Esta Política contém:

• As categorias de dados pessoais tratados pela SQUARE CLOUD no âmbito da prestação do Serviço de Locação de Capacidade Computacional (vCPU/RAM).
• As finalidades, bases legais, formas de compartilhamento, retenção e eliminação desses dados.
• Os direitos do TITULAR dos dados pessoais e os canais oficiais para o seu exercício, em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados – LGPD).

Do que o CLIENTE deve estar ciente, sem exceção:

• Ao cadastrar-se, acessar ou utilizar o Serviço disponibilizado pela SQUARE CLOUD, o CLIENTE declara que leu, compreendeu e concorda integralmente com esta Política de Privacidade, com os Termos de Serviço e com a Política de Uso, que regem, de forma vinculante e complementar, o tratamento de dados pessoais no âmbito da relação contratual.
• A SQUARE CLOUD atua como Controladora dos dados pessoais estritamente necessários à formalização, execução e manutenção da relação contratual e, como regra geral, como Operadora dos dados pessoais tratados pelo CLIENTE dentro das aplicações hospedadas sob sua responsabilidade exclusiva.
• A SQUARE CLOUD não mantém qualquer vínculo societário, contratual, operacional ou de representação com plataformas, aplicações ou serviços de terceiros eventualmente utilizados pelo CLIENTE e não assume responsabilidade pelas políticas de privacidade, termos de uso ou práticas de tratamento de dados adotadas por tais terceiros.
• É de responsabilidade exclusiva do CLIENTE manter-se informado sobre eventuais atualizações desta Política de Privacidade, sendo certo que a ausência de leitura não afasta a validade das disposições aqui previstas.
• Eventuais dúvidas, solicitações ou requisições relacionadas ao tratamento de dados pessoais poderão ser encaminhadas ao Encarregado pelo Tratamento de Dados Pessoais (DPO) pelo e-mail lgpd@squarecloud.app, para TITULARES residentes no Brasil, ou pelo e-mail legal@squarecloud.app, para TITULARES residentes no exterior e demandas jurídicas correlatas.

1. Definições e Papéis no Tratamento de Dados

Para fins desta Política de Privacidade, aplicam-se, além das definições previstas na LGPD, os seguintes conceitos:

1. SQUARE CLOUD: SQUARE CLOUD LTDA, pessoa jurídica de direito privado, inscrita no CNPJ sob o nº 51.893.307/0001-08, responsável pela prestação do Serviço.
2. CLIENTE: pessoa física ou jurídica que realiza cadastro, contrata e/ou utiliza o Serviço, sendo integralmente responsável pelas aplicações, códigos, conteúdos e dados por ela processados na infraestrutura.
3. TITULAR: pessoa natural a quem se referem os dados pessoais objeto do tratamento.
4. SERVIÇO: Locação de Capacidade Computacional (vCPU/RAM) para execução automatizada de códigos (Runtime) em containers isolados, incluindo recursos acessórios de distribuição de conteúdo (CDN) e entrada/saída (I/O).
5. CONTROLADORA: nesta Política, a SQUARE CLOUD atua como Controladora dos dados pessoais do CLIENTE e de seus prepostos necessários à formalização, execução e manutenção da relação contratual, à segurança do Serviço, à prevenção a fraudes e ao cumprimento de obrigações legais, fiscais e regulatórias.
6. OPERADORA: a SQUARE CLOUD atua, como regra geral, como Operadora em relação aos dados pessoais tratados pelo CLIENTE dentro das aplicações hospedadas, os quais transitam, são armazenados ou processados na infraestrutura exclusivamente por determinação e sob responsabilidade do CLIENTE, sem que a SQUARE CLOUD exerça sobre eles controle editorial, curadoria prévia ou monitoramento contínuo.
7. DADOS DO CLIENTE (Customer Data): conjunto de dados, arquivos, códigos, configurações e conteúdos introduzidos, carregados, transmitidos, gerados ou processados pelo CLIENTE por meio do Serviço, os quais permanecem sob titularidade e responsabilidade exclusiva do CLIENTE.

1.1. Glossário de Termos Técnicos

Em atenção ao princípio da transparência (art. 6º, VI, da LGPD) e ao dever de informação clara e acessível (art. 9º, § 1º), os termos técnicos utilizados nesta Política recebem, abaixo, explicação em linguagem acessível ao TITULAR não-especialista:

1. Hash SHA-256 (função criptográfica unidirecional): transformação matemática que converte uma informação (por exemplo, um endereço de e-mail) em uma sequência fixa de 64 caracteres aparentemente aleatórios. Trata-se de operação irreversível pela SQUARE CLOUD: a partir do resultado, não é tecnicamente possível recuperar o e-mail original. A função sempre produz o mesmo resultado para o mesmo e-mail, o que permite ao operador (Google) verificar coincidências com sua própria base de usuários já autenticados sem que a SQUARE CLOUD precise compartilhar o e-mail em formato legível.
2. Pseudonimização: técnica de proteção de dados em que informações que poderiam identificar diretamente uma pessoa (como nome ou e-mail) são substituídas por identificadores que, isoladamente, não permitem a identificação direta da pessoa, mas que, em tese, podem ser combinados com outras informações para reidentificá-la. Diferente da anonimização, a pseudonimização não retira os dados do regime de proteção da LGPD.
3. Identificadores pseudonimizados (client_id, session_id, user_id): códigos numéricos atribuídos pelo Google Analytics ao navegador do TITULAR (client_id), à sua visita atual ao site (session_id) e, quando autenticado, à sua conta interna na SQUARE CLOUD (user_id). Não contêm nome, e-mail ou outro dado diretamente identificável.
4. Cookies: pequenos arquivos de texto gravados pelo navegador a pedido do site, que permitem ao site reconhecer o TITULAR em visitas subsequentes para fins variados (manter sessão autenticada, lembrar preferências, mensurar audiência). Podem ser consultados, limitados ou removidos pelo TITULAR diretamente nas configurações do navegador.
5. Consent Mode v2: mecanismo oficial do Google que permite ao site indicar dinamicamente, em tempo real, se o TITULAR consentiu ou se opôs ao tratamento de seus dados pelo Google Analytics e pelo Google Ads. Quando o TITULAR ativa a oposição (item 9.j), o Google passa a operar em modo cookieless ping: continua recebendo sinais agregados sem cookies, sem identificadores persistentes e sem dados de identificação.
6. Measurement Protocol (API de mensuração): interface técnica disponibilizada pelo Google para que o backend (infraestrutura própria da SQUARE CLOUD) transmita diretamente ao Google Analytics, sem passar pelo navegador, eventos como compra concluída. É essa a via pela qual o evento purchase é enviado quando o pagamento é confirmado por webhook após o TITULAR ter saído do site.
7. Fingerprint de navegador: conjunto de características técnicas do navegador e do dispositivo (versão, idioma, fuso horário, fontes instaladas, padrões de interação, etc.) que, em conjunto, formam um perfil técnico utilizado por sistemas antifraude (no caso, Stripe Radar — item 4.g) para distinguir um navegador autêntico de tentativas automatizadas de fraude. Não inclui dados pessoais diretamente identificáveis.
8. Tokenização: técnica utilizada por provedores de pagamento (no caso, Stripe) em que os dados sensíveis do cartão (número, validade, CVV) são transmitidos diretamente do navegador do TITULAR para o provedor de pagamento, sem trânsito pela infraestrutura da SQUARE CLOUD. O provedor devolve à SQUARE CLOUD apenas um identificador opaco (token) que representa a transação, sem permitir reconstrução dos dados originais do cartão.
9. Operadora e sub-operadora: nos termos da LGPD, operadora é a pessoa que realiza o tratamento de dados em nome da controladora (SQUARE CLOUD). Sub-operadora é a pessoa contratada pela própria operadora para realizar parte do tratamento, em sua cadeia técnica. Por exemplo: Google Brasil Internet Ltda. é operadora da SQUARE CLOUD para Google Analytics e Google Ads; Google LLC é sub-operadora, pois opera a infraestrutura técnica internacional.
10. Data Processing Addendum (DPA): contrato acessório firmado entre controladora e operadora estabelecendo, em conformidade com o art. 39 da LGPD, as obrigações de proteção de dados aplicáveis ao tratamento — incluindo finalidade, segurança, vedação de uso para finalidades não autorizadas, e regras de transferência internacional.
11. 3D Secure (3DS): protocolo bancário de autenticação adicional de pagamentos com cartão (Visa Secure, Mastercard Identity Check, Elo Secure) que, conforme exigência do banco emissor, redireciona o TITULAR para autenticar a transação antes da cobrança ser finalizada.

2. Dados Pessoais Coletados pela SQUARE CLOUD

A SQUARE CLOUD coleta e trata dados pessoais estritamente necessários à prestação do Serviço, à segurança da infraestrutura e ao cumprimento de obrigações legais, observado o princípio da minimização previsto no art. 6º, III, da LGPD.

2.1. Dados fornecidos diretamente pelo CLIENTE

1. Dados cadastrais e de autenticação: nome, endereço de e-mail, país de origem e identificadores de autenticação fornecidos por provedores de terceiros, quando o CLIENTE optar por login federado, como GitHub, Discord ou Google.
2. Dados de suporte e comunicação: conteúdo de tickets, mensagens, solicitações e interações com os canais oficiais, incluindo Serviço de Atendimento ao Cliente (SAC) e canais de comunicação institucionais.
3. Dados relacionados a pagamentos: dados limitados necessários à confirmação, conciliação e prevenção a fraudes em pagamentos realizados por provedores externos contratados pela SQUARE CLOUD, incluindo identificador da transação, status do pagamento, meio utilizado e informações cadastrais mínimas repassadas pelo provedor, quando aplicável.
4. Os pagamentos poderão ser processados por parceiros como Efi Bank, para transações via PIX (incluindo QR Code e Pix Copia e Cola), Stripe Pagamentos do Brasil Ltda., para pagamentos com cartão de crédito e débito (incluindo tokenização, autenticação 3D Secure e prevenção a fraudes), e PayPal, como meio alternativo de pagamento, ou por outros provedores equivalentes que venham a ser regularmente contratados. A SQUARE CLOUD não armazena números completos de cartão de crédito, códigos de segurança (CVV) ou credenciais bancárias, os quais são tratados diretamente pelos respectivos provedores de pagamento, por meio de mecanismos de tokenização no lado do navegador, de acordo com suas próprias políticas de privacidade e segurança.

2.2. Dados coletados automaticamente

1. Dados técnicos e de acesso: endereço IP, data e hora de acesso, identificadores de sessão, informações sobre o navegador e sistema operacional, tipo de dispositivo, páginas acessadas e ações realizadas no painel do Serviço.
2. Dados de segurança e auditoria: registros (logs) de autenticação, tentativas de acesso, eventos de segurança, padrões de utilização da conta e métricas operacionais necessárias à proteção da infraestrutura.
3. Cookies e tecnologias similares: utilizados para manter sessões autenticadas, preservar preferências, realizar análises estatísticas agregadas e aprimorar a experiência de navegação, conforme detalhado no item 8. Cookies e Tecnologias Similares.
4. Identificadores e dados de evento compartilhados com provedor de mensuração: quando da utilização do site, especialmente em estado autenticado, são automaticamente coletados e compartilhados, nos termos dos itens 3.g e 4.f, identificadores pseudonimizados de sessão (client_id, session_id), o identificador interno da conta como user_id (após autenticação), o endereço de e-mail submetido a função de hash criptográfico unidirecional (SHA-256, sem possibilidade de reversão pela SQUARE CLOUD) e dados de eventos de navegação, configuração de plano e compra (nome do plano, valor, moeda e identificador interno da transação).
5. Sinais de dispositivo e navegador para prevenção a fraudes: quando da utilização de qualquer página do site, são coletados pelo provedor de processamento de pagamentos com cartão (atualmente Stripe Pagamentos do Brasil Ltda.), por meio de script carregado em todas as páginas, sinais técnicos relativos ao navegador e ao dispositivo (incluindo, sem limitação, características de fingerprint de navegador, padrões de interação e metadados de rede), com a finalidade exclusiva de aferição de risco de fraude (Stripe Radar), nos termos do item 4.g. O carregamento contínuo do script em todas as páginas — e não apenas no momento do pagamento — é requisito técnico do provedor para o adequado funcionamento do mecanismo de prevenção a fraudes, conforme suas próprias orientações operacionais.

2.3. Dados tratados sob operação do CLIENTE

Os Dados do CLIENTE introduzidos, processados, armazenados ou transmitidos por meio das aplicações hospedadas (Runtime) são tratados pela SQUARE CLOUD na condição de Operadora, estritamente conforme as instruções técnicas decorrentes da utilização do Serviço, sem acesso, leitura, análise ou aproveitamento de seu conteúdo para qualquer outra finalidade.

A SQUARE CLOUD não solicita, em hipótese alguma, senhas, tokens privados, códigos de segurança ou quaisquer credenciais do CLIENTE, bem como não acessa, indexa ou utiliza o conteúdo das aplicações para fins comerciais, publicitários ou estatísticos.

3. Finalidades e Bases Legais do Tratamento

O tratamento de dados pessoais pela SQUARE CLOUD observa as finalidades específicas e as hipóteses autorizativas previstas nos arts. 7º e 11 da LGPD, conforme a seguir:

1. Execução do contrato e procedimentos preliminares: criação e manutenção da conta, alocação de capacidade computacional contratada, operação do Serviço, emissão de faturas e documentos fiscais, bem como atendimento técnico e comercial — base legal: art. 7º, V, da LGPD.
2. Cumprimento de obrigação legal e regulatória: retenção e apresentação de dados exigidos por legislação fiscal, tributária, contábil, de proteção ao consumidor e ao Marco Civil da Internet (Lei nº 12.965/2014), incluindo a guarda de registros de conexão e de acesso a aplicações pelo prazo legal aplicável — base legal: art. 7º, II, da LGPD.
3. Exercício regular de direitos em processo judicial, administrativo ou arbitral: produção de prova, instrução processual e defesa de direitos da SQUARE CLOUD, de CLIENTES ou de terceiros — base legal: art. 7º, VI, da LGPD.
4. Legítimo interesse: prevenção e investigação de fraudes, abusos e ilícitos; proteção da segurança, integridade e disponibilidade do Serviço e da infraestrutura; análises estatísticas agregadas voltadas ao aprimoramento operacional; envio de comunicações transacionais e operacionais relacionadas ao Serviço — base legal: art. 7º, IX, da LGPD, observados os direitos e liberdades fundamentais do TITULAR.
5. Proteção do crédito: validação de dados e consulta a entidades de proteção ao crédito, quando aplicável, em conformidade com a legislação vigente — base legal: art. 7º, X, da LGPD.
6. Consentimento: quando expressamente solicitado ao TITULAR, para finalidades que não se enquadrem nas demais hipóteses, tais como comunicações de marketing direto, podendo ser revogado a qualquer tempo pelos canais oficiais — base legal: art. 7º, I, da LGPD.
7. Mensuração de campanhas publicitárias próprias e atribuição de conversões: aferição estatística do desempenho de campanhas de marketing da SQUARE CLOUD, otimização do investimento em mídia paga e atribuição de conversões a canais e cliques de origem, mediante compartilhamento de dados pseudonimizados com provedor de mensuração publicitária, conforme item 4.f — base legal: art. 7º, IX, da LGPD (legítimo interesse), com adoção das medidas técnicas e organizacionais de minimização descritas no item 4.f e mediante avaliação de adequação e proporcionalidade consolidada no item 3.1 abaixo, observado o direito de oposição previsto no item 9.j.

A SQUARE CLOUD não realiza tratamento de dados pessoais sensíveis (art. 5º, II, da LGPD) como parte da operação ordinária do Serviço, salvo quando estritamente necessário ao cumprimento de obrigação legal ou regulatória, ao exercício regular de direitos ou mediante consentimento específico e destacado do TITULAR.

3.1. Avaliação de Impacto e Adequação dos Tratamentos sob Legítimo Interesse

Para os tratamentos baseados em legítimo interesse (itens 3.d e 3.g), a SQUARE CLOUD realizou, na qualidade de controladora e sob coordenação de seu Encarregado (DPO), a seguinte avaliação de adequação e proporcionalidade, observados os requisitos do art. 10 da LGPD e da Resolução CD/ANPD nº 2/2022, consolidando, no presente instrumento, os elementos do Relatório de Impacto à Proteção de Dados Pessoais:

1. Descrição do tratamento: identificadores pseudonimizados de sessão e usuário (client_id, session_id, identificador interno da conta), endereço de e-mail submetido a função de hash criptográfico unidirecional (SHA-256) e dados de eventos de uso, configuração e compra (nome do plano, valor, moeda, identificador da transação) são compartilhados com Google Brasil Internet Ltda. (operadora de Google Analytics 4 e Google Ads no território brasileiro), para a finalidade de mensuração da eficácia de campanhas publicitárias próprias da SQUARE CLOUD e atribuição de conversões a canais de origem.
2. Finalidade legítima e necessidade: o tratamento é necessário à manutenção da viabilidade econômica do Serviço, na medida em que a aferição precisa da eficácia das campanhas publicitárias é condição para a otimização do investimento em mídia paga e, por consequência, para a preservação da estrutura de preços ofertada aos CLIENTES. Para sustentar essa conclusão, a SQUARE CLOUD avaliou previamente as seguintes alternativas técnicas privacy-preserving, todas consideradas insuficientes pelos motivos consignados a seguir:
   1. Mensuração exclusivamente anônima, sem identificação pseudonimizada de sessão — descartada porque os principais provedores de mensuração publicitária dependem dessa correspondência mínima para atribuir conversões a cliques de origem, sem a qual a atribuição é estatística e não-determinística, com perda material de precisão da aferição;
   2. Server-side tagging com truncamento de IP e exclusão de identificadores persistentes — descartada porque o evento purchase de pagamentos assíncronos (PIX, PayPal, Stripe via 3DS por redirecionamento) é disparado por webhook fora da sessão do TITULAR, exigindo o pareamento prévio dos identificadores no momento do clique para que a atribuição feche ao tempo do pagamento;
   3. Modelagem de conversão sem hash de e-mail (apenas client_id e session_id) — avaliada como tecnicamente possível, mas com match rate consistentemente reduzido em razão da perda de atribuição a usuários que limpam cookies entre visitas; a inclusão do hash unidirecional do e-mail recupera apenas a atribuição de cliques de origem para usuários já autenticados, sem ampliar o tratamento para finalidades acessórias.
   A solução adotada é a menos invasiva entre as efetivamente capazes de atender à finalidade declarada, observado o princípio da adequação (art. 6º, II, da LGPD).
3. Proporcionalidade e minimização: são compartilhados exclusivamente os dados estritamente necessários à finalidade descrita no item 4.f, em formato pseudonimizado (função de hash unidirecional SHA-256 aplicada ao e-mail no lado servidor; identificadores não-diretamente-identificáveis para sessão e usuário). Não são compartilhados, em qualquer hipótese: (i) dados de pagamento ou credenciais; (ii) conteúdo de aplicações hospedadas; (iii) dados pessoais sensíveis; (iv) dados de terceiros tratados pelo CLIENTE; (v) quaisquer outros dados não vinculados à estrita finalidade de mensuração.
4. Salvaguardas técnicas e organizacionais:
   1. aplicação de hash criptográfico unidirecional (SHA-256) ao endereço de e-mail no lado servidor previamente à transmissão, sem possibilidade de reversão pela SQUARE CLOUD;
   2. celebração de Data Processing Addendum (DPA) com a Google contendo cláusulas contratuais que vedam o uso dos dados para finalidades não autorizadas pela SQUARE CLOUD;
   3. transmissão exclusivamente por meio de canais cifrados (TLS 1.2+);
   4. limitação técnica e contratual de uso para mensuração de campanhas próprias da SQUARE CLOUD, vedado o aproveitamento dos dados pelo operador para serviços de publicidade contratados por terceiros;
   5. disponibilização ao TITULAR de mecanismos de opt-out técnicos, conforme item 8.b.
5. Identificação dos riscos aos titulares e mitigações:
   1. risco teórico de re-identificação do hash de e-mail mediante combinação com base própria do operador — mitigado pela natureza pseudonimizada do dado, pela vedação contratual de uso para finalidades não autorizadas e pela inexistência de transmissão de dados adicionais que permitam construção de perfil sensível;
   2. risco de exposição em incidente de segurança no operador — mitigado pela seleção de provedor com certificações reconhecidas (ISO 27001, ISO 27017, ISO 27018, SOC 2 Tipo II) e pelo escopo intencionalmente limitado de dados compartilhados;
   3. risco de uso indevido para perfilamento ou decisões automatizadas que afetem o TITULAR — a SQUARE CLOUD reconhece, de forma expressa e transparente, que dados de conversão transmitidos à Google são utilizados pelo sistema automatizado de otimização de lances (bidder) do Google Ads para fins de aferição e otimização das campanhas próprias da SQUARE CLOUD, podendo influenciar, indiretamente, a probabilidade de o TITULAR ser exposto a anúncios da SQUARE CLOUD em propriedades operadas pela Google. Tal hipótese é mitigada pelas seguintes circunstâncias: (a) a SQUARE CLOUD não realiza, ela própria, qualquer decisão automatizada baseada nesses dados que afete preço, acesso, suspensão ou qualquer condição do Serviço aplicável ao TITULAR; (b) a referida otimização não produz efeitos legais sobre o TITULAR nem afeta de forma significativa seus interesses, nos termos do art. 20, caput, da LGPD, tratando-se apenas de exposição publicitária de produtos da SQUARE CLOUD; (c) o Data Processing Addendum firmado com a Google veda contratualmente o uso dos dados para finalidades de publicidade segmentada por terceiros ou para construção de audiências fora do escopo das campanhas próprias da SQUARE CLOUD; (d) o TITULAR pode, a qualquer tempo, opor-se ao tratamento por meio do mecanismo descrito no item 9.j, hipótese em que os dados deixam de ser transmitidos à Google e não alimentam o referido sistema.
6. Balanceamento de interesses: considerando o conjunto das medidas acima, o legítimo interesse da SQUARE CLOUD na aferição de campanhas publicitárias não suplanta os direitos e liberdades fundamentais do TITULAR, especialmente em razão de: (i) pseudonimização robusta dos dados compartilhados; (ii) vedação contratual ao operador; (iii) direito de oposição explicitamente garantido pelo item 9.j, operacionalizado por painel de preferências autônomo disponível ao próprio TITULAR, com efeito técnico imediato sobre os fluxos de dados descritos no item 4.f; (iv) mecanismos técnicos adicionais de opt-out disponíveis ao TITULAR (item 8.b); (v) ausência de impacto material em direitos do TITULAR (inexistência de decisão automatizada, de perfilamento sensível ou de repercussão sobre acesso ao Serviço).
7. Identificação dos atores: SQUARE CLOUD LTDA (controladora); Google Brasil Internet Ltda. (operadora no Brasil para mensuração publicitária); Google LLC (sub-operadora, infraestrutura de processamento internacional, conforme item 5); Stripe Pagamentos do Brasil Ltda. (operadora no Brasil para processamento de pagamentos com cartão e prevenção a fraudes, conforme item 4.g); Stripe Payments Europe Ltd. (Irlanda) e Stripe, Inc. (Estados Unidos da América) (sub-operadoras, infraestrutura de processamento internacional, conforme item 5); categorias de TITULARES afetados: pessoas naturais que acessem o site da SQUARE CLOUD, em estado autenticado ou não.

A presente avaliação será revisada sempre que houver alteração material das tecnologias, dos fluxos ou das finalidades aqui descritos, sendo a versão vigente sempre aquela publicada nesta Política de Privacidade.

4. Compartilhamento de Dados Pessoais

A SQUARE CLOUD não comercializa nem aluga dados pessoais a terceiros. O compartilhamento ocorre estritamente quando necessário ao atendimento das finalidades descritas nesta Política, incluindo o compartilhamento de identificadores pseudonimizados e dados de evento com provedor de mensuração publicitária para aferição de campanhas próprias da SQUARE CLOUD (item 4.f), vedado em qualquer hipótese o uso desses dados pelo operador para finalidades não autorizadas pela SQUARE CLOUD, observadas as seguintes hipóteses:

1. Operadores e prestadores de serviços contratados: provedores de infraestrutura, processamento de pagamentos, incluindo parceiros como Efi Bank (PIX), Stripe Pagamentos do Brasil Ltda. (cartão de crédito e débito, tokenização, 3D Secure e prevenção a fraudes) e PayPal (meio alternativo), prevenção a fraudes, antifraude, comunicação transacional, suporte, análise técnica e auditoria, os quais atuam sob instruções e contratos que impõem obrigações compatíveis com a LGPD, incluindo dever de confidencialidade e de adoção de medidas técnicas e organizacionais adequadas.
2. Entidades de proteção ao crédito e instituições financeiras: quando necessário à análise cadastral, prevenção a chargebacks, cobrança e conciliação financeira.
3. Autoridades competentes: autoridades judiciais, administrativas, fiscais, regulatórias ou policiais, mediante requisição formal, ordem judicial ou determinação legal, observados os limites e requisitos da legislação aplicável, incluindo o Marco Civil da Internet e a LGPD.
4. Terceiros em operações societárias: potenciais adquirentes, sucessores, investidores ou parceiros, em hipóteses de reorganização societária, fusão, aquisição, cisão, incorporação ou transferência de ativos, hipótese em que a SQUARE CLOUD adotará medidas para preservar a confidencialidade dos dados e a continuidade do tratamento em bases compatíveis com esta Política.
5. Defesa de direitos: quando necessário ao exercício regular de direitos da SQUARE CLOUD, de CLIENTES ou de terceiros, em processos judiciais, administrativos ou arbitrais.
6. Provedor de analytics e mensuração publicitária (Google): a SQUARE CLOUD compartilha com Google Brasil Internet Ltda., na qualidade de operadora de Google Analytics 4 e Google Ads no território brasileiro, os seguintes dados, estritamente pseudonimizados e limitados ao mínimo necessário à finalidade descrita no item 3.g:
   1. identificadores pseudonimizados de sessão e usuário (client_id, session_id e identificador interno da conta);
   2. endereço de e-mail do TITULAR submetido a função de hash criptográfico unidirecional SHA-256, sem possibilidade de reversão pela SQUARE CLOUD;
   3. dados de eventos de navegação, configuração de plano e compra (nome do plano, valor, moeda e identificador interno da transação).
   O compartilhamento ocorre tanto a partir do navegador do TITULAR (Google Analytics 4) quanto a partir da infraestrutura própria da SQUARE CLOUD (Measurement Protocol API), neste último caso exclusivamente quando da efetiva conclusão de evento de compra. Não são compartilhados dados de pagamento, conteúdo de aplicações, credenciais ou outros dados não estritamente vinculados à finalidade de mensuração. A avaliação de adequação e proporcionalidade deste tratamento encontra-se consolidada no item 3.1.
7. Provedor de processamento de pagamentos com cartão e prevenção a fraudes (Stripe): a SQUARE CLOUD compartilha com Stripe Pagamentos do Brasil Ltda., na qualidade de operadora de processamento de pagamentos e prevenção a fraudes (Stripe Radar): (i) dados cadastrais necessários à autenticação do TITULAR perante o provedor (nome, e-mail, endereço de cobrança); (ii) dados de transação (valor, moeda, plano, identificador interno do pedido); (iii)sinais técnicos relativos ao navegador e ao dispositivo do TITULAR (fingerprint de navegador, padrões de interação, metadados de rede), coletados por meio de script carregado em todas as páginas do site, conforme orientação técnica do provedor para o adequado funcionamento do mecanismo antifraude. Os dados de cartão (número, validade, CVV) são transmitidos diretamente do navegador do TITULAR para o provedor por meio de mecanismo de tokenização, sem trânsito pela infraestrutura da SQUARE CLOUD.

Em todas as hipóteses, o compartilhamento observará os princípios da finalidade, adequação, necessidade, transparência e segurança, sendo limitado ao mínimo necessário ao atendimento da finalidade específica.

5. Transferência Internacional de Dados

A prestação do Serviço poderá envolver transferência internacional de dados para países onde estejam localizados operadores, prestadores de serviços contratados ou infraestrutura técnica utilizada pela SQUARE CLOUD.

Tais transferências observarão as hipóteses e salvaguardas previstas nos arts. 33 a 36 da LGPD, incluindo a verificação do grau de proteção adequado do país de destino, a adoção de cláusulas contratuais específicas, de normas corporativas globais ou de outros mecanismos admitidos pela Autoridade Nacional de Proteção de Dados (ANPD), sempre que aplicáveis.

O CLIENTE reconhece que a arquitetura técnica do Serviço pode exigir o roteamento, processamento ou replicação de dados por infraestrutura localizada fora do território brasileiro, hipótese em que a SQUARE CLOUD envidará esforços razoáveis para assegurar nível de proteção compatível com o exigido pela legislação brasileira.

Para fins de execução das finalidades descritas nos itens 3.g e 4.f, os dados ali referidos são processados em infraestrutura técnica operada por Google LLC, com sede em Mountain View, Califórnia, Estados Unidos da América, na qualidade de sub-operadora da Google Brasil Internet Ltda.

Para fins de execução das finalidades descritas no item 4.g, embora a relação contratual da SQUARE CLOUD seja firmada com a Stripe Pagamentos do Brasil Ltda., com sede no Brasil, os dados ali referidos poderão ser processados, por orientação técnica do operador, pela infraestrutura global do grupo Stripe operada por suas afiliadas no exterior, incluindo, sem limitação, Stripe Payments Europe Ltd. (Irlanda) e Stripe, Inc. (Estados Unidos da América), na qualidade de sub-operadoras.

Tais transferências internacionais observam as cláusulas-padrão de proteção de dados previstas nos respectivos Data Processing Addenda firmados pela SQUARE CLOUD com cada provedor, em conformidade com o art. 33, II, da LGPD.

6. Retenção e Eliminação de Dados

Os dados pessoais serão conservados apenas pelo tempo necessário ao cumprimento das finalidades para as quais foram coletados, observando-se, em especial:

1. Dados cadastrais e contratuais: mantidos durante a vigência do contrato e, após o encerramento, pelo prazo necessário ao cumprimento de obrigações legais, fiscais, contábeis e regulatórias, podendo alcançar o prazo mínimo de 5 (cinco) anos, nos termos da legislação aplicável.
2. Registros de acesso a aplicações e de conexão: armazenados pelo prazo mínimo previsto no Marco Civil da Internet (Lei nº 12.965/2014), sem prejuízo de prazos superiores quando exigidos por ordem judicial, autoridade competente ou pela própria legislação.
3. Dados de suporte e comunicação: conservados pelo tempo necessário à finalização da demanda e ao eventual exercício de direitos em processo judicial, administrativo ou arbitral.
4. Dados do CLIENTE hospedados na infraestrutura: mantidos enquanto o plano do Serviço estiver ativo, observadas as disposições dos Termos de Serviço quanto à vigência da locação de capacidade computacional. Após o encerramento do plano, os dados poderão ser eliminados conforme os procedimentos técnicos e os prazos operacionais previstos nos documentos contratuais.

Decorridos os prazos de retenção, os dados pessoais serão eliminados, anonimizados ou bloqueados, conforme a hipótese aplicável, salvo quando a conservação for autorizada pela LGPD para cumprimento de obrigação legal ou regulatória, estudos por órgão de pesquisa, transferência a terceiro, uso exclusivo da controladora (vedado o acesso por terceiros) ou para o exercício regular de direitos em processo judicial, administrativo ou arbitral.

7. Segurança da Informação

A SQUARE CLOUD adota medidas técnicas, administrativas e organizacionais adequadas à proteção dos dados pessoais contra acessos não autorizados, situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, incluindo, sem limitação:

1. segregação lógica de ambientes e isolamento de containers para execução das aplicações;
2. controle de acesso baseado em privilégios mínimos, autenticação e registro de atividades administrativas;
3. uso de criptografia para dados em trânsito, nos termos das melhores práticas de mercado;
4. monitoramento contínuo de eventos de segurança, detecção de anomalias e resposta a incidentes;
5. políticas internas de confidencialidade, treinamentos e cláusulas contratuais aplicáveis a colaboradores e prestadores de serviços.

A SQUARE CLOUD poderá adotar medidas preventivas sempre que identificar padrões atípicos de acesso, tais como tentativas de autenticação originadas de geolocalização incompatível com o histórico do CLIENTE, encerrando sessões ativas, suspendendo temporariamente o acesso ou exigindo nova autenticação ou validação adicional, sem que tais medidas configurem indisponibilidade do Serviço ou ensejem direito a compensação, reembolso ou indenização.

Apesar dos esforços empregados, nenhum sistema é integralmente imune a falhas. Na hipótese de incidente de segurança que possa acarretar risco ou dano relevante aos TITULARES, a SQUARE CLOUD comunicará, em prazo razoável, a ANPD e os TITULARES afetados, nos termos do art. 48 da LGPD.

Caberá ao CLIENTE adotar políticas próprias de segurança, rotinas de backup (snapshot) ou cópia de segurança relativas às aplicações e dados por ele tratados, nos termos dos Termos de Serviço e da Política de Uso.

8. Cookies e Tecnologias Similares

A SQUARE CLOUD utiliza cookies e tecnologias similares para viabilizar funcionalidades, preservar sessões autenticadas, lembrar preferências, realizar análises estatísticas agregadas sobre o uso do site e do painel do Serviço, bem como aprimorar a experiência do CLIENTE.

Podem ser utilizados, conforme o caso:

1. Cookies estritamente necessários: indispensáveis à operação do site e à autenticação segura, não podendo ser desativados sem prejuízo funcional.
2. Cookies de desempenho e analíticos: destinados a mensurar a utilização e identificar melhorias, incluindo, em especial, cookies do Google Analytics 4 (_ga e _ga_<id>, com retenção de até 2 anos), destinados à mensuração estatística de uso e à atribuição de conversões publicitárias, nos termos dos itens 3.g e 4.f. O TITULAR pode optar por desativá-los prioritariamente por meio do painel de preferências disponível no item 9.j desta Política, que aciona controle de consentimento integrado ao próprio Google Analytics (Consent Mode v2), interrompendo a coleta e o envio de dados a partir deste navegador. Como medidas adicionais e independentes, o TITULAR pode também (i) instalar o complemento oficial Google Analytics Opt-out Browser Add-on (disponível em tools.google.com/dlpage/gaoptout), (ii) configurar o navegador para bloquear cookies de terceiros, ou (iii) solicitar ao DPO pelos canais oficiais.
3. Cookies de funcionalidade: utilizados para memorizar preferências de idioma, interface e experiência.
4. Cookies de terceiros: eventualmente aplicados por provedores contratados para suporte, autenticação federada, prevenção a fraudes ou análises operacionais.
5. Tecnologias de prevenção a fraudes em pagamentos (Stripe Radar): o site carrega, em todas as páginas, script mantido por Stripe Pagamentos do Brasil Ltda. (js.stripe.com/v3) com a finalidade exclusiva de coleta de sinais técnicos de navegador e dispositivo para aferição de risco de fraude em pagamentos com cartão. O carregamento contínuo em todas as páginas — e não apenas no momento do pagamento — é requisito técnico do provedor para o adequado funcionamento do mecanismo antifraude, conforme suas próprias orientações operacionais. Esse tratamento encontra-se descrito de forma específica no item 4.g. O bloqueio desse script pelo TITULAR poderá comprometer o funcionamento do mecanismo de prevenção a fraudes e, consequentemente, a viabilidade de transações com cartão no site da SQUARE CLOUD.

O CLIENTE poderá gerenciar, limitar ou desativar cookies por meio das configurações do respectivo navegador, ciente de que tal medida poderá afetar funcionalidades do site e do Serviço.

9. Direitos do TITULAR

Nos termos do art. 18 da LGPD, o TITULAR poderá, a qualquer tempo e mediante requerimento, exercer os seguintes direitos perante a SQUARE CLOUD:

1. confirmação da existência de tratamento;
2. acesso aos dados pessoais tratados;
3. correção de dados incompletos, inexatos ou desatualizados;
4. anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
5. portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, observados os segredos comercial e industrial e a regulamentação da ANPD;
6. eliminação dos dados pessoais tratados com base no consentimento, ressalvadas as hipóteses de conservação autorizadas pelo art. 16 da LGPD;
7. informação sobre as entidades públicas e privadas com as quais a SQUARE CLOUD realizou uso compartilhado de dados;
8. informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
9. revogação do consentimento, nos termos do art. 8º, § 5º, da LGPD.
10. oposição ao tratamento de dados para fins de mensuração publicitária e atribuição de conversões (itens 3.g e 4.f), sem prejuízo do tratamento para as demais finalidades legítimas previstas nesta Política. O TITULAR pode exercer este direito de forma imediata, autônoma e gratuita por meio do painel de preferências disponível ao início desta Seção 9, o qual aciona controles técnicos que, a partir do navegador do TITULAR, cessam novas coletas de dados para a finalidade descrita no item 3.g, mediante: (i) ativação de Consent Mode v2 em estado denied sobre o Google Analytics, suspendendo a gravação de novos cookies e a transmissão de eventos com dados de identificação (modo cookieless ping); (ii) interrupção do compartilhamento de identificadores e do hash do e-mail com a Google Brasil Internet Ltda.; e (iii) interrupção da transmissão do evento de compra correspondente a partir da infraestrutura própria da SQUARE CLOUD. A preferência fica armazenada no navegador do TITULAR e produz efeitos exclusivamente prospectivos: cookies do Google Analytics eventualmente já gravados neste navegador em visitas anteriores não são automaticamente removidos (podendo permanecer até sua expiração natural), e dados anteriormente transmitidos ao Google não são retraídos. O painel disponibiliza, complementarmente, controle dedicado para remoção dos cookies do Google Analytics gravados neste navegador.

As solicitações poderão ser encaminhadas ao Encarregado pelo Tratamento de Dados Pessoais (DPO) pelo e-mail lgpd@squarecloud.app, quando o TITULAR for residente no Brasil, ou pelo e-mail legal@squarecloud.app, quando o TITULAR for residente no exterior, observadas as disposições do item 12. Encarregado e Canais de Contato, podendo a SQUARE CLOUD adotar medidas razoáveis para verificar a identidade do requerente, prevenir fraudes e preservar a segurança das informações.

Algumas solicitações poderão ser total ou parcialmente indeferidas quando o atendimento contrariar obrigação legal, ordem judicial, direito de terceiros ou a necessidade de conservação dos dados para exercício regular de direitos pela SQUARE CLOUD.

10. Dados de Crianças e Adolescentes

O Serviço não é dirigido a crianças (menores de 12 anos), nos termos do art. 14 da LGPD e do Estatuto da Criança e do Adolescente (Lei nº 8.069/1990).

O cadastro e a contratação do Serviço pressupõem capacidade civil plena, nos termos do Código Civil, ou, quando cabível, a devida representação ou assistência legal.

Caso a SQUARE CLOUD tome conhecimento de tratamento indevido de dados de crianças ou adolescentes, adotará medidas para eliminação ou regularização, observando o melhor interesse da criança ou adolescente e a legislação aplicável.

É expressamente proibido ao CLIENTE utilizar o Serviço para atividades que envolvam exploração, abuso, aliciamento (grooming) ou qualquer forma de violação de direitos de crianças e adolescentes, conforme estabelecido na Política de Uso, sob pena de suspensão imediata, encerramento definitivo e comunicação às autoridades competentes.

11. Responsabilidades do CLIENTE quanto a Dados Pessoais de Terceiros

Quando o CLIENTE realizar tratamento de dados pessoais de terceiros por meio das aplicações hospedadas, ele figurará como Controlador (ou, conforme o caso, Operador) desses dados, sendo integralmente responsável por:

1. definir finalidades, bases legais e limites do tratamento;
2. informar adequadamente os TITULARES e obter consentimento, quando exigível;
3. atender às requisições de TITULARES e de autoridades competentes relativas às aplicações sob sua responsabilidade;
4. manter medidas de segurança adequadas no âmbito de sua aplicação;
5. notificar os TITULARES e a ANPD em caso de incidente de segurança que ocorra em decorrência de sua operação;
6. assegurar conformidade com a LGPD, o Marco Civil da Internet e demais normas aplicáveis.

A SQUARE CLOUD, na condição de Operadora, tratará tais dados estritamente conforme as instruções técnicas decorrentes do uso do Serviço, não respondendo pelo conteúdo, adequação, licitude ou finalidade do tratamento conduzido pelo CLIENTE.

12. Encarregado e Canais de Contato

A SQUARE CLOUD disponibiliza canal oficial para o exercício de direitos pelos TITULARES e para esclarecimentos relativos a esta Política, por meio do Encarregado pelo Tratamento de Dados Pessoais (DPO), nos termos do art. 41 da LGPD.

Para assuntos de privacidade, proteção de dados pessoais e exercício de direitos previstos na LGPD, o canal oficial é lgpd@squarecloud.app, destinado a TITULARES residentes no Brasil.

Para TITULARES residentes no exterior e para demandas jurídicas correlatas de natureza internacional, o canal oficial é legal@squarecloud.app.

As solicitações, comunicações e requerimentos também poderão ser encaminhados aos demais canais oficiais da SQUARE CLOUD, incluindo o Serviço de Atendimento ao Cliente (SAC), hipótese em que poderão ser redirecionados ao canal competente conforme a natureza da demanda e a jurisdição aplicável.

A SQUARE CLOUD envidará esforços razoáveis para responder às solicitações em prazo compatível com a complexidade da demanda e com os prazos legais aplicáveis, podendo, quando necessário, solicitar informações adicionais para confirmação de identidade ou esclarecimento do pedido.

13. Atualizações desta Política de Privacidade

Esta Política de Privacidade poderá ser modificada, atualizada ou substituída, total ou parcialmente, a qualquer tempo, a critério exclusivo da SQUARE CLOUD, para fins de adequação legal, regulatória, técnica, operacional, de segurança ou de continuidade do Serviço.

As alterações poderão decorrer, entre outros motivos, de mudanças na legislação aplicável, de exigências de autoridades competentes (inclusive da ANPD), de evolução tecnológica da infraestrutura, de mitigação de riscos, de aprimoramento de mecanismos de segurança ou de ajustes operacionais necessários à prestação do Serviço.

Sempre que as alterações forem consideradas relevantes, a SQUARE CLOUD envidará esforços razoáveis para comunicá-las por meio de seus canais oficiais. O CLIENTE reconhece, contudo, que é de sua exclusiva responsabilidade manter-se informado sobre a versão vigente desta Política.

A continuidade do uso do Serviço após a publicação das alterações, independentemente de notificação específica ou de leitura integral do conteúdo atualizado, constituirá aceitação plena, irrevogável e vinculante da versão então vigente desta Política de Privacidade, produzindo todos os efeitos legais.

14. Disposições Finais

1. Esta Política de Privacidade integra, em conjunto com os Termos de Serviço e a Política de Uso, o conjunto de documentos que regem a relação entre a SQUARE CLOUD e o CLIENTE. Em caso de eventual conflito entre os documentos, prevalecerão, na ordem, os Termos de Serviço, a Política de Uso e esta Política de Privacidade, conforme a matéria tratada.
2. A eventual tolerância da SQUARE CLOUD quanto ao descumprimento de qualquer obrigação prevista nesta Política não caracterizará renúncia, novação ou alteração de suas disposições.
3. A invalidade ou inexequibilidade de qualquer disposição desta Política não afetará a validade das demais disposições, que permanecerão em pleno vigor.
4. Esta Política é regida pela legislação brasileira, em especial pela Lei nº 13.709/2018 (LGPD), pela Lei nº 12.965/2014 (Marco Civil da Internet), pelo Código de Defesa do Consumidor (Lei nº 8.078/1990), quando aplicável, e pelo Código Civil (Lei nº 10.406/2002).
5. Fica eleito o foro da Comarca da sede da SQUARE CLOUD, com renúncia expressa a qualquer outro, por mais privilegiado que seja, para dirimir quaisquer controvérsias decorrentes desta Política, ressalvadas as hipóteses de competência legal diversa previstas em lei.