Política de Privacidade

Política de Privacidade e Proteção de Dados Pessoais das Plataformas Kafex

Data de vigência: 23 de maio de 2026

Esta Política de Privacidade (“Política”) descreve como KAFEX CAFE E TECNOLOGIA LTDA, inscrita no CNPJ/MF sob o nº 58.191.387/0001-90, com sede na Av. Paulista, nº 1.106, Sala 01, Andar 16, Bela Vista, São Paulo – SP, CEP 01.310-914 (“Kafex”, “nós”), coleta, utiliza, armazena, compartilha e protege os dados pessoais dos titulares que utilizam as Plataformas Kafex (aplicativo Kafex App, plataforma Kafex Pro e site institucional kafex.com.br).

Esta Política observa a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais – “LGPD”), a Lei nº 12.965/2014 (Marco Civil da Internet), o Decreto nº 8.771/2016, a Lei nº 8.078/1990 (Código de Defesa do Consumidor) e demais normas aplicáveis.

1. Controlador e Encarregado pelo Tratamento de Dados

Controlador: Kafex Cafe e Tecnologia Ltda. (CNPJ 58.191.387/0001-90).

Encarregado pelo Tratamento de Dados Pessoais (DPO): o canal de contato com o Encarregado é o e-mail ola@kafex.com.br, por meio do qual qualquer titular pode exercer os direitos previstos na LGPD, esclarecer dúvidas ou formular reclamações sobre o tratamento de seus dados pessoais.

2. Definições

• Dado pessoal: informação relacionada a pessoa natural identificada ou identificável.
• Dado pessoal sensível: dado pessoal sobre origem racial, convicção religiosa, opinião política, saúde, vida sexual, dados genéticos ou biométricos, entre outros.
• Titular: pessoa natural a quem se referem os dados pessoais.
• Tratamento: qualquer operação realizada com dados pessoais.
• Operador: pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador.

3. Dados Pessoais que Tratamos

3.1. Dados de cadastro (Usuário do Kafex App):

• nome completo ou de exibição, nome de usuário, endereço de e-mail, número de telefone, foto de perfil e senha (armazenada de forma criptografada por meio de serviço de autenticação);
• data de nascimento (quando informada), gênero (quando informado) e demais campos de perfil preenchidos voluntariamente;
• endereço (logradouro, número, complemento, bairro, cidade, estado, CEP, país) quando voluntariamente informado;
• CNPJ e nome profissional, quando o Usuário se identifica como proprietário de cafeteria.

3.2. Dados de cadastro (Cafeteria Parceira – Kafex Pro):

• dados da pessoa jurídica: CNPJ, razão social, nome fantasia, inscrição estadual/municipal (quando aplicável), endereço completo do estabelecimento e dados de contato;
• dados do representante legal: nome completo, e-mail, telefone e identificação Firebase associada;
• dados bancários e financeiros do estabelecimento (titular da conta, agência, conta, documento do titular), armazenados em formato criptografado (AES-256-GCM) e utilizados exclusivamente para integração com o processador de pagamentos parceiro;
• fotos do estabelecimento, cardápio, horários de funcionamento, atributos (pet-friendly, vegano, office-friendly), redes sociais e demais informações públicas do perfil da cafeteria.

3.3. Conteúdo gerado pelo Usuário:

• avaliações e notas atribuídas a cafeterias, cafés ou produtos;
• fotos e vídeos enviados;
• posts, comentários, menções e respostas no feed;
• check-ins, favoritos e listas de “quero visitar”;
• curtidas e demais interações sociais.

3.4. Dados de geolocalização:

• Em primeiro plano: coordenadas aproximadas ou precisas do dispositivo, obtidas quando o aplicativo está em uso, para exibir cafeterias próximas, ordenar resultados, calcular distâncias e facilitar check-ins.
• Em segundo plano: apenas mediante autorização expressa e adicional do Usuário, coleta periódica de localização para detecção de proximidade a Cafeterias Parceiras e envio de lembretes contextuais. Esta funcionalidade é opcional, pode ser desativada nas configurações do dispositivo a qualquer momento e não é compartilhada com terceiros para fins publicitários.
• Dados derivados: cidade e estado inferidos a partir da localização e do endereço.

3.5. Dados de uso e do dispositivo:

• identificadores do dispositivo, modelo, sistema operacional, versão do aplicativo, idioma, fuso horário e operadora;
• endereço IP, registros de acesso, datas e horários de acesso e ações realizadas (em conformidade com o art. 15 do Marco Civil da Internet);
• eventos de uso (telas visitadas, interações, cliques, buscas), token de notificação push (FCM) e preferências de configuração.

3.6. Dados financeiros e transacionais:

• histórico de assinaturas do Clube da Xícara, planos, status e datas de cobrança;
• compras de ingressos de eventos, métodos de pagamento utilizados (PIX, cartão de crédito, Apple Pay, Google Pay) e identificadores de transação fornecidos pelos processadores de pagamento;
• dados completos de cartão de crédito (número, CVV, validade) não são armazenados pela Kafex. Tais dados são coletados, transmitidos e processados diretamente pelos provedores de pagamento (Stripe, Asaas e plataformas Apple/Google), conforme as respectivas políticas de privacidade.

3.7. Cookies e tecnologias semelhantes (kafex.com.br):

O site institucional utiliza cookies e tecnologias similares, classificados em três categorias:

• Necessários: indispensáveis ao funcionamento do site, incluindo identificador de visitante (kafex_vid), registro da escolha de consentimento (kafex_consent) e preferências técnicas. Não dependem de consentimento prévio.
• Analíticos: Google Analytics 4 e Google Tag Manager, utilizados para mensurar audiência, comportamento e desempenho. São ativados apenas após consentimento.
• Marketing: Meta Pixel e TikTok Pixel, utilizados para mensuração de campanhas e públicos personalizados em plataformas de anúncios. São ativados apenas após consentimento.

O Usuário pode revisar e revogar suas preferências de consentimento a qualquer momento por meio do banner de cookies ou das configurações do navegador.

4. Bases Legais para o Tratamento

A Kafex trata dados pessoais com fundamento nas seguintes bases legais previstas no art. 7º da LGPD:

• Execução de contrato (art. 7º, V): para criação de Conta, prestação dos serviços contratados (assinatura, ingressos, funcionalidades das Plataformas) e atendimento de demandas operacionais;
• Consentimento (art. 7º, I): para envio de comunicações de marketing, uso de cookies não essenciais, localização em segundo plano e demais hipóteses em que solicitado de forma expressa;
• Cumprimento de obrigação legal ou regulatória (art. 7º, II): para guarda de registros de acesso (Marco Civil da Internet), atendimento a obrigações fiscais, trabalhistas e regulatórias;
• Legítimo interesse (art. 7º, IX): para prevenção a fraudes, garantia da segurança das Plataformas, moderação de conteúdo, melhoria contínua dos serviços, métricas agregadas e proteção do crédito;
• Exercício regular de direitos (art. 7º, VI): em processos judiciais, administrativos ou arbitrais;
• Proteção do crédito (art. 7º, X): em situações específicas de cobrança e prevenção a inadimplência.

5. Finalidades do Tratamento

Tratamos seus dados pessoais para as seguintes finalidades:

• criar, manter e gerenciar sua Conta e o seu perfil nas Plataformas;
• fornecer as funcionalidades do Kafex App, do Kafex Pro e do kafex.com.br, incluindo descoberta de cafeterias, avaliações, feed social, check-ins, programa de pontos, eventos e assinaturas;
• processar pagamentos de assinaturas, ingressos e demais produtos ou serviços, em conjunto com nossos provedores de pagamento;
• autenticar acessos, prevenir fraudes, proteger contas e identificar usos indevidos;
• enviar comunicações operacionais (transacionais, de segurança e relativas ao serviço) e, mediante consentimento, comunicações de marketing, newsletter e novidades;
• personalizar conteúdos, recomendações e ofertas com base em preferências e comportamento de uso;
• realizar análises estatísticas, métricas agregadas e pesquisas para aprimorar nossos produtos;
• cumprir obrigações legais, regulatórias e ordens de autoridades competentes;
• exercer e defender direitos da Kafex em processos judiciais ou administrativos.

6. Compartilhamento de Dados com Terceiros

A Kafex não comercializa seus dados pessoais. O compartilhamento ocorre apenas nas hipóteses descritas abaixo:

6.1. Operadores e prestadores de serviço: empresas que processam dados pessoais em nome da Kafex sob instruções e obrigações contratuais compatíveis com a LGPD, incluindo:

• Google LLC / Firebase — autenticação, banco de dados, armazenamento de arquivos (Cloud Storage), notificações push (FCM), analytics e mapas;
• Supabase — bancos de dados relacionais e funções de backend;
• Vercel — hospedagem de aplicações web e site;
• Stripe — processamento de pagamentos de assinaturas e ingressos;
• Asaas — processamento de pagamentos e split entre Cafeterias Parceiras;
• Mautic — gestão de relacionamento e disparo de campanhas de e-mail marketing;
• MailerSend — entrega de e-mails transacionais e marketing;
• Google Maps e Places — funcionalidades de mapa, busca e padronização de endereços;
• ReceitaWS e BrasilAPI — validação automatizada de CNPJ a partir de fontes públicas;
• reCAPTCHA (Google) — prevenção a bots e fraudes em formulários públicos;
• Apple App Store e Google Play — distribuição do aplicativo e processamento de compras in-app.

6.2. Plataformas de mensuração e publicidade (mediante consentimento, no site kafex.com.br):

• Google Analytics 4 e Google Tag Manager — mensuração de audiência;
• Meta Pixel (Facebook/Instagram) — mensuração de campanhas e públicos;
• TikTok Pixel — mensuração de campanhas e públicos.

6.3. Autoridades públicas e cumprimento legal: podemos compartilhar dados em resposta a ordens judiciais, requisições de autoridades competentes, ou para exercício regular de direitos da Kafex em processos judiciais, administrativos ou arbitrais.

6.4. Operações societárias: em caso de fusão, cisão, aquisição, reorganização ou alienação de ativos, os dados pessoais poderão ser transferidos como parte da operação, sempre preservando-se o nível de proteção previsto nesta Política e na LGPD.

7. Transferência Internacional de Dados

Diversos dos serviços operadores contratados pela Kafex (Google, Vercel, Stripe, entre outros) operam infraestrutura internacionalmente. Por essa razão, dados pessoais podem ser transferidos e armazenados em servidores localizados fora do Brasil, em jurisdições que podem oferecer níveis distintos de proteção de dados.

Em todas as transferências internacionais, a Kafex adota salvaguardas adequadas previstas no art. 33 da LGPD, incluindo cláusulas contratuais específicas, garantias de adequação dos operadores e/ou consentimento específico, quando aplicável.

8. Retenção e Eliminação dos Dados

Mantemos os dados pessoais pelo tempo necessário ao cumprimento das finalidades para as quais foram coletados, observados os seguintes prazos referenciais:

• dados de cadastro e de Conta: enquanto a Conta estiver ativa e por até 5 (cinco) anos após o encerramento, para defesa em eventuais reclamações consumeristas;
• registros de acesso a aplicações de internet: 6 (seis) meses, na forma do art. 15 do Marco Civil da Internet;
• dados fiscais e financeiros decorrentes de transações: pelos prazos exigidos pela legislação tributária aplicável (tipicamente 5 anos);
• dados de marketing e comunicação: até a revogação do consentimento ou solicitação de descadastro;
• cookies e identificadores de rastreamento: conforme prazo indicado no banner de cookies (em regra, até 12 meses).

Após o decurso dos prazos legais ou da finalidade, os dados serão anonimizados ou eliminados, salvo se houver outra base legal que justifique a sua manutenção.

9. Segurança da Informação

A Kafex adota medidas técnicas e organizacionais para proteger os dados pessoais contra acessos não autorizados, perda acidental, destruição, alteração ou divulgação indevida, incluindo:

• criptografia em trânsito (TLS) em todas as comunicações entre dispositivos e servidores;
• criptografia em repouso para dados especialmente sensíveis (como dados bancários de Cafeterias Parceiras, com AES-256-GCM);
• controles de acesso baseados em função (RBAC) na equipe interna;
• autenticação por credenciais fortes e proteção contra brute force;
• monitoramento, logs de auditoria e backups regulares;
• cláusulas contratuais com operadores exigindo padrões mínimos de segurança.

Apesar dos esforços empregados, nenhum sistema é absolutamente seguro. Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a Kafex realizará as comunicações exigidas pelo art. 48 da LGPD, à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados.

10. Direitos do Titular

Nos termos do art. 18 da LGPD, você tem o direito de obter da Kafex, a qualquer momento:

• confirmação da existência de tratamento;
• acesso aos dados;
• correção de dados incompletos, inexatos ou desatualizados;
• anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
• portabilidade dos dados a outro fornecedor de serviço ou produto, nos termos da regulamentação aplicável;
• eliminação dos dados tratados com base no consentimento, ressalvadas as hipóteses de guarda obrigatória previstas em lei;
• informação sobre as entidades públicas ou privadas com as quais a Kafex realiza uso compartilhado de dados;
• informação sobre a possibilidade de não fornecer consentimento e as consequências da negativa;
• revogação do consentimento, a qualquer tempo, mediante manifestação expressa, gratuita e facilitada;
• oposição ao tratamento realizado com base em hipótese de dispensa de consentimento, em caso de descumprimento da LGPD;
• revisão de decisões automatizadas que afetem seus interesses, quando aplicável.

11. Como Exercer Seus Direitos

Para exercer qualquer dos direitos acima, basta enviar uma solicitação para o e-mail ola@kafex.com.br, indicando o direito que pretende exercer e os dados necessários para que possamos identificá-lo de forma segura.

A Kafex responderá às solicitações em prazo razoável, observada a regulamentação aplicável. Em determinados casos, poderemos solicitar informações adicionais para confirmar a identidade do requerente e prevenir fraudes. A negativa de uma solicitação será sempre justificada.

Caso entenda que a Kafex não respondeu adequadamente, você poderá apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD), por meio dos canais disponíveis em gov.br/anpd.

12. Crianças e Adolescentes

As Plataformas Kafex são destinadas exclusivamente a maiores de 18 (dezoito) anos. Não coletamos intencionalmente dados pessoais de crianças e adolescentes. Caso tomemos conhecimento de que dados pessoais de menores foram coletados sem o devido consentimento específico e em destaque dos responsáveis, adotaremos as medidas cabíveis para eliminação imediata.

Caso seja responsável legal por menor que tenha eventualmente se cadastrado, entre em contato pelo e-mail ola@kafex.com.br.

13. Decisões Automatizadas

Alguns processos das Plataformas envolvem decisões automatizadas, como (i) ordenação de resultados de busca e feed; (ii) prevenção a fraudes em formulários; (iii) cálculo de pontos e benefícios; e (iv) personalização de comunicações.

O titular tem direito de solicitar a revisão dessas decisões nos termos do art. 20 da LGPD, mediante contato com o Encarregado.

14. Alterações desta Política

Esta Política pode ser atualizada periodicamente, em razão de alterações na legislação, em nossas práticas ou nas funcionalidades das Plataformas. A versão vigente estará sempre disponível em kafex.com.br/politica-de-privacidade com indicação da data da última atualização. Alterações materiais serão comunicadas com antecedência razoável pelos canais usuais de contato.

15. Contato

Para dúvidas, solicitações ou reclamações relacionadas a esta Política e ao tratamento de dados pessoais pela Kafex, entre em contato pelo e-mail ola@kafex.com.br.

KAFEX CAFE E TECNOLOGIA LTDA — CNPJ 58.191.387/0001-90
Av. Paulista, 1.106, Sala 01, Andar 16, Bela Vista, São Paulo – SP, CEP 01.310-914.

Atualizado em: 23 de maio de 2026.