Cockpit
Criar conta
Legal

Política de Privacidade

Última atualização:

Resumo de 30 segundos

  • Não vendemos seus dados. Nunca. Receita vem só das assinaturas Pro/Team.
  • Coletamos o mínimo necessário pra o produto funcionar (email, nome, dados que você cria).
  • Você é dono dos seus dados — exporte ou delete a qualquer momento em /settings.
  • Sem analytics third-party por padrão. Sem pixels de rastreamento.

1. Quem somos

A Cockpit ("nós", "nosso") opera o serviço de cockpit pessoal de produtividade acessível em https://cockpit.app. Este documento descreve quais dados pessoais tratamos, com qual base legal, por quanto tempo, e quais são seus direitos sob a LGPD (Lei Geral de Proteção de Dados — Lei 13.709/2018).

2. Quais dados coletamos

2.1 Dados que você nos fornece

  • Cadastro: email, nome, senha (armazenada como hash bcrypt — nunca em texto puro).
  • Perfil: avatar (opcional), preferências de tema, idioma, fuso horário.
  • Conteúdo do produto: tarefas, projetos, notas, eventos, transações financeiras, hábitos, registros médicos e qualquer outro conteúdo que você criar no Cockpit.

2.2 Dados gerados automaticamente

  • Logs de acesso: IP, user-agent e timestamp das requisições. Usados pra segurança (detecção de fraude, rate-limiting) e debugging.
  • Audit logs: ações sensíveis (login, mudança de senha, exclusões em massa) ficam registradas por 90 dias.
  • Dados de uso técnico: tempo de carregamento de página, erros JavaScript — anônimos e agregados.

2.3 Dados de integrações OAuth

Se você conectar Google Calendar, Outlook ou outros serviços via OAuth, armazenamos os tokens de acesso/refresh necessários. Esses tokens ficam encriptados em repouso (AES-256) e são usados apenas pra sincronizar dados que você explicitamente pediu.

3. Para que usamos seus dados

FinalidadeBase legal LGPD
Operar o serviço (login, salvar suas tarefas, etc)Execução de contrato
Cobrar assinaturaExecução de contrato
Segurança, prevenção de fraude, rate-limitingLegítimo interesse
Atender requisições de suporteExecução de contrato
Enviar emails transacionais (verificação, reset de senha)Execução de contrato
Cumprir obrigações legais (ex: ordem judicial)Cumprimento de obrigação legal

Não usamos seus dados pra publicidade, perfilagem comportamental ou treinamento de modelos de IA externos.

4. Cookies e tecnologias similares

Usamos apenas cookies essenciais:

  • next-auth.session-token — autenticação da sua sessão.
  • financial-lock-unlocked — destrava temporariamente o módulo financeiro quando você usa o lock por senha (TTL de 30 minutos).

Não usamos Google Analytics, Facebook Pixel, Hotjar, ou similares por padrão. Se em algum momento adicionarmos analytics, será opt-in explícito e anonimizado.

5. Com quem compartilhamos seus dados

Não vendemos. Compartilhamos apenas com processadores estritamente necessários pra o produto funcionar:

  • Stripe — processamento de pagamentos (PCI-DSS Level 1).
  • Google / GitHub — autenticação OAuth, se você optar por usar.
  • Resend — envio de emails transacionais.
  • OpenAI (opcional) — se você ativar o módulo de AI Assistant, o texto da sua pergunta é enviado pra OpenAI processar. Você pode desligar isso a qualquer momento em /settings/integracoes.
  • Provedor de infra (AWS / Vercel / VM Ubuntu self-hosted) — armazenamento e execução do serviço.

Todos os processadores acima são submetidos a contratos de proteção de dados (DPA) e ficam em jurisdições com nível adequado de proteção.

6. Onde guardamos seus dados

  • Banco de dados primário: Postgres em VM dedicada (Brasil ou EUA dependendo da região da sua conta).
  • Backups: encriptados (AES-256) e replicados pra storage S3 compatível.
  • Retenção: dados ativos enquanto a conta existir. Após deleção da conta, removemos tudo em até 30 dias (audit logs retidos por 90 dias pra cumprimento legal).

7. Segurança

  • Senhas: hash com bcrypt (cost 12).
  • Tokens OAuth: encriptados em repouso com AES-256.
  • TLS 1.3 em todas as conexões.
  • 2FA opt-in (TOTP + códigos de backup).
  • Rate-limiting em endpoints sensíveis (login, signup, reset de senha).
  • Audit logs de ações destrutivas.

Mesmo com todos esses controles, nenhum sistema é 100% seguro. Em caso de incidente envolvendo dados pessoais, notificaremos a ANPD e os titulares afetados em até 72 horas, conforme art. 48 da LGPD.

8. Seus direitos (LGPD art. 18)

Você pode, a qualquer momento:

  1. Confirmar se tratamos seus dados.
  2. Acessar os dados que temos sobre você (export em JSON via /settings/exportar).
  3. Corrigir dados desatualizados (auto-serviço em /settings).
  4. Anonimizar, bloquear ou eliminar dados desnecessários.
  5. Portabilidade — exportar tudo em formato estruturado.
  6. Eliminação dos dados pessoais (zona de perigo em /settings/perigo — apaga conta + tudo associado em cascade).
  7. Revogar consentimento a qualquer momento.

Pra exercer esses direitos, use as ferramentas dentro do produto ou escreva pra dpo@cockpit.app.

9. Crianças

O Cockpit não é direcionado a menores de 18 anos. Não coletamos intencionalmente dados de crianças. Se você descobrir que coletamos dados de uma criança sem consentimento do responsável, escreva pra dpo@cockpit.app e removeremos imediatamente.

10. Transferências internacionais

Quando dados saem do Brasil (ex: backup em S3 US, ou OpenAI), garantimos que o destino oferece nível de proteção adequado ou está coberto por cláusulas contratuais padrão de transferência internacional, conforme art. 33 da LGPD.

11. Alterações nesta política

Podemos atualizar esta política. Mudanças materiais serão comunicadas por email com pelo menos 15 dias de antecedência. A data no topo deste documento sempre reflete a versão vigente.

12. Contato

Encarregado de Dados (DPO): dpo@cockpit.app

Suporte geral: suporte@cockpit.app