Kiui Logo Kiui

Política de Privacidade

Versão 2026-05-18

Política de Privacidade

Versão preliminar — em revisão jurídica final. O texto definitivo será aprovado por advogado especializado em LGPD antes do launch oficial. Última atualização: 2026-05-23.

A privacidade dos nossos usuários é fundamental para o Kiui. Esta Política de Privacidade descreve como coletamos, utilizamos, armazenamos, compartilhamos e protegemos seus dados pessoais — em conformidade com a Lei nº 13.709/2018 (LGPD) e com os requisitos de transparência da Google Play Data Safety Section.

1. Quem somos e como nos contatar

O Kiui é operado pela Kiui App. Para qualquer questão relativa a privacidade, dados pessoais ou exercício de direitos LGPD, contate-nos por e-mail: privacidade@kiuiapp.com.br. Respondemos em até 15 dias úteis, conforme exige o Art. 19 da LGPD.

A nomeação do Encarregado de Proteção de Dados (DPO) será divulgada antes do launch oficial. Até lá, as solicitações são tratadas diretamente pela operação do Kiui através do canal acima.

2. Dados que coletamos

Para operar o serviço, coletamos os seguintes dados:

Dados de cadastro:

  • Nome de exibição.
  • E-mail (usado para autenticação, verificação, comunicações de serviço e recuperação de senha).
  • Senha (armazenada apenas como hash criptográfico — nunca em texto claro).
  • CPF (coletado apenas quando o usuário ativa o KYC para habilitar saques PIX; armazenamos hash criptográfico permanente para reconciliação anti-fraude e o CPF cru é zerado em até 24 horas após a validação — detalhes na seção 7).
  • Chave PIX (para saque de pontos; opcional, fornecida apenas ao configurar saque).

Códigos de verificação OTP:

  • Códigos numéricos temporários enviados por e-mail para confirmar ações sensíveis (signup, recuperação de senha, autorização de saque). Armazenados como hash HMAC-SHA256 e descartados após uso ou expiração (detalhes na seção 7).

Dados de uso operacional:

  • Geolocalização do dispositivo (em runtime, durante uso ativo do app — permissão ACCESS_FINE_LOCATION / ACCESS_COARSE_LOCATION solicitada explicitamente) — para listar mercados próximos, validar checkin em supermercado, e proteger contra fraude no reporte de preços.
  • Acesso à câmera do dispositivo (permissão CAMERA, solicitada explicitamente em runtime) — para leitura de código de barras de produtos (processamento on-device via ML Kit, sem upload da imagem) e captura de foto opcional ao reportar preço.
  • Identificadores técnicos do dispositivo (modelo, versão do sistema operacional, ID interno do app gerado pelo Firebase — app_instance_id do Analytics, installation_id do Crashlytics, FCM token para notificações push) — para suporte, prevenção de fraude e entrega de notificações.
  • Logs de requisições à nossa API (timestamp, endpoint, código de resposta, IP) — para auditoria de segurança e operação.

Dados gerados por contribuição (apenas em Modo Comunidade):

  • Preços reportados (valor, produto, mercado, foto opcional, horário, geolocalização do checkin).
  • Códigos de barras lidos pela câmera (sem upload da imagem — apenas o código numérico decodificado on-device).
  • Votos em preços de outros usuários.
  • Listas de compras pessoais e sessões de compra com checkin geolocalizado.
  • Saldos de pontos, histórico de Trust Level, histórico de saques.

Dados de telemetria de qualidade (em produção):

  • Relatórios de crash automáticos (stack trace anonimizado, modelo do dispositivo, versão do app, breadcrumbs operacionais sem PII) — coletados via Firebase Crashlytics, ativos apenas em builds de produção (debug builds não enviam).
  • Eventos de uso agregados (tela visualizada, ação concluída, tempo de carregamento) — coletados via Firebase Analytics, sem ID pessoal nem CPF nem chave PIX. O user_id enviado ao Crashlytics é apenas o ID numérico interno do usuário (re-hidratado após logout para preservar associação user↔crash entre sessões).
  • Política PII Strict (ADR-015 §15.5): nenhum custom event ou breadcrumb carrega nome, e-mail, CPF, PIX key ou conteúdo de mensagem.

Dados de comunicação:

  • E-mails enviados a nós e respostas associadas — armazenados como parte do canal de suporte.

3. Bases legais de tratamento

Conforme o Art. 7º da LGPD, tratamos seus dados sob as seguintes bases:

  • Consentimento (Art. 7º §I) — para participação no Modo Comunidade e uso de dados em relatórios B2B agregados. Consentimento explícito, granular, versionado e revogável a qualquer momento.
  • Execução de contrato (Art. 7º §V) — para operação básica do serviço autenticado (autenticação, listagem de mercados, consulta de preços, gerenciamento de listas).
  • Cumprimento de obrigação legal ou regulatória (Art. 7º §II) — para retenção mínima exigida por legislação fiscal (em casos de saque PIX) e cooperação com autoridades, quando legalmente obrigatória.
  • Legítimo interesse (Art. 7º §IX) — para prevenção de fraude no programa de pontos e proteção da integridade da base de preços (validação criptográfica de checkin via geolocalização).

4. Como usamos seus dados

Seus dados são utilizados para:

  • Operação do serviço — autenticar você, listar mercados próximos, exibir preços, processar suas contribuições.
  • Gameficação — calcular Trust Level, atribuir pontos, processar saques PIX.
  • Prevenção de fraude — validar que reports de preço foram feitos efetivamente dentro do supermercado declarado, detectar padrões automatizados.
  • Comunicação de serviço — verificar e-mail, recuperar senha, notificar mudanças críticas (Termos, Política, kill switch de saque).
  • Relatórios B2B agregados anonimamente — apenas para usuários em Modo Comunidade. Detalhado na seção 5.
  • Suporte ao usuário — responder a solicitações e exercer direitos LGPD.
  • Auditoria de segurança e operação — manter trilha de operações sensíveis (login, alterações de senha, saques, anonimizações, hard deletes).

5. Modo Comunidade e relatórios B2B

A face B2B do Kiui consiste em relatórios agregados vendidos a parceiros (varejistas, indústria de bens de consumo, instituições de pesquisa). Esses relatórios:

  • Não incluem dados pessoais identificáveis. Nenhum nome, e-mail, chave PIX, ID de usuário ou foto de perfil aparece em qualquer relatório B2B.
  • Aplicam k-anonimização rigorosa. Buckets de agregação só aparecem se houver, no mínimo, k usuários distintos contribuindo (k é parametrizado, default k≥10). Buckets abaixo do limiar são descartados silenciosamente — nem mesmo o fato de existirem é exposto.
  • Filtram por consentimento ativo. Apenas dados de usuários com consent b2b_reports ativo no momento da geração entram nos relatórios. Revogação é prospectiva.
  • Não permitem reidentificação cruzada. Os relatórios são agregados por bucket de tempo, geografia e categoria — sem rastros que permitam isolar um usuário individual.

Usuários sem consent b2b_reports ficam em Modo Explorador — podem consultar preços livremente, mas não geram contribuições, não ganham pontos, não sacam PIX. Nenhum dado de Modo Explorador entra em relatórios B2B.

6. Compartilhamento com terceiros

Não vendemos seus dados pessoais. Não disponibilizamos dados pessoais identificáveis a terceiros, exceto pelos provedores listados abaixo, todos sob contrato de processamento de dados e limitados ao estritamente necessário para operação:

6.1 Infraestrutura de hospedagem e banco de dados

  • Servidor de aplicação — hospedagem do backend Laravel responsável por autenticação, persistência e API. Servidor em datacenter brasileiro (acesso administrativo restrito, banco de dados em rede privada sem exposição pública).
  • Cloudflare R2 (Cloudflare, Inc.) — armazenamento de backups criptografados do banco de dados (D-057). Backups retidos pelo período mínimo necessário e descartados após o limite de retenção.

6.2 E-mail transacional

  • Resend (Resend, Inc.) — envio de e-mails de verificação, recuperação de senha, códigos OTP e notificações de serviço. Resend recebe apenas o endereço de e-mail do destinatário e o conteúdo da mensagem; nenhum outro dado pessoal é compartilhado.

6.3 Notificações push

  • Firebase Cloud Messaging (FCM) (Google LLC) — entrega de notificações push para o dispositivo do usuário. Compartilhamos com o FCM apenas o token de registro do dispositivo (FCM token) e o conteúdo da notificação (sem dados pessoais sensíveis no payload). Toggle de revogação de push está disponível nas configurações do sistema operacional do dispositivo.

6.4 Telemetria de qualidade e relatórios de erro

  • Firebase Analytics (Google LLC) — eventos agregados de uso, sem PII (ver seção 2, subseção "Dados de telemetria de qualidade").
  • Firebase Crashlytics (Google LLC) — relatórios de crash em produção, com user_id apenas como ID numérico interno e PII Strict scrub (ADR-015 §15.5). Builds de desenvolvimento não enviam relatórios.

6.5 Geolocalização e endereços

  • Google Maps Platform — Places API (Google LLC) — autocompletar de endereço durante seleção de localização e listagem de mercados próximos. As consultas enviam apenas o texto digitado e a localização aproximada do dispositivo; a Google atua como operador independente nessa categoria, sujeita à própria política do Google Maps.

6.6 Pagamentos PIX

  • Provedores PIX (Bancos / Prestador de Serviço de Pagamento regulado pelo Banco Central) — processamento de saques. Compartilhamos a chave PIX informada pelo usuário e o valor a transferir, conforme regulação do Banco Central.

6.7 Autoridades competentes

  • Em caso de obrigação legal específica ou ordem judicial, conforme Art. 7º §VI da LGPD.

6.8 Relatórios B2B agregados

  • Conforme seção 5, apenas dados anônimos com k-anonimização rigorosa; nenhum dado pessoal identificável é incluído.

Em caso de fusão, aquisição ou venda de ativos, dados pessoais podem ser transferidos como parte da operação, sempre sob continuidade desta Política ou de versão equivalente; você será notificado com antecedência.

7. Retenção e minimização de dados

Aplicamos princípio de minimização (LGPD Art. 6º §III). Retenções aplicáveis:

Categoria Retenção Base
CPF cru (após validação KYC) Até 24 horas após validação; depois é zerado da coluna cpf no banco ADR-019. Apenas o hash criptográfico permanente é mantido para reconciliação anti-fraude.
CPF hash (após anonimização ou exclusão da conta) 180 dias (6 meses) após anonimização; depois é eliminado ADR-019. Janela mínima para detecção de tentativas de re-cadastro fraudulento.
Códigos OTP de signup (verificação de e-mail) 10 minutos após emissão ADR-021. Após uso ou expiração, hash é deletado.
Códigos OTP de withdrawal (autorização de saque) 5 minutos após emissão ADR-021. Janela menor reflete sensibilidade financeira.
Tokens FCM (notificações push) Enquanto válidos no dispositivo; revogados ao deslogar ou ao desinstalar Atualizados periodicamente pelo Firebase; sem retenção arbitrária no banco.
Relatórios de crash (Firebase Crashlytics) 90 dias (política padrão Firebase) Retidos pelo Google nos servidores Firebase; sem cópia no nosso banco.
Eventos de Analytics (Firebase Analytics) 14 meses (política padrão Firebase configurada para reduzir retenção) Retidos pelo Google nos servidores Firebase, agregados sem PII.
Geolocalização de checkin em sessões de compra (checkin_lat/lng) 730 dias (24 meses) após criação, depois é zerada Setting privacy.scrub_shopping_session_geo_days. Linha estrutural permanece para preservar agregação histórica B2B.
Tokens de reset de senha não usados 24 horas após criação, depois purgados Setting privacy.scrub_password_reset_tokens_hours.
Tokens de API sem uso (Sanctum personal_access_tokens) 90 dias sem uso, depois revogados Setting privacy.scrub_unused_personal_tokens_days.
Trilha de auditoria de operações LGPD 365 dias Conformidade com auditoria pós-incidente.
Logs de aplicação Até 14 dias (rotação diária) Operação técnica.
Backups criptografados do banco (Cloudflare R2) 30 dias rolling window D-057. Backups antigos são automaticamente eliminados.
Dados estruturais de contribuição (preço, voto, sessão) sem PII Indefinidamente Integridade do sistema e Trust Level de terceiros. Linhas permanecem mesmo após anonimização ou hard delete do autor original.

Configurações de retenção (settings) são editáveis sem deploy e seguem o princípio de proporcionalidade ao propósito. Mudanças são auditadas.

8. Seus direitos LGPD

Você tem direito, conforme Art. 18 da LGPD, a:

  • Confirmar a existência de tratamento — visível em qualquer momento no seu perfil.
  • Acessar seus dados — via opção "Exportar meus dados" no app (GET /me/export), que produz JSON portável com todos os seus dados. Em caso de impossibilidade técnica, via canal manual.
  • Corrigir dados incompletos, inexatos ou desatualizados — diretamente no app ou via canal manual.
  • Anonimizar ou eliminar dados desnecessários — via opção "Excluir conta" no app (DELETE /me), que aplica anonimização (zera PII, preserva integridade estrutural). Hard delete físico disponível mediante solicitação por e-mail para privacidade@kiuiapp.com.br.
  • Portabilidade dos dados — atendida pela exportação em formato JSON estruturado.
  • Revogar consentimento — para o Modo Comunidade, via toggle no perfil; instantâneo e prospectivo.
  • Opor-se ao tratamento ou solicitar revisão de decisões automatizadas — via canal manual.
  • Informações sobre uso compartilhado — esta Política descreve; detalhes adicionais por solicitação.

Tempo de resposta para solicitações via canal manual: até 15 dias úteis, conforme Art. 19.

9. Segurança

Aplicamos medidas técnicas e organizacionais alinhadas ao estado da arte:

  • Conexões HTTPS/TLS em todas as comunicações cliente-servidor.
  • Senhas armazenadas exclusivamente como hash criptográfico (bcrypt).
  • Tokens de API com escopo limitado, revogáveis e auditados.
  • Banco de dados em rede privada, sem exposição pública.
  • Acesso administrativo restrito por princípio de menor privilégio.
  • Trilha de auditoria de operações sensíveis (alteração de senha, saques, exclusão de conta, hard delete).
  • Revisões de segurança em mudanças de código que toquem autenticação, dados pessoais ou exposição pública.

Nenhum sistema é 100% imune a incidentes. Em caso de violação que ofereça risco relevante aos direitos e liberdades dos titulares, notificaremos a ANPD e os titulares afetados conforme Art. 48 da LGPD.

10. Cookies e tecnologias similares

O app Kiui (Android nativo) não utiliza cookies. Utiliza armazenamento local seguro (Android Keystore + SharedPreferences criptografadas) apenas para:

  • Sessão autenticada (token Sanctum).
  • Preferências do usuário (raio de busca, etc.).
  • Cache offline-first de dados consultados (Room).

O site institucional (kiuiapp.com.br) pode utilizar cookies estritamente funcionais (sessão de backoffice). Não utilizamos cookies de rastreamento publicitário.

11. Crianças (não destinado a menores de 18 anos)

O Kiui não é destinado a menores de 18 anos. Não coletamos intencionalmente dados de menores. Caso identifiquemos cadastro de menor, a conta será suspensa e os dados eliminados conforme procedimento de DSAR. Pais ou responsáveis que identifiquem cadastro de menor devem contactar privacidade@kiuiapp.com.br.

12. Alterações nesta Política

Esta Política pode ser atualizada. Mudanças materiais disparam re-aceite obrigatório com janela de transição de 30 dias — durante esse período, a versão anterior continua válida e você é notificado para revisar e re-aceitar. Após 30 dias sem re-aceite, o acesso autenticado é bloqueado até o aceite.

Versões anteriores ficam disponíveis em /privacidade/{versão}.

13. Encarregado de dados (DPO)

A nomeação formal do Encarregado de Proteção de Dados (DPO) será divulgada antes do launch oficial. Até lá, todas as solicitações LGPD devem ser direcionadas a privacidade@kiuiapp.com.br.

Versão 2026-05-18. Última edição: 2026-05-23. Texto preliminar — submeter a revisão jurídica antes do launch oficial.