Multiplica

Política de Privacidade — Multiplica

Última atualização: 24 de abril de 2026.

Versão: 1.0 (rascunho — revisão jurídica pendente).

Este é um rascunho para orientar a negociação com advogado especializado em LGPD. Não usar em produção sem validação jurídica. Brackets {{…}} indicam campos a preencher.

1. Quem somos

Multiplica (operado por {{RAZÃO SOCIAL}}, CNPJ {{CNPJ}}) é o controlador e/ou operador dos dados pessoais tratados conforme descrito abaixo.

Encarregado de Proteção de Dados (DPO): {{NOME}} — {{E-MAIL DPO}}.

2. Bases legais (art. 7º da LGPD)

Tratamos dados pessoais com base em:

  • Execução de contrato (art. 7º, V) — para prestar os serviços à igreja contratante.
  • Legítimo interesse (art. 7º, IX) — para analytics internos agregados, prevenção a fraudes.
  • Consentimento (art. 7º, I) — para comunicações de marketing (quando aplicável).
  • Obrigação legal (art. 7º, II) — para cumprimento de exigências fiscais, tributárias e de autoridades competentes.

3. Dados que coletamos

3.1. De usuários da Plataforma

  • Nome completo, nome de usuário, e-mail, telefone, senha (hash argon2), papel/escopo.
  • Registros de acesso (IP, horário, navegador).
  • Ações na Plataforma (quem criou/editou/excluiu o quê).

3.2. De membros (pessoas cadastradas pela igreja)

  • Nome completo, apelido, data de nascimento, telefone.
  • Presença em reuniões (datas, células).
  • Pedidos de oração (texto, categoria, urgência).
  • Testemunhos textuais registrados pelos líderes.
  • Fotos de reuniões (quando anexadas).

Atenção: pedidos de oração podem conter dados sensíveis (saúde, família, orientação religiosa — esta última inerente ao contexto). Tratamos com proteção reforçada (art. 11 da LGPD).

3.3. De fluxos WhatsApp

  • Conteúdo de mensagens trocadas entre o agente e o usuário (para memória do agente e auditoria).
  • JIDs (identificadores WhatsApp), nomes exibidos, números de telefone.

3.4. Dados de faturamento

  • Via ASAAS: razão social, CNPJ, dados de cartão (tokenizados pelo ASAAS — nunca armazenamos PAN completo), histórico de transações.

4. Como usamos seus dados

  • Prestação do serviço contratado (gestão de células, reuniões, mensageria).
  • Comunicação transacional (e-mails de sistema, notificações pastorais).
  • Suporte técnico.
  • Analytics agregados e anonimizados para melhoria do produto.
  • Cumprimento de obrigações legais e regulatórias.

Não vendemos, alugamos ou compartilhamos dados pessoais para fins de marketing de terceiros.

5. Compartilhamento com terceiros

Os dados podem ser compartilhados com:

  • Supabase (banco de dados e storage) — hospedagem em São Paulo, Brasil.
  • ASAAS (gateway de pagamento) — apenas dados de faturamento.
  • WhatsApp/Meta (canal de comunicação oficial ou não-oficial) — conforme uso da igreja.
  • Anthropic e OpenAI (modelos de IA) — para processamento das conversas do agente. Os provedores agem como operadores adicionais.
  • Infraestrutura cloud (Contabo — hospedagem da aplicação).

Todos os terceiros operam sob contratos de processamento de dados (DPA) compatíveis com a LGPD.

6. Retenção

  • Dados ativos: mantidos enquanto a assinatura estiver vigente.
  • Após cancelamento: 30 dias de graça, depois exclusão permanente (exceto dados de faturamento retidos por 5 anos para obrigação fiscal).
  • Logs de acesso: 6 meses.
  • Dados anonimizados para analytics: podem ser mantidos indefinidamente.

O Contratante pode configurar período menor de retenção em /admin/privacy (quando disponível).

7. Direitos do titular (art. 18 da LGPD)

Qualquer titular (usuário, membro, administrador) pode solicitar:

1. Confirmação de tratamento de seus dados.

2. Acesso aos seus dados.

3. Correção de dados incompletos, inexatos ou desatualizados.

4. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade.

5. Portabilidade a outro serviço (via export em /admin/export).

6. Eliminação dos dados tratados com base no consentimento.

7. Informação sobre com quem compartilhamos.

8. Revogação do consentimento.

9. Oposição ao tratamento em caso de descumprimento da LGPD.

Como exercer: e-mail para {{E-MAIL DPO}} ou via a igreja contratante (quando os dados foram cadastrados por ela).

Respondemos em até 15 dias.

8. Segurança

Adotamos:

  • TLS 1.3 em todo tráfego.
  • Criptografia em repouso via Supabase.
  • Hash argon2 para senhas (jamais armazenamos senhas em texto plano).
  • Tokens JWT httpOnly, SameSite=Lax para sessões.
  • Rate limiting em autenticação.
  • Backup diário automático.
  • Logs de auditoria para ações sensíveis.
  • Revisão periódica de vulnerabilidades.

Em caso de incidente de segurança que exponha dados pessoais, comunicamos a ANPD e os titulares afetados em até 72 horas, conforme LGPD.

9. Cookies

Usamos cookies estritamente necessários para o funcionamento:

  • gceu_session (autenticação) — httpOnly, criptografado.
  • gceu_view_church (switch de igreja para SUPER_ADMIN) — httpOnly.
  • gceu_sidebar_collapsed (preferência de UI) — client-only.

Não usamos cookies de analytics ou publicidade de terceiros neste momento.

10. Dados de menores

A Plataforma não se destina a crianças que acessem diretamente. Dados de crianças podem ser cadastrados como Membros (filhos de fiéis) apenas com consentimento dos responsáveis legais, que é obrigação do Contratante obter.

11. Transferência internacional

Alguns provedores (Anthropic, OpenAI) podem processar dados em servidores nos Estados Unidos, sob cláusulas contratuais padrão e salvaguardas compatíveis com a LGPD (art. 33).

12. Alterações nesta política

Podemos atualizar esta Política periodicamente. Notificamos alterações relevantes com 30 dias de antecedência via e-mail cadastrado. O uso continuado após a vigência implica aceitação.

Contato DPO:

{{NOME DPO}}

{{E-MAIL DPO}}

Autoridade Nacional de Proteção de Dados (ANPD): https://www.gov.br/anpd