Política de Privacidade e Proteção de Dados — aplicaia.tech

Versão 1.0 · Vigência a partir de 28 de abril de 2026

Esta política descreve como a aplicaia.tech trata dados pessoais em conformidade com a Lei nº 13.709/2018 (LGPD), o Marco Civil da Internet e demais normas aplicáveis. Ela foi escrita em linguagem direta para que qualquer empreendedor entenda o que acontece com seus dados — sem precisar ser advogado.

1. Quem somos (Controlador)

Razão Social: SYSTEM SERVICE GESTÃO E TECNOLOGIA LTDA
CNPJ: 50.274.368/0001-16
E-mail do DPO (Encarregado) e Contato: contato@aplicaia.tech
Site: aplicaia.tech

A aplicaia.tech atua como Controladora dos dados pessoais dos seus usuários (titulares), nos termos do art. 5º, VI, da LGPD.

2. Compromisso central — seus dados são seus

Antes de mais nada, três compromissos inegociáveis:

🔒 Compromisso 1 — Isolamento total entre usuários

Cada usuário só vê os próprios dados. Sem exceção.

Tecnicamente garantimos isso por:

Mecanismo	Como funciona
Identificador único (`userId`)	Toda informação inserida na plataforma fica vinculada ao seu identificador exclusivo de conta
Filtros obrigatórios em 100% das consultas	Toda leitura ao banco usa cláusula `WHERE userId = <seu_id>`. Não existe consulta sem esse filtro no código
Autenticação JWT por requisição	A cada clique, o servidor valida seu token de sessão antes de qualquer acesso a dados
Revisão automatizada de código	Nosso processo de desenvolvimento bloqueia mudanças que tentem ler dados sem o filtro de `userId`
Banco lógico segregado	Dados de cada usuário ficam separados por chaves estrangeiras e índices, com auditoria de acesso

Funcionários da aplicaia.tech não veem rotineiramente seus dados. Acessos administrativos só ocorrem em hipóteses excepcionais (suporte autorizado por você, investigação de fraude, ordem judicial), todas registradas em log de auditoria por 5 anos.

🔒 Compromisso 2 — Privacidade na arquitetura

Algumas funcionalidades nem chegam à nuvem:

Diário do Empreendedor: quando você fala em áudio para o check-in noturno, a transcrição e a análise de sentimento acontecem dentro do seu navegador. O áudio nunca sai do seu dispositivo.
Garimpo de Vendas: quando você cola o TXT do WhatsApp, a IA extrai os campos estruturados (cliente, valor, objeção) e o texto bruto é descartado logo em seguida. Não armazenamos a conversa completa.
Personalização da Antena: o ranking personalizado do feed (matching de palavras-chave do seu perfil contra os títulos) é calculado localmente, sem chamar IA por usuário.
Logs de IP: registramos apenas o hash criptográfico do seu IP, nunca o IP em texto puro.

🔒 Compromisso 3 — Sem treinamento de IA com seus dados

Nossos contratos com fornecedores de IA (Google Gemini, OpenAI) vedam expressamente o uso dos seus dados para treinar modelos. Você é cliente, não matéria-prima.

3. Quais dados coletamos

3.1. Dados de cadastro

Nome de exibição, e-mail, senha (armazenada apenas como hash bcrypt, nunca em texto puro)
Tier de assinatura (FREE / INTERMEDIÁRIO / MASTER)

3.2. Dados de perfil empresarial (opcional, mas potencializa a personalização)

Nome do negócio, tipo de negócio, estágio, objetivo principal, desafios atuais
Cidade, estado
Faixa de faturamento mensal, número de funcionários, tempo de atividade, nível de experiência

3.3. Dados operacionais inseridos por você

CRM (Meus Clientes): cadastros de clientes (nome, contato, tags)
Quotes: orçamentos, valores, condições
DRE / Caça Ralos: lançamentos financeiros (importados de OFX ou inseridos manualmente)
Garimpo: conversas processadas (mantemos só os campos extraídos, não o texto bruto)
Pré-Projetos / Canvas / SWOT: análises estratégicas
Foco do Dia / Diário: tarefas, check-ins (texto e/ou sentimento — nunca o áudio)
Manuais / POPs: procedimentos operacionais
Antena: itens que você salvou (preferências aprendem com isso)

3.4. Dados técnicos automáticos

Hash do IP de acesso, user-agent (navegador), timestamps, páginas visitadas
Cookies estritamente necessários (sessão, preferências), descritos na cláusula 8

3.5. Dados gerados pela plataforma para você

Conteúdo produzido por IA a seu pedido (posts do Boca a Boca, sugestões do Foco, etc.)
Certificados PDF gerados ao concluir trilhas de aprendizado

3.6. O que NÃO coletamos

❌ Localização GPS precisa
❌ Acesso a câmera/microfone fora dos momentos em que você ativa explicitamente (ex.: gravação do diário)
❌ Cookies de marketing de terceiros (ex.: Facebook Pixel, Google Ads)
❌ Dados sensíveis (saúde, biometria, religião, etc.) — a menos que você os insira voluntariamente em um campo livre, caso em que assume responsabilidade pelo conteúdo

4. Bases legais para o tratamento (art. 7º LGPD)

Tratamento	Base legal	Art. 7º
Cadastro e operação da plataforma	Execução de contrato	inciso V
Personalização (perfil → Antena, Foco, etc.)	Consentimento	inciso I
Push notifications	Consentimento opt-in granular	inciso I
Antifraude e segurança	Legítimo interesse	inciso IX
Cumprimento de obrigações fiscais/contábeis	Obrigação legal	inciso II
Cooperação com autoridades	Obrigação legal/regulatória	inciso II
Defesa em processo judicial	Exercício regular de direitos	inciso VI

Você pode revogar consentimentos a qualquer momento (ver cláusula 7).

5. Para que usamos seus dados

Finalidades primárias

Prestar os serviços contratados (executar os 24 apps)
Personalizar a experiência (Antena, Foco do Dia, recomendações)
Comunicar atualizações operacionais e de segurança
Emitir certificados das trilhas de aprendizado
Faturamento e suporte

Finalidades secundárias (sempre opt-in)

Newsletter "Menos Tinta, Mais Barro" (LinkedIn) — opt-in explícito
Pesquisas de NPS e satisfação — opcional, anônimo por padrão
Casos de sucesso — apenas com autorização específica e expressa

Finalidades vedadas

❌ Treinar modelos de IA com seus dados
❌ Vender, alugar ou ceder seus dados a terceiros
❌ Profiling para discriminação ou exclusão automática

6. Compartilhamento com terceiros

Compartilhamos dados mínimos necessários com:

Terceiro	Finalidade	Dados compartilhados	País
Google (Gemini API)	Geração de respostas de IA	Apenas o prompt da requisição, sem identificadores	EUA
OpenAI (fallback)	Geração de respostas de IA quando Gemini indisponível	Mesmo do Gemini	EUA
Provedor de e-mail transacional	Envio de e-mails (verificação, recuperação)	E-mail e nome	Brasil/EUA
Provedor de hospedagem	Infraestrutura de servidores	Dados do banco com criptografia em trânsito e em repouso	Brasil
Provedor de push notifications (VAPID)	Envio de notificações	Endpoint do navegador (sem identificação pessoal)	Servidores do navegador (Google/Mozilla)
Autoridades	Cumprimento de ordem judicial	Conforme estrita necessidade da ordem	Brasil

Nunca compartilhamos com: anunciantes, brokers de dados, empresas de marketing externo, redes sociais para fins publicitários.

7. Seus direitos como titular (art. 18 LGPD)

Você tem direito a, gratuitamente, a qualquer momento:

Direito	O que significa	Como exercer
Confirmação e acesso	Saber se tratamos seus dados e ver quais são	Painel "Meus Dados" no perfil ou e-mail ao DPO
Correção	Atualizar dados incompletos ou desatualizados	Edição direta na plataforma
Anonimização / bloqueio / eliminação	Pedir que dados desnecessários sejam removidos	E-mail ao DPO
Portabilidade	Receber seus dados em formato estruturado (JSON)	Botão "Exportar dados" no perfil
Eliminação dos dados tratados com consentimento	Remover tudo que dependa de consentimento	E-mail ao DPO ou auto-exclusão da conta
Informação sobre compartilhamentos	Saber com quem foram compartilhados	Esta política + relatório sob demanda ao DPO
Revogação de consentimento	Cancelar consentimentos previamente dados	Configurações da conta (granular por categoria)
Revisão de decisões automatizadas	Pedir explicação humana sobre sugestões de IA	E-mail ao DPO
Reclamação à ANPD	Levar ao órgão regulador caso entenda violação	gov.br/anpd

Prazo de resposta: até 15 (quinze) dias corridos contados do recebimento, conforme art. 19 LGPD.

8. Cookies

Usamos apenas cookies estritamente necessários:

Cookie	Finalidade	Duração
`auth_token`	Sessão autenticada (JWT)	7 dias
`csrf`	Proteção contra CSRF	Sessão
`prefs`	Preferências de UI (tema, sidebar)	90 dias

Não usamos cookies de marketing, publicidade, redes sociais ou rastreamento entre sites.

9. Retenção dos dados

Tipo de dado	Tempo de retenção	Motivo
Conta ativa	Enquanto a conta existir	Execução do contrato
Dados após exclusão da conta	30 dias (carência) → eliminação	Possibilidade de recuperação
Logs de acesso (hash de IP)	6 meses	Marco Civil da Internet
Dados financeiros e fiscais	5 anos	Obrigação legal (CTN)
Comunicações de suporte	2 anos	Histórico de atendimento
Logs de auditoria de acesso administrativo	5 anos	Conformidade LGPD
Áudio do Diário	0 segundos (processado local, não armazenado)	Privacidade by design
Texto bruto do Garimpo	Descartado após extração	Privacidade by design
Backups	30 dias rolling	Continuidade do serviço

Após o prazo, os dados são anonimizados ou eliminados de forma irreversível.

10. Segurança técnica e organizacional

10.1. Segurança técnica

HTTPS obrigatório em todo o tráfego (TLS 1.2+)
Senhas com bcrypt (custo 12), nunca em texto puro
Tokens JWT assinados com chave de pelo menos 256 bits, expiração de 7 dias
Banco de dados com criptografia em repouso e em trânsito
Backups criptografados, retenção rolling de 30 dias
Rate limiting por usuário e por IP em endpoints sensíveis
WAF e proteção contra DDoS em frente à infraestrutura
Hash de IPs em todos os logs de aplicação
Cabeçalhos de segurança (CSP, HSTS, X-Frame-Options, X-Content-Type-Options)
Atualizações de segurança aplicadas em até 7 dias após divulgação de CVE crítica

10.2. Segurança organizacional

Princípio do menor privilégio: cada funcionário tem acesso apenas ao estritamente necessário
Treinamento obrigatório em LGPD e segurança da informação para toda a equipe
NDAs com todos os colaboradores e prestadores
Revisão de código (peer review) com checklist de segurança e proteção de dados
Auditoria interna trimestral de acessos administrativos
Plano de resposta a incidentes com prazos definidos
Designação formal do DPO com canal direto e independência funcional

10.3. Proteções específicas

Proteção	Onde se aplica
Isolamento de tenants	Filtro `WHERE userId = ?` em todas as queries (auditado em CI)
K-anonimato ≥ 5	Visualizações administrativas agregadas
Áudio local	Diário do Empreendedor (Web Audio API + transcrição no navegador)
Texto bruto descartado	Garimpo de Vendas (após extração estruturada)
Push opt-in granular	6 categorias independentes (fiscal, financeiro, etc.)
Horário silencioso	Padrão 22h-7h, configurável

11. Transferência internacional

Algumas operações envolvem transferência de dados para países que oferecem grau de proteção adequado ou mediante salvaguardas contratuais (art. 33, II e IX, LGPD):

Google (Gemini API): servidores nos EUA, sob salvaguardas contratuais (DPA/SCCs)
OpenAI: servidores nos EUA, sob salvaguardas contratuais
Provedor de hospedagem: dados ficam preferencialmente em território brasileiro (São Paulo)

Você pode opor-se à transferência mediante solicitação ao DPO. Nesse caso, algumas funcionalidades de IA podem ficar indisponíveis.

12. Incidentes de segurança

Em caso de incidente que possa acarretar risco ou dano relevante aos titulares, comunicaremos:

À ANPD: em prazo razoável (até 2 dias úteis sempre que possível)
Aos titulares afetados: por e-mail e na plataforma, com:
Descrição da natureza do incidente
Dados envolvidos
Medidas técnicas adotadas
Riscos relacionados ao incidente
Medidas que o titular pode adotar para mitigar efeitos

13. Crianças e adolescentes

A plataforma não é direcionada a menores de 18 anos. Não coletamos intencionalmente dados de crianças/adolescentes. Caso identifiquemos cadastro indevido, a conta será removida.

14. Atualizações desta política

Esta política pode ser atualizada para refletir mudanças legais, técnicas ou operacionais. Mudanças relevantes serão comunicadas com antecedência mínima de 30 dias por e-mail e na plataforma. A versão vigente está sempre disponível em aplicaia.tech/privacidade.

Histórico de versões:

v1.0 (28/04/2026) — versão inicial.

15. Como exercer seus direitos / Contato

Razão Social: SYSTEM SERVICE GESTÃO E TECNOLOGIA LTDA CNPJ: 50.274.368/0001-16 📧 Contato (DPO/Encarregado e Suporte geral): contato@aplicaia.tech 🌐 Site: aplicaia.tech

Prazo de resposta: até 15 dias corridos.

Não satisfeito? Você pode reclamar à Autoridade Nacional de Proteção de Dados (ANPD): 🔗 gov.br/anpd

16. Termo de Confidencialidade — Compromisso da aplicaia.tech

Em complemento aos demais compromissos, a aplicaia.tech declara expressamente perante seus usuários que:

Os dados inseridos por cada usuário são tratados em regime de absoluta confidencialidade, acessíveis apenas:
Pelo próprio usuário titular da conta
Por sistemas automatizados estritamente necessários à prestação do serviço
Por funcionários autorizados, em hipóteses excepcionais (suporte solicitado pelo usuário, investigação de fraude, ordem judicial), com registro formal em log de auditoria
Mecanismos técnicos de isolamento garantem que nenhum usuário possa, em qualquer hipótese, acessar dados de outro usuário, conforme detalhado na cláusula 2.
Funcionários, prestadores de serviço e terceiros com qualquer nível de acesso assinam Termo de Confidencialidade individual (NDA) com cláusulas de:
Sigilo perpétuo, mesmo após o término do vínculo
Multa contratual em caso de violação
Comunicação imediata em caso de suspeita de incidente
Devolução/eliminação de qualquer cópia de dado ao final do vínculo
Auditoria de acessos: todo acesso administrativo a dados de usuários é registrado com:
Identificação do funcionário
Justificativa do acesso
Timestamp
Dados acessados (categoria, não conteúdo)
Aprovação prévia do DPO em casos não-emergenciais
Ressarcimento: em caso de violação comprovada do dever de confidencialidade que cause prejuízo ao usuário, a Controladora se compromete a indenizar conforme as regras gerais de responsabilidade civil e o art. 42 da LGPD, sem prejuízo de medidas regulatórias e judiciais.

Última atualização: 28 de abril de 2026 Versão: 1.0