Política de Privacidade
Última atualização: 24 de setembro de 2025
Controladora: Calculato Sistemas LTDA (“Calculato”)
CNPJ: 21.595.762/000158
Endereço: Av Jamel Cecílio, 2260, Sala 508, Jardim Goiás. Goiânia-GO. CEP 74810-100
E-mail geral: contato@calculato.com.br
Encarregado (DPO): Vinicius de Souza Araujo/CEO – dpo@calculato.com.br
1. Escopo e papéis sob a LGPD
1.1. Esta Política explica como tratamos dados pessoais no site, no aplicativo e nos serviços da Calculato (“Serviços”).
1.2. Papéis (LGPD):
- Para dados inseridos pelos clientes sobre empregados/colaboradores (ex.: dados de folha, eSocial, holerites), o Cliente é o Controlador e a Calculato atua como Operadora.
- Para dados de conta, cobrança, suporte, uso do produto e marketing, a Calculato é Controladora.
1.3. Quando atuamos como Operadora, seguimos as instruções documentadas do Controlador e o acordo de tratamento aplicável.
2. Categorias de dados tratados (exemplos)
- Conta e identificação: nome, e-mail, documento, telefone, empresa, cargo.
- Cobrança: CNPJ/CPF, endereço, meio de pagamento, histórico de faturas.
- Uso do produto e suporte: registros de acesso (IP, data/hora), eventos de aplicação, tickets, anexos, gravações voluntárias de tela/voz (quando o usuário opta).
- Dados de trabalhadores (Operação como Operadora): dados cadastrais, funcionais, contratuais, jornada e eventos legais (eSocial, holerites, benefícios).
- Cookies e similares: identificadores on-line e métricas (ver Seção 7).
- Comunicacionais/marketing: preferências, newsletters e histórico de interação (opt-in/opt-out).
3. Fontes de dados
- Diretamente do titular (cadastro, uso do produto, suporte).
- Do Controlador (Cliente) e integrações por ele habilitadas (ex.: folha/contábil, RH, pagamentos).
- Automáticas, via cookies/SDKs quando o usuário navega/usa os Serviços (Seção 7).
- Parceiros e prestadores (ex.: antifraude, cobrança), nos limites legais.
- Públicas, quando cabível e com finalidade legítima.
4. Bases legais (art. 7 da LGPD – exemplos)
- Execução de contrato e procedimentos preliminares (p.ex., provisionar contas, faturar, prestar suporte).
- Cumprimento de obrigação legal/regulatória (ex.: obrigações trabalhistas, fiscais, contábeis quando atuarmos como Controladora).
- Interesses legítimos, com avaliação de impacto e oposição disponível (ex.: melhorar o produto, prevenir fraude, segurança).
- Consentimento quando exigido (ex.: certas comunicações de marketing, cookies não essenciais).
- Exercício regular de direitos, proteção da vida/da incolumidade e tutela da saúde quando aplicável.
- Proteção do crédito, quando pertinente.
5. Finalidades de uso (resumo)
- Operar e melhorar os Serviços;
- Cumprir obrigações contratuais/legais;
- Autenticar, personalizar e manter segurança;
- Medir audiência e performance (analytics);
- Comunicar novidades, ofertas e pesquisas (com opt-out);
- Prevenir fraude e incidentes;
- Atender solicitações de titulares e autoridades.
6. Compartilhamento e categorias de terceiros
Podemos compartilhar dados com Suboperadores/Operadores e parceiros estritamente necessários às finalidades:
- Infraestrutura e nuvem, monitoramento, backup;
- Pagamentos e faturamento;
- Atendimento e comunicação (helpdesk, e-mail, chatbot);
- Analytics e AB testing;
- Auditoria, consultoria e jurídica;
- Integrações habilitadas pelo Cliente.
Mantemos lista de categorias de suboperadores e, quando exigido, notificamos mudanças materiais.
7. Cookies e tecnologias de rastreamento
7.1. Usamos cookies/SDKs para funcionamento, segurança, preferências e análise de uso.
7.2. Cookies estritamente necessários operam sem consentimento. Cookies de desempenho/marketing dependem de consentimento (banner/central de preferências).
7.3. O usuário pode gerenciar preferências no banner e no navegador. A Calculato atualmente não responde ao sinal “Do Not Track”.
7.4. Logs técnicos podem registrar IP, dispositivo, navegador, páginas/recursos acessados e horários (para segurança, auditoria e suporte).
8. Transferências internacionais
Quando houver transferência para outros países (ex.: provedores globais de nuvem, atendimento, analytics), aplicaremos mecanismos legais previstos nos arts. 33–36 da LGPD (p.ex., cláusulas contratuais padrão, avaliação de adequação, BCR) e medidas de segurança compatíveis.
9. Segurança da informação
Adotamos medidas administrativas, técnicas e físicas proporcionais aos riscos, incluindo criptografia em trânsito, controle de acesso, logs, segregação lógica, backup e testes periódicos. O Cliente e os Usuários devem proteger suas credenciais e habilitar MFA quando disponível.
10. Incidentes de segurança com dados pessoais
Confirmado incidente que possa acarretar risco ou dano relevante aos titulares, comunicaremos a ANPD e, quando aplicável, aos titulares em até 3 (três) dias úteis, com as informações mínimas exigidas pelo regulamento vigente, além de atualizações subsequentes e medidas de mitigação.
11. Direitos dos titulares (art. 18)
O titular pode, a qualquer momento e sem custo, solicitar: confirmação do tratamento, acesso, correção, portabilidade, anonimização/eliminação, informações sobre compartilhamento, oposição e revisão de decisões automatizadas.
Como exercer: envie a solicitação ao DPO (Seção 15).
Prazo padrão de resposta: até 15 dias contados do pedido, salvo complexidade justificada.
12. Decisões automatizadas e perfis
A Calculato pode usar regras automatizadas para cálculos trabalhistas/previdenciários e detecção de risco. Você pode solicitar explicação e revisão humana quando a decisão produzir efeitos relevantes.
13. Crianças e adolescentes
Nossos Serviços não se destinam a menores de 13 anos. Se soubermos de dados de menores coletados indevidamente sem base legal adequada, eliminaremos e adotaremos medidas para impedir nova coleta.
14. Retenção
Guardamos dados pelo tempo necessário ao cumprimento das finalidades e conforme prazos legais/regulatórios. Exemplos:
- Conta e faturamento (Controladora): enquanto durar a relação e por até 10 anos após o término para obrigações legais/defesa de direitos.
- Uso e logs: até 6–18 meses, salvo necessidade de investigação/segurança.
- Marketing: até o opt-out ou por até 2 anos sem interação.
- Dados de trabalhadores (Operadora): conforme instruções do Cliente e contrato; após o término, eliminação ou devolução dentro dos prazos acordados, ressalvadas obrigações legais.
15. Contatos e DPO
DPO/Encarregado: [Nome/Função]
E-mail: dpo@calculato.com.br
Canal do titular: formulário/painel ou e-mail ao DPO com identificação e detalhes do pedido.
Reclamações à autoridade: além do contato com o DPO, o titular pode peticionar à ANPD.
16. Alterações desta Política
Quando fizermos alterações materiais, informaremos com aviso prévio de 30 dias (por e-mail/painel/aviso no site). A versão vigente ficará disponível no site. O uso contínuo após a vigência indica concordância.
17. Disposições gerais
Controladora: Calculato Sistemas LTDA
Operações como Operadora: regidas também por Acordo de Tratamento de Dados (DPA) aplicável.
Integrações de terceiros: podem ter políticas próprias; recomendamos leitura.
Dúvidas: fale com nosso DPO.
Anexo A – Tabela de cookies
| Categoria | Exemplos (se aplicável) | Base legal | Retenção típica |
|---|---|---|---|
| Estritamente necessários | sessão, autenticação, segurança | Execução de contrato / Interesse legítimo | sessão a 12 meses |
| Desempenho/Analytics | métricas de uso, páginas visitadas | Consentimento / Interesse legítimo | 6–24 meses |
| Funcionais | preferências de idioma/experiência | Consentimento | 6–12 meses |
| Marketing | Google Ads (gcl*, gclid), HubSpot (hubspotutk) | Consentimento | 3–18 meses |
| Atendimento (widget) | Zendesk (__zlcmid, zE*) — se habilitado no site | Consentimento / Interesse legítimo | até 12 meses |
Nota: Mantemos banner e central de preferências para cookies não essenciais. A lista específica de cookies/SDKs e suboperadores pode ser atualizada periodicamente e a versão atual será publicada no site/painel. Quando exigido, registraremos o consentimento e ofereceremos meios de revogação.
Anexo B – Informações de segurança (resumo)
- Criptografia em trânsito (TLS), segmentação e firewall;
- Controle de acesso baseado em papéis (RBAC) e MFA;
- Gestão de vulnerabilidades e testes periódicos;
- Backups e recuperação (RTO 12h; RPO 4h);
- Registro e monitoramento de eventos;
- Treinamento de segurança e privacidade;
- Processo de resposta a incidentes e comunicação conforme regulamento aplicável.
Anexo C – Suboperadores e integrações
| Fornecedor | Categoria | Dados/Finalidade | Local de processamento | Base para transferência |
|---|---|---|---|---|
| Amazon Web Services, Inc. (AWS) | Infraestrutura de nuvem (EC2, RDS, S3, CloudFront) | Hospedagem e processamento de dados do Serviço | Brasil (sa-east-1) e EUA (us-west-2) | Cláusulas contratuais padrão + medidas técnicas |
| Stripe, Inc. | Pagamentos e billing | Dados de cobrança; não armazenamos dados completos do cartão | EUA / UE (Irlanda) | Cláusulas contratuais padrão; PCI DSS do provedor |
| Zendesk, Inc. | Helpdesk / atendimento | Tickets, anexos e metadados de suporte | EUA / UE | Cláusulas contratuais padrão |
| Momentive (SurveyMonkey) | Pesquisas (NPS) | Respostas de pesquisa e metadados | EUA / UE | Cláusulas contratuais padrão |
| HubSpot, Inc. | CRM e marketing | Leads, comunicações e métricas de campanha | EUA / UE | Cláusulas contratuais padrão |
| Google LLC (Google Ads) | Tags de marketing e mensuração | Identificadores on-line e eventos de navegação | Global / EUA | Cláusulas contratuais padrão |
Vigência: válida a partir de 24/09/2025 e até atualização posterior.