Política de Privacidade | Kamalios

Última atualização / vigência: 22/06/2026

Esta Política de Privacidade (“Política“) descreve como o Kamalios, operado por CODACTUS DESENVOLVIMENTO DE SOFTWARE LTDA (CNPJ 59.934.842/0001-63), trata dados pessoais, em conformidade com a Lei Geral de Proteção de Dados — LGPD (Lei nº 13.709/2018), o Marco Civil da Internet (Lei nº 12.965/2014) e o Código de Defesa do Consumidor (Lei nº 8.078/1990), quando aplicáveis. Esta Política integra os Termos de Uso.


Índice


1. Controlador, canal de privacidade e papéis

1.1. Controlador: CODACTUS DESENVOLVIMENTO DE SOFTWARE LTDA, CNPJ 59.934.842/0001-63, Av. Paulista, nº 1106, Andar 16, Sala 01, Bela Vista, CEP 01.310-914, São Paulo/SP.

1.2. Canal de privacidade e Encarregado. A Codactus enquadra-se como agente de tratamento de pequeno porte (microempresa, sem empregados, voltada a operações de tratamento de baixo risco) e, com fundamento no art. 11 da Resolução CD/ANPD nº 2, de 27 de janeiro de 2022, opta por não indicar formalmente um Encarregado (DPO). Em substituição, mantemos um canal permanente de comunicação com titulares e com a ANPD para assuntos de privacidade e proteção de dados: privacidade@kamalios.com. Caso passemos a realizar tratamento de alto risco, a indicação de Encarregado será reavaliada e esta Política, atualizada.

1.3. Duplo papel (LGPD, arts. 5º, VI e VII).

• Quanto aos dados da sua Conta (e-mail, nome, foto, dados de pagamento), o Kamalios é Controlador.

• Quanto aos dados de terceiros que você insere (ex.: dados de seus clientes), você é o Controlador e o Kamalios é Operador, conforme o Acordo de Tratamento de Dados (DPA).

2. Dados que coletamos

Coletamos apenas o necessário ao funcionamento do Serviço.

2.1. Dados fornecidos por você

CategoriaExemplos
Cadastro da ContaE-mail, senha (armazenada de forma criptografada/hash), nome de exibição, foto de perfil (opcional)
Prova de aceiteVersão dos Termos aceita e data/hora do aceite
Empresa / WorkspaceNome da empresa, logotipo, CNPJ, cidade, estado, e-mail e telefone de contato
Conteúdo operacionalCadastros (clientes, produtos, serviços), registros, documentos, transações e contas financeiras, eventos de calendário, fluxos, etiquetas, estoque e imagens anexadas
Dados de terceirosDados que você opta por inserir sobre seus clientes (nome, CPF/CNPJ, telefone, e-mail, endereço, data de nascimento, observações)
SuporteInformações enviadas ao abrir chamados

2.2. Dados coletados automaticamente

CategoriaFinalidade
Dados técnicos e de diagnósticoVersão do app, plataforma/SO, identificadores de sessão e logs de erro
Registros de acesso à aplicação (Marco Civil, art. 15)Segurança e atribuição de responsabilidade
Trilha de auditoria internaHistórico de alterações de transações e de ações relevantes

2.3. Dados de pagamento

Processados pela Stripe. Não coletamos nem armazenamos o número completo do cartão — recebemos apenas identificadores e o status da assinatura.

2.4. Dados que NÃO coletamos

Não utilizamos analytics de terceiros, rastreadores de marketing, notificações push ou inteligência artificial embarcada. Não coletamos intencionalmente dados de crianças e adolescentes (Seção 12).

2.5. Dados pessoais sensíveis — vedação de uso

A Plataforma não se destina ao tratamento de dados pessoais sensíveis (LGPD, art. 5º, II — dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, e dados genéticos ou biométricos) e não possui campos destinados a coletá-los.

É vedado ao Usuário inserir dados pessoais sensíveis na Plataforma, inclusive em campos de texto livre (por exemplo, "Observações"). A vedação alcança qualquer ramo de atuação — incluindo profissionais e estabelecimentos de saúde —, que não devem registrar diagnósticos, prontuários, condições clínicas ou quaisquer dados de saúde de pacientes no sistema.

Esclarecimento: CPF/CNPJ, dados de contato e dados financeiros operacionais não são dados sensíveis e podem ser cadastrados normalmente.

Caso o Usuário, descumprindo esta vedação, insira dados sensíveis, fá-lo-á exclusivamente na qualidade de Controlador, por sua conta e risco, assumindo integral responsabilidade. O Kamalios, como mero Operador quanto a esses dados, reserva-se o direito de removê-los e de suspender a Conta em caso de uso reiterado, sem que isso gere direito a reembolso.

3. Finalidades e bases legais (LGPD, arts. 7º e 11)

FinalidadeBase legal
Criar e manter a Conta e prestar o ServiçoExecução de contrato (art. 7º, V)
Processar assinaturas, pagamentos e faturamentoExecução de contrato (art. 7º, V)
Cumprir obrigações legais, fiscais e regulatóriasObrigação legal (art. 7º, II)
Guarda de registros de acessoObrigação legal (Marco Civil, art. 15) / legítimo interesse
Suporte ao clienteExecução de contrato / legítimo interesse (art. 7º, IX)
Segurança, prevenção a fraude e melhoria do ServiçoLegítimo interesse (art. 7º, IX)
Comunicações de marketing (se houver)Consentimento (art. 7º, I), revogável
Exercício regular de direitos em processoArt. 7º, VI

Para tratamentos baseados em legítimo interesse, realizamos avaliação de necessidade e balanceamento, limitando o tratamento ao estritamente necessário.

4. Consentimento e registro do aceite

4.1. No cadastro, é exibido o texto "Li e concordo com os Termos de Uso e a Política de Privacidade", cuja marcação é obrigatória para concluir o registro. O sistema registra a versão dos documentos aceita e a data/hora do aceite, como prova do consentimento contratual.

4.2. O consentimento para marketing (se houver) é separado, livre e específico: a recusa não impede o uso do Serviço e a autorização pode ser revogada a qualquer tempo, sem prejuízo da licitude do tratamento anterior.

4.3. A revogação de consentimentos indispensáveis ao contrato pode implicar a impossibilidade de continuar prestando o Serviço.

5. Cookies e tecnologias semelhantes

5.1. A Plataforma utiliza apenas armazenamento estritamente necessário ao funcionamento (sem cookies de publicidade, rastreamento comportamental ou analytics de terceiros):

TipoFinalidadeNatureza
Sessão / autenticaçãoManter você autenticado com segurançaEstritamente necessário
PreferênciasLembrar configurações locais (tema, multi-conta)Funcional

5.2. Por serem indispensáveis (autenticação, segurança e funcionamento), tais itens não dependem de consentimento prévio (LGPD, art. 7º, V; Marco Civil, art. 7º). Bloqueá-los pode impedir o login.

5.3. Você pode bloquear ou apagar cookies e dados de site nas configurações do navegador, e encerrar a sessão pela função Sair no aplicativo. Caso venhamos a adotar cookies não essenciais, será apresentado banner de consentimento com gestão granular.

6. Compartilhamento e operadores

Não vendemos dados pessoais. Compartilhamos apenas com operadores necessários à operação, sob contrato e instruções:

OperadorFinalidadeLocal
SupabaseHospedagem, banco de dados, autenticação e armazenamento de arquivosBrasil (São Paulo)
StripeProcessamento de pagamentos e assinaturasExterior
Atlassian (Jira Service Management)Gestão de chamados de suporteExterior
HostGatorHospedagem do site/app web e redefinição de senhaBrasil

Poderemos compartilhar dados para cumprir lei ou ordem judicial, exercer direitos em processo ou em operações societárias, mediante salvaguardas.

7. Transferência internacional (LGPD, arts. 33–36)

A hospedagem, o banco de dados e o armazenamento de arquivos (Supabase) ficam no Brasil (região de São Paulo). Apenas operadores específicos (Stripe e Atlassian) podem tratar dados fora do Brasil. Nesses casos, adotamos salvaguardas adequadas (cláusulas contratuais de proteção, due diligence e garantias de nível de proteção compatível com a LGPD), necessárias à execução do contrato.

8. Retenção e eliminação de dados

8.1. Princípio. Tratamos os dados pelo tempo necessário às finalidades informadas (LGPD, art. 15), observando necessidade e minimização. Encerradas as finalidades, os dados são eliminados, salvo hipóteses legais de conservação (art. 16).

8.2. Prazos de referência.

CategoriaPrazo
Conta e conteúdo do WorkspaceEnquanto existirem; eliminados na exclusão. Contas sem assinatura e inativas por 12 meses podem ser eliminadas após notificação prévia
Prova de aceiteEnquanto a Conta existir e pelo prazo prescricional aplicável
Dados de faturamento/assinaturaPrazo da legislação fiscal (em regra, 5 anos)
Registros de acesso à aplicaçãoMínimo de 6 (seis) meses (Marco Civil, art. 15)
Chamados de suporteTempo necessário ao atendimento, observada a minimização
BackupsCiclo do provedor, por prazo limitado adicional
Cópias para defesa em litígioAté o fim do prazo prescricional

8.3. Como ocorre a exclusão. Em Configurações, o Usuário pode excluir um Workspace (remove em cascata todos os dados daquele Workspace) ou excluir a Conta (exclui todos os Workspaces de sua propriedade, remove vínculos em Workspaces de terceiros, elimina registros pessoais e referências de chamados, apaga o perfil e remove o usuário de autenticação). A exclusão também remove os arquivos de armazenamento vinculados (ex.: imagens de registros).

8.4. Irreversibilidade. A exclusão é permanente. Exporte previamente o que precisar. Dados retidos por obrigação legal são bloqueados e conservados apenas pelo prazo e finalidade legais.

8.5. Portabilidade. O Usuário pode exportar seus dados em formato estruturado (JSON), pela função de exportação do aplicativo (LGPD, art. 18, V).

9. Direitos do titular (LGPD, art. 18)

Você pode solicitar: confirmação da existência de tratamento; acesso; correção; anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade; portabilidade; informação sobre compartilhamentos; e revogação do consentimento.

Exportação e exclusão podem ser feitas pelo próprio aplicativo, em Configurações.

• Demais solicitações: privacidade@kamalios.com, atendidas nos prazos legais, podendo-se exigir confirmação de identidade.

• Se você é Titular de Dados de Terceiros inseridos por um cliente nosso, encaminharemos sua solicitação ao Controlador responsável, atuando como Operador no que nos couber.

10. Segurança da informação

10.1. Adotamos medidas técnicas e organizacionais proporcionais ao risco (LGPD, art. 46): criptografia em trânsito (HTTPS/TLS); controle de acesso por usuário e por Workspace (regras de segurança em nível de linha — Row Level Security); papéis de acesso (proprietário, administrador, colaborador); segregação de ambientes; segredos sensíveis mantidos apenas no servidor; buckets de imagens privados com URLs assinadas de validade limitada; e trilhas de auditoria.

10.2. Pagamentos são processados pela Stripe (certificada PCI-DSS); o app não armazena dados completos de cartão.

10.3. O Usuário é corresponsável pela segurança: manter credenciais em sigilo, usar senhas fortes, não compartilhar a Conta, revisar os membros da equipe e comunicar suspeita de comprometimento.

11. Decisões automatizadas

Não realizamos decisões unicamente automatizadas que produzam efeitos jurídicos ou impactem significativamente o titular (LGPD, art. 20). Cálculos exibidos (preços, margens, totais) são ferramentas de apoio sob controle do Usuário.

12. Crianças e adolescentes

O Serviço destina-se a uso profissional por maiores de 18 anos e não coleta intencionalmente dados de menores. Caso o Usuário insira dados de menores em seus cadastros, declara possuir base legal e autorização adequadas (LGPD, art. 14), assumindo a respectiva responsabilidade como Controlador.

13. Incidentes de segurança (LGPD, art. 48)

Mantemos procedimento de detecção, contenção, avaliação e comunicação de incidentes. Em incidente que possa acarretar risco ou dano relevante, comunicaremos os titulares afetados e a ANPD em prazo razoável, com a descrição dos dados, riscos e medidas adotadas. Canal para reporte de vulnerabilidades e assuntos de privacidade: privacidade@kamalios.com.

14. Alterações

Esta Política pode ser atualizada. Alterações relevantes serão comunicadas pelos canais oficiais. A data de vigência indica a versão mais recente.

15. Contato

Privacidade e proteção de dados: privacidade@kamalios.com (canal mantido na forma do art. 11 da Resolução CD/ANPD nº 2/2022, em substituição à indicação formal de Encarregado).

Controlador: CODACTUS DESENVOLVIMENTO DE SOFTWARE LTDA, CNPJ 59.934.842/0001-63, Av. Paulista, nº 1106, Andar 16, Sala 01, Bela Vista, CEP 01.310-914, São Paulo/SP.

Autoridade: você também pode peticionar à Autoridade Nacional de Proteção de Dados (ANPD).

Pronto para fechar o mês sabendo de verdade o que você ganhou?

Seu trabalho é bom. Sua gestão vai ser também.