Índice
- Controlador e Encarregado de Dados (DPO)
- Dados que Coletamos
- Finalidades e Bases Legais
- Como Usamos os Dados
- Compartilhamento de Dados
- Retenção e Exclusão
- Segurança e Medidas Técnicas
- Conformidade com a LGPD — Seus Direitos
- Cookies e Tecnologias Similares
- Alterações nesta Política
- Contato e Canal de Privacidade
Controlador e Encarregado de Dados (DPO)
Quem é responsável pelo tratamento dos seus dados.
MKS Brasil Software e Gestão Empresarial Ltda
CNPJ: 64.293.212/0001-97
Sede: São Paulo – SP, Brasil
Telefone: (11) 3135-5688
E-mail: [email protected]
Nos termos do Art. 41 da LGPD, o Encarregado de Proteção de Dados pode ser contatado pelo e-mail [email protected]. O DPO é o canal oficial para exercício de direitos dos titulares e comunicação com a Autoridade Nacional de Proteção de Dados (ANPD).
Dados que Coletamos
Princípio da minimização: coletamos apenas o necessário.
| Categoria | Dados Específicos | Obrigatório? |
|---|---|---|
| Identificação de cadastro | CPF (armazenado como hash HMAC-SHA-256 — irrecuperável), e-mail (hash para lookup) | Sim |
| Acesso e autenticação | Endereço IP, user-agent, data/hora de acesso, tokens OTP (descartados após uso) | Sim |
| Dados financeiros | Transações, contas, cartões, metas, orçamentos, investimentos, renda e despesas inseridos pelo próprio Usuário | Voluntário |
| Perfil do usuário | Nome, foto de perfil (opcional), membros da família adicionados pelo Usuário | Parcialmente |
| Documentos (R2) | Arquivos enviados pelo Usuário para análise (notas fiscais, extratos). Armazenados no bucket exclusivo do Tenant. | Voluntário |
| Registros de conformidade | Data/hora/IP do aceite dos Termos de Uso e Política de Privacidade | Sim |
Finalidades e Bases Legais
Por que coletamos cada dado e qual a base legal (Art. 7º, LGPD).
| Finalidade | Base Legal (Art. 7º LGPD) |
|---|---|
| Criar e gerenciar a conta do Usuário | Execução de contrato (inciso V) |
| Prevenção a fraudes e unicidade de CPF | Legítimo interesse (inciso IX) / Proteção ao crédito (inciso X) |
| Autenticação Zero Trust via OTP | Execução de contrato (inciso V) |
| Prover análises de IA sobre os dados financeiros | Execução de contrato (inciso V) + Consentimento (inciso I) |
| Registro de aceite dos Termos (prova de conformidade LGPD) | Cumprimento de obrigação legal (inciso II) |
| Segurança, auditoria e prevenção a abusos | Legítimo interesse (inciso IX) |
| Comunicações sobre atualizações relevantes do serviço | Legítimo interesse (inciso IX) — com opt-out disponível |
Como Usamos os Dados
Princípio da finalidade: sem uso além do declarado.
Utilizamos seus dados para autenticar seu acesso, provisionar e manter seu banco de dados exclusivo e permitir que as funcionalidades da Plataforma (transações, metas, orçamentos, relatórios, análise de IA) funcionem corretamente.
Os dados financeiros inseridos são processados por modelos de linguagem (LLM) operados pela Groq Inc. sob acordos de processamento de dados (DPA) que proíbem o uso dos dados para treinamento dos modelos. Nenhum dado identificável seu é compartilhado com terceiros além dessa operação técnica.
- ❌ Não vendemos seus dados para terceiros;
- ❌ Não utilizamos seus dados para publicidade personalizada;
- ❌ Não compartilhamos seus dados financeiros com outros usuários;
- ❌ Não treinamos modelos de IA com seus dados sem consentimento explícito;
- ❌ Não realizamos tomadas de decisão automatizadas com efeitos jurídicos sobre você.
Compartilhamento de Dados
Com quem e por que compartilhamos informações.
Para operar a Plataforma, utilizamos os seguintes subprocessadores, todos com DPA vigente e certificações de segurança relevantes:
- Cloudflare, Inc. — hospedagem (Workers, D1, R2, KV, Access). Dados armazenados em região automática com replicação.
- Groq, Inc. — processamento de linguagem natural para análise de IA. Dados enviados sem identificadores pessoais sempre que possível.
Poderemos divulgar dados quando exigido por lei, ordem judicial, solicitação legítima de autoridades competentes (como a ANPD ou Ministério Público), desde que nos limites estritamente necessários.
Os serviços da Cloudflare e Groq podem envolver transferência internacional de dados. Ambos os provedores possuem mecanismos adequados de proteção (SCCs / cláusulas contratuais padrão) em conformidade com o Art. 33 da LGPD.
Retenção e Exclusão
Por quanto tempo guardamos seus dados e como eles são apagados.
| Tipo de Dado | Prazo de Retenção |
|---|---|
| Dados financeiros (transações, contas, cartões, etc.) | Enquanto a conta estiver ativa. Excluídos definitivamente (Hard Delete) no encerramento. |
| Documentos e arquivos (R2) | Enquanto a conta estiver ativa. Excluídos junto ao bucket do Tenant. |
| Hash do CPF e e-mail | Excluídos no Hard Delete da conta. |
| Logs de acesso e autenticação | Até 12 meses após geração, salvo obrigação legal. |
| Registros de aceite dos Termos (LGPD) | Até 5 anos após o aceite, conforme obrigação legal. |
Segurança e Medidas Técnicas
Como protegemos seus dados contra acessos não autorizados.
- 🔐 Criptografia em trânsito: TLS 1.3 em todas as comunicações;
- 🗄️ Isolamento por Tenant: cada conta tem banco de dados exclusivo no Cloudflare D1;
- 🔑 Autenticação Zero Trust: OTP por e-mail, sem senhas estáticas, via Cloudflare Access;
- 🛡️ Proteção DDoS: Cloudflare WAF e proteção de borda de rede;
- 🤖 Anti-bot: validação de tráfego humano por Cloudflare Turnstile no cadastro;
- #️⃣ Hash criptográfico de CPF: HMAC-SHA-256 com chave secreta rotacionável;
- 📋 Princípio do mínimo privilégio: cada Worker acessa apenas os recursos necessários.
Em caso de incidente de segurança que possa afetar seus dados, notificaremos os Usuários afetados e a ANPD nos prazos previstos no Art. 48 da LGPD (prazo razoável, não superior a 2 dias úteis para a ANPD quando o risco for relevante).
Conformidade com a LGPD — Seus Direitos
Lei Geral de Proteção de Dados — Lei nº 13.709/2018, Art. 18.
Como titular de dados pessoais, você tem os seguintes direitos garantidos pelo Art. 18 da LGPD, exercíveis a qualquer momento pelo e-mail [email protected]:
Responderemos às solicitações de exercício de direitos em até 15 dias corridos a partir do recebimento, conforme Art. 18, § 3º da LGPD.
O titular tem o direito de peticionar à Autoridade Nacional de Proteção de Dados (ANPD) caso entenda que seus direitos não foram atendidos adequadamente. Acesse gov.br/anpd.
Cookies e Tecnologias Similares
Como usamos armazenamento local no navegador.
A Plataforma utiliza exclusivamente cookies e armazenamento local (localStorage) estritamente necessários para o funcionamento do serviço: manutenção de sessão autenticada, preferências de interface e cache de dados do usuário. Não utilizamos cookies de rastreamento, publicidade ou analytics de terceiros.
A Cloudflare, nossa provedora de infraestrutura, pode inserir cookies técnicos de segurança (ex: __cf_bm para bot management e Turnstile). Esses cookies são essenciais para a proteção contra bots e não coletam dados pessoais além do necessário para essa finalidade.
Alterações nesta Política
Como comunicamos mudanças relevantes.
Esta Política de Privacidade poderá ser atualizada periodicamente para refletir mudanças nas práticas de dados, novas funcionalidades ou exigências legais. Alterações materiais serão comunicadas por e-mail aos usuários ativos e exigirão novo aceite obrigatório no próximo acesso ao sistema. A versão vigente estará sempre disponível nesta página com a data de atualização.
Contato e Canal de Privacidade
Como falar conosco sobre privacidade e proteção de dados.
Para exercer seus direitos como titular, reportar incidentes, fazer perguntas ou reclamações sobre esta Política, entre em contato:
- 📧 Privacidade / DPO: [email protected]
- ⚖️ Jurídico: [email protected]
- 📞 Telefone: (11) 3135-5688
- 🏢 Empresa: MKS Brasil Software e Gestão Empresarial Ltda — CNPJ 64.293.212/0001-97 — São Paulo, SP