Krioo.

Legal · LGPD

Política de Privacidade

Última atualização: 20 de maio de 2026

O Krioo é um serviço de criação de posts para Instagram. Esta política descreve, em linguagem direta, quais dados pessoais tratamos, com que finalidade, com quem compartilhamos e como você pode exercer seus direitos previstos na Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD).

1. Quais dados coletamos

  • Cadastro por email: email e senha. A senha nunca é armazenada em texto puro — é convertida em hash bcrypt (função one-way) pelo Supabase Auth. Nem nós nem o Supabase conseguem recuperar a senha original a partir do hash.
  • Cadastro com Google (OAuth): recebemos do Google (a) email, (b) nome completo, (c) foto de perfil e (d) identificador único da sua conta Google (sub). Esses dados ficam armazenados pelo Supabase Auth nos metadados da sua conta e são usados pra preencher seu perfil e identificar você entre sessões.
  • Perfil: ao criar a conta, geramos automaticamente um perfil vazio (só com seu identificador interno). Nome de exibição e avatar são opcionais e editáveis em Configurações.
  • Conteúdo: designs que você cria (texto, layout, imagens enviadas), brand kits (paleta, fontes, logo) e favoritos de templates.
  • Registros técnicos: endereço IP (pseudonimizado — último octeto zerado) e família do navegador (sem versão exata) gravados em log de auditoria por até 90 dias para anti-abuso e segurança.
  • Telemetria de erro: apenas se você consentir no banner de cookies. Capturamos mensagem de erro e contexto técnico (URL, navegador) via Sentry — nunca senha, email ou conteúdo de design.

2. Pra quê usamos cada dado

  • Autenticação e sessão: manter você logado e proteger sua conta.
  • Persistência do trabalho: salvar e sincronizar seus designs entre dispositivos.
  • Segurança e anti-abuso: registros de auditoria de operações sensíveis (delete, export).
  • Melhoria do produto: detecção de bugs via telemetria opt-in.

Não vendemos dados pra terceiros, não fazemos perfilamento publicitário, não rodamos pixels de redes sociais.

3. Base legal (LGPD Art. 7)

  • Execução de contrato (Art. 7 V) — pra todo tratamento necessário pra prestar o serviço: cadastro, armazenamento de designs, autenticação.
  • Legítimo interesse (Art. 7 IX) — pra registros de auditoria com IP pseudonimizado, voltados a segurança.
  • Consentimento (Art. 7 I) — pra telemetria de erro (Sentry). Você pode revogar a qualquer momento no banner de cookies ou apagando o consentimento do seu navegador.

4. Com quem compartilhamos (subprocessadores)

Operamos sobre infraestrutura de terceiros confiáveis:

  • Supabase (EUA) — banco de dados, autenticação e armazenamento de arquivos. Hospeda conta, designs, uploads e logs.
  • Vercel (EUA) — hospedagem da aplicação web.
  • Sentry (EUA) — telemetria de erro, condicional ao seu consentimento.
  • Google (EUA) — autenticação opcional via OAuth (somente se você clicar em "Continuar com Google").
  • Pexels (EUA) — catálogo público de fotos. Não enviamos nenhum dado seu pra Pexels; o app só busca fotos pelo termo digitado.

5. Transferência internacional

Como os subprocessadores acima estão localizados nos Estados Unidos, seus dados podem ser transferidos pra fora do Brasil. Mantemos esse tratamento sob as cláusulas contratuais padrão de cada provedor, conforme permitido pela LGPD (Art. 33).

6. Por quanto tempo guardamos

  • Conta e perfil: enquanto sua conta existir. Após exclusão, removemos imediatamente do banco e do armazenamento de arquivos.
  • Designs: enquanto a conta existir. Designs enviados pra lixeira são permanentemente apagados em até 30 dias.
  • Log de auditoria: até 90 dias, com IP já pseudonimizado.
  • Log de exports: até 90 dias.
  • Backups do Supabase: conforme a política do provedor (até alguns dias de retenção operacional).

7. Seus direitos (LGPD Art. 18)

Em Configurações você pode:

  • Acessar e portar seus dados — botão Exportar meus dados baixa um JSON com perfil, designs, brand kits, favoritos, log de auditoria e log de exports.
  • Corrigir nome de exibição, email e senha. Mudança de email exige verificação no novo endereço.
  • Excluir definitivamente a conta — remove permanentemente conta, designs, brand kits, uploads, favoritos e logs associados, com limpeza do armazenamento de arquivos.
  • Revogar consentimento de telemetria a qualquer momento, mudando suas preferências no banner de cookies.

Pra qualquer outro pedido (oposição, anonimização, informações sobre tratamento), use o canal de contato abaixo. Respondemos em até 15 dias.

8. Encarregado de dados

Atualmente o próprio responsável pelo Krioo atua como encarregado pela proteção de dados (DPO). Canal de contato: contato@krioo.com.br.

9. Crianças e adolescentes

O Krioo é um serviço destinado a maiores de 18 anos. Não coletamos conscientemente dados de menores. Se identificarmos uma conta de menor, excluímos imediatamente.

10. Segurança

  • Senhas armazenadas com hash bcrypt pelo Supabase Auth.
  • Comunicação sempre via HTTPS.
  • Row Level Security (RLS) no banco — cada conta acessa apenas os próprios dados.
  • Content Security Policy estrita pra mitigar XSS e injeção de scripts.
  • Em caso de incidente de segurança que afete seus dados, comunicaremos por email e via aviso dentro do app, conforme Art. 48 da LGPD.

Atualizações desta política

Quando atualizarmos esta política de forma material, avisaremos no app antes da nova versão entrar em vigor. A data no topo desta página indica sempre a versão atual.