Política de Privacidade

1. Identificação do Controlador

SooX é uma plataforma de planejamento financeiro de longo prazo operada pela FS Tecnologia Ltda, pessoa jurídica de direito privado, inscrita no CNPJ sob nº 23.180.505/0001-80, com sede no Brasil ("nós", "nosso" ou "Controlador").

Esta Política de Privacidade descreve como coletamos, usamos, armazenamos, compartilhamos e protegemos seus dados pessoais em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD — Lei nº 13.709/2018), o Código de Defesa do Consumidor (Lei nº 8.078/1990) e demais normas aplicáveis.

2. Dados que Coletamos

Coletamos apenas os dados estritamente necessários para operar o serviço:

• •Dados de conta: nome completo, endereço de e-mail e senha (armazenada exclusivamente em formato hash irreversível).
• •Dados de planejamento financeiro: informações inseridas manualmente por você — ativos, passivos, receitas, despesas e parâmetros econômicos dos seus planos.
• •Dados de uso: endereço IP, tipo de navegador, sistema operacional, telas e páginas acessadas, ações realizadas no produto (ex.: criação de um plano, execução de uma simulação), duração e frequência de uso, associados a um identificador interno de conta. Esses registros não incluem valores financeiros nem o conteúdo dos seus planos — apenas a ação e o momento, para fins de segurança, diagnóstico, melhoria e engajamento.
• •Dados de pagamento: processados integralmente pela operadora de pagamentos (Stripe). SooX não armazena números de cartão, CVV ou dados bancários.
• •Comunicações de suporte: mensagens enviadas ao suporte técnico, necessárias para atendimento e registro.

SooX não se conecta a instituições financeiras e não coleta extratos, saldos reais ou credenciais bancárias. Todos os dados financeiros inseridos são digitados manualmente por você.

3. Finalidade do Tratamento

Tratamos seus dados pessoais exclusivamente para as seguintes finalidades:

• •Prestação do serviço: autenticar seu acesso, executar simulações financeiras, salvar e recuperar seus planos.
• •Gerenciamento de conta: envio de e-mails transacionais (confirmação de cadastro, redefinição de senha, notificações de cobrança).
• •Suporte técnico: responder dúvidas, investigar problemas e solucionar incidentes reportados.
• •Segurança e prevenção a fraudes: detectar acessos não autorizados e proteger a integridade do serviço.
• •Cumprimento de obrigações legais: atender determinações de autoridades competentes e cumprir obrigações tributárias e regulatórias.
• •Melhoria do produto: análise de padrões de uso (pseudonimizada, sem valores financeiros) para aprimorar funcionalidades e usabilidade.
• •Engajamento e ativação: envio de lembretes para ajudá-lo a aproveitar melhor o serviço (ex.: concluir a configuração do seu plano), que você pode desativar a qualquer momento nas configurações da sua conta.

4. Base Legal (LGPD, art. 7º)

Cada finalidade de tratamento é fundamentada em uma ou mais bases legais previstas no art. 7º da LGPD:

• •Execução de contrato (art. 7º, V): tratamento necessário para a prestação do serviço contratado — autenticação, execução de simulações, armazenamento de planos.
• •Legítimo interesse (art. 7º, IX): segurança da plataforma, prevenção a fraudes, análise pseudonimizada de uso e envio de lembretes de engajamento — sempre com opção de oposição (opt-out) disponível na sua conta —, desde que não prevaleça sobre seus direitos e liberdades fundamentais.
• •Cumprimento de obrigação legal (art. 7º, II): quando exigido por autoridades regulatórias, tributárias ou judiciais.
• •Consentimento (art. 7º, I): envio de comunicações de marketing e novidades sobre o produto, que você pode revogar a qualquer momento.

5. Compartilhamento de Dados

Seus dados são compartilhados apenas com prestadores de serviço essenciais à operação da plataforma, todos vinculados por contratos de processamento de dados que proíbem uso para finalidades próprias:

• •Infraestrutura em nuvem (Railway / Vercel): hospedagem e processamento dos dados do serviço, com servidores nos EUA.
• •Processadora de pagamentos (Stripe): gestão de cobranças e assinaturas. Stripe é certificada PCI DSS Level 1.
• •Serviço de e-mail transacional: envio de e-mails de sistema (confirmações, redefinição de senha).
• •Ferramenta de monitoramento de erros: coleta de logs técnicos anonimizados para diagnóstico de falhas.

Não compartilhamos dados com plataformas de publicidade, corretores de dados, parceiros comerciais ou qualquer terceiro para fins que não os descritos acima.

6. Segurança dos Dados

Adotamos medidas técnicas e organizacionais para proteger seus dados contra acesso não autorizado, perda, alteração ou destruição:

• •Criptografia em trânsito: toda comunicação entre o app e nossos servidores é protegida por TLS 1.2+.
• •Criptografia em repouso: dados armazenados são criptografados com AES-256.
• •Senhas protegidas por hash: nunca armazenamos sua senha em texto puro — utilizamos algoritmos de hash com salt (bcrypt).
• •Controle de acesso: acesso interno aos dados é restrito por princípio de menor privilégio e autenticação multifator.
• •Revisão contínua: práticas de segurança são revisadas periodicamente e atualizadas conforme novas ameaças.

Em caso de incidente de segurança que possa acarretar risco ou dano relevante a você, notificaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados no prazo previsto pela LGPD e pelas regulamentações da ANPD.

7. Retenção de Dados

Seus dados são mantidos pelo tempo necessário para as finalidades descritas:

• •Dados de conta e planos financeiros: mantidos enquanto sua conta estiver ativa.
• •Após cancelamento da assinatura: dados mantidos por 90 dias para possibilitar reativação, depois eliminados.
• •Após solicitação de exclusão de conta: eliminação imediata e irreversível de todos os dados.
• •Logs de segurança e acesso: retidos por até 12 meses para investigação de incidentes.
• •Eventos de uso (analytics): dados brutos retidos por até 12 meses, após o que são eliminados ou mantidos apenas de forma agregada. Excluídos imediatamente junto com a conta.
• •Dados fiscais e de cobrança: retidos pelo prazo exigido pela legislação tributária brasileira (mínimo 5 anos).

8. Cookies e Tecnologias de Rastreamento

Utilizamos cookies e tecnologias semelhantes para garantir o funcionamento do serviço e melhorar sua experiência:

• •Cookies estritamente necessários: mantêm sua sessão ativa e garantem a segurança do acesso. Não podem ser desativados sem comprometer o funcionamento do serviço.
• •Cookies de desempenho: coletam informações agregadas e anonimizadas sobre como o serviço é utilizado, para identificar erros e melhorar funcionalidades.
• •Cookies funcionais: lembram suas preferências de configuração (ex: idioma, modo de exibição).

Não utilizamos cookies de rastreamento para fins publicitários ou de perfilamento comportamental. Você pode gerenciar cookies nas configurações do seu navegador, mas desativar cookies necessários pode impedir o funcionamento do serviço.

9. Seus Direitos como Titular (LGPD, art. 18)

A LGPD garante a você os seguintes direitos sobre seus dados pessoais, que podem ser exercidos a qualquer momento pelo e-mail de contato abaixo ou pelas configurações da sua conta:

• •Confirmação e acesso: saber se tratamos seus dados e obter uma cópia deles.
• •Correção: solicitar a correção de dados incompletos, inexatos ou desatualizados.
• •Anonimização, bloqueio ou eliminação: de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
• •Portabilidade: receber seus dados em formato estruturado e interoperável.
• •Eliminação: solicitar a eliminação dos dados tratados com base em consentimento.
• •Informação sobre compartilhamento: saber com quais entidades compartilhamos seus dados.
• •Revogação do consentimento: retirar seu consentimento a qualquer momento, sem prejuízo ao tratamento realizado anteriormente.
• •Oposição: opor-se ao tratamento realizado com fundamento em bases legais distintas do consentimento, em caso de descumprimento da LGPD.
• •Revisão de decisões automatizadas: solicitar revisão de decisões tomadas exclusivamente com base em tratamento automatizado.

Responderemos às solicitações em até 15 dias úteis, conforme prazo previsto na LGPD. Em casos complexos, poderemos prorrogar por mais 15 dias, mediante comunicação prévia.

10. Menores de Idade

SooX não se destina a pessoas com menos de 18 anos. Não coletamos intencionalmente dados pessoais de menores de idade.

Se tomarmos conhecimento de que coletamos dados de um menor de 18 anos sem o consentimento dos pais ou responsáveis legais, excluiremos esses dados imediatamente. Caso você acredite que coletamos dados de um menor, entre em contato conosco pelo e-mail indicado abaixo.

11. Transferência Internacional de Dados

Alguns de nossos prestadores de serviço operam fora do Brasil (ex: servidores em nuvem nos EUA). Nesse caso, garantimos que a transferência ocorre com salvaguardas adequadas, em conformidade com o art. 33 da LGPD:

• •Países com grau de proteção adequado reconhecido pela ANPD.
• •Contratos específicos de transferência com cláusulas de proteção equivalentes às previstas na LGPD.
• •Certificações de conformidade dos prestadores (ex: certificação ISO 27001, SOC 2 Type II).

12. Encarregado de Proteção de Dados (DPO)

Nos termos do art. 41 da LGPD, designamos um Encarregado de Proteção de Dados responsável por:

• •Receber comunicações dos titulares e da ANPD.
• •Orientar os colaboradores sobre práticas de proteção de dados.
• •Atuar como canal de comunicação entre o Controlador, os titulares e a ANPD.

Contato com o Encarregado: contato@soox.com.br

13. Atualizações desta Política

Podemos atualizar esta Política de Privacidade periodicamente para refletir mudanças no serviço, na legislação ou em nossas práticas de privacidade.

Alterações significativas serão comunicadas com antecedência mínima de 15 dias via e-mail cadastrado ou aviso na plataforma. O uso continuado do serviço após a comunicação e o decurso do prazo implica ciência e aceitação das alterações.

A versão anterior da política permanecerá disponível mediante solicitação.