Política de Privacidade

Última atualização: 16 de abril de 2026

1. Identificação do Controlador

Controlador: Karua Licita (nome fantasia).

Informações societárias do controlador (razão social, CNPJ e endereço) podem ser solicitadas pelos canais de privacidade informados nesta página.

O Controlador é responsável pelas decisões referentes ao tratamento de dados pessoais realizados nesta plataforma, nos termos da Lei Geral de Proteção de Dados (Lei n. 13.709/2018).

2. Dados Coletados

A Karua Licita coleta os seguintes dados pessoais para prestação do serviço:

  • Nome completo e endereço de e-mail (fornecidos no cadastro)
  • Senha (armazenada exclusivamente como hash criptográfico bcrypt)
  • CPF ou CNPJ (quando fornecido para fins de cobrança)
  • Endereço IP e User-Agent do navegador (coletados em eventos de autenticação e consentimento)
  • Dados de navegação e preferências de busca (filtros salvos, favoritos, alertas)
  • Dados de assinatura e cobrança (plano, ciclo, status, identificadores do gateway de pagamento)

3. Finalidade do Tratamento

  • Prestação do serviço: permitir busca, favoritamento e monitoramento de licitações públicas do PNCP.
  • Processamento de pagamento: gerenciar assinaturas, cobranças recorrentes e emissão de recibos via gateway de pagamento.
  • Comunicação: envio de e-mails transacionais (verificação de conta, redefinição de senha, alertas de licitações).
  • Segurança: detecção de fraude, prevenção de abuso, auditoria de acessos e proteção da integridade da plataforma.
  • Melhoria do serviço: análise agregada de uso para aprimoramento de funcionalidades (sem identificação individual).

4. Base Legal (LGPD, art. 7)

  • Execução de contrato (art. 7, V): tratamento necessário para prestação do serviço contratado pelo titular.
  • Consentimento (art. 7, I): coletado expressamente no momento do cadastro (aceite dos Termos de Serviço) e para comunicações opcionais de marketing.
  • Legítimo interesse (art. 7, IX): prevenção de fraude, segurança da plataforma e melhoria contínua do serviço.
  • Cumprimento de obrigação legal (art. 7, II): retenção de dados fiscais e de cobrança conforme legislação tributária.

5. Compartilhamento de Dados

Seus dados pessoais podem ser compartilhados com os seguintes terceiros, exclusivamente para as finalidades descritas:

  • Mercado Pago: processamento de pagamentos e gestão de assinaturas recorrentes. Dados compartilhados: e-mail, CPF/CNPJ, dados de cobrança.
  • Resend: envio de e-mails transacionais (verificação, redefinição de senha, alertas). Dados compartilhados: endereço de e-mail.

Não vendemos, alugamos ou comercializamos seus dados pessoais com terceiros para fins de marketing.

6. Direitos do Titular

Conforme a LGPD (arts. 17-22), você tem direito a:

  • Acesso: solicitar exportação de todos os seus dados pessoais (via GET /api/me/data).
  • Correção: solicitar retificação de dados incorretos ou incompletos.
  • Exclusão: solicitar anonimização dos seus dados pessoais (via POST /api/me/data-subject-request com {"type":"ERASURE"}).
  • Revogação de consentimento: retirar consentimentos concedidos a qualquer momento (via POST /api/me/consent).
  • Portabilidade: receber seus dados em formato estruturado e interoperável (JSON).

Para exercer qualquer desses direitos, utilize os endpoints acima (disponíveis na área logada) ou entre em contato com nosso Encarregado de Dados.

7. Retenção de Dados

  • Dados de conta: mantidos enquanto a conta estiver ativa. Após solicitação de exclusão, os dados são anonimizados em até 15 dias corridos.
  • Dados de cobrança: retidos por 5 anos após o encerramento da relação comercial, conforme obrigação fiscal.
  • Logs de auditoria: retidos por 1 ano para fins de segurança e cumprimento de obrigação legal.
  • Registros de consentimento: retidos indefinidamente como prova de conformidade com a LGPD.

8. Segurança

Adotamos medidas técnicas e organizacionais para proteger seus dados, incluindo: criptografia em trânsito (TLS), hash de senhas com bcrypt, controle de acesso baseado em papéis, validação de webhooks via HMAC, invalidação de sessões via versionamento de token e logs de auditoria de acesso a dados pessoais.

9. Cookies

A Karua Licita utiliza cookies essenciais para o funcionamento da plataforma:

  • next-auth.session-token: cookie de sessão de autenticação, necessário para manter o usuário conectado.
  • cookie_consent: registra a preferência de consentimento do usuário quanto ao uso de cookies.

Não utilizamos cookies de rastreamento ou publicidade. Você pode gerenciar cookies diretamente nas configurações do seu navegador. A desativação de cookies essenciais pode impedir o funcionamento adequado da plataforma.

10. Alterações nesta Política

Podemos atualizar esta política periodicamente. Notificaremos por email sobre alterações significativas. Recomendamos que você revise esta página regularmente para se manter informado sobre como protegemos seus dados.

11. Contato do Encarregado (DPO)

Para dúvidas, solicitações ou reclamações relacionadas ao tratamento de seus dados pessoais, entre em contato com nosso Encarregado de Proteção de Dados:

E-mail: dpo@karualicita.com.br

Caso não obtenha resposta satisfatória, você pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD).