Política de Privacidade

A Confeita é uma plataforma digital (SaaS) voltada à gestão de confeitarias artesanais. Para os fins desta Política e da Lei nº 13.709/2018 — Lei Geral de Proteção de Dados Pessoais (LGPD), a Confeita é a controladora dos dados pessoais tratados na Plataforma.

O Encarregado de Proteção de Dados (DPO) pode ser contatado em dpo@confeita.com. Para assuntos gerais, escreva para contato@confeita.com.

Coletamos somente os dados estritamente necessários para fornecer e melhorar o serviço. Eles se dividem em três grupos:

2.1. Dados que você nos fornece

• Cadastro: nome, endereço de e-mail, senha (armazenada apenas em forma de hash criptográfico — nunca em texto puro);
• Autenticação social (opcional): ao usar "Continuar com Google", recebemos do Google seu nome, endereço de e-mail e foto de perfil pública, estritamente para criar e identificar sua conta;
• Verificação em 2 etapas (opcional): segredo criptográfico do app autenticador e códigos de backup (criptografados em repouso);
• Marca do ateliê (opcional): nome fantasia, razão social, CNPJ ou CPF, telefone, e-mail comercial, perfil de Instagram, cidade, logotipo e paleta de cores — utilizados apenas na geração dos seus orçamentos e materiais;
• Dados operacionais: receitas, fichas técnicas, ingredientes, clientes (nome, telefone, e-mail, cidade, data de nascimento, preferências alimentares), pedidos, histórico de cálculos e templates da calculadora.

2.2. Dados coletados automaticamente

• Sessão e segurança: endereço IP, identificador de navegador e sistema operacional (user-agent), data e hora dos acessos, registros (logs) de eventos críticos como login, alteração de senha, ativação/desativação de 2FA, solicitação de exclusão de conta;
• Uso técnico: métricas agregadas de performance, contagem de requisições para rate limiting e diagnóstico de erros, sem identificação individual quando possível;
• Cookies essenciais: exclusivamente para manter sua sessão ativa e gravar preferências de interface (ver seção 8).

2.3. Dados que não coletamos

Não coletamos, não pedimos e não armazenamos dados de cartão de crédito ou informações bancárias diretamente. Pagamentos, quando aplicáveis, são processados integralmente por fornecedores especializados (ver seção 5), recebendo apenas confirmações de status. Também não coletamos dados de geolocalização precisa, biometria ou categorias especiais de dados sensíveis sem seu consentimento expresso.

Conforme exige o Art. 7º da LGPD, todo tratamento de dados pessoais deve ter uma base legal. As nossas são:

• Execução de contrato (Art. 7º, V): criar e manter sua conta, processar cálculos, salvar receitas, gerar orçamentos, enviar comunicações operacionais essenciais (recuperação de senha, confirmação de exclusão, alertas de segurança);
• Cumprimento de obrigação legal ou regulatória (Art. 7º, II): emissão de documentos fiscais quando aplicável e atendimento a requisições legítimas de autoridades competentes;
• Legítimo interesse (Art. 7º, IX): prevenção a fraudes, proteção da segurança da Plataforma e dos demais usuários, melhoria contínua do serviço com base em métricas agregadas e anonimizadas;
• Consentimento (Art. 7º, I): envio de comunicações de marketing (sempre opt-in explícito) ou tratamentos adicionais expressamente autorizados por você, com possibilidade de revogação a qualquer momento;
• Exercício regular de direitos (Art. 7º, VI): em processos judiciais, administrativos ou arbitrais.

Usamos as informações coletadas estritamente para:

• Fornecer e manter as funcionalidades da Plataforma;
• Autenticar você e proteger sua conta contra acessos não autorizados, incluindo detecção de atividade suspeita e aplicação de mecanismos de rate limiting;
• Enviar comunicações operacionais essenciais (não promocionais): recuperação de senha, confirmação de exclusão de conta, alertas de segurança, atualizações de Termos e Política;
• Diagnosticar e corrigir problemas técnicos, otimizar performance e prevenir abusos;
• Cumprir obrigações legais, regulatórias e responder a requisições de autoridades competentes nos limites da legislação;
• Defender direitos da Confeita em processos judiciais, administrativos ou arbitrais.

Não fazemos perfilamento publicitário, não vendemos seus dados a terceiros e não os utilizamos para treinar modelos de inteligência artificial sem seu consentimento expresso.

Compartilhamos seus dados apenas com fornecedores essenciais para operar a Plataforma (operadores de tratamento, nos termos do Art. 5º, VII da LGPD), sempre sob contratos que exigem nível de proteção equivalente ao desta Política. Esses fornecedores se enquadram nas seguintes categorias:

• Infraestrutura: hospedagem da aplicação, banco de dados, rede de borda, DNS e mitigação de ameaças;
• Comunicação: envio de e-mail transacional essencial (recuperação de senha, confirmações e alertas de segurança);
• Autenticação: provedores de login social, quando você opta por utilizá-los;
• Pagamentos (quando aplicável): processadores especializados que recebem apenas os dados necessários para concluir a transação, sem que armazenemos diretamente dados de cartão ou conta bancária;
• Observabilidade técnica (quando aplicável): registro de erros e métricas de desempenho, sem identificação individual sempre que possível.

Não compartilhamos seus dados para fins de publicidade direcionada, intermediação comercial ou qualquer finalidade alheia à operação da Plataforma.

Vários dos nossos fornecedores essenciais estão sediados fora do Brasil, o que implica em transferência internacional de dados. Essas transferências ocorrem em conformidade com o Art. 33 da LGPD, prioritariamente por meio de cláusulas contratuais padrão que asseguram nível de proteção equivalente ao da LGPD, ou para países que ofereçam grau de proteção adequado reconhecido pela ANPD.

Mantemos seus dados pelo tempo estritamente necessário para as finalidades descritas nesta Política, observando os seguintes critérios:

• Conta ativa: dados mantidos enquanto sua conta estiver ativa e por período razoável de inatividade, para permitir seu retorno sem perda de informações;
• Após solicitação de exclusão: janela de 7 (sete) dias para cancelamento, após a qual todos os dados associados à conta são removidos em definitivo;
• Registros mínimos de segurança: retidos pelo prazo estritamente necessário para investigação de incidentes, prevenção a fraudes e atendimento a obrigações legais aplicáveis, conforme exigências regulatórias vigentes.

Quando aplicável, dados sujeitos a guarda obrigatória por força de lei (por exemplo, registros fiscais) são retidos pelos prazos previstos na respectiva legislação.

A Confeita utiliza somente cookies essenciais, sem cookies de terceiros para publicidade:

• Cookies de autenticação: mantêm sua sessão ativa após o login, com prazo limitado e renovação periódica por motivos de segurança;
• Cookies de preferência: armazenam configurações de interface (tema claro/escuro, dispensar banners informativos).

Você pode bloquear cookies nas configurações do seu navegador, mas isso pode impedir o funcionamento correto da Plataforma — especialmente o login e a manutenção da sessão. Não utilizamos cookies de rastreamento publicitário, fingerprinting ou tecnologias de perfilamento comportamental.

O Art. 18 da LGPD garante a você uma série de direitos sobre seus dados pessoais. Na Confeita, você pode exercer todos eles sem custo, sem necessidade de justificativa e, quando aplicável, diretamente pela própria Plataforma:

• Confirmação e acesso: saber se tratamos seus dados e quais tratamos;
• Correção: atualizar dados incompletos, inexatos ou desatualizados diretamente no painel ou solicitando ao DPO;
• Anonimização, bloqueio ou eliminação: de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
• Portabilidade: exportar seus dados em formato JSON estruturado e interoperável, disponível em Configurações → Privacidade;
• Eliminação de dados tratados com consentimento: revogar consentimento e solicitar a exclusão, ressalvadas as hipóteses do Art. 16 da LGPD (cumprimento de obrigação legal, transferência a terceiro mediante cláusulas contratuais, uso exclusivo do controlador com dados anonimizados);
• Informação sobre compartilhamento: saber com quais entidades compartilhamos seus dados (ver seção 5);
• Informação sobre não consentir: saber as consequências de negar consentimento, quando aplicável;
• Revogação de consentimento: a qualquer momento, sem prejuízo da legalidade dos tratamentos anteriores realizados com base no consentimento então válido;
• Revisão de decisões automatizadas: solicitar revisão de decisões tomadas exclusivamente por meio automatizado que afetem seus interesses (a Confeita atualmente não toma decisões totalmente automatizadas com impacto relevante);
• Reclamação à ANPD: apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD).

Atendemos solicitações em até 15 (quinze) dias corridos, contados do recebimento do pedido completo. Quando a complexidade do pedido exigir prazo maior, comunicaremos esse fato e o novo prazo justificadamente.

Adotamos medidas técnicas e organizacionais para proteger seus dados contra acessos não autorizados, perda, alteração ou divulgação indevida:

• Criptografia em trânsito em todas as conexões com a Plataforma;
• Criptografia em repouso para os dados armazenados;
• Proteção de senhas mediante função de derivação resistente a força bruta — senhas nunca são armazenadas em texto puro e não temos como recuperá-las;
• Verificação em 2 etapas disponível para todas as contas;
• Isolamento rigoroso entre contas, garantindo que dados de uma confeitaria jamais sejam acessados por outra;
• Mecanismos de detecção e bloqueio de uso abusivo em endpoints sensíveis;
• Registro auditável de ações críticas para fins de investigação e resposta a incidentes;
• Rotinas regulares de backup com plano de recuperação de desastres periodicamente testado.

Apesar dos esforços contínuos, nenhum sistema é absolutamente invulnerável. Em caso de incidente de segurança que possa causar risco ou dano relevante aos titulares, comunicaremos os afetados e a ANPD nos prazos e termos previstos na LGPD.

A Confeita é destinada exclusivamente a pessoas com 18 anos ou mais. Não coletamos intencionalmente dados de crianças ou adolescentes. Caso identifiquemos o tratamento de dados pessoais de menor de idade sem a devida base legal (notadamente o consentimento específico de pelo menos um dos pais ou responsável legal, conforme o Art. 14 da LGPD), removeremos imediatamente esses dados.

Se você for pai, mãe ou responsável e identificar tratamento de dados de menor sob sua tutela, escreva para dpo@confeita.com para remoção imediata.

Esta Política pode ser atualizada para refletir mudanças no serviço, na legislação aplicável ou em práticas operacionais. Quando a alteração for materialmente relevante, comunicaremos por e-mail e exibiremos aviso destacado na Plataforma, exigindo seu novo aceite expresso antes de continuar utilizando o serviço. A data da última atualização está sempre indicada no topo desta página.

Para exercer qualquer dos direitos descritos na seção 9, ou para esclarecer dúvidas relacionadas a esta Política:

• Encarregado de Proteção de Dados (DPO): dpo@confeita.com
• Suporte geral: contato@confeita.com
• Painel: a maior parte dos direitos pode ser exercida diretamente em Configurações → Privacidade

Você também pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) pelos canais oficiais disponíveis em gov.br/anpd.