Política de Privacidade

1. Quem somos

O COP — Sistema de Gestão para Arquitetos e Designers é uma plataforma desenvolvida por Louise Maria Arquitetura e Desenvolvimento, inscrita no CNPJ 21.027.829/0001-58, com sede na Rua Manoel Passos, 274 — Cruz das Almas/BA — CEP 44.380-000 — Brasil.

Para os efeitos da Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018), o COP atua como Operador dos dados de clientes finais cadastrados pelos escritórios contratantes (que são os Controladores), e como Controlador dos dados de cadastro dos próprios usuários do sistema (assinantes).

2. Dados que coletamos

2.1 Dados de cadastro (assinante / membro do escritório)

• Nome completo, e-mail e telefone
• Senha (armazenada com hash bcrypt — nunca em texto plano)
• Plano contratado e histórico de pagamentos (recebido do gateway)
• Foto de perfil (opcional)
• IP de acesso e user-agent do navegador (logs de segurança)

2.2 Dados gerenciados pelo escritório (clientes finais)

O escritório, na qualidade de Controlador, insere dados de seus próprios clientes na plataforma. O COP, como Operador, processa esses dados sob instrução do escritório:

• Identificação: nome, CPF/CNPJ, RG, data de nascimento
• Contato: e-mail, telefone, endereço completo
• Profissionais: profissão, estado civil
• Dados do projeto: tipo, ambientes, valores, prazos
• Documentos jurídicos gerados (contratos, recibos, termos)

2.3 Dados de uso e telemetria

• Logs de acesso (data, hora, IP, ação)
• Erros do sistema para diagnóstico
• Eventos de webhooks e integrações

3. Como usamos os dados (finalidade × base legal)

Cada categoria de dado é tratada para uma finalidade específica e amparada por uma base legal do Art. 7º da LGPD. A tabela abaixo cruza os três elementos (categoria, finalidade, base) num único quadro:

4. Bases legais aplicadas (Art. 7º LGPD)

O COP utiliza as seguintes hipóteses do Art. 7º da LGPD para tratar dados pessoais. O cruzamento detalhado entre cada finalidade e a base legal correspondente está na tabela da seção 3.

• I — Consentimento do titular: comunicações de marketing direto (opt-in explícito), eventual uso de imagem.
• II — Cumprimento de obrigação legal ou regulatória: retenção fiscal/contábil mínima exigida em lei (5 anos — CTN Art. 173, Decreto-Lei 486/69).
• V — Execução de contrato ou de procedimentos preliminares: operação da plataforma para o assinante, cobrança, suporte vinculado ao serviço.
• IX — Legítimo interesse: segurança e prevenção a fraude, auditoria, melhoria do produto via dados anonimizados, mensuração de tráfego em páginas públicas.

Para tratamentos baseados em consentimento, o titular pode revogar a qualquer momento pelos canais da seção 9. Para tratamentos baseados em legítimo interesse, o titular tem direito de oposição (Art. 18, § 2º LGPD), exceto quando a oposição prejudicar o exercício regular de direitos do COP ou de terceiros.

5. Com quem compartilhamos

O COP não vende dados pessoais. Compartilhamos apenas com prestadores estritamente necessários à operação:

• Hostinger International Ltd. — hospedagem dos servidores e banco de dados (datacenter em São Paulo, Brasil)
• CheckoutOne (checkoutone.com.br) — processamento de assinaturas e cobrança recorrente. Recebe nome, e-mail e dados de pagamento do Assinante no momento da contratação.
• Hostinger e-mail transacional (`smtp.hostinger.com`, remetente `suporte@cop.arq.br`) — envio de notificações operacionais (boas-vindas, recuperação de senha, comunicações do plano).
• Meta Platforms / Facebook — apenas nas páginas públicas de marketing (landing, checkout). Veja seção 6.2 para detalhes.
• Autoridades públicas, mediante ordem judicial ou requisição legal válida.

Todos os fornecedores assinam acordos de confidencialidade e tratamento de dados em conformidade com a LGPD.

6. Cookies e tecnologias similares

6.1 Cookies dentro da área autenticada (sistema.cop.arq.br / dev.cop.arq.br)

Usamos cookies essenciais para autenticação e funcionalidade básica:

• PHPSESSID — identificador de sessão (obrigatório)
• cop_token — token JWT de autenticação persistente (HttpOnly, Secure, SameSite=Lax)

Dentro da área autenticada, não utilizamos cookies de rastreamento publicitário de terceiros, pixels de mídias sociais ou ferramentas de análise comportamental que identifiquem o titular individualmente.

6.2 Cookies em páginas públicas (landing, checkout, captura de leads)

Nas páginas públicas (landing page institucional, fluxo de captura de leads para a versão demo, página de planos e redirecionamento ao checkout) utilizamos a seguinte ferramenta de mensuração:

• Meta Pixel (Facebook/Instagram Ads) — ID 1587160702329807. Eventos rastreados: PageView, ViewContent (após 5 segundos de leitura ou 50% de scroll na home), InitiateCheckout (ao clicar nos botões dos planos). Finalidade: mensurar eficácia de campanhas pagas, otimizar criativos e construir audiências semelhantes (lookalike). Dados enviados ao Meta: identificadores de navegador (cookies de primeira parte `_fbp` / `_fbc` quando presentes), IP, user-agent e o evento disparado. Não enviamos PII (nome, e-mail, telefone) ao Meta a partir das páginas COP.

Base legal: legítimo interesse (Art. 7º, IX LGPD), com balanceamento favorável dado que o impacto sobre o titular é baixo (apenas mensuração agregada de campanha) e a finalidade é necessária à sustentabilidade do produto. O titular pode se opor a esse tratamento configurando seu navegador para bloquear cookies de terceiros, instalando extensões de bloqueio ou usando o opt-out da rede de anúncios do Meta em facebook.com/help.

Não utilizamos Google Analytics, Microsoft Clarity, Hotjar ou ferramentas de gravação de sessão.

7. Transferência internacional de dados

Conforme exige o Art. 33 da LGPD, informamos que parte da infraestrutura técnica do COP pode envolver tratamento de dados em servidores localizados fora do Brasil:

• Hospedagem (Hostinger International Ltd.) — datacenter em São Paulo, Brasil (verificado: AS47583 Hostinger International, IP 46.202.145.111). A Hostinger é entidade lituana, e adota cláusulas contratuais padrão para garantir o tratamento adequado mesmo nas operações administrativas executadas fora do Brasil.
• Gateway de pagamento — CheckoutOne (Brasil) — dados de pagamento processados em território nacional.
• E-mail transacional — Hostinger SMTP — pode envolver roteamento internacional dependendo do destinatário.
• Meta Platforms (Facebook/Instagram Ads) — apenas em páginas públicas; eventos enviados aos servidores do Meta (Estados Unidos/Irlanda). Detalhes na seção 6.2.

Em todos os casos, a transferência é amparada por uma das hipóteses do Art. 33 da LGPD, preferencialmente:

• Cláusulas contratuais padrão entre o COP e os fornecedores (Art. 33, II)
• Cumprimento de obrigação legal ou execução de contrato com o titular (Art. 33, V e VI)

O titular pode solicitar, pelo canal indicado na seção 14, esclarecimentos sobre a localização atual de seus dados e os mecanismos de garantia adotados.

8. Direitos do titular

Você (titular dos dados) pode, a qualquer momento, exercer os direitos previstos no Art. 18 da LGPD:

• Confirmação e acesso — saber se tratamos seus dados e obter cópia
• Correção — solicitar atualização de dados incompletos ou desatualizados
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade
• Portabilidade — receber seus dados em formato estruturado (JSON)
• Eliminação dos dados pessoais tratados com consentimento
• Informação sobre com quem compartilhamos e a possibilidade de não consentir
• Revogação do consentimento a qualquer momento
• Revisão de decisões automatizadas (não aplicável — não tomamos decisões automatizadas relevantes)

9. Como exercer seus direitos

Há dois caminhos:

1. Pelo próprio sistema (assinantes): acesse Perfil → Privacidade e use os botões "Baixar meus dados" e "Solicitar exclusão da conta".
2. Por e-mail: envie a solicitação para suporte@cop.arq.br com cópia de documento de identificação.

Responderemos em até 15 dias, conforme Art. 19 da LGPD.

Se você é cliente final de um escritório (não assinante direto do COP), o pedido deve ser direcionado ao escritório que detém seu cadastro, pois ele é o Controlador dos seus dados nesta plataforma.

10. Retenção de dados

• Conta ativa — dados mantidos durante a vigência da assinatura, conforme execução de contrato (Art. 7º, V LGPD).
• Após cancelamento — dados de cadastro retidos por 30 dias para eventual reativação pelo titular; após esse prazo, anonimizados ou eliminados.
• Dados fiscais e contábeis — retidos por 5 anos, conforme exigências da legislação tributária e contábil aplicável (em especial: prazo decadencial do Art. 173 do Código Tributário Nacional — Lei 5.172/66; obrigação de guarda de livros e documentos do Decreto-Lei 486/69, Art. 4º; e legislação fiscal correlata). Esta retenção configura cumprimento de obrigação legal (Art. 7º, II LGPD) e prevalece sobre solicitação de eliminação.
• Logs de segurança e auditoria — retidos por até 6 meses para fins de prevenção a fraude e investigação de incidentes, sob a base de legítimo interesse (Art. 7º, IX). Após esse prazo, são anonimizados (mantém-se trilha de evento sem PII identificável) ou eliminados.

11. Segurança

Adotamos medidas técnicas e organizacionais razoáveis para proteger os dados:

• Criptografia em trânsito (HTTPS/TLS)
• Senhas armazenadas com hash bcrypt
• Controle de acesso por papel (multi-tenant: cada escritório vê apenas seus dados)
• Logs de erro e auditoria de ações administrativas
• Rate limiting contra ataques de força bruta
• Backups regulares com retenção limitada

Em caso de incidente de segurança que envolva risco aos titulares, comunicaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados, conforme Art. 48 da LGPD.

12. Crianças e adolescentes

Conforme o Art. 14 da LGPD, o tratamento de dados pessoais de crianças e adolescentes deve ser realizado em seu melhor interesse e, em regra, mediante consentimento específico e em destaque dado por pelo menos um dos pais ou responsável legal.

O COP é uma plataforma para profissionais de arquitetura/design e seus clientes adultos. Não direcionamos serviços nem coletamos dados de crianças (até 12 anos) ou adolescentes (12 a 18 anos) intencionalmente. Caso o titular adulto (Assinante) cadastre, em seus próprios registros de cliente, dados de pessoa menor de idade (ex.: dependente em contrato familiar), o Assinante declara possuir o consentimento parental adequado e responde, na qualidade de Controlador, perante o titular menor e seus responsáveis. O COP, como Operador, tratará esses dados estritamente conforme as instruções do Assinante.

Se identificarmos dados de menor de idade tratados sem amparo legal, agiremos para suspender o tratamento e notificar o Assinante imediatamente.

13. Atualizações desta política

Esta política pode ser atualizada para refletir mudanças regulatórias ou de produto. Mudanças relevantes serão comunicadas por e-mail e no painel do sistema com pelo menos 15 dias de antecedência. A data de "Última atualização" no topo desta página sempre indica a versão vigente.

14. Contato e Encarregado (DPO)

Encarregado pelo Tratamento de Dados Pessoais:

• Nome: Louise Maria Mascarenhas Flores
• E-mail: suporte@cop.arq.br
• Endereço postal: Rua Manoel Passos, 274 — Cruz das Almas/BA — CEP 44.380-000 — Brasil

Você também pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD): www.gov.br/anpd.