Política de Privacidade
Versão 1.1 — vigente desde 1 de junho de 2026
(v1.0 vigente desde 28 de maio de 2026; v1.1 detalha operadores e transferência internacional de dados.)
Esta política descreve como o Spred coleta, usa, compartilha e protege seus dados pessoais, em conformidade com a Lei Geral de Proteção de Dados (Lei 13.709/2018 — LGPD).
1. Controlador e canal de privacidade
SPRED TECNOLOGIA LTDA, inscrita no CNPJ sob o nº 66.980.439/0001-36, com sede na R. Doutor Arlindo Luz, 540, Sala 1, Centro, Ourinhos/SP, CEP 19.900-011, é o controlador dos dados pessoais tratados na plataforma Spred.
Canal de privacidade: para exercer seus direitos da LGPD ou tirar dúvidas sobre proteção de dados, fale com a equipe responsável em privacidade@spred.com.br.
2. Dados que coletamos
Dados de cadastro: nome de exibição, email, senha (armazenada com hash bcrypt via Supabase Auth), avatar opcional.
Dados de uso: posts, comentários, curtidas, follows, mensagens diretas, watchlist, preferências de moeda/ativo, histórico de navegação dentro do app.
Dados financeiros declarativos: carteiras, operações (compra/venda/dividendo/desdobramento), saldos calculados a partir das suas declarações.
Dados técnicos: endereço IP, tipo de navegador, sistema operacional, identificadores de sessão, logs de erro.
O que NÃO coletamos: dados bancários, dados de cartão, integração com corretoras, custódia.
3. Por que coletamos (base legal LGPD)
| Finalidade | Base legal LGPD |
|---|---|
| Operar sua conta e oferecer o serviço | Execução de contrato (Art. 7º V) |
| Calcular performance de carteira | Execução de contrato |
| Mostrar conteúdo de outros usuários | Execução de contrato |
| Notificações por email | Consentimento (Art. 7º I) — opt-out a qualquer momento |
| Prevenção a fraude e abuso | Legítimo interesse (Art. 7º IX) |
| Cumprimento de obrigação legal/regulatória | Obrigação legal (Art. 7º II) |
| Análise agregada de uso (analytics) | Legítimo interesse, sem identificação individual |
4. Com quem compartilhamos
Spred não vende seus dados. Compartilhamos apenas com os processadores estritamente necessários à operação:
| Processador | Finalidade | País |
|---|---|---|
| Supabase | Banco de dados, autenticação, storage | EUA |
| Vercel | Hospedagem da aplicação | EUA |
| Vercel Analytics / Speed Insights | Métricas agregadas de uso e performance (apenas com seu consentimento) | EUA |
| Sentry | Monitoramento de erros (apenas com seu consentimento; dados pessoais são removidos antes do envio) | EUA |
| Stripe / Stripe Connect | Processamento de pagamentos e repasse a analistas | EUA |
| Resend | Envio de emails transacionais e notificações | EUA |
| Brapi | Cotações de ações brasileiras | Brasil |
| CoinGecko | Cotações de criptomoedas | Internacional |
| BCB (Banco Central) | Séries históricas CDI/IPCA | Brasil |
Nenhum desses processadores recebe seus posts, mensagens privadas ou dados de carteira além do estritamente necessário para a função descrita. Os provedores de cotações e séries históricas (Brapi, CoinGecko, BCB) recebem apenas o ativo consultado, nunca dados que identifiquem você.
Transferência internacional de dados
Parte dos processadores acima (Supabase, Vercel, Sentry, Stripe) armazena ou processa dados em servidores localizados fora do Brasil, principalmente nos Estados Unidos. Essas transferências ocorrem com base em salvaguardas contratuais — cláusulas-padrão de proteção de dados firmadas com cada operador — e observam os requisitos da LGPD e das normas da ANPD sobre transferência internacional. Você pode solicitar mais informações sobre essas salvaguardas pelo contato da seção 11.
5. Quanto tempo guardamos
| Categoria | Retenção |
|---|---|
| Dados de cadastro | Enquanto sua conta existir |
| Posts e comentários públicos | Enquanto sua conta existir, ou anonimizados após exclusão |
| Mensagens privadas | Enquanto sua conta existir |
| Logs técnicos | 12 meses |
| Dados após exclusão de conta | Até 5 anos após a exclusão, para exercício regular de direitos em eventual processo e cumprimento de obrigação legal (prazo prescricional — CDC art. 27); depois, eliminados |
6. Seus direitos (LGPD Art. 18)
Você tem direito a:
- Confirmar a existência de tratamento dos seus dados
- Acessar seus dados
- Corrigir dados incompletos, inexatos ou desatualizados
- Anonimizar, bloquear ou eliminar dados desnecessários
- Portar seus dados a outro fornecedor
- Eliminar dados tratados com base no seu consentimento
- Saber com quais entidades públicas e privadas o Spred compartilhou seus dados
- Saber sobre a possibilidade de não fornecer consentimento e suas consequências
- Revogar o consentimento
Para exercer qualquer desses direitos: privacidade@spred.com.br. Respondemos em até 15 dias úteis.
7. Cookies
Usamos cookies essenciais para autenticação e funcionamento básico (sem opção de recusa — sem eles o serviço não funciona). Cookies analíticos (Vercel Analytics e monitoramento de erros via Sentry) são opcionais: no banner exibido no primeiro acesso você pode aceitar todos, recusar, ou escolher por categoria em "Personalizar". Enquanto você não aceitar, nenhum script de analytics ou monitoramento é carregado. Sua escolha fica registrada por 12 meses e pode ser revista a qualquer momento pelo link "Gerenciar cookies" no rodapé do site.
8. Segurança
Seus dados são protegidos por:
- Criptografia em trânsito (HTTPS/TLS 1.3)
- Criptografia em repouso ao nível de armazenamento (Supabase via AWS RDS — AES-256)
- Senhas com hash bcrypt
- Códigos de recuperação MFA com hash e pepper aplicação-level
- Controles de acesso por perfil (RLS no banco)
- Logs de auditoria de operações sensíveis
- Validação server-side de toda mutação financeira
Em caso de incidente de segurança que possa afetar seus dados, comunicaremos a ANPD e os titulares afetados conforme Art. 48 da LGPD.
9. Idade mínima
Spred é destinado a usuários com 18 anos completos ou mais. Não coletamos dados de menores intencionalmente. Se identificarmos cadastro de menor, a conta será encerrada e os dados eliminados.
10. Alterações
Esta política pode ser atualizada. Mudanças relevantes serão comunicadas por email com 30 dias de antecedência e exigirão novo aceite. A versão vigente está sempre em /privacidade.
11. Contato
Dúvidas, exercício de direitos ou denúncias: privacidade@spred.com.br.
ANPD (Autoridade Nacional de Proteção de Dados): www.gov.br/anpd.
Veja também: Termos de Uso.