Política de Privacidade
Última atualização: 23 de maio de 2026
Esta Política de Privacidade descreve como a [RAZAO SOCIAL], inscrita no CNPJ nº [CNPJ] ("Empresa", "nós"), opera a plataforma Your AI Squad e trata dados pessoais, em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — "LGPD").
Ao utilizar a plataforma, você ("Titular") declara ter lido e compreendido esta Política. Recomendamos a leitura conjunta com os Termos de Uso.
1. Quem é o Controlador
O controlador dos dados pessoais tratados na plataforma é a [RAZAO SOCIAL], com sede em [ENDEREÇO COMPLETO].
2. Dados Pessoais Coletados
Para fornecer a plataforma, coletamos as seguintes categorias de dados:
2.1 Dados de cadastro
- Endereço de e-mail
- Senha (armazenada com hash criptográfico — nunca em texto puro)
- Nome de exibição (opcional)
2.2 Dados de pagamento
- Identificador de cliente Stripe (
cus_*) e de assinatura (sub_*) — não armazenamos número de cartão, validade, CVV ou dados bancários - Plano contratado, status, datas de período e histórico de transições de plano
- Dados fiscais informados à Stripe ficam sob domínio da Stripe (vide seção 5)
2.3 Dados de uso e produção
- Mensagens de chat trocadas com os agentes de IA
- Briefings de projeto (campaign brief, avatar research, brand guidelines, competitor analysis, product info)
- Arquivos enviados via upload (PDFs, DOCX, XLSX, imagens, planilhas) para servir de contexto aos agentes
- Entregáveis salvos (copies, e-mails, estratégias, criativos)
- Configurações de projeto e canais habilitados
2.4 Credenciais BYOK (opcional)
- Chaves de API de provedores de LLM (OpenAI, Anthropic, OpenRouter, Groq) fornecidas voluntariamente pelo Titular — criptografadas em repouso com chave gerenciada pela Empresa
2.5 Dados técnicos e de segurança
- Endereço IP, user-agent, origin do navegador
- Identificadores de sessão (JWT em cookie HttpOnly e/ou Authorization header)
- License tokens e API keys (
sk_*) emitidos pelo próprio Titular para uso via CLI/MCP - Logs de requisição (UUID, status, duração, rota acessada) para fins de auditoria e troubleshooting
3. Finalidades e Bases Legais (LGPD, art. 7)
Tratamos seus dados pessoais com as seguintes finalidades e bases legais:
| Finalidade | Base legal (LGPD) |
|---|---|
| Criar e operar sua conta, autenticar acesso | Execução de contrato (art. 7º, V) |
| Processar pagamentos e gerenciar assinaturas via Stripe | Execução de contrato (art. 7º, V) |
| Executar chamadas aos provedores de LLM em seu nome (BYOK) | Consentimento (art. 7º, I) + Execução de contrato |
| Armazenar histórico de conversas e briefings | Execução de contrato (art. 7º, V) |
| Prevenir fraude, abuso, rate limiting, segurança da informação | Legítimo interesse (art. 7º, IX) |
| Cumprir obrigações fiscais, contábeis e regulatórias | Cumprimento de obrigação legal (art. 7º, II) |
| Enviar comunicações transacionais (verificação de e-mail, reset de senha, faturamento) | Execução de contrato (art. 7º, V) |
Não realizamos tratamento de dados sensíveis (art. 5º, II da LGPD). Caso você insira dados sensíveis em briefings ou chats por sua própria iniciativa, esse tratamento ocorre sob sua responsabilidade exclusiva e dentro do escopo de execução do serviço contratado.
4. Compartilhamento de Dados (Sub-processadores)
A Empresa compartilha dados pessoais apenas com sub-processadores estritamente necessários para a operação do serviço. Todos atuam sob obrigação contratual de confidencialidade e segurança.
| Sub-processador | Finalidade | País / Transferência |
|---|---|---|
| Stripe, Inc. | Processamento de pagamentos e assinaturas | EUA — cláusulas contratuais padrão |
| Railway Corp. | Hospedagem da API, banco PostgreSQL, cache Redis | EUA — cláusulas contratuais padrão |
| OpenAI / Anthropic / OpenRouter / Groq | Inferência de LLM no modo BYOK (apenas quando o Titular configura sua própria chave) | EUA — sujeito aos termos do provedor escolhido |
| Provedor de e-mail transacional | Envio de e-mails de verificação, reset de senha, faturas | EUA / Europa — cláusulas contratuais padrão |
Transferências internacionais: alguns sub-processadores estão localizados fora do Brasil. Adotamos salvaguardas conforme art. 33 a 36 da LGPD (cláusulas contratuais específicas e adequação reconhecida).
Não vendemos, alugamos ou comercializamos dados pessoais com terceiros para fins de marketing.
5. Retenção de Dados
Os prazos de retenção variam conforme o Plano contratado e a categoria de dado:
- Histórico de chat: retido pelo período definido no Plano (7, 90, 365 ou 730 dias). Após esse prazo, mensagens podem ser anonimizadas ou excluídas.
- Dados de cadastro: mantidos enquanto a conta estiver ativa.
- Dados de billing: retidos por até 5 (cinco) anos após o encerramento da conta, para cumprimento de obrigações fiscais e contábeis (art. 195, §5º do Código Tributário Nacional).
- Logs técnicos: retidos por até 6 (seis) meses para fins de segurança e troubleshooting (art. 15 do Marco Civil da Internet).
- Chaves BYOK: excluídas imediatamente após o Titular removê-las nas configurações ou encerrar a conta.
6. Direitos do Titular (LGPD, art. 18)
Como Titular dos dados, você pode exercer os seguintes direitos a qualquer momento, de forma gratuita:
- Confirmação e acesso: saber se tratamos seus dados e obter cópia
- Correção: corrigir dados incompletos, inexatos ou desatualizados
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD
- Portabilidade: receber seus dados em formato estruturado (JSON)
- Eliminação dos dados tratados com base no consentimento
- Revogação do consentimento a qualquer momento
- Informação sobre compartilhamento com terceiros
- Oposição ao tratamento realizado com base em legítimo interesse
As solicitações podem ser enviadas para [E-MAIL DPO] e serão respondidas em até 15 (quinze) dias, ressalvadas hipóteses legais que exijam prazo distinto.
Funcionalidades como exclusão de conversas, exclusão de projetos e exclusão de arquivos enviados estão disponíveis diretamente no dashboard. A exclusão definitiva da conta pode ser solicitada via canal de contato indicado abaixo.
7. Segurança da Informação
Adotamos medidas técnicas e administrativas razoáveis para proteger seus dados:
- Senhas armazenadas com hash criptográfico (bcrypt ou equivalente)
- Chaves de API e credenciais BYOK criptografadas em repouso
- Comunicação em trânsito sob TLS (HTTPS)
- Tokens de sessão JWT com expiração e cookies HttpOnly
- Rate limiting global e por rota
- Allowlist de origens (CORS) e cabeçalhos de segurança via Helmet
- Registro de auditoria para operações sensíveis (alterações de plano, exclusão de usuário, edição de prompt de agente por administrador)
Nenhum sistema é absolutamente seguro. Em caso de incidente de segurança envolvendo seus dados pessoais, comunicaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os Titulares afetados conforme o art. 48 da LGPD.
8. Cookies e Tecnologias Similares
Atualmente utilizamos exclusivamente cookies estritamente necessários:
- auth_token (HttpOnly, Secure em produção, SameSite=None em produção / Strict em dev, validade de 7 dias): autenticação da sessão web. Sem este cookie, o dashboard não funciona.
Esses cookies não exigem consentimento explícito conforme entendimento consolidado da ANPD para cookies de finalidade funcional indispensável. Caso passemos a utilizar cookies de análise ou marketing, solicitaremos consentimento prévio.
9. Menores de Idade
A plataforma destina-se exclusivamente a maiores de 18 anos. Não coletamos intencionalmente dados de menores. Caso identifiquemos cadastro de menor, a conta será encerrada e os dados eliminados.
10. Encarregado pelo Tratamento de Dados (DPO)
Em atendimento ao art. 41 da LGPD, o Encarregado pelo Tratamento de Dados Pessoais é:
- Nome: [NOME DO DPO]
- E-mail: [E-MAIL DPO]
O Titular também pode comunicar diretamente a Autoridade Nacional de Proteção de Dados (ANPD) caso considere que seus direitos foram violados.
11. Atualizações desta Política
Esta Política pode ser atualizada periodicamente. Mudanças materiais serão comunicadas por e-mail ou aviso no dashboard com antecedência mínima de 15 (quinze) dias antes da vigência.
12. Contato
Para dúvidas sobre esta Política ou para exercer seus direitos como Titular, envie mensagem para [E-MAIL DPO].
