Política de Privacidade
Última atualização: 19 de maio de 2026
1. Quem somos
A CapScore (CNPJ 66.247.207/0001-73) é controladora dos dados pessoais coletados nesta plataforma, nos termos do art. 5º, VI, da Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD). Esta política descreve quais dados coletamos, como tratamos e quais são os seus direitos como titular.
Esta política se aplica tanto ao usuário-cliente (pessoa física ou jurídica cadastrada) quanto ao titular consultado (terceiro cujos dados aparecem em um relatório).
2. Dados que coletamos
Tratamos as seguintes categorias de dados, conforme a base legal e a finalidade indicadas:
- •Dados cadastrais do usuário: nome, e-mail, telefone, CPF (PF) ou CNPJ + dados do representante legal (PJ), endereço. Base legal: execução de contrato (Art. 7º, V).
- •Dados de documento: foto do RG/CNH/Passaporte e número, armazenados criptografados no Firebase Storage. Base legal: execução de contrato e cumprimento de obrigação legal (Art. 7º, II e V).
- •Dados biométricos (dado pessoal sensível, Art. 5º II): selfie capturada ao vivo durante o KYC e a foto do documento são submetidas a um serviço de comparação facial 1-para-1 (Big Data Corp) para confirmar identidade. Base legal: consentimento específico (Art. 11, I) coletado no momento do KYC.
- •Dados de pagamento: processados diretamente pela Stripe (Stripe Inc., EUA). A CapScore não armazena número de cartão. Base legal: execução de contrato.
- •Dados de uso: logs de acesso, IP, ações no app, créditos consumidos, queries realizadas. Base legal: legítimo interesse (Art. 7º, IX) para segurança, prevenção a fraude e auditoria.
- •Dados de terceiros consultados: nome, CPF/CNPJ e demais campos enviados pelo usuário para gerar relatório. Base legal: legítimo interesse do usuário-cliente, observadas as finalidades autorizadas listadas no §7.
3. Operadores e sub-processadores
Para prestar o serviço, compartilhamos dados estritamente necessários com os seguintes operadores, sob contrato de proteção de dados:
- •Big Data Corp (BDC) — consulta de bases públicas e proprietárias (processos, certidões, antecedentes, KYC), além de comparação facial biométrica. Cada usuário tem sub-conta dedicada na BDC.
- •Google / Firebase — autenticação, banco de dados (Firestore), armazenamento de arquivos (Storage) e hosting (Firebase App Hosting). Dados podem ser armazenados em região multi-regional conforme a configuração do projeto Firebase.
- •Stripe — processamento de pagamentos (cartões, assinaturas, faturas). Stripe Inc. é operadora autônoma para fins de cobrança.
- •BrasilAPI — consulta pública de CNPJ na Receita Federal (apenas dados públicos).
4. Transferência internacional
Alguns dos operadores acima processam dados fora do Brasil (Estados Unidos e regiões multi-regionais do Google Cloud). A transferência é amparada pelo Art. 33, IX, da LGPD (execução de contrato com o titular) e pelas garantias contratuais de segurança e privacidade fornecidas pelos operadores.
5. Finalidades autorizadas dos relatórios
O CapScore permite consultas apenas para as finalidades abaixo, selecionadas pelo usuário no momento da consulta. Usar a plataforma fora destas finalidades viola estes termos e a legislação aplicável:
- •FT-1 — Contratação trabalhista (PJ contratante)
- •FT-2 — Verificação de prestador autônomo (PJ contratante)
- •FT-3 — Locação de imóvel (PF ou PJ locador)
- •FT-4 — Due diligence comercial / M&A (PJ)
- •FT-5 — KYC e compliance regulatório (PJ)
- •FT-7 — Auto-consulta (PF ou PJ consultando os próprios dados)
6. Decisões automatizadas
Os relatórios incluem indicadores e alertas gerados automaticamente a partir dos dados consultados (ex.: presença de processos criminais, restrições em certidões). Esses alertas são informativos: a decisão final (contratar, locar, fechar negócio) é sempre humana e de responsabilidade do usuário-cliente.
Nos termos do Art. 20 da LGPD, o titular consultado tem direito a solicitar revisão humana de decisões automatizadas que afetem seus interesses. Solicitações podem ser enviadas para contato@capscore.com.br.
7. Retenção
Mantemos os dados pelos prazos abaixo, salvo obrigação legal de retenção maior:
- •Dados cadastrais e KYC: enquanto a conta estiver ativa + 5 anos após o encerramento (prazo prescricional do CDC).
- •Relatórios gerados: 5 anos a partir da consulta, para auditoria e prova em eventual contencioso.
- •Logs de auditoria (audit_log): 5 anos.
- •Dados financeiros (faturas Stripe, ledger de créditos): 5 anos (Art. 174 CTN).
- •Dados biométricos (selfie e foto do documento): mantidos enquanto a conta estiver ativa + 5 anos, exceto se o titular solicitar exclusão antes (sujeito à preservação de prova).
8. Direitos do titular
Nos termos do Art. 18 da LGPD, você pode solicitar a qualquer momento:
- •Confirmação da existência de tratamento
- •Acesso aos dados (no painel: Configurações → Meus dados; ou via solicitação)
- •Correção de dados incompletos, inexatos ou desatualizados
- •Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD
- •Portabilidade dos dados a outro fornecedor
- •Eliminação dos dados pessoais tratados com base no consentimento
- •Informação sobre com quem compartilhamos seus dados
- •Revogação do consentimento
9. Exercício de direitos pelo titular consultado
Se você não é cliente do CapScore mas suspeita ter sido consultado, pode solicitar acesso ou exclusão dos seus dados enviando e-mail para contato@capscore.com.br com a comprovação de identidade. Responderemos em até 15 dias.
10. Segurança
Aplicamos: criptografia em trânsito (TLS 1.2+); criptografia de campos sensíveis em repouso (AES-256 para CPF, RG e tokens); controle de acesso por papéis (admin separado); rate limiting; tokens de autenticação rotacionados; isolamento de sub-conta BDC por usuário; auditoria completa via audit_log.
Nenhum sistema é 100% seguro. Em caso de incidente que possa gerar risco ou dano relevante aos titulares, comunicaremos a ANPD e os titulares afetados no prazo legal, nos termos do Art. 48 da LGPD.
11. Cookies
Utilizamos cookies essenciais para autenticação (sessão Firebase Auth) e funcionamento da plataforma. Não usamos cookies de marketing ou rastreamento de terceiros. Cookies analíticos, se forem adicionados no futuro, só serão ativados após consentimento explícito.
12. Encarregado e contato
Para exercer direitos, tirar dúvidas ou reportar incidentes, entre em contato com nosso Encarregado pelo Tratamento de Dados (DPO):
E-mail: contato@capscore.com.br
Você também pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD): www.gov.br/anpd
13. Alterações
Esta política pode ser atualizada. Mudanças relevantes serão comunicadas por e-mail aos usuários cadastrados com pelo menos 15 dias de antecedência.
Dúvidas? Entre em contato: contato@capscore.com.br