Política de Privacidade

Última atualização: Maio de 2026 — em conformidade com LGPD (Brasil), CCPA/CPRA (Califórnia) e PIPEDA (Canadá)

Esta Política de Privacidade explica como o Candidatoo ("Candidatoo", "nós") coleta, utiliza, compartilha e protege dados pessoais, bem como os direitos que você tem sobre os seus dados. Está redigida em linguagem clara e estruturada para atender, simultaneamente, à Lei Geral de Proteção de Dados do Brasil (LGPD - Lei nº 13.709/2018), ao Marco Civil da Internet (Lei nº 12.965/2014), à CCPA/CPRA da Califórnia, à PIPEDA do Canadá e aos princípios equivalentes do GDPR (UE/Reino Unido).

1. Controlador e Encarregado pelo Tratamento de Dados

Controlador: Candidatoo, sediado em São Paulo - SP, Brasil. Encarregado pelo Tratamento de Dados (DPO): info@candidatoo.com.br. Este também é nosso ponto de contato designado para consumidores da Califórnia (CCPA) e residentes no Canadá (PIPEDA Privacy Officer).

2. Dados pessoais que coletamos

  • Dados de conta: nome, e-mail, hash da senha, idioma, fuso horário.
  • Dados de perfil e carreira: currículos, histórico profissional, formação, habilidades, certificações, cartas de apresentação, notas de candidaturas — o que você escolhe enviar ou digitar.
  • Interações com IA: prompts enviados e resultados gerados, mantidos para você ter histórico e melhor experiência.
  • Dados de vagas e empresas: URLs e descrições que você vincula a um currículo, além de informações públicas que buscamos sobre essas empresas.
  • Dados de faturamento: plano, créditos, faturas. Dados de cartão são tokenizados e armazenados apenas pela Stripe.
  • Dados técnicos: endereço IP, navegador, dispositivo, sistema operacional, localização aproximada (cidade/país derivada do IP), páginas visitadas, métricas de performance e logs de segurança.
  • Cookies e similares: veja nossa Política de Cookies.

Não coletamos intencionalmente dados pessoais sensíveis (saúde, biometria, orientação sexual, religião, opinião política) nem dados de crianças menores de 16 anos. Se você acreditar que uma criança forneceu dados, fale conosco para exclusão imediata (art. 14, LGPD).

3. Finalidades e bases legais

Tratamos dados pessoais apenas para finalidades específicas, explícitas e legítimas, sempre com pelo menos uma base legal válida (arts. 7º e 11 da LGPD; art. 6º do GDPR; Princípio 4.3 da PIPEDA; §1798.100 do CCPA, com aviso no momento da coleta).

  • Prestar o serviço — execução de contrato (LGPD art. 7º, V).
  • Autenticar usuários e prevenir fraude — legítimo interesse (art. 7º, IX).
  • Processar pagamentos — execução de contrato e obrigação legal.
  • Enviar mensagens transacionais — execução de contrato.
  • Enviar e-mails de marketing — consentimento (art. 7º, I), revogável a qualquer momento.
  • Melhorar e proteger o produto — legítimo interesse, ponderado com seus direitos.
  • Cumprir a lei — cumprimento de obrigação legal ou regulatória (art. 7º, II).

4. Como usamos IA

Quando você pede ao Candidatoo para gerar ou aprimorar conteúdo, seus prompts e o contexto relevante (seu perfil, a descrição da vaga) são enviados ao provedor de IA por trás do Lovable AI Gateway (OpenAI, Google ou Anthropic). Temos compromissos contratuais que impedem que suas entradas e saídas sejam usadas para treinar modelos de terceiros. Você pode excluir conteúdos gerados a qualquer momento.

5. Compartilhamento

Não vendemos seus dados pessoais e não realizamos "publicidade comportamental entre contextos" (CPRA). Nos últimos 12 meses não vendemos nem "compartilhamos" dados pessoais nos termos do CCPA. Divulgamos dados apenas para:

  • Operadores que atuam sob nossas instruções (lista completa no DPA, incluindo Supabase, Cloudflare, Stripe e provedores de IA).
  • Autoridades, quando exigido por decisão judicial, intimação ou lei aplicável.
  • Eventual adquirente em caso de fusão, aquisição ou venda de ativos, com aviso prévio.

6. Transferências internacionais

Alguns operadores estão nos Estados Unidos, no Canadá ou na União Europeia. Utilizamos (a) decisões de adequação quando existem, (b) Cláusulas Contratuais Padrão com medidas técnicas suplementares (criptografia em repouso e em trânsito, pseudonimização) e (c) outras salvaguardas aprovadas pela ANPD, EDPB, OPC ou ICO, conforme art. 33 da LGPD, Capítulo V do GDPR e Princípio 4.1.3 da PIPEDA.

7. Retenção

  • Contas ativas: mantemos seus dados enquanto a conta estiver ativa.
  • Contas excluídas: eliminamos ou anonimizamos dados pessoais em até 30 dias após a exclusão, salvo retenção legal (ex.: documentos fiscais por 5 anos).
  • Backups: backups criptografados são rotacionados em até 30 dias.
  • Logs: logs de segurança e acesso são mantidos por até 12 meses (Marco Civil da Internet, art. 15 — mínimo de 6 meses para logs de aplicação).

8. Seus direitos

Sujeito à lei aplicável, você tem o direito de:

  • Confirmação e acesso — saber se tratamos seus dados e ter cópia (LGPD art. 18, I-II; CCPA §1798.110; PIPEDA Princípio 4.9; GDPR art. 15).
  • Correção de dados incompletos, inexatos ou desatualizados (LGPD art. 18, III).
  • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade (LGPD art. 18, IV e VI).
  • Portabilidade em formato estruturado e interoperável (LGPD art. 18, V; GDPR art. 20).
  • Informação sobre as entidades públicas e privadas com as quais compartilhamos seus dados (LGPD art. 18, VII).
  • Informação sobre a possibilidade de não fornecer consentimento e as consequências (LGPD art. 18, VIII).
  • Revogação do consentimento, sem efeito retroativo (LGPD art. 18, IX).
  • Oposição ao tratamento baseado em legítimo interesse (LGPD art. 18; GDPR art. 21).
  • Opt-out de venda/compartilhamento e limitação do uso de dados sensíveis (CCPA/CPRA §1798.120 / §1798.121). Respeitamos o sinal Global Privacy Control (GPC) como recusa válida.
  • Não discriminação pelo exercício de seus direitos (CCPA §1798.125).
  • Reclamação à ANPD (Brasil), à OPC (Canadá), à California Privacy Protection Agency ou à autoridade local de proteção de dados.

Para exercer qualquer direito, escreva para info@candidatoo.com.br. Respondemos no menor prazo legal aplicável (LGPD: 15 dias; PIPEDA: 30 dias; CCPA: 45 dias, prorrogáveis por mais 45). Agentes autorizados podem enviar solicitações em seu nome mediante prova de poderes.

9. Decisões automatizadas

O Candidatoo usa IA para sugerir conteúdo, mas nenhuma decisão com efeitos jurídicos ou de impacto similar sobre você é tomada exclusivamente por meios automatizados sem revisão humana (LGPD art. 20; GDPR art. 22). Você pode solicitar revisão por pessoa natural.

10. Segurança

Aplicamos medidas técnicas e organizacionais para proteger seus dados: TLS em trânsito, AES-256 em repouso, controle de acesso baseado em função, MFA para administradores, Row-Level Security em dados multi-tenant, monitoramento contínuo, backups diários criptografados, testes anuais de intrusão e plano documentado de resposta a incidentes. Em caso de incidente de segurança confirmado, comunicaremos a ANPD e os titulares afetados em prazo razoável (LGPD art. 48), a OPC e os indivíduos quando houver risco real de dano significativo (PIPEDA s. 10.1) e residentes da Califórnia conforme §1798.82.

11. Crianças e adolescentes

O serviço é destinado a usuários com 16 anos ou mais. Se você for pai, mãe ou responsável e acreditar que uma criança forneceu dados, fale conosco para remoção imediata (LGPD art. 14).

12. Alterações

Mudanças relevantes serão comunicadas por e-mail e aviso no aplicativo com pelo menos 15 dias de antecedência. A data "Última atualização" no topo desta página reflete sempre a versão vigente.

13. Disclosures específicos para a Califórnia

Nos 12 meses anteriores à última atualização coletamos as categorias descritas na Seção 2 (identificadores, informações comerciais, atividade na internet, geolocalização derivada de IP, informações profissionais). Divulgamos identificadores, informações comerciais e atividade na internet a nossos prestadores de serviço apenas para operar o serviço. Não vendemos nem compartilhamos informações pessoais. Não coletamos nem tratamos informações pessoais sensíveis para finalidades que ensejariam o direito de "Limitação de Uso" do CPRA.

14. Contato

Encarregado pelo Tratamento de Dados / DPO / Privacy Officer:
info@candidatoo.com.br
Candidatoo — São Paulo, Brasil.