Política de Privacidade
- Quem é o controlador
- Dados pessoais que tratamos
- Bases legais e finalidades
- Login com Google (OAuth 2)
- Compartilhamento com terceiros
- Transferência internacional de dados
- Cookies e tecnologias semelhantes
- Retenção e descarte
- Segurança da informação
- Direitos do titular
- Crianças e adolescentes
- Encarregado (DPO)
- Alterações desta política
1. Quem é o controlador
O controlador dos dados pessoais tratados é a operação Caxias IA — Inteligência Imobiliária (caxiasia.com), responsável pela plataforma SaaS de busca e análise de dados imobiliários. Para todos os fins desta política, somos o controlador na acepção do art. 5º, VI, da LGPD.
2. Dados pessoais que tratamos
Tratamos os seguintes dados, agrupados pela finalidade e pela origem:
| Categoria | Dados | Origem |
|---|---|---|
| Cadastro | Nome, e-mail, senha (armazenada com hash), nome de usuário, data de criação, último login. | Fornecido pelo titular no formulário de cadastro ou via Google OAuth. |
| Autenticação | Endereço IP (armazenado em forma anonimizada — hash SHA-256 com salt), agente de navegador (User-Agent), tentativas de login, bloqueios temporários. | Coletado automaticamente em cada requisição de login/registro. |
| Cobrança | Identificador de cliente Stripe, identificador da assinatura, status do plano, histórico de pagamentos. Não armazenamos dados de cartão; eles são tokenizados diretamente pela Stripe. | Gerado pela integração com Stripe ao contratar um plano. |
| Uso da plataforma | Histórico de extrações, URLs consultadas, contagem de créditos, eventos de busca, favoritos de leilão, consultas de renda por bairro, downloads gerados. | Coletado durante o uso normal da ferramenta. |
| Marketing | Parâmetros UTM, eventos de conversão (registro, início de checkout), origem do tráfego (referrer), inscrição em campanhas e descadastros. | Coletado a partir de links de campanha e formulários. |
| Login Google (opcional) | ID Google, e-mail Google e nome público recebidos via OAuth quando o titular escolhe entrar com Google. | Recebido do Google quando o titular usa o botão "Entrar com Google". |
3. Bases legais e finalidades
| Finalidade | Base legal (LGPD) | Dados envolvidos |
|---|---|---|
| Criar e manter a conta do titular; autenticar acessos. | Execução de contrato — Art. 7º, V | Cadastro e Autenticação |
| Processar cobrança e cumprir obrigações fiscais. | Execução de contrato e cumprimento de obrigação legal — Art. 7º, V e II | Cobrança |
| Prevenir fraude e proteger o serviço (rate limit, hCaptcha, bloqueio de IP). | Legítimo interesse — Art. 7º, IX | Autenticação |
| Enviar e-mails transacionais (recibos, confirmação de cadastro, alertas). | Execução de contrato — Art. 7º, V | Cadastro |
| Enviar comunicações de marketing e newsletter. | Consentimento — Art. 7º, I (revogável a qualquer momento) | Cadastro, Marketing |
| Mensurar audiência e desempenho (Google Analytics 4 — agregado). | Consentimento — Art. 7º, I (categoria "análise", carregado apenas após aceite no banner) | Marketing |
| Remarketing e audiências personalizadas (Meta Pixel, eventualmente Google Ads). | Consentimento — Art. 7º, I (categoria "marketing", separada de análise no banner) | Marketing |
| Atender solicitações de direitos do titular. | Cumprimento de obrigação legal — Art. 7º, II e Art. 18 | Todos |
4. Login com Google (OAuth 2)
O botão Cadastrar com Google usa o protocolo OAuth 2 e solicita os seguintes escopos junto ao Google:
openid— identifica que a autenticação é OAuth/OpenID;userinfo.email— para receber o seu e-mail principal Google;userinfo.profile— para receber o seu nome público e ID Google.
Não pedimos acesso ao seu Google Drive, contatos, agenda, inbox ou qualquer outro serviço Google. Você pode revogar a autorização a qualquer momento em myaccount.google.com/permissions — a sua conta na Caxias IA permanece, mas o login passa a exigir e-mail e senha.
O uso de dados recebidos do Google obedece à Google API Services User Data Policy, incluindo os requisitos de Limited Use.
5. Compartilhamento com terceiros
Compartilhamos dados pessoais somente com operadores que são essenciais para o funcionamento da plataforma, cada um sujeito a contrato de processamento de dados e à legislação aplicável:
| Operador | Finalidade | Dados transferidos |
|---|---|---|
| Stripe Payments Europe | Processamento de pagamentos e assinaturas. | Nome, e-mail, identificador Stripe, dados do método de pagamento (coletados diretamente pelo widget Stripe). |
| Provedor de envio de e-mail transacional | Disparar e-mails de confirmação de conta, recuperação de senha, recibo e descadastros. | Nome, e-mail. |
| Google LLC (Cloud Identity) | Autenticação OAuth. | Tokens de autenticação, e-mail e nome retornados pelo Google. |
| Google LLC (Analytics 4) | Mensuração de uso (somente após consentimento no banner). | Identificadores de cookie, eventos de navegação, IP (Google anonimiza por padrão). |
| Meta Platforms Inc. (Pixel) | Mensuração de campanhas e remarketing/audiências personalizadas (somente após consentimento explícito na categoria marketing do banner). | Identificadores _fbp/_fbc, eventos de página, IP, evento de PageView e custom events. O modo Limited Data Use é desativado quando o titular consente com marketing. |
| Intuition Machines Inc. (hCaptcha) | Anti-fraude no login e cadastro. | IP, User-Agent e sinais comportamentais coletados pela widget. |
| Provedor de armazenamento em nuvem | Hospedagem de arquivos gerados pela ferramenta (planilhas, imagens de leilões). | Arquivos sem identificadores diretos de titular nos nomes. |
6. Transferência internacional de dados
Stripe, Google, Meta e nossos provedores de armazenamento e e-mail operam em servidores fora do Brasil (principalmente Estados Unidos e União Europeia). A transferência se ampara no Art. 33, I e VII da LGPD — países que oferecem grau adequado de proteção e/ou cláusulas contratuais específicas com o controlador. Quando aplicável, garantimos contratos com cláusulas-padrão de proteção e seguimos as orientações da ANPD.
7. Cookies e tecnologias semelhantes
Utilizamos cookies próprios estritamente necessários (sessão, CSRF, preferência de tema, controle de consentimento) e cookies de análise/marketing (Google Analytics, Meta Pixel) apenas após você consentir no banner de cookies. Veja a Política de Cookies para a lista completa e o tempo de expiração de cada um.
8. Retenção e descarte
- Conta ativa: dados mantidos enquanto a conta existir.
- Logs de autenticação (login_attempts): 180 dias (legítimo interesse — segurança).
- Logs de consentimento (user_consents): 5 anos após o último consentimento, como evidência exigida pelo Art. 8º, §2º.
- Histórico de extrações: 24 meses após a última atividade.
- Cobrança/Pagamentos: 5 anos a partir do encerramento, por obrigação fiscal (Art. 16, II, LGPD c/c Art. 195, §5º, CTN).
- E-mails de marketing descadastrados: mantemos apenas o hash do e-mail para honrar o opt-out e impedir reenvio.
- Exclusão de conta: requerida no painel, executada como soft-delete imediato com anonimização completa em até 30 dias.
9. Segurança da informação
- Senhas armazenadas com hash (werkzeug, algoritmo PBKDF2-SHA256).
- IPs armazenados em forma anonimizada (SHA-256 com salt) no banco e truncados nos logs.
- Cookies de sessão com flags
HttpOnly,SecureeSameSite=Lax. - HTTPS forçado em todo o domínio com HSTS (max-age 1 ano).
- Content Security Policy restritiva, proteção CSRF em todos os formulários, hCaptcha em ações sensíveis.
- Backups criptografados em Cloudflare R2 com rotação GFS (7+4+6 retenções).
10. Direitos do titular
Você pode, a qualquer momento, exercer os seguintes direitos (Art. 18 LGPD):
- Confirmação e acesso — saber se tratamos seus dados e obter cópia em formato legível.
- Correção — atualizar dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade.
- Portabilidade — receber seus dados em formato estruturado e interoperável (JSON).
- Eliminação dos dados pessoais tratados com base em consentimento.
- Informação sobre compartilhamento com entidades públicas e privadas.
- Revogação do consentimento, com mesma facilidade do aceite.
- Oposição ao tratamento por descumprimento.
- Revisão de decisões automatizadas que afetem seus interesses.
Para exercer qualquer direito, abra um pedido em /lgpd/solicitacao, escreva ao DPO em [email protected], ou use o botão Excluir minha conta em /profile (caso o direito a exercer seja a eliminação). Respondemos em até 15 dias.
11. Crianças e adolescentes
A plataforma é destinada a profissionais maiores de 18 anos (avaliadores, engenheiros, corretores, investidores). Não coletamos intencionalmente dados de crianças e adolescentes. Se identificarmos cadastro de menor, eliminamos a conta e os dados associados.
12. Encarregado pelo Tratamento de Dados (DPO)
Designamos um Encarregado para receber comunicações dos titulares e da ANPD (Art. 41 LGPD):
- Função: Encarregado de Tratamento de Dados (DPO)
- E-mail: [email protected]
- Prazo de resposta: até 15 dias corridos para solicitações de direitos do titular.
13. Alterações desta política
Sempre que houver mudança material, publicamos a nova versão com nova data de vigência e solicitamos reconsentimento dos usuários ativos. O histórico abaixo é mantido para auditoria:
- 2026-05-19.2 — Granularidade do consentimento: as categorias análise (Google Analytics 4) e marketing/remarketing (Meta Pixel) passam a ser aceitas separadamente no banner; Meta Pixel pode operar fora do modo Limited Data Use quando o titular consente explicitamente. Demais cláusulas inalteradas. Todos os titulares são solicitados a renovar o consentimento ao acessar a plataforma.
- 2026-05-19 — Publicação inicial: inventário de dados, bases legais, DPO, canal de exercício de direitos, política de cookies opt-in, anonimização de IP, exclusão de conta com janela de 30 dias.