Política de Privacidade

Esta política descreve como a Caxias IA trata dados pessoais dos titulares que utilizam a plataforma app.caxiasia.com e os sites associados, em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD). Em caso de dúvidas, contate o nosso Encarregado de Tratamento de Dados (DPO): [email protected].

1. Quem é o controlador

O controlador dos dados pessoais tratados é a operação Caxias IA — Inteligência Imobiliária (caxiasia.com), responsável pela plataforma SaaS de busca e análise de dados imobiliários.

2. Dados pessoais que tratamos

• Cadastro: nome, e-mail, senha (hash PBKDF2-SHA256), nome de usuário, datas de criação e último login.
• Autenticação: endereço IP anonimizado (hash SHA-256 com salt), agente de navegador, tentativas de login, bloqueios temporários.
• Cobrança: identificador de cliente Stripe, identificador da assinatura, status do plano, histórico de pagamentos. Não armazenamos dados de cartão; eles são tokenizados diretamente pela Stripe.
• Uso da plataforma: histórico de extrações, URLs consultadas, contagem de créditos, eventos de busca, favoritos de leilão, consultas de renda por bairro, downloads gerados.
• Marketing: parâmetros UTM, eventos de conversão, origem do tráfego, inscrição em campanhas e descadastros.
• Login Google (opcional): ID Google, e-mail Google e nome público recebidos via OAuth quando o titular escolhe entrar com Google.

3. Bases legais e finalidades

• Execução de contrato (Art. 7º, V) — criar e manter a conta, processar cobrança, enviar e-mails transacionais.
• Cumprimento de obrigação legal (Art. 7º, II) — obrigações fiscais sobre cobrança, atendimento de direitos LGPD.
• Legítimo interesse (Art. 7º, IX) — prevenir fraude e proteger o serviço (rate limit, hCaptcha, bloqueio de IP).
• Consentimento (Art. 7º, I) — newsletter, cookies de análise (Google Analytics) e cookies de marketing/remarketing (Meta Pixel). As duas últimas categorias são aceitas separadamente no banner.

4. Login com Google (OAuth 2)

O botão Cadastrar com Google usa OAuth 2 e solicita apenas: openid, userinfo.email e userinfo.profile. Não pedimos acesso ao seu Google Drive, contatos, agenda, inbox ou qualquer outro serviço Google. Você pode revogar a autorização a qualquer momento em myaccount.google.com/permissions.

O uso de dados recebidos do Google obedece à Google API Services User Data Policy, incluindo os requisitos de Limited Use.

5. Compartilhamento com terceiros

• Stripe Payments Europe — processamento de pagamentos (nome, e-mail, identificador Stripe).
• Provedor de envio de e-mail transacional — disparos de confirmação, recuperação de senha, recibo, descadastros (nome, e-mail).
• Google LLC (Cloud Identity) — autenticação OAuth (token, e-mail e nome).
• Google LLC (Analytics 4) — mensuração de uso (somente após consentimento da categoria análise; IP anonimizado pelo Google).
• Meta Platforms Inc. (Pixel) — mensuração de campanhas e remarketing/audiências personalizadas (somente após consentimento explícito da categoria marketing; Limited Data Use é desativado quando o titular consente).
• Intuition Machines Inc. (hCaptcha) — anti-fraude no login e cadastro.
• Provedor de armazenamento em nuvem — hospedagem de arquivos gerados pela ferramenta (planilhas, imagens de leilões).

6. Transferência internacional de dados

Stripe, Google, Meta, Cloudflare, ScrapingBee e Resend operam em servidores fora do Brasil (principalmente Estados Unidos e União Europeia). A transferência se ampara no Art. 33, I e VII da LGPD — países com grau adequado de proteção e/ou cláusulas contratuais específicas com o controlador.

7. Cookies e tecnologias semelhantes

Cookies essenciais são sempre carregados; cookies de análise (Google Analytics) e de marketing/remarketing (Meta Pixel) só após consentimento granular no banner. Cada categoria pode ser aceita separadamente. Veja a Política de Cookies para a lista completa e o tempo de expiração de cada um.

8. Retenção e descarte

• Conta ativa: mantida enquanto a conta existir.
• Logs de autenticação: 180 dias.
• Registro de consentimento: 5 anos (evidência exigida pelo Art. 8º §2º).
• Histórico de extrações: 24 meses após a última atividade.
• Cobrança/Pagamentos: 5 anos a partir do encerramento, por obrigação fiscal (Art. 16, II LGPD c/c Art. 195 §5º CTN).
• Exclusão de conta: soft-delete imediato com anonimização completa em até 30 dias.

9. Segurança da informação

• Senhas armazenadas com hash (PBKDF2-SHA256).
• IPs armazenados em forma anonimizada (SHA-256 com salt) e truncados nos logs.
• Cookies de sessão com HttpOnly, Secure e SameSite=Lax.
• HTTPS forçado com HSTS (max-age 1 ano).
• Content Security Policy restritiva, proteção CSRF, hCaptcha em ações sensíveis.
• Backups criptografados em Cloudflare R2 com rotação GFS (7+4+6).

10. Direitos do titular

Você pode, a qualquer momento, exercer os direitos do Art. 18 LGPD:

• Confirmação e acesso aos dados
• Correção de dados incompletos ou desatualizados
• Anonimização, bloqueio ou eliminação
• Portabilidade
• Eliminação dos dados tratados com base em consentimento
• Informação sobre compartilhamento
• Revogação do consentimento

Para exercer qualquer direito, abra um pedido em app.caxiasia.com/lgpd/solicitacao, escreva ao DPO em [email protected], ou use o botão Excluir minha conta no seu perfil. Respondemos em até 15 dias.

11. Crianças e adolescentes

A plataforma é destinada a profissionais maiores de 18 anos. Não coletamos intencionalmente dados de crianças e adolescentes. Se identificarmos cadastro de menor, eliminamos a conta.

12. Encarregado pelo Tratamento de Dados (DPO)

Designamos um Encarregado para receber comunicações dos titulares e da ANPD (Art. 41 LGPD):

• E-mail: [email protected]
• Prazo de resposta: até 15 dias corridos.

13. Alterações desta política

• 2026-05-19.2 — Granularidade do consentimento (análise vs marketing/remarketing). Meta Pixel pode operar sem Limited Data Use quando o titular consente explicitamente. Renovação de consentimento solicitada.
• 2026-05-19 — Publicação inicial.

Política de Cookies · Exercer direitos LGPD