Última atualização: maio de 2026
O CandyBox (“nós”, “nosso”) é o controlador dos seus dados pessoais, nos termos da Lei Geral de Proteção de Dados (LGPD — Lei n.º 13.709/2018). Esta Política descreve como coletamos, utilizamos, armazenamos e protegemos seus dados ao usar nossa plataforma.
Contato do encarregado (DPO): privacidade@candybox.app
Coletamos apenas os dados estritamente necessários para prestar o Serviço:
| Dado | Finalidade | Base Legal (LGPD) |
|---|---|---|
| Nome e e-mail | Criação e identificação da conta | Execução de contrato (Art. 7º, V) |
| Credenciais Workana (e-mail e senha) | Automação de propostas na plataforma Workana | Consentimento expresso (Art. 7º, I) |
| Histórico de propostas e projetos | Exibição de status e métricas na plataforma | Execução de contrato (Art. 7º, V) |
| Dados de faturamento | Processamento de pagamento de assinaturas | Execução de contrato (Art. 7º, V) |
| Logs de acesso e uso | Segurança, diagnóstico e melhoria do Serviço | Legítimo interesse (Art. 7º, IX) |
Suas credenciais de acesso à Workana (e-mail e senha) são armazenadas de forma criptografada utilizando algoritmos de cifração simétrica com chave gerenciada pelo servidor. Elas são utilizadas exclusivamente para realizar ações em seu nome na plataforma Workana (busca de projetos, envio de propostas) e nunca são compartilhadas com terceiros para outras finalidades. Você pode revogar o acesso a qualquer momento nas configurações da sua conta.
O CandyBox disponibiliza uma extensão para o Google Chrome que opera diretamente no navegador do usuário. A extensão acessa as páginas do Workana para detectar vagas disponíveis e exibir as propostas geradas pela IA. Quando o usuário clica em “Preencher proposta”, o texto é inserido no formulário do Workana — o envio é sempre realizado manualmente pelo usuário, nunca de forma automática. A extensão envia os dados das vagas encontradas para os servidores do CandyBox (exclusivamente via HTTPS) para processamento pela IA. Nenhum dado é compartilhado com terceiros além dos suboperadores listados na seção 6.
O CandyBox utiliza modelos de linguagem de IA (via OpenRouter) para gerar propostas personalizadas. Os dados enviados ao modelo incluem: título e descrição do projeto Workana, seu histórico de configurações e área de atuação. Não enviamos dados pessoais identificáveis (nome, e-mail, senha) para os modelos de IA. Os dados processados pelos modelos estão sujeitos também aos termos de privacidade do provedor OpenRouter.
Seus dados são compartilhados apenas com os seguintes suboperadores, cada um com finalidade específica:
Não vendemos, alugamos ou cedemos seus dados pessoais a terceiros para fins comerciais.
Mantemos seus dados pelo período necessário à prestação do Serviço e pelo prazo legal aplicável. Após o encerramento da conta, excluímos ou anonimizamos seus dados pessoais em até 30 (trinta) dias, salvo obrigação legal de retenção (ex.: registros fiscais pelo prazo de 5 anos, conforme legislação tributária brasileira). Logs de acesso são retidos pelo prazo mínimo de 6 meses, conforme o Art. 15 do Marco Civil da Internet (Lei n.º 12.965/2014).
Você tem os seguintes direitos em relação aos seus dados pessoais:
Para exercer qualquer direito, envie solicitação para privacidade@candybox.app. Responderemos em até 15 (quinze) dias úteis.
Adotamos medidas técnicas e organizacionais adequadas para proteger seus dados contra acesso não autorizado, perda, alteração ou divulgação indevida, incluindo: criptografia em trânsito (TLS 1.2+), criptografia em repouso das credenciais sensíveis, controle de acesso baseado em funções (RBAC) e monitoramento de atividades suspeitas. Em caso de incidente de segurança que afete seus dados, notificaremos você e a Autoridade Nacional de Proteção de Dados (ANPD) nos prazos estabelecidos pela LGPD.
Utilizamos cookies de sessão estritamente necessários para manter sua autenticação na plataforma (gerenciados pelo Supabase Auth via localStorage). Não utilizamos cookies de rastreamento, publicidade ou análise comportamental de terceiros.
Alguns suboperadores (Supabase, OpenRouter, Stripe) podem processar dados fora do Brasil. Nesses casos, garantimos que a transferência ocorra em conformidade com o Art. 33 da LGPD, por meio de cláusulas contratuais padrão ou mediante verificação de que o país de destino oferece grau de proteção adequado, conforme reconhecido pela ANPD.
O CandyBox não é direcionado a menores de 18 anos. Não coletamos intencionalmente dados de menores. Caso identifiquemos coleta acidental, os dados serão imediatamente excluídos.
Esta Política pode ser atualizada periodicamente. Alterações significativas serão comunicadas por e-mail com antecedência mínima de 10 (dez) dias antes da vigência. A versão mais recente estará sempre disponível nesta página.
Se você considerar que o tratamento dos seus dados viola a LGPD, você tem o direito de apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) pelo portal gov.br/anpd.
Dúvidas, solicitações ou reclamações relacionadas a esta Política devem ser direcionadas ao nosso encarregado de dados (DPO) pelo e-mail privacidade@candybox.app.