Respondemos solicitações LGPD em até 15 dias úteis (Art. 19 LGPD).
8. Mudanças nesta política
Quando alterarmos materialmente esta política, exibiremos um banner na próxima visita pedindo seu reconhecimento. A versão atual e a data de revisão estão sempre no topo.