Política de Privacidade

Última atualização: 19 de maio de 2026

1. Quem somos

A CapScore (CNPJ 66.247.207/0001-73) é controladora dos dados pessoais coletados nesta plataforma, nos termos do art. 5º, VI, da Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD). Esta política descreve quais dados coletamos, como tratamos e quais são os seus direitos como titular.

Esta política se aplica tanto ao usuário-cliente (pessoa física ou jurídica cadastrada) quanto ao titular consultado (terceiro cujos dados aparecem em um relatório).

2. Dados que coletamos

Tratamos as seguintes categorias de dados, conforme a base legal e a finalidade indicadas:

  • Dados cadastrais do usuário: nome, e-mail, telefone, CPF (PF) ou CNPJ + dados do representante legal (PJ), endereço. Base legal: execução de contrato (Art. 7º, V).
  • Dados de documento: foto do RG/CNH/Passaporte e número, armazenados criptografados no Firebase Storage. Base legal: execução de contrato e cumprimento de obrigação legal (Art. 7º, II e V).
  • Dados biométricos (dado pessoal sensível, Art. 5º II): selfie capturada ao vivo durante o KYC e a foto do documento são submetidas a um serviço de comparação facial 1-para-1 (Big Data Corp) para confirmar identidade. Base legal: consentimento específico (Art. 11, I) coletado no momento do KYC.
  • Dados de pagamento: processados diretamente pela Stripe (Stripe Inc., EUA). A CapScore não armazena número de cartão. Base legal: execução de contrato.
  • Dados de uso: logs de acesso, IP, ações no app, créditos consumidos, queries realizadas. Base legal: legítimo interesse (Art. 7º, IX) para segurança, prevenção a fraude e auditoria.
  • Dados de terceiros consultados: nome, CPF/CNPJ e demais campos enviados pelo usuário para gerar relatório. Base legal: legítimo interesse do usuário-cliente, observadas as finalidades autorizadas listadas no §7.

3. Operadores e sub-processadores

Para prestar o serviço, compartilhamos dados estritamente necessários com os seguintes operadores, sob contrato de proteção de dados:

  • Big Data Corp (BDC) — consulta de bases públicas e proprietárias (processos, certidões, antecedentes, KYC), além de comparação facial biométrica. Cada usuário tem sub-conta dedicada na BDC.
  • Google / Firebase — autenticação, banco de dados (Firestore), armazenamento de arquivos (Storage) e hosting (Firebase App Hosting). Dados podem ser armazenados em região multi-regional conforme a configuração do projeto Firebase.
  • Stripe — processamento de pagamentos (cartões, assinaturas, faturas). Stripe Inc. é operadora autônoma para fins de cobrança.
  • BrasilAPI — consulta pública de CNPJ na Receita Federal (apenas dados públicos).

4. Transferência internacional

Alguns dos operadores acima processam dados fora do Brasil (Estados Unidos e regiões multi-regionais do Google Cloud). A transferência é amparada pelo Art. 33, IX, da LGPD (execução de contrato com o titular) e pelas garantias contratuais de segurança e privacidade fornecidas pelos operadores.

5. Finalidades autorizadas dos relatórios

O CapScore permite consultas apenas para as finalidades abaixo, selecionadas pelo usuário no momento da consulta. Usar a plataforma fora destas finalidades viola estes termos e a legislação aplicável:

  • FT-1 — Contratação trabalhista (PJ contratante)
  • FT-2 — Verificação de prestador autônomo (PJ contratante)
  • FT-3 — Locação de imóvel (PF ou PJ locador)
  • FT-4 — Due diligence comercial / M&A (PJ)
  • FT-5 — KYC e compliance regulatório (PJ)
  • FT-7 — Auto-consulta (PF ou PJ consultando os próprios dados)

6. Decisões automatizadas

Os relatórios incluem indicadores e alertas gerados automaticamente a partir dos dados consultados (ex.: presença de processos criminais, restrições em certidões). Esses alertas são informativos: a decisão final (contratar, locar, fechar negócio) é sempre humana e de responsabilidade do usuário-cliente.

Nos termos do Art. 20 da LGPD, o titular consultado tem direito a solicitar revisão humana de decisões automatizadas que afetem seus interesses. Solicitações podem ser enviadas para contato@capscore.com.br.

7. Retenção

Mantemos os dados pelos prazos abaixo, salvo obrigação legal de retenção maior:

  • Dados cadastrais e KYC: enquanto a conta estiver ativa + 5 anos após o encerramento (prazo prescricional do CDC).
  • Relatórios gerados: 5 anos a partir da consulta, para auditoria e prova em eventual contencioso.
  • Logs de auditoria (audit_log): 5 anos.
  • Dados financeiros (faturas Stripe, ledger de créditos): 5 anos (Art. 174 CTN).
  • Dados biométricos (selfie e foto do documento): mantidos enquanto a conta estiver ativa + 5 anos, exceto se o titular solicitar exclusão antes (sujeito à preservação de prova).

8. Direitos do titular

Nos termos do Art. 18 da LGPD, você pode solicitar a qualquer momento:

  • Confirmação da existência de tratamento
  • Acesso aos dados (no painel: Configurações → Meus dados; ou via solicitação)
  • Correção de dados incompletos, inexatos ou desatualizados
  • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD
  • Portabilidade dos dados a outro fornecedor
  • Eliminação dos dados pessoais tratados com base no consentimento
  • Informação sobre com quem compartilhamos seus dados
  • Revogação do consentimento

9. Exercício de direitos pelo titular consultado

Se você não é cliente do CapScore mas suspeita ter sido consultado, pode solicitar acesso ou exclusão dos seus dados enviando e-mail para contato@capscore.com.br com a comprovação de identidade. Responderemos em até 15 dias.

10. Segurança

Aplicamos: criptografia em trânsito (TLS 1.2+); criptografia de campos sensíveis em repouso (AES-256 para CPF, RG e tokens); controle de acesso por papéis (admin separado); rate limiting; tokens de autenticação rotacionados; isolamento de sub-conta BDC por usuário; auditoria completa via audit_log.

Nenhum sistema é 100% seguro. Em caso de incidente que possa gerar risco ou dano relevante aos titulares, comunicaremos a ANPD e os titulares afetados no prazo legal, nos termos do Art. 48 da LGPD.

11. Cookies

Utilizamos cookies essenciais para autenticação (sessão Firebase Auth) e funcionamento da plataforma. Não usamos cookies de marketing ou rastreamento de terceiros. Cookies analíticos, se forem adicionados no futuro, só serão ativados após consentimento explícito.

12. Encarregado e contato

Para exercer direitos, tirar dúvidas ou reportar incidentes, entre em contato com nosso Encarregado pelo Tratamento de Dados (DPO):

E-mail: contato@capscore.com.br

Você também pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD): www.gov.br/anpd

13. Alterações

Esta política pode ser atualizada. Mudanças relevantes serão comunicadas por e-mail aos usuários cadastrados com pelo menos 15 dias de antecedência.

Dúvidas? Entre em contato: contato@capscore.com.br