Política de privacidade

Introdução e controlador de dados

Esta Política de Privacidade descreve como a Kiskadees ("nós") coleta, utiliza, armazena, compartilha e protege dados pessoais quando você acessa ou utiliza nossa plataforma de finanças pessoais, incluindo site institucional, aplicativo web, API e serviços relacionados (coletivamente, o "Serviço").

A Kiskadees é a controladora dos dados pessoais tratados no âmbito deste Serviço. Para dúvidas sobre esta política, exercício de direitos ou contato com nossa equipe de privacidade, escreva para support@kiskadees.com.

Tratamos dados pessoais em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018) e, quando aplicável, com o Regulamento Geral sobre a Proteção de Dados da União Europeia (GDPR). Ao utilizar o Serviço, você declara ter lido e compreendido esta Política de Privacidade.

Dados que coletamos

Dados de conta e identificação: no cadastro, coletamos nome, endereço de e-mail, senha (armazenada de forma criptografada), idioma preferido, moeda de exibição e informações opcionais de perfil que você optar por informar.

Dados financeiros e de uso: para prestar o Serviço, tratamos dados inseridos ou importados por você, como contas, transações, categorias, orçamentos, metas, saldos e importações CSV. Também coletamos dados técnicos de uso, incluindo endereço IP, tipo de navegador, informações do dispositivo, páginas visitadas, identificadores de sessão e registros de erro.

Dados de pagamento: em planos pagos, o processamento é realizado pela Stripe. Recebemos status da assinatura, tipo de plano, período de cobrança e metadados limitados de pagamento. Não armazenamos números completos de cartão de crédito em nossos servidores.

Finalidades e bases legais

Utilizamos dados pessoais para fornecer, manter e aprimorar o Serviço; autenticar usuários; sincronizar registros financeiros; processar assinaturas; enviar comunicações transacionais; prevenir fraudes e abusos; cumprir obrigações legais; e atender solicitações de suporte.

Nos termos da LGPD, o tratamento fundamenta-se em bases como consentimento (art. 7º, I), execução de contrato (art. 7º, V), cumprimento de obrigação legal (art. 7º, II) e legítimo interesse (art. 7º, IX), incluindo segurança da plataforma e análise agregada de uso. Quando exigido, obtemos consentimento antes de tratar dados para finalidades opcionais.

Quando o GDPR for aplicável, também nos apoiamos em bases como execução de contrato (art. 6(1)(b)), obrigação legal (art. 6(1)(c)), legítimo interesse (art. 6(1)(f)) e consentimento (art. 6(1)(a)) para cookies não essenciais e analytics. Você pode revogar o consentimento a qualquer momento, sem prejuízo da licitude do tratamento anterior.

Terceiros e operadores de tratamento

Utilizamos fornecedores confiáveis para operar o Serviço. Cada operador trata dados apenas conforme nossas instruções e com salvaguardas adequadas:

Stripe — processamento de pagamentos, gestão de assinaturas, faturamento e prevenção a fraudes. A Stripe pode tratar nome de cobrança, e-mail, dados de meio de pagamento e registros de transações. Consulte https://stripe.com/privacy.

Vercel — hospedagem e entrega do site institucional e frontend web, incluindo logs de requisição e métricas de desempenho. Consulte https://vercel.com/legal/privacy-policy. Render — hospedagem da API e serviços de backend, incluindo logs necessários à operação e segurança. Consulte https://render.com/privacy. Supabase — hospedagem do banco PostgreSQL onde seus dados de conta e financeiros são armazenados, com criptografia em trânsito e em repouso. Consulte https://supabase.com/privacy. Google Tag Manager (GTM) — gestão de tags para analytics e medição de marketing, quando habilitado. Consulte https://policies.google.com/privacy. Login com Google, Entrar com a Apple e Meta (Facebook) Login — autenticação social quando habilitada; cada provedor trata os dados de entrada conforme sua política (https://policies.google.com/privacy, https://www.apple.com/legal/privacy/, https://www.facebook.com/privacy/policy/).

Retenção e segurança

Conservamos dados pessoais enquanto sua conta estiver ativa e pelo tempo necessário para prestar o Serviço, resolver disputas, fazer cumprir contratos e cumprir obrigações legais. Cópias de backup podem persistir por período limitado após a exclusão.

Ao excluir sua conta ou solicitar eliminação, apagamos ou anonimizamos dados pessoais em prazo razoável, salvo quando a retenção for exigida por lei ou necessária para exercício ou defesa de direitos.

Adotamos medidas técnicas e organizacionais proporcionais ao risco, incluindo criptografia em trânsito (TLS), senhas com hash, controles de acesso, registros de auditoria e segurança de infraestrutura dos parceiros de hospedagem. Nenhum método é totalmente infalível; use senha forte e mantenha suas credenciais em sigilo.

Direitos do titular de dados

Conforme sua localização, você pode ter direito a: confirmação da existência de tratamento; acesso; correção de dados incompletos, inexatos ou desatualizados; anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade; portabilidade; informação sobre compartilhamento; revogação do consentimento; e oposição a tratamentos baseados em legítimo interesse.

Pela LGPD, você também pode solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado que afetem seus interesses. Pelo GDPR, quando aplicável, você pode restringir o tratamento, opor-se a marketing direto e apresentar reclamação à autoridade de proteção de dados do seu país.

Para exercer seus direitos, envie e-mail para support@kiskadees.com com informações suficientes para verificar sua identidade. Responderemos nos prazos legais, em geral até 15 dias pela LGPD ou um mês pelo GDPR, prorrogáveis quando permitido.

Transferências internacionais

A Kiskadees opera a partir do Brasil, e seus dados podem ser tratados no Brasil, nos Estados Unidos, na União Europeia ou em outros países onde nossos fornecedores mantêm infraestrutura.

Em transferências internacionais, adotamos salvaguardas exigidas pela legislação aplicável, como cláusulas contratuais padrão, decisões de adequação ou outros mecanismos reconhecidos pela LGPD e pelo GDPR.

Ao utilizar o Serviço, você compreende que seus dados podem ser transferidos para jurisdições com padrões de proteção distintos dos do seu país, observadas as salvaguardas desta política.

Cookies e analytics

Utilizamos cookies essenciais e tecnologias similares necessárias para autenticação, gestão de sessão, segurança e preferências de idioma e moeda. Esses cookies, em regra, não exigem consentimento por serem estritamente necessários ao Serviço.

Com seu consentimento quando exigido, podemos usar o Google Tag Manager para implantar tags de analytics e medição que nos ajudam a entender o uso das páginas institucionais. Você pode gerenciar cookies não essenciais nas configurações do navegador ou em banner de cookies, quando disponível.

A maioria dos navegadores permite recusar ou excluir cookies. Desabilitar cookies essenciais pode impedir o uso de certas funcionalidades do Serviço.

Alterações e contato

Podemos atualizar esta Política de Privacidade periodicamente para refletir mudanças em nossas práticas, tecnologia, exigências legais ou no Serviço. Alterações relevantes serão publicadas nesta página, com atualização da data de "Última atualização".

Se as mudanças afetarem significativamente seus direitos, poderemos enviar aviso adicional por e-mail ou notificação no aplicativo. O uso continuado do Serviço após a vigência da atualização constitui ciência da política revisada, salvo quando a lei exigir novo consentimento.

Para dúvidas, solicitações de titulares ou reclamações sobre privacidade, contate support@kiskadees.com. Buscamos resolver questões de forma célere e em conformidade com a legislação aplicável.