1. Quem Somos
A Unicala ("nós", "nos" ou "nosso") é um serviço de sincronização de calendários operado por Luiz Gustavo Nogara,
disponível em [email protected].
Nosso serviço está disponível em unicala.io.
2. Quais Dados Coletamos
Coletamos apenas o necessário para prestar o serviço:
- Dados de conta: seu nome e endereço de e-mail, usados para autenticação e comunicação.
- Credenciais de calendário: tokens OAuth2 ou senhas específicas de aplicativo necessários para acessar seus calendários em seu nome. Essas credenciais são criptografadas em repouso com AES-256-GCM e nunca compartilhadas com terceiros.
- Dados de eventos de calendário: títulos, datas, horários, descrições, locais e número de participantes — apenas o necessário para realizar a sincronização. Não armazenamos conteúdo de eventos além do que está sendo sincronizado ativamente.
- Dados de uso: logs básicos de servidor (endereço IP, caminho da requisição, timestamp) retidos por até 30 dias para fins de segurança e depuração.
- Dados de pagamento: o faturamento é processado inteiramente pelo Stripe. Não armazenamos números de cartão de crédito. Recebemos do Stripe um ID de cliente e o status de assinatura.
3. Como Usamos Seus Dados
- Para autenticar você e gerenciar sua conta.
- Para conectar-se aos seus provedores de calendário (Google, Microsoft, Apple) e sincronizar eventos conforme sua configuração.
- Para enviar e-mails transacionais (links de acesso mágico, confirmações de agendamento). Não enviamos e-mails de marketing sem consentimento explícito.
- Para processar pagamentos de planos pagos via Stripe.
- Para detectar e prevenir abusos, acessos não autorizados e problemas técnicos.
4. Compromisso de Criptografia
Todas as credenciais de calendário (tokens OAuth e senhas) são criptografadas com AES-256-GCM antes de serem
armazenadas em nosso banco de dados. A chave de criptografia não é armazenada no banco de dados. Isso significa
que mesmo em caso de violação do banco de dados, suas credenciais de calendário não poderão ser lidas.
Não lemos seus dados de calendário além do que é tecnicamente necessário para realizar a sincronização — e não o fazemos.
5. Compartilhamento de Dados
Não vendemos seus dados. Compartilhamos dados apenas com:
- Provedores de calendário (Google, Microsoft, Apple) — para realizar a sincronização em seu nome.
- Stripe — para processamento de pagamentos. Sujeito à Política de Privacidade do Stripe.
- Provedores de infraestrutura — nossos servidores funcionam em infraestrutura em nuvem europeia ou americana. Os dados não são transferidos para países terceiros sem salvaguardas adequadas.
6. Retenção de Dados
- Dados de conta e sincronização são retidos enquanto sua conta estiver ativa.
- Quando você exclui sua conta, todos os dados associados (credenciais, configurações de sincronização, dados de calendário) são excluídos permanentemente em até 30 dias.
- Logs de servidor são retidos por até 30 dias.
- Estatísticas de uso anônimas e agregadas podem ser retidas indefinidamente.
7. Seus Direitos
Você tem o direito de:
- Acessar os dados pessoais que mantemos sobre você.
- Solicitar correção de dados incorretos.
- Solicitar exclusão da sua conta e todos os dados associados.
- Exportar seus dados em formato portátil.
- Revogar o consentimento a qualquer momento (por exemplo, desconectar uma conta de calendário).
Para exercer esses direitos, entre em contato pelo
[email protected].
Responderemos em até 30 dias.
Se você está no Brasil, esta política está em conformidade com a
Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018).
Você pode registrar reclamações na Autoridade Nacional de Proteção de Dados (ANPD) em gov.br/anpd.
8. Segurança
Implementamos medidas técnicas e organizacionais para proteger seus dados: criptografia AES-256-GCM para credenciais,
autenticação baseada em JWT com tokens de acesso de curta duração, limitação de taxa, proteção contra CSRF e TLS em trânsito.
Nenhum sistema é 100% seguro. Se você descobrir uma vulnerabilidade de segurança, entre em contato responsavelmente pelo
[email protected].
9. Cookies
O app Unicala usa apenas armazenamento funcional relacionado à sessão (tokens JWT em memória e refresh tokens no
localStorage). Não usamos cookies de rastreamento ou
cookies de publicidade de terceiros. O site unicala.io não define nenhum cookie.
10. Serviços de Terceiros
Ao conectar suas contas de calendário, você nos autoriza a agir em seu nome com:
Dados do Usuário Google
Ao conectar uma conta do Google Calendar, a Unicala solicita os seguintes escopos OAuth:
openid, email, profile — para identificar a conta Google conectada e exibi-la na interface.https://www.googleapis.com/auth/calendar — para listar os calendários aos quais você tem acesso e ler informações de disponibilidade (free/busy), permitindo que você escolha quais calendários incluir na sincronização e que seus links de agendamento públicos mostrem disponibilidade precisa.https://www.googleapis.com/auth/calendar.events — para ler, criar, atualizar e excluir eventos nos calendários que você optou explicitamente por sincronizar, mantendo os eventos consistentes entre Google Calendar, Microsoft Outlook e Apple iCloud.
Como os dados do usuário Google são tratados:
- Finalidade: os dados do usuário Google são usados apenas para fornecer os recursos que você contratou (sincronização de calendário e links de agendamento). Não são usados para publicidade, nunca são vendidos e não são usados para treinar modelos generalizados de aprendizado de máquina.
- Armazenamento: tokens OAuth são criptografados em repouso com AES-256-GCM. Metadados de eventos necessários para a sincronização (identificadores, timestamps, hashes de alteração) são armazenados; o conteúdo dos eventos é retido apenas pelo tempo necessário para reconciliar o evento entre os provedores.
- Transferência: os dados do usuário Google não são compartilhados com terceiros, exceto com provedores de infraestrutura estritamente necessários para operar o serviço (hospedagem, banco de dados), e apenas como processadores agindo sob nossas instruções.
- Retenção e exclusão: quando você desconecta uma conta Google na Unicala, chamamos imediatamente o endpoint de revogação de token do Google e excluímos as credenciais armazenadas. Dados de eventos espelhados relacionados àquela conta são excluídos em até 30 dias. Ao excluir sua conta na Unicala, todos os dados associados são permanentemente excluídos em até 30 dias.
- Acesso humano: funcionários da Unicala não acessam seus dados do usuário Google, exceto (a) com seu consentimento explícito, (b) para cumprir obrigações legais aplicáveis, ou (c) para investigar um incidente de segurança confirmado, conforme permitido pela Google API Services User Data Policy.
O uso e a transferência pela Unicala, para qualquer outro aplicativo, de informações recebidas das APIs do Google
seguirão a Google API Services User Data Policy,
incluindo os requisitos de Uso Limitado (Limited Use).
Declaração em inglês exigida pelo Google:
"Unicala's use and transfer to any other app of information received from Google APIs will adhere to the
Google API Services User Data Policy,
including the Limited Use requirements."
11. Crianças
A Unicala não é direcionada a menores de 13 anos. Não coletamos dados de crianças conscientemente.
Se acreditar que uma criança criou uma conta, entre em contato e excluiremos imediatamente.
12. Alterações nesta Política
Podemos atualizar esta política periodicamente. Notificaremos você sobre alterações relevantes por e-mail
ou por um aviso destacado no app com pelo menos 14 dias de antecedência.
O uso contínuo da Unicala após as alterações constitui aceitação.