Política de Privacidade
Última atualização: março de 2026
A Capitalia respeita sua privacidade e está comprometida com a proteção dos seus dados pessoais, em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD — Lei nº 13.709/2018) e demais normas aplicáveis. Este documento descreve quais dados coletamos, como os utilizamos, com quem os compartilhamos e quais são seus direitos como titular.
1. Quem é o Controlador dos Dados
O controlador dos dados pessoais tratados por meio do aplicativo Capitalia é a pessoa jurídica responsável pelo desenvolvimento e operação do serviço. Para dúvidas ou exercício de direitos, utilize os canais indicados na seção 14 desta política.
Razão Social: N R S Pereira Storm Core Desenvolvimento de Sistemas LTDA
CNPJ: 64.104.432/0001-25
Aplicativo: Capitalia — Gestão Financeira Inteligente
Plataformas: Web (PWA), Android
E-mail de contato: contato@stormcore.com.br
2. Dados Pessoais Coletados
Coletamos os seguintes dados ao longo do uso do aplicativo:
| Categoria | Dados | Momento da Coleta |
|---|---|---|
| Identificação | Nome, endereço de e-mail | Cadastro / login |
| Financeiros | Transações, categorias, receitas, despesas, saldo estimado, cartões de crédito (somente nome e limite — sem número do cartão), investimentos | Inserção manual pelo usuário |
| Perfil | Renda mensal estimada, país, idioma, preferências de interface | Configuração do perfil |
| Uso do serviço | Data/hora de login, contagem de acessos, plano contratado, data de upgrade | Automaticamente |
| Pagamento | ID de cliente Stripe, ID de assinatura, status do pagamento. Não armazenamos dados de cartão de crédito. | Checkout / renovação |
| IA / assistente | Mensagens enviadas ao chat, contexto financeiro fornecido para análise, contagem de tokens consumidos | Uso do assistente IA |
| Técnicos | Endereço IP (processado pelo Supabase/Netlify), tipo de dispositivo, sistema operacional | Automaticamente |
⚠️ Não coletamos número de documentos (CPF/RG), senhas bancárias, tokens de acesso a bancos ou qualquer dado bancário de conexão direta. Toda entrada financeira é feita manualmente pelo usuário.
3. Finalidades do Tratamento
- Prestação do serviço: exibir dashboards, relatórios, análises e funcionalidades do app.
- Autenticação e segurança: verificar a identidade do usuário e proteger a conta contra acessos não autorizados.
- Assistente de IA: enviar contexto financeiro ao Google Gemini API para gerar respostas personalizadas de gestão financeira.
- Gestão de assinaturas: processar pagamentos, controlar planos ativos e renovações via Stripe e Google Play.
- Melhoria do serviço: analisar padrões de uso agregados (sem identificação individual) para aprimorar funcionalidades.
- Cumprimento de obrigações legais: atender exigências de autoridades regulatórias quando aplicável.
4. Bases Legais (LGPD — Art. 7º)
| Tratamento | Base Legal |
|---|---|
| Cadastro e autenticação | Execução de contrato (Art. 7º, V) |
| Exibição de dados financeiros do próprio usuário | Execução de contrato (Art. 7º, V) |
| Processamento de pagamento | Execução de contrato (Art. 7º, V) |
| Envio de dados ao assistente IA (Google Gemini) | Consentimento (Art. 7º, I) + Execução de contrato (Art. 7º, V) |
| Análise de uso agregado para melhoria do serviço | Legítimo interesse (Art. 7º, IX) |
| Cumprimento de obrigação legal ou regulatória | Obrigação legal (Art. 7º, II) |
5. Compartilhamento com Terceiros
Compartilhamos dados apenas com os fornecedores estritamente necessários para a operação do serviço:
Supabase (EUA)
Banco de dados e autenticação. Armazena perfis, transações, cartões e demais dados do usuário. Política: supabase.com/privacy
Google Gemini API (EUA)
Processamento de linguagem natural para o assistente IA. Recebe contexto financeiro anonimizado (sem nome ou e-mail) para gerar respostas. Política: policies.google.com/privacy
Stripe (EUA)
Processamento de pagamentos web. Recebe e-mail e gerencia dados de cobrança. Não armazenamos dados de cartão. Política: stripe.com/privacy
Google Play Billing / RevenueCat (EUA)
Processamento de assinaturas no Android. Recebe um identificador de usuário anônimo para associar assinaturas. Política RevenueCat: revenuecat.com/privacy
Netlify (EUA)
Hospedagem da aplicação web e execução das funções serverless (webhooks). Política: netlify.com/privacy
Não vendemos, alugamos nem comercializamos dados pessoais com terceiros para fins de marketing.
6. Retenção e Exclusão de Dados
- Dados de conta e financeiros são mantidos enquanto a conta estiver ativa.
- Ao solicitar a exclusão da conta, todos os dados pessoais são removidos do banco dentro de 30 dias, ressalvadas obrigações legais de retenção.
- Logs de uso de IA são mantidos por até 12 meses para controle de limites de plano e detecção de fraudes, após o qual são anonimizados.
- Dados de pagamento (IDs Stripe) podem ser retidos por até 5 anos para fins fiscais e de auditoria, conforme legislação aplicável.
7. Segurança da Informação
Adotamos medidas técnicas e administrativas alinhadas ao estado da arte para proteger seus dados:
- Comunicação criptografada via HTTPS/TLS em todas as transmissões.
- Banco de dados com Row Level Security (RLS) no Supabase — cada usuário acessa apenas seus próprios dados.
- Credenciais de acesso armazenadas com hash seguro (gerenciadas pelo Supabase Auth).
- Chaves de API de serviços externos mantidas em variáveis de ambiente privadas no servidor, nunca expostas ao cliente.
- Acesso administrativo aos dados restrito a pessoal autorizado com autenticação forte.
Em caso de incidente de segurança que possa gerar risco relevante, notificaremos os titulares afetados e a ANPD nos prazos e formas previstos na LGPD.
9. Uso de Inteligência Artificial
O assistente e os módulos inteligentes do Capitalia utilizam a API do Google Gemini. Ao usar essas funcionalidades:
- Dados financeiros resumidos (transações, categorias, totais) são enviados ao Google como contexto da conversa. Não enviamos nome completo nem e-mail.
- As conversas não são usadas pelo Capitalia para treinamento de modelos próprios.
- O Google Gemini opera sob a política de dados para APIs do Google — consulte policies.google.com/privacy.
- Você pode optar por não usar os módulos de IA sem perda das funcionalidades básicas do app.
- Registramos a contagem de tokens consumidos por usuário para controle de limites de plano — esses logs não contêm o conteúdo das mensagens.
10. Crianças e Adolescentes
O Capitalia é destinado a usuários com 18 anos ou mais. Não coletamos intencionalmente dados de menores de idade. Caso identifiquemos que uma conta pertence a um menor, excluiremos os dados imediatamente. Se você acredita que dados de um menor foram coletados, entre em contato pelo e-mail indicado na seção 14.
11. Seus Direitos como Titular (LGPD — Art. 18)
Você tem os seguintes direitos em relação aos seus dados pessoais:
📋 Confirmação e acesso
Confirmar se tratamos seus dados e acessar uma cópia deles.
✏️ Correção
Corrigir dados incompletos, inexatos ou desatualizados.
🗑️ Exclusão
Solicitar a exclusão de dados tratados com base em consentimento.
🔒 Anonimização / Bloqueio
Solicitar anonimização ou bloqueio de dados desnecessários.
📦 Portabilidade
Receber seus dados em formato estruturado e interoperável.
ℹ️ Informação sobre compartilhamento
Saber com quais entidades públicas ou privadas compartilhamos seus dados.
❌ Revogação do consentimento
Retirar seu consentimento a qualquer momento, sem prejuízo aos tratamentos já realizados.
⚖️ Petição à ANPD
Apresentar reclamação à Autoridade Nacional de Proteção de Dados.
Para exercer qualquer desses direitos, envie solicitação para contato@stormcore.com.br. Responderemos em até 15 dias úteis.
Você também pode excluir sua conta e todos os dados diretamente nas Configurações → conta → Excluir conta dentro do aplicativo.
12. Transferência Internacional de Dados
Alguns dos nossos fornecedores estão localizados nos Estados Unidos (Supabase, Google, Stripe, Netlify, RevenueCat). Essas transferências são realizadas com base em:
- Cláusulas contratuais padrão reconhecidas internacionalmente.
- Certificações e programas de conformidade dos fornecedores (ex: ISO 27001, SOC 2).
- Necessidade contratual para prestação do serviço (Art. 33, V da LGPD).
13. Alterações nesta Política
Podemos atualizar esta Política periodicamente. Quando alterações relevantes ocorrerem, notificaremos você por e-mail ou por aviso destacado no aplicativo com antecedência mínima de 15 dias. A data da última atualização está sempre indicada no topo deste documento. O uso continuado do serviço após a vigência das novas condições implica sua concordância.
14. Contato e Encarregado (DPO)
Para dúvidas, solicitações relativas aos seus dados ou para reportar incidentes de privacidade:
E-mail de Privacidade
contato@stormcore.com.brCaso o Capitalia esteja sujeito à obrigação de indicar um Encarregado de Dados (DPO) conforme a LGPD, as informações de contato do Encarregado serão publicadas nesta seção.
Você também pode contatar a Autoridade Nacional de Proteção de Dados (ANPD): gov.br/anpd