Capitalia Capitalia Política de Privacidade

Política de Privacidade

Última atualização: março de 2026

A Capitalia respeita sua privacidade e está comprometida com a proteção dos seus dados pessoais, em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD — Lei nº 13.709/2018) e demais normas aplicáveis. Este documento descreve quais dados coletamos, como os utilizamos, com quem os compartilhamos e quais são seus direitos como titular.

1. Quem é o Controlador dos Dados

O controlador dos dados pessoais tratados por meio do aplicativo Capitalia é a pessoa jurídica responsável pelo desenvolvimento e operação do serviço. Para dúvidas ou exercício de direitos, utilize os canais indicados na seção 14 desta política.

Razão Social: N R S Pereira Storm Core Desenvolvimento de Sistemas LTDA

CNPJ: 64.104.432/0001-25

Aplicativo: Capitalia — Gestão Financeira Inteligente

Plataformas: Web (PWA), Android

E-mail de contato: contato@stormcore.com.br

2. Dados Pessoais Coletados

Coletamos os seguintes dados ao longo do uso do aplicativo:

Categoria Dados Momento da Coleta
Identificação Nome, endereço de e-mail Cadastro / login
Financeiros Transações, categorias, receitas, despesas, saldo estimado, cartões de crédito (somente nome e limite — sem número do cartão), investimentos Inserção manual pelo usuário
Perfil Renda mensal estimada, país, idioma, preferências de interface Configuração do perfil
Uso do serviço Data/hora de login, contagem de acessos, plano contratado, data de upgrade Automaticamente
Pagamento ID de cliente Stripe, ID de assinatura, status do pagamento. Não armazenamos dados de cartão de crédito. Checkout / renovação
IA / assistente Mensagens enviadas ao chat, contexto financeiro fornecido para análise, contagem de tokens consumidos Uso do assistente IA
Técnicos Endereço IP (processado pelo Supabase/Netlify), tipo de dispositivo, sistema operacional Automaticamente

⚠️ Não coletamos número de documentos (CPF/RG), senhas bancárias, tokens de acesso a bancos ou qualquer dado bancário de conexão direta. Toda entrada financeira é feita manualmente pelo usuário.

3. Finalidades do Tratamento

  • Prestação do serviço: exibir dashboards, relatórios, análises e funcionalidades do app.
  • Autenticação e segurança: verificar a identidade do usuário e proteger a conta contra acessos não autorizados.
  • Assistente de IA: enviar contexto financeiro ao Google Gemini API para gerar respostas personalizadas de gestão financeira.
  • Gestão de assinaturas: processar pagamentos, controlar planos ativos e renovações via Stripe e Google Play.
  • Melhoria do serviço: analisar padrões de uso agregados (sem identificação individual) para aprimorar funcionalidades.
  • Cumprimento de obrigações legais: atender exigências de autoridades regulatórias quando aplicável.

4. Bases Legais (LGPD — Art. 7º)

Tratamento Base Legal
Cadastro e autenticação Execução de contrato (Art. 7º, V)
Exibição de dados financeiros do próprio usuário Execução de contrato (Art. 7º, V)
Processamento de pagamento Execução de contrato (Art. 7º, V)
Envio de dados ao assistente IA (Google Gemini) Consentimento (Art. 7º, I) + Execução de contrato (Art. 7º, V)
Análise de uso agregado para melhoria do serviço Legítimo interesse (Art. 7º, IX)
Cumprimento de obrigação legal ou regulatória Obrigação legal (Art. 7º, II)

5. Compartilhamento com Terceiros

Compartilhamos dados apenas com os fornecedores estritamente necessários para a operação do serviço:

Supabase (EUA)

Banco de dados e autenticação. Armazena perfis, transações, cartões e demais dados do usuário. Política: supabase.com/privacy

Google Gemini API (EUA)

Processamento de linguagem natural para o assistente IA. Recebe contexto financeiro anonimizado (sem nome ou e-mail) para gerar respostas. Política: policies.google.com/privacy

Stripe (EUA)

Processamento de pagamentos web. Recebe e-mail e gerencia dados de cobrança. Não armazenamos dados de cartão. Política: stripe.com/privacy

Google Play Billing / RevenueCat (EUA)

Processamento de assinaturas no Android. Recebe um identificador de usuário anônimo para associar assinaturas. Política RevenueCat: revenuecat.com/privacy

Netlify (EUA)

Hospedagem da aplicação web e execução das funções serverless (webhooks). Política: netlify.com/privacy

Não vendemos, alugamos nem comercializamos dados pessoais com terceiros para fins de marketing.

6. Retenção e Exclusão de Dados

  • Dados de conta e financeiros são mantidos enquanto a conta estiver ativa.
  • Ao solicitar a exclusão da conta, todos os dados pessoais são removidos do banco dentro de 30 dias, ressalvadas obrigações legais de retenção.
  • Logs de uso de IA são mantidos por até 12 meses para controle de limites de plano e detecção de fraudes, após o qual são anonimizados.
  • Dados de pagamento (IDs Stripe) podem ser retidos por até 5 anos para fins fiscais e de auditoria, conforme legislação aplicável.

7. Segurança da Informação

Adotamos medidas técnicas e administrativas alinhadas ao estado da arte para proteger seus dados:

  • Comunicação criptografada via HTTPS/TLS em todas as transmissões.
  • Banco de dados com Row Level Security (RLS) no Supabase — cada usuário acessa apenas seus próprios dados.
  • Credenciais de acesso armazenadas com hash seguro (gerenciadas pelo Supabase Auth).
  • Chaves de API de serviços externos mantidas em variáveis de ambiente privadas no servidor, nunca expostas ao cliente.
  • Acesso administrativo aos dados restrito a pessoal autorizado com autenticação forte.

Em caso de incidente de segurança que possa gerar risco relevante, notificaremos os titulares afetados e a ANPD nos prazos e formas previstos na LGPD.

8. Cookies e Armazenamento Local

O Capitalia utiliza armazenamento local (localStorage) e tokens de sessão para as finalidades abaixo:

Item Finalidade Duração
sb-auth-token Token de autenticação Supabase Sessão / renovação automática
theme Preferência de tema (claro/escuro) Persistente
capitalia_* Preferências de interface e onboarding Persistente
capitalia_saved_accounts Somente quando o usuário ativa "Lembrar minha conta". Armazena nome, e-mail e um token de sessão opaco (refresh token) emitido pelo Supabase — sem senha. Permite login rápido ao selecionar uma conta salva. O token pode ser revogado realizando o logout com a opção "Sair de todos os dispositivos" nas Configurações. Persistente (até 60 dias sem uso ou até o logout total)

A funcionalidade "Lembrar minha conta" é opcional e baseada em consentimento explícito do usuário no momento do login. Caso não seja ativada, nenhuma credencial ou token é retido localmente após o logout.

Não utilizamos cookies de rastreamento publicitário nem compartilhamos dados de navegação com redes de anúncios.

9. Uso de Inteligência Artificial

O assistente e os módulos inteligentes do Capitalia utilizam a API do Google Gemini. Ao usar essas funcionalidades:

  • Dados financeiros resumidos (transações, categorias, totais) são enviados ao Google como contexto da conversa. Não enviamos nome completo nem e-mail.
  • As conversas não são usadas pelo Capitalia para treinamento de modelos próprios.
  • O Google Gemini opera sob a política de dados para APIs do Google — consulte policies.google.com/privacy.
  • Você pode optar por não usar os módulos de IA sem perda das funcionalidades básicas do app.
  • Registramos a contagem de tokens consumidos por usuário para controle de limites de plano — esses logs não contêm o conteúdo das mensagens.
Atenção: As respostas da IA são geradas automaticamente e têm caráter informativo e educacional. Não constituem assessoria financeira profissional. Consulte um especialista qualificado para decisões de investimento.

10. Crianças e Adolescentes

O Capitalia é destinado a usuários com 18 anos ou mais. Não coletamos intencionalmente dados de menores de idade. Caso identifiquemos que uma conta pertence a um menor, excluiremos os dados imediatamente. Se você acredita que dados de um menor foram coletados, entre em contato pelo e-mail indicado na seção 14.

11. Seus Direitos como Titular (LGPD — Art. 18)

Você tem os seguintes direitos em relação aos seus dados pessoais:

📋 Confirmação e acesso

Confirmar se tratamos seus dados e acessar uma cópia deles.

✏️ Correção

Corrigir dados incompletos, inexatos ou desatualizados.

🗑️ Exclusão

Solicitar a exclusão de dados tratados com base em consentimento.

🔒 Anonimização / Bloqueio

Solicitar anonimização ou bloqueio de dados desnecessários.

📦 Portabilidade

Receber seus dados em formato estruturado e interoperável.

ℹ️ Informação sobre compartilhamento

Saber com quais entidades públicas ou privadas compartilhamos seus dados.

❌ Revogação do consentimento

Retirar seu consentimento a qualquer momento, sem prejuízo aos tratamentos já realizados.

⚖️ Petição à ANPD

Apresentar reclamação à Autoridade Nacional de Proteção de Dados.

Para exercer qualquer desses direitos, envie solicitação para contato@stormcore.com.br. Responderemos em até 15 dias úteis.

Você também pode excluir sua conta e todos os dados diretamente nas Configurações → conta → Excluir conta dentro do aplicativo.

12. Transferência Internacional de Dados

Alguns dos nossos fornecedores estão localizados nos Estados Unidos (Supabase, Google, Stripe, Netlify, RevenueCat). Essas transferências são realizadas com base em:

  • Cláusulas contratuais padrão reconhecidas internacionalmente.
  • Certificações e programas de conformidade dos fornecedores (ex: ISO 27001, SOC 2).
  • Necessidade contratual para prestação do serviço (Art. 33, V da LGPD).

13. Alterações nesta Política

Podemos atualizar esta Política periodicamente. Quando alterações relevantes ocorrerem, notificaremos você por e-mail ou por aviso destacado no aplicativo com antecedência mínima de 15 dias. A data da última atualização está sempre indicada no topo deste documento. O uso continuado do serviço após a vigência das novas condições implica sua concordância.

14. Contato e Encarregado (DPO)

Para dúvidas, solicitações relativas aos seus dados ou para reportar incidentes de privacidade:

E-mail de Privacidade

contato@stormcore.com.br

Caso o Capitalia esteja sujeito à obrigação de indicar um Encarregado de Dados (DPO) conforme a LGPD, as informações de contato do Encarregado serão publicadas nesta seção.

Você também pode contatar a Autoridade Nacional de Proteção de Dados (ANPD): gov.br/anpd