Política de Privacidade — IARA

Sumário

1. Identificação da Controladora e do Encarregado (DPO)
2. Glossário LGPD expandido
3. Escopo, aplicabilidade e relação com outras políticas
4. Dados pessoais coletados — inventário exaustivo
5. Fontes de coleta dos dados
6. Finalidades, dados e bases legais (tabela)
7. Sub-operadores e cadeia de tratamento
8. Transferência internacional de dados
9. Retenção e eliminação — tabela por categoria
10. Segurança da informação — controles técnicos e organizacionais
11. Notificação de incidentes (art. 48 LGPD)
12. Direitos do Titular (art. 18 LGPD) — guia completo
13. Cookies e tecnologias similares
14. Decisões automatizadas, revisão humana e perfilamento (art. 20)
15. IA generativa — fluxo de dados, ZDR, treinamento, abuso
16. Telemetria e logs de aplicação
17. Dados sensíveis (art. 11 LGPD) — aviso especial
18. Menores de idade
19. Marketing direto e comunicações
20. Anonimização, agregação e melhoria do produto
21. Backups, recuperação e propagação de exclusões
22. Portabilidade e exportabilidade dos dados
23. Contas inativas (conta-zumbi)
24. Compartilhamento com autoridades públicas
25. Denúncias de abuso e canal de whistleblower
26. Retenção pós-término do contrato
27. Canais externos (ANPD, Procon, consumidor.gov.br)
28. DPO — qualificação, contato e prazos
29. Compromissos da Operadora
30. Atualizações desta Política — versionamento
31. Disposições finais e foro
32. Contato

§1. Identificação da Controladora e do Encarregado

§1.1 Controladora (art. 5º, VI, LGPD). ATHENEO MENTORIA E CURSOS ACADÊMICOS LTDA., pessoa jurídica de direito privado, inscrita no CNPJ sob o nº 52.735.279/0001-55, com sede na ST SCN Quadra 02 Bloco D Loja 310 1º Pavimento, Parte 469, Escritório Virtual, CEP 70712-904, Brasília/DF, Brasil, atua como Controladora dos dados pessoais tratados na Plataforma IARA. A Controladora é a pessoa jurídica que toma as decisões referentes ao tratamento de dados, definindo, em particular, as finalidades, meios e bases legais de cada operação.

§1.2 Encarregado pelo Tratamento (Data Protection Officer — DPO). Nos termos do art. 41 da LGPD e do Regulamento ANPD nº 18/2024, a Operadora designou Encarregado para atuar como canal de comunicação entre a Controladora, os Titulares e a Autoridade Nacional de Proteção de Dados (ANPD), com as seguintes atribuições: (i) aceitar reclamações e comunicações dos Titulares; (ii) receber comunicações da ANPD e adotar providências; (iii) orientar funcionários e contratados sobre boas práticas; (iv) executar outras atribuições estabelecidas pela Controladora ou pela legislação.

§1.3 Contato do DPO. O Encarregado pode ser contatado pelo e-mail mentor@fabioportela.com.br, devendo o Titular indicar no assunto da mensagem "LGPD — Direito do Titular" ou similar, anexando os dados necessários para verificação de identidade (ver §12.3).

§1.4 Prazos de atendimento. O Encarregado responderá a qualquer manifestação no prazo de 15 (quinze) dias corridos contados do recebimento da solicitação completa (art. 19, §3º, LGPD), prazo este prorrogável por igual período em hipóteses de complexidade técnica ou volume excepcional, mediante justificativa fundamentada ao Titular antes do vencimento do prazo originário.

§1.5 Esfera administrativa. Caso o Titular não obtenha resposta satisfatória do Encarregado, poderá apresentar reclamação à ANPD (ver §27) ou aos órgãos de defesa do consumidor (Procon, consumidor.gov.br).

§1.6 Atuação como Controladora isolada. Para os tratamentos descritos nesta Política, a Operadora atua como Controladora isolada, salvo expressa indicação em contrário. A Operadora não desempenha papel de mero Operador para terceiros em relação aos dados aqui referidos, eximindo-se, todavia, de responsabilidade por tratamentos autônomos realizados por Sub-operadores fora das instruções contratuais.

§1.7 Endereço para correspondência formal. Comunicações de natureza extrajudicial ou judicial podem ser endereçadas à sede da Controladora indicada em §1.1. Notificações eletrônicas, contudo, são preferíveis e produzem todos os efeitos legais quando enviadas ao endereço do Encarregado.

§1.8 Idioma. Esta Política é redigida e tem como versão oficial o idioma português brasileiro. Traduções para outros idiomas podem ser disponibilizadas como cortesia, prevalecendo a versão portuguesa em caso de divergência.

§2. Glossário LGPD expandido

Para fins desta Política, os termos abaixo terão o significado a seguir, salvo quando o contexto exigir interpretação distinta. As referências ao "art. 5º" remetem à LGPD.

• ANPD. Autoridade Nacional de Proteção de Dados, autarquia federal vinculada à Presidência da República, com poderes de fiscalização, normatização e aplicação de sanções administrativas (arts. 55-A a 55-L LGPD).
• Anonimização (art. 5º, XI). Utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo. Dados anonimizados não são considerados dados pessoais (art. 12).
• Base Legal. Fundamento jurídico que autoriza o tratamento de dados pessoais, dentre os elencados no art. 7º (dados comuns) ou art. 11 (dados sensíveis) da LGPD.
• Consentimento (art. 5º, XII). Manifestação livre, informada e inequívoca pela qual o Titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. Deve ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do Titular (art. 8º).
• Controlador / Controladora (art. 5º, VI). Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. Nesta Política, a Operadora é a Controladora.
• Conteúdo do Usuário. Quaisquer textos, capítulos, projetos, arquivos PDF, DOCX, anotações e demais materiais que o Usuário cria, carrega, edita ou armazena na Plataforma.
• Dado Pessoal (art. 5º, I). Informação relacionada a pessoa natural identificada ou identificável.
• Dado Pessoal Sensível (art. 5º, II). Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
• Dado Pseudonimizado (art. 13, §4º). Dado que, após tratamento, não pode ser atribuído a Titular específico sem uso de informação adicional mantida separadamente e protegida por medidas técnicas e organizacionais.
• Decisão Automatizada (art. 20). Decisão tomada unicamente com base em tratamento automatizado de dados pessoais que afete interesses do Titular, incluindo decisões destinadas a definir perfil pessoal, profissional, de consumo e de crédito ou aspectos de sua personalidade.
• DPO / Encarregado (art. 5º, VIII). Pessoa indicada pela Controladora e Operadora para atuar como canal de comunicação entre eles, os Titulares e a ANPD.
• DPA (Data Processing Addendum). Aditivo contratual de tratamento de dados, geralmente firmado entre Controladora e Operadora/Sub-operador, contendo cláusulas obrigatórias de proteção.
• Eliminação (art. 5º, XIV). Exclusão de dado ou de conjunto de dados armazenados em banco de dados, independentemente do procedimento empregado.
• Embedding Vetorial. Representação numérica multidimensional (no caso, vetor de 768 dimensões em ponto flutuante) gerada a partir de um texto, utilizada para busca semântica. Em regra não permite reconstrução exata do texto original, mas é tratada como dado pessoal pseudonimizado quando associada a um Titular.
• Finalidade (art. 6º, I). Propósito legítimo, específico, explícito e informado ao Titular, para o qual o dado pessoal é tratado.
• Incidente de Segurança (art. 48). Evento adverso confirmado ou suspeito relacionado à violação de segurança que possa acarretar risco ou dano relevante aos Titulares.
• Legítimo Interesse (art. 10). Base legal segundo a qual o tratamento pode ocorrer para finalidades legítimas da Controladora ou de terceiro, em situações concretas que incluem apoio e promoção de atividades da Controladora ou proteção do Titular, desde que não prevaleçam seus direitos e liberdades fundamentais.
• Operador (art. 5º, VII). Pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do Controlador.
• RIPD (Relatório de Impacto à Proteção de Dados Pessoais, art. 5º, XVII). Documentação descritiva do tratamento que pode gerar riscos a liberdades civis e direitos fundamentais e contendo medidas, salvaguardas e mecanismos de mitigação.
• Sub-operador. Operador contratado pelo Operador principal para execução parcial das atividades de tratamento, sob autorização e cadeia de responsabilidade.
• Titular (art. 5º, V). Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.
• Transferência Internacional (art. 5º, XV; art. 33). Transferência de dados pessoais para país estrangeiro ou organismo internacional do qual o país seja membro.
• Tratamento (art. 5º, X). Toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
• Uso Compartilhado (art. 5º, XVI). Comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado por entes públicos e privados.
• ZDR (Zero Data Retention). Configuração contratual e técnica pela qual o provedor de IA se compromete a não reter, após o processamento da requisição, o conteúdo enviado pela Controladora, salvo para auditoria de abuso por prazo limitado.
• LIA (Legitimate Interest Assessment). Avaliação documentada da legitimidade do interesse, da necessidade do tratamento e do balanceamento com direitos e liberdades fundamentais do Titular.
• SCC (Standard Contractual Clauses). Cláusulas contratuais padrão, em especial as da Comissão Europeia (Decisão 2021/914), adotadas para legitimar transferências internacionais.
• BCR (Binding Corporate Rules). Regras corporativas vinculantes adotadas por grupos empresariais para tratamento transfronteiriço; ainda em desenvolvimento regulatório no Brasil.
• SAR (Subject Access Request). Pedido de acesso pelo Titular, exercício dos direitos do art. 18 LGPD.
• DSR (Data Subject Request). Termo guarda-chuva para qualquer requisição do Titular relacionada a seus dados.
• PII (Personally Identifiable Information). Termo da literatura técnica anglo-saxã frequentemente usado como sinônimo aproximado de dado pessoal.
• WAF (Web Application Firewall). Camada de proteção que filtra tráfego HTTP/S em busca de padrões maliciosos.
• RBAC (Role-Based Access Control). Controle de acesso baseado em papéis funcionais atribuídos a usuários internos.
• 2FA / MFA. Autenticação de dois ou múltiplos fatores; segundo fator tipicamente baseado em TOTP (RFC 6238).
• RTO / RPO. Tempo objetivo de recuperação após incidente / janela máxima de perda de dados aceitável em recuperação.

§3. Escopo, aplicabilidade e relação com outras políticas

§3.1 Escopo material. Esta Política aplica-se a todos os dados pessoais tratados pela Operadora em razão da oferta, acesso e uso da Plataforma IARA, incluindo, sem limitação, o website público, área autenticada, aplicações web, APIs internas, e-mails operacionais, comunicações de suporte e ações de marketing.

§3.2 Escopo territorial. Em conformidade com o art. 3º da LGPD, esta Política regula tratamentos: (i) realizados no território nacional; (ii) cuja atividade de tratamento tenha por objetivo a oferta de bens ou serviços a indivíduos localizados no território nacional; (iii) com dados pessoais coletados no território nacional. Aplicam-se, ainda, as regras de proteção mais favoráveis ao Titular quando residente em jurisdição com legislação mais rigorosa (e.g., RGPD/EU para residentes na União Europeia).

§3.3 Exclusões. Esta Política não se aplica a (i) sites e serviços de terceiros eventualmente acessados a partir de links na Plataforma — esses possuem políticas próprias; (ii) dados anonimizados que não permitam reidentificação razoável (art. 12); (iii) tratamento realizado por pessoa natural para fins exclusivamente particulares e não econômicos (art. 4º, I).

§3.4 Documentos correlatos. Esta Política deve ser lida em conjunto com os seguintes documentos, todos integrantes do conjunto contratual:

• Termos de Uso — condições de uso, propriedade intelectual, planos, créditos.
• Política de Cookies — inventário e configuração granular de cookies.
• Política de IA — capacidades, limitações, alucinação, responsabilidade acadêmica.
• Política de Segurança da Informação, quando publicada.

§3.5 Hierarquia. Em caso de divergência entre esta Política e qualquer outro documento contratual quanto a matéria de proteção de dados pessoais, prevalecerá o regramento mais protetivo ao Titular.

§3.6 Vinculação. O cadastro na Plataforma, o aceite em banners e modais e a continuidade no uso do Serviço após a publicação de versão atualizada equivalem a manifestação inequívoca de ciência desta Política, sem prejuízo do direito de oposição às mudanças materiais (§30.5).

§3.7 Conflitos de jurisdição. Sem prejuízo dos arts. 3º e 33 da LGPD, a Operadora observará obrigações concorrentes oriundas de outras legislações eventualmente aplicáveis (RGPD/EU, CCPA/Califórnia) somente na medida em que se sobreponham ao regime brasileiro mais protetivo ao Titular.

§3.8 Atualização da relação de políticas. A lista de documentos correlatos pode ser atualizada conforme o lançamento de novas funcionalidades (e.g., Política específica de Beta Tester, Política de Programa de Indicações). Atualizações materiais serão notificadas nos termos de §30.

§4. Dados pessoais coletados — inventário exaustivo

A coleta orienta-se pelo princípio da necessidade (art. 6º, III, LGPD), restringindo-se ao mínimo necessário para a realização das finalidades. As categorias abaixo descrevem o universo de dados que podem ser tratados; nem todo Titular terá todas as categorias coletadas.

§4.1 Dados de identificação e contato

• Obrigatórios: nome completo e endereço de e-mail.
• Opcionais: CPF (somente para emissão de NF-e), telefone celular, WhatsApp, endereço para faturamento, foto de perfil, biografia acadêmica.

§4.2 Dados de autenticação

• Senha (armazenada exclusivamente como hash bcrypt; nunca em texto claro; não conseguimos recuperá-la, apenas redefini-la).
• Tokens de sessão (JWT) e refresh tokens emitidos pelo Supabase Auth.
• Códigos TOTP de segundo fator (se 2FA ativado pelo Titular).
• Tokens OAuth (Google, Apple — quando o login social for habilitado).
• Histórico de logins (data, hora, IP truncado, user-agent, sucesso/falha).

§4.3 Perfil acadêmico

• Instituição-alvo e programa-alvo (ex.: PPG-X da Universidade Y).
• Nível desejado (mestrado, doutorado, especialização, livre-docência).
• Área e linha de pesquisa.
• Orientação(es) atual(is), quando informada(s).

§4.4 Conteúdo carregado pelo Titular

• Projetos de pesquisa, capítulos, anteprojetos, dissertações, teses, artigos científicos.
• PDFs de bibliografia, fichamentos, anotações.
• Arquivos DOCX, TXT, Markdown carregados via Editor.
• Mensagens enviadas em chats com agentes de IA da Plataforma.
• Imagens, gráficos e tabelas embutidos em documentos.

§4.5 Conteúdo gerado pela IA

• Textos produzidos por Avaliador Rigoroso, Mentor PENCER, Copywriting, Chat, Agente de Referências e Editor assistido.
• Históricos de iteração (versões sucessivas, comentários de revisão).
• Saídas estruturadas (JSON, listas, rubricas) retornadas pelos modelos.

§4.6 Embeddings vetoriais

Para viabilizar busca semântica em bibliografia e geração contextualizada, a Operadora calcula embeddings vetoriais de 768 dimensões dos trechos de documentos do Titular, armazenando-os em coluna vector no banco com Row Level Security. Embora estatisticamente não invertíveis, são tratados como dado pessoal pseudonimizado e estão sujeitos aos direitos do Titular.

§4.7 Histórico de análises

• Metadados de cada análise (data, modelo usado, créditos consumidos, status).
• Conteúdo da análise (entrada e saída — armazenado no banco e vinculado ao Titular).
• Avaliações qualitativas emitidas pelo Titular sobre a análise (feedback opcional).

§4.8 Dados financeiros e fiscais

• Histórico de compras de Créditos, Pacotes e Assinaturas.
• Identificador único Stripe (customer_id, payment_intent_id).
• Valor, moeda, método (cartão, PIX, boleto), status (sucesso, falha, estorno).
• Notas fiscais eletrônicas emitidas (NF-e) e respectivo XML.
• Dados de cartão (PAN, CVV, validade) NÃO são acessados, transmitidos ou armazenados pela Operadora — fluem diretamente do navegador do Titular ao gateway Stripe via tokenização PCI-DSS.

§4.9 Dados técnicos, de dispositivo e de rede

• Endereço IP (mascarado quando possível: últimos octetos zerados para fins de analytics).
• User-agent (navegador, versão, sistema operacional).
• Resolução de tela, fuso horário, idioma do navegador.
• Identificadores de sessão (cookies necessários — ver Política de Cookies).
• Logs de requisição: data/hora UTC, rota acessada, código HTTP, latência, bytes trocados.

§4.10 Telemetria de produto

• Eventos pseudonimizados (login, clique em CTA, abertura de modal, geração de análise, erro do cliente).
• Funil de conversão e retenção.
• Tempo de permanência por rota.
• Métricas de IA por usuário (não inclui o texto trocado): tokens de entrada, tokens de saída, modelo, latência, créditos consumidos, custo.

§4.11 Registros de consentimento (consent_logs)

• Versão do documento aceito (Termos, Privacidade, IA, Cookies).
• Data, hora e fuso horário do aceite.
• IP mascarado (apenas /24 ou /48).
• User-agent.
• Origem do consentimento (signup, banner, modal pré-IA, página da conta).
• Hash criptográfico do documento (para integridade e detecção de alteração).

§4.12 Dados de comunicação e suporte

• Comunicações inbound: e-mails, formulários, mensagens em chat de suporte enviadas pelo Titular.
• Comunicações outbound: e-mails transacionais (boas-vindas, confirmação, fatura, alertas) e e-mails de marketing (apenas com opt-in).
• Histórico de atendimentos, observações internas, classificação do ticket.
• Pesquisas de satisfação (CSAT, NPS) respondidas.

§4.13 Dados de denúncia, abuso e moderação

• Denúncias recebidas (de terceiros ou de outros Usuários) contra um Titular.
• Resultado da apuração interna, decisão de moderação, sanções aplicadas.
• Logs de comportamento suspeito (tentativas de prompt injection, abuso de rate limit, fraude transacional).
• Dados de listas de bloqueio (e-mails, IPs, métodos de pagamento) por motivos de fraude.

§4.14 Dados pessoais sensíveis

A Plataforma não solicita dados pessoais sensíveis (art. 5º, II) em campos próprios. Caso o Titular insira tais dados em projetos (ex.: pesquisa em saúde com dados de pacientes), o tratamento ocorrerá exclusivamente com base no consentimento específico e destacado manifestado no momento do upload (art. 11, II, "a" LGPD). Veja §17 para o aviso específico.

§4.15 Inventário consolidado — tabela exaustiva

A tabela a seguir consolida o universo de categorias tratadas, com finalidades vinculadas e bases legais.

§5. Fontes de coleta dos dados

• §5.1 Diretamente do Titular: formulários de cadastro, login, recuperação de senha, edição de perfil, criação de projetos, uploads, chats e configurações.
• §5.2 Automaticamente, em razão do acesso: via servidores web e instrumentação interna (IP, user-agent, eventos, logs de aplicação e de IA).
• §5.3 De Sub-operadores e parceiros: a Stripe nos retorna confirmação de pagamento (sem dados de cartão); o Supabase Auth nos retorna o resultado da autenticação; serviços de OAuth (Google/Apple), quando habilitados, retornam nome e e-mail mediante consentimento expresso do Titular no provedor.
• §5.4 De fontes públicas: em casos excepcionais e devidamente registrados em RIPD, dados de fontes manifestamente públicas (art. 7º, IV, e art. 11, §4º LGPD) podem ser tratados para verificação de identidade ou prevenção a fraude, observados os princípios da finalidade e da minimização.
• §5.5 De terceiros denunciantes: em apuração de denúncias de abuso (ver §25), pode-se coletar dados sobre o Titular denunciado fornecidos pelo denunciante, sempre com fundamento em legítimo interesse e contraditório posterior.

§5.6 Princípio da minimização aplicado à coleta. Em qualquer canal, a Operadora coleta apenas os dados pessoais estritamente necessários ao atingimento das finalidades vinculadas, evitando coletas excedentes, redundantes ou exploratórias.

§5.7 Verificação da legitimidade da fonte. Quando o dado for fornecido por terceiro, a Operadora pondera a legitimidade da fonte e a expectativa razoável do Titular, podendo recusar o tratamento se houver dúvida razoável quanto à licitude.

§5.8 Conteúdo carregado por procuradores. Quando um terceiro autorizado (e.g., orientador, assessor) carrega conteúdo em nome do Titular, presume-se autorização expressa do Titular, sem prejuízo de eventual contestação por este último.

§6. Finalidades, dados e bases legais

Cada operação de tratamento é vinculada a uma finalidade específica, explícita e legítima e a uma base legal determinada, em estrita observância aos arts. 6º, 7º e 11 da LGPD. A tabela abaixo apresenta o mapa completo das finalidades atuais.

A Operadora mantém Avaliação de Legítimo Interesse (LIA) e Relatório de Impacto à Proteção de Dados (RIPD) para os tratamentos baseados no art. 7º, IX, disponibilizando-os à ANPD mediante requisição (art. 10, §3º).

§7. Sub-operadores e cadeia de tratamento

§7.1 Princípios. A Operadora compartilha dados pessoais exclusivamente: (i) com Sub-operadores estritamente necessários à prestação do Serviço, sob contrato (DPA) com cláusulas vinculantes de proteção; (ii) com autoridades públicas em cumprimento a ordem legal ou judicial; (iii) em operações societárias, com manutenção das obrigações de proteção; (iv) com consentimento específico do Titular para finalidade ali declarada.

§7.2 Diligência prévia. Todo Sub-operador é submetido a due diligence de segurança e privacidade antes de sua contratação, incluindo avaliação de: (a) certificações de segurança (ISO 27001, SOC 2 Type II, PCI-DSS, HIPAA quando aplicável); (b) política de tratamento; (c) localização geográfica e jurisdições aplicáveis; (d) histórico de incidentes; (e) capacidade de honrar direitos do Titular.

§7.3 Lista exaustiva de Sub-operadores (atualizada em 17/05/2026):

§7.4 Mudança de Sub-operadores. A inclusão, substituição ou remoção de Sub-operador que envolva alteração material de risco (e.g., nova categoria de dados, nova jurisdição, novo modelo de IA) será comunicada por e-mail aos Usuários ativos com antecedência mínima de 30 (trinta) dias, garantida ao Titular a faculdade de manifestar oposição (que poderá implicar inviabilização do Serviço, total ou parcial) e/ou solicitar exclusão da Conta com restituição proporcional, se aplicável.

§7.5 Não-venda; não-uso para treinamento. A Operadora não vende dados pessoais, não os compartilha com data brokers, não os utiliza para treinamento de modelos próprios ou de terceiros, e não permite uso publicitário direcionado por Sub-operadores fora das finalidades aqui declaradas.

§7.6 Auditoria. A Operadora reserva-se o direito de auditar Sub-operadores quando contratualmente previsto, mediante notificação prévia, e exige relatório anual de conformidade dos parceiros principais (Anthropic, Google, Stripe, Supabase, Vercel).

§7.7 Critérios para escolha. A escolha de novos Sub-operadores observa, em adição à due diligence, os seguintes critérios: (i) maturidade do programa de privacidade do fornecedor; (ii) histórico em fóruns públicos (CVEs, vazamentos públicos, sanções regulatórias); (iii) compromisso com retenção mínima e ZDR quando aplicável; (iv) localização geográfica preferencial; (v) capacidade técnica de honrar prazos da LGPD.

§7.8 Encerramento de Sub-operador. Encerrada a relação com determinado Sub-operador, exigem-se: devolução ou eliminação certificada dos dados; revogação de chaves de API e credenciais; comunicação a Titulares quando o encerramento implicar mudança material; migração ordenada quando necessária.

§7.9 Sub-suboperadores. Os Sub-operadores contratam, por sua vez, terceiros (e.g., AWS, GCP, datacenters físicos). A Operadora exige que tais terceiros adotem padrões de proteção equivalentes ou superiores, mediante flow-down contratual obrigatório.

§8. Transferência internacional de dados

§8.1 Hipóteses (art. 33 LGPD). Diversos Sub-operadores estão localizados fora do Brasil, em especial nos Estados Unidos e em países da União Europeia. Configura-se, portanto, transferência internacional de dados pessoais nos termos do art. 5º, XV LGPD.

§8.2 Bases adotadas. A transferência fundamenta-se cumulativamente em:

• Cláusulas-padrão contratuais (art. 33, II, "a"): a Operadora adota como safe-harbor contratual as Standard Contractual Clauses (SCC) da Comissão Europeia (Decisão 2021/914) firmadas com cada Sub-operador relevante, mediante flow-down a esta Operadora;
• Execução de contrato com o Titular (art. 33, IX): a transferência é necessária para a prestação do Serviço solicitado;
• Cumprimento de obrigação legal (art. 33, II): quando aplicável (e.g., obrigações fiscais com NF-e via Stripe);
• Consentimento específico (art. 33, VIII): em hipóteses pontuais devidamente sinalizadas ao Titular.

§8.3 Decisão de adequação. Até a presente data, a ANPD ainda não publicou lista oficial de países com nível de proteção de dados adequado ao do Brasil (art. 34 LGPD). Assim, a Operadora adota, supletivamente, cláusulas-padrão contratuais equivalentes às SCC e due diligence técnica, sem prejuízo de revisão integral desta Política quando a ANPD vier a editar referida lista ou cláusulas-padrão próprias.

§8.4 Garantias mínimas. Independentemente do país de processamento, todos os Sub-operadores garantem, contratualmente, padrões equivalentes ou superiores aos exigidos pela LGPD: criptografia em trânsito (TLS 1.2+; preferencialmente TLS 1.3) e em repouso (AES-256), controle de acesso, autenticação multifator, registros de auditoria, gestão de incidentes e notificação obrigatória.

§8.5 Acesso governamental estrangeiro. A Operadora não tem controle direto sobre eventuais requisições de autoridades estrangeiras a Sub-operadores. Contratualmente, exige-se que o Sub-operador: (i) conteste judicialmente requisições amplas ou desproporcionais; (ii) notifique a Operadora salvo proibição legal; (iii) limite a divulgação ao estritamente exigido. A Operadora, por sua vez, notificará o Titular afetado sempre que possível.

§8.6 Brexit, transferências para o Reino Unido e outros países sem decisão de adequação seguem o mesmo regime de SCC + due diligence.

§8.7 Lista positiva de jurisdições preferenciais. Sempre que tecnicamente possível, a Operadora prefere Sub-operadores que processem dados em jurisdições com legislação de proteção compatível à LGPD, em especial Estados-membros da União Europeia. Configurações regionais são adotadas (e.g., banco do Supabase em Frankfurt; Sentry em Frankfurt; PostHog próprio em Frankfurt).

§8.8 Subjacência ao consentimento informado. O Titular, ao cadastrar-se e ao aceitar esta Política, declara-se ciente da ocorrência de transferências internacionais nos termos do art. 33, IX LGPD, sendo-lhe asseguradas as garantias mínimas aqui descritas.

§8.9 Direito de revogação. Quando o consentimento for a base utilizada para a transferência (art. 33, VIII), poderá ser revogado a qualquer tempo, com consequência inevitável de descontinuação do serviço dependente do Sub-operador objeto da revogação. Hipóteses fundadas em execução de contrato e obrigação legal não comportam revogação isolada — comportam, no máximo, encerramento da relação contratual com a Operadora.

§8.10 Documentação. A Operadora mantém matriz de transferências internacionais, com mapeamento de fluxos, bases, garantias e responsáveis, disponibilizável à ANPD mediante solicitação.

§9. Retenção e eliminação

Tratamos os dados pelo tempo estritamente necessário às finalidades declaradas, observadas as obrigações legais e o exercício regular de direitos. Findos os prazos, os dados são eliminados ou anonimizados em ciclos sucessivos.

§9.1 Backups. Backups são criptografados (AES-256) e rotacionados em ciclo de 30 dias. Pedidos de exclusão exercidos pelo Titular se propagam aos backups na próxima rotação, em até 90 dias (RPO: 24h; RTO: 4h em condições normais).

§9.2 Anonimização. Dados podem ser conservados de forma anonimizada para fins estatísticos, de pesquisa e melhoria do Serviço (art. 12 c.c. art. 6º, IV LGPD). Nessa forma, são considerados fora do escopo de dado pessoal.

§9.3 Eliminação efetiva. Eliminação significa exclusão lógica e progressiva exclusão física, em ciclos sucessivos de purga, com confirmação ao Titular quando solicitada.

§9.4 Bloqueio (art. 6º, IX). Em hipóteses em que a eliminação não seja imediatamente possível (e.g., obrigação legal residual), o dado pode ser bloqueado — tornado indisponível para tratamento ulterior — até a sua eliminação definitiva ao fim do prazo legal.

§9.5 Critérios de necessidade. A determinação do prazo observa: (i) finalidade declarada; (ii) lei aplicável; (iii) interesse legítimo objetivamente fundamentado; (iv) expectativa razoável do Titular; (v) risco residual.

§9.6 Revisão periódica. A tabela de retenção é revisada anualmente pelo DPO, em conjunto com áreas técnica, fiscal e jurídica, sendo eventuais alterações materiais comunicadas ao Titular nos termos de §30.

§10. Segurança da informação

Em observância ao art. 46 da LGPD, à NBR ISO/IEC 27001, ao Decreto 11.491/2023 (Estratégia Nacional de Segurança Cibernética) e aos princípios de privacy by design, a Operadora adota o seguinte conjunto não exaustivo de medidas técnicas e organizacionais:

§10.1 Criptografia

• TLS 1.3 obrigatório para todas as comunicações cliente-servidor; TLS 1.2 mantido apenas para clientes legados, com HSTS habilitado e preload.
• AES-256 para criptografia at-rest no banco de dados PostgreSQL e no Object Storage do Supabase.
• Chaves gerenciadas via KMS dos provedores cloud, com rotação programada.

§10.2 Controle de acesso

• Row Level Security (RLS) em todas as tabelas relevantes do Supabase: cada Usuário acessa apenas seus dados via policies auth.uid() = user_id.
• Hash de senhas com bcrypt (custo configurável) pelo Supabase Auth; senhas nunca trafegam ou repousam em texto claro.
• 2FA opcional via TOTP (RFC 6238) para Titulares; obrigatório para contas administrativas internas.
• Princípio do menor privilégio: roles de banco distintas para web, serviço e admin; segregação de credenciais via variáveis de ambiente cifradas.
• Acesso a dados de produção pela equipe interna restrito a VPN corporativa + MFA + auditoria de comandos; sessões administrativas registradas em admin_audit.

§10.3 Proteção de aplicação

• WAF e proteção anti-DDoS via Cloudflare/Vercel Edge.
• Rate limiting por usuário e por IP: 10 req/min em endpoints sensíveis, 3 req/min em signup, limites maiores em endpoints de leitura.
• CSP, X-Frame-Options, Referrer-Policy, Permissions-Policy configurados.
• Validação de input com Zod no servidor e no cliente; sanitização de HTML quando renderizado.
• Proteção contra CSRF, XSS, SQL Injection (uso de Prisma/queries parametrizadas).

§10.4 Engenharia segura

• Dependabot e atualização automática de dependências.
• SAST (análise estática) em pipeline CI; revisão de código obrigatória em pull requests.
• Secret scanning em repositórios.
• Pentest anual planejado por empresa especializada (intenção de contratação documentada; relatório sob NDA).
• Princípios privacy by design, privacy by default, minimização, finalidade e necessidade integrados ao processo de desenvolvimento.

§10.5 Continuidade do negócio

• Backup automático diário cifrado, com retenção de 30 dias.
• Plano de resposta a incidentes documentado, com responsáveis, fluxos, prazos e modelos de comunicação.
• Testes periódicos de disaster recovery.

§10.6 Governança

• Política Interna de Segurança e Privacidade, treinamentos periódicos da equipe.
• Acordos de confidencialidade (NDA) com colaboradores e fornecedores.
• Comitê de Privacidade interno presidido pelo DPO.
• RIPDs documentados para tratamentos de risco elevado.

§10.7 Hipóteses específicas de risco e mitigação

• Vazamento de banco: RLS, criptografia at-rest, rotação de chaves, monitoramento ativo de queries anômalas.
• Acesso indevido por colaborador: RBAC + VPN + 2FA + auditoria imutável; revogação imediata de credenciais ao desligamento; just-in-time access com aprovação.
• Comprometimento de Sub-operador: obrigação contratual de notificação em 24h; plano de resposta acionado; comunicação a Titulares e à ANPD.
• Uso indevido para treinamento de IA: ZDR contratual; opt-out de treinamento; auditoria amostral; rescisão imediata em violação.
• Conta hackeada: 2FA opcional incentivado; e-mails de novo login em dispositivo desconhecido; bloqueio reativo; restauração assistida pelo suporte.
• Decisão automatizada injusta: revisão humana garantida (§14).
• Requisição de autoridade sem ordem judicial: contestação; notificação do Titular salvo proibição.
• Marketing não solicitado: opt-in granular; one-click unsubscribe; auditoria de campanhas.
• Vazamento por engenharia social de funcionário: treinamentos periódicos de phishing awareness; canal seguro de denúncia interna; rotação de credenciais.
• Comprometimento de pipeline CI/CD: separação de segredos por ambiente; assinatura de artefatos; least privilege em runners; revisão obrigatória de mudanças em workflows.

§10.8 Métricas de segurança

A Operadora acompanha indicadores internos como número de incidentes detectados, tempo médio de detecção (MTTD), tempo médio de resposta (MTTR), cobertura de 2FA entre Titulares, percentual de dependências atualizadas, taxa de falhas em secret scanning e número de revisões de código por pull request, com vistas a melhoria contínua.

§11. Notificação de incidentes (art. 48 LGPD)

§11.1 Conceito. Considera-se incidente de segurança o evento adverso confirmado ou suspeito relacionado à violação da confidencialidade, integridade ou disponibilidade de dados pessoais que possa acarretar risco ou dano relevante aos Titulares (e.g., acesso indevido, vazamento, perda, indisponibilidade).

§11.2 Prazo. A Operadora comunicará à ANPD e aos Titulares afetados em prazo razoável, observado o limite de 72 (setenta e duas) horas a contar do conhecimento do incidente, conforme entendimento ANPD (Resolução CD/ANPD nº 15/2024), prorrogável por justificativa fundamentada quando indispensável à apuração.

§11.3 Conteúdo da comunicação (art. 48, §1º LGPD). A notificação conterá, no mínimo:

• Descrição da natureza dos dados pessoais afetados;
• Informações sobre os Titulares envolvidos (categorias, número aproximado);
• Indicação das medidas técnicas e de segurança utilizadas para proteção dos dados;
• Riscos relacionados ao incidente;
• Motivos da demora, quando aplicável;
• Medidas adotadas e a adotar para reverter ou mitigar os efeitos.

§11.4 Canal de reporte pelo Titular. O Titular que tenha conhecimento de potencial incidente pode reportá-lo ao DPO em mentor@fabioportela.com.br com o assunto "Incidente de Segurança".

§11.5 Modelo de comunicação ao Titular. A Operadora utiliza modelo padronizado de comunicado contendo: cabeçalho identificando a Operadora, data do incidente, data da descoberta, categorias afetadas, riscos potenciais, medidas adotadas, recomendações ao Titular (e.g., troca de senha, monitoramento), canal para esclarecimentos.

§11.6 Sub-operador comprometido. Em caso de incidente em Sub-operador, a Operadora exige notificação imediata (em prazo não superior a 24h) por contrato; conduzirá apuração paralela e notificará a ANPD e os Titulares como se o incidente fosse próprio.

§11.7 Modelo de comunicado. A título exemplificativo, o comunicado segue a seguinte estrutura:

[Logo IARA]
Comunicado de Incidente de Segurança — LGPD art. 48

Identificação: ATHENEO MENTORIA E CURSOS ACADÊMICOS LTDA. (Plataforma IARA)
Data do incidente: [DD/MM/AAAA]
Data da descoberta: [DD/MM/AAAA]
Natureza: [descrição factual]

Dados afetados:
- Categorias: [identificação | contato | autenticação | conteúdo | financeiros | …]
- Volume estimado: [número aproximado]

Riscos potenciais:
- [phishing direcionado | engenharia social | uso indevido de credenciais | …]

Medidas adotadas:
- [contenção, recuperação, hardening, comunicação interna, …]

Recomendações ao Titular:
- Alterar imediatamente sua senha.
- Habilitar 2FA.
- Monitorar comunicações suspeitas em nome da IARA.

Canal: mentor@fabioportela.com.br — DPO

§11.8 Registro. Toda comunicação de incidente é arquivada por prazo prescricional para fins de prestação de contas e eventual reapuração pela ANPD.

§11.9 Avaliação de risco e gradação. Em incidentes de baixo risco residual (após mitigação imediata), a Operadora pode dispensar a comunicação aos Titulares, fundamentando a decisão em registro interno, sempre comunicando a ANPD quando o risco em abstrato for relevante, na linha do entendimento da Resolução CD/ANPD nº 15/2024.

§12. Direitos do Titular (art. 18 LGPD)

O Titular pode, a qualquer tempo e gratuitamente, exercer os direitos abaixo. Para cada um, descreve-se a forma de exercício, o prazo de resposta e os possíveis limites.

§12.1 Direitos previstos

I — Confirmação da existência de tratamento (art. 18, I). O Titular pode requerer confirmação de que a Operadora trata dados a seu respeito. Forma: e-mail ao DPO com identificação. Prazo: 15 dias. Limites: nenhum, salvo verificação de identidade.

II — Acesso aos dados (art. 18, II). Obtenção de cópia em formato simplificado (imediato) ou em declaração clara e completa, em formato eletrônico estruturado. Forma: e-mail ao DPO ou botão "Exportar meus dados" em /conta → Privacidade & Consentimentos. Prazo: 15 dias. Limites: dados de terceiros não são revelados; segredos de negócio podem ser preservados.

III — Correção (art. 18, III). Correção de dados incompletos, inexatos ou desatualizados. Forma: diretamente no painel da Conta para a maioria dos campos, ou pelo DPO. Prazo: 15 dias. Limites: dados sob obrigação legal não podem ser alterados.

IV — Anonimização, bloqueio ou eliminação (art. 18, IV) de dados desnecessários, excessivos ou tratados em desconformidade. Forma: DPO. Prazo: 15 dias. Limites: exceções do art. 16 LGPD (cumprimento de obrigação legal, estudo por entidade de pesquisa, exercício regular de direitos).

V — Portabilidade (art. 18, V). Receber os dados em formato estruturado, interoperável e legível por máquina (JSON), acompanhado de dicionário de campos. Forma: botão "Exportar meus dados" ou DPO. Prazo: 15 dias. Limites: segredos comercial e industrial; portabilidade direta a outro fornecedor depende de regulamentação setorial.

VI — Eliminação dos dados tratados com base no consentimento (art. 18, VI), ressalvadas as hipóteses do art. 16. Forma: botão "Excluir minha Conta" ou DPO. Prazo: 15 dias para confirmação; 30 dias de janela soft delete; até 90 dias para propagação aos backups.

VII — Informação sobre entidades públicas e privadas (art. 18, VII) com as quais a Operadora realizou uso compartilhado de dados. Forma: presente nesta Política (§7) e por solicitação ao DPO para extrato consolidado.

VIII — Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa (art. 18, VIII). Cada vez que o consentimento for solicitado, informaremos o impacto de sua negativa.

IX — Revogação do consentimento (art. 18, IX; art. 8º, §5º). Forma: botão de descadastro em e-mails de marketing; banner de cookies; DPO para revogações específicas. Prazo: imediato, com efeito ex nunc; tratamentos passados permanecem válidos.

X — Revisão de decisões automatizadas (art. 18, IX c.c. art. 20). Ver §14.

XI — Petição em face do Controlador perante a ANPD (art. 18, par. único, IV). Ver §27.

§12.2 Como exercer

Envie e-mail para mentor@fabioportela.com.br com o assunto "Direito do Titular — [direito invocado]", indicando: (i) seu nome completo e e-mail cadastrado; (ii) o direito invocado; (iii) breve descrição do pedido; (iv) eventuais anexos comprobatórios. Para alguns direitos, o painel da Conta dispõe de botões self-service em /conta → Privacidade & Consentimentos.

§12.3 Verificação de identidade

Para evitar que terceiros exerçam direitos em nome alheio, podemos solicitar elementos adicionais de verificação (e.g., responder pelo e-mail cadastrado, confirmar dados conhecidos da Conta, ou, excepcionalmente, documento de identificação). Documentos enviados são tratados sob estrita confidencialidade e eliminados após a conclusão do procedimento.

§12.4 Recurso

Não obtendo resposta ou dela discordando, o Titular pode apresentar reclamação à ANPD (ver §27) e/ou recorrer aos órgãos de defesa do consumidor.

§12.5 Gratuidade e periodicidade

O exercício dos direitos do Titular é gratuito. Em casos de pedidos manifestamente infundados, excessivos ou repetitivos por um mesmo Titular em curto intervalo, a Operadora reserva-se o direito de, fundamentadamente, cobrar custo administrativo razoável ou recusar o pedido, sempre comunicando os motivos por escrito.

§12.6 Representação

O Titular pode ser representado por procurador legalmente constituído, por seu inventariante ou herdeiros (no caso de Titular falecido, observado o regramento sucessório), ou por seu representante legal (no caso de incapaz). Em qualquer caso, exigir-se-á comprovação documental do vínculo de representação.

§12.7 Modelo de pedido

O Titular pode utilizar o modelo a seguir:

Para: mentor@fabioportela.com.br
Assunto: Direito do Titular — [confirmação | acesso | correção | eliminação | portabilidade | revogação | revisão humana]

Eu, [nome completo], titular do e-mail [e-mail cadastrado], com base no art. 18 da LGPD, requeiro:

[descrição do pedido]

Anexos: [documentos comprobatórios, se houver]

Data: [DD/MM/AAAA]
Assinatura: [nome completo]

§12.8 Conservação de prova do atendimento

A Operadora conserva, pelo prazo prescricional, o registro dos pedidos recebidos e das respostas fornecidas, como elemento de accountability (art. 6º, X LGPD).

§13. Cookies e tecnologias similares

§13.1 Categorias. A Plataforma utiliza cookies, local storage, session storage e tecnologias correlatas em três categorias: necessários (sem opt-out, indispensáveis ao funcionamento), análise (opt-in granular) e marketing (opt-in granular).

§13.2 Cookies essenciais resumidos. Sem prejuízo do inventário completo na Política de Cookies:

• sb-access-token, sb-refresh-token — autenticação Supabase.
• __Host-csrf — proteção CSRF.
• iara-consent — armazena a preferência de cookies do Titular.
• iara-theme — preferência de tema (claro/escuro).

§13.3 Cookies de terceiros. Alguns Sub-operadores podem setar cookies próprios (Stripe Checkout, ferramentas de e-mail). Esses cookies são regulados pelas políticas do respectivo Sub-operador e listados na Política de Cookies. Referência cruzada com §7 desta Política.

§13.4 Gerenciamento. O Titular pode revisar e alterar preferências a qualquer tempo no banner de cookies, na página de Conta, ou nas configurações do navegador. Para detalhamento integral, ver a Política de Cookies.

§13.5 Tecnologias correlatas. Além dos cookies, a Operadora pode utilizar (a) local storage para preferências e cache de UI; (b) session storage para estado transitório; (c) web beacons / pixels em e-mails transacionais (medição de abertura), sempre mediante consentimento quando exigido; (d) fingerprinting de dispositivo é expressamente vedado pela Operadora para fins de identificação cruzada.

§13.6 Do Not Track. A Plataforma respeita sinais "Global Privacy Control" (GPC) e "Do Not Track" (DNT) emitidos pelo navegador, equiparando-os a recusa de cookies não-essenciais.

§13.7 Banner de consentimento. O banner é exibido na primeira visita, registra a escolha em iara-consent e em consent_logs, e pode ser reexibido a qualquer momento por meio de botão fixo no rodapé ("Preferências de cookies").

§13.8 Retenção das preferências. A preferência de cookies persiste por até 12 meses; ao expirar, o banner reabre para revalidação consciente.

§13.9 Atualização. Quaisquer alterações materiais à lista de cookies (e.g., novo cookie de marketing) requerem novo banner com consentimento explícito.

§14. Decisões automatizadas e revisão humana (art. 20 LGPD)

§14.1 Natureza não-vinculante. As análises produzidas pela Plataforma (Avaliador Rigoroso, Mentor PENCER, Copywriting, Chat, Editor) têm caráter pedagógico e consultivo. Não constituem decisão automatizada com efeitos jurídicos sobre o Titular: não aprovam ou reprovam o Titular em concurso, processo seletivo, banca, contratação, crédito ou qualquer direito; apresentam sugestões, análises e ranqueamentos que cabem ao Titular aceitar, modificar ou rejeitar livremente.

§14.2 Direito a revisão humana. Ainda que sem efeito vinculante, em respeito ao art. 20, caput, LGPD, o Titular tem o direito de solicitar revisão humana de qualquer análise considerada inadequada, mediante pedido fundamentado ao DPO em mentor@fabioportela.com.br com o assunto "Revisão Humana — Análise [ID]". Prazo de resposta: 15 dias úteis. Forma: análise por especialista humano da Operadora; envio de parecer fundamentado; correção da análise quando cabível.

§14.3 Informação sobre critérios (art. 20, §1º). Mediante requisição ao DPO, o Titular pode receber informações claras e adequadas sobre os critérios e procedimentos usados, observadas as proteções a segredo comercial e industrial:

• Avaliador Rigoroso: rubrica baseada em dimensões acadêmicas (clareza, problema de pesquisa, justificativa, fundamentação teórica, metodologia, viabilidade, originalidade, escrita); pontuação por dimensão; comentários específicos.
• Mentor PENCER: aplica o método PENCER (Problema, Estado-da-arte, Necessidade, Contribuição, Estratégia, Resultado) para guiar a redação.
• Copywriting: diretrizes de estilo acadêmico, coesão, coerência, tom.
• Chat / Editor: contexto do documento e instruções do Titular como entrada principal.

§14.4 Mitigação de vieses. A Operadora adota: (i) revisão por especialistas humanos de amostras representativas; (ii) ensaios A/B controlados; (iii) prompts versionados em controle de versão com histórico de alterações; (iv) feedback contínuo dos Titulares; (v) auditoria periódica de saídas para detecção de vieses sistemáticos.

§14.5 Não-perfilamento publicitário. A Operadora não realiza perfilamento para fins publicitários direcionados; o analytics interno é agregado/pseudonimizado e destina-se exclusivamente à melhoria de produto.

§14.6 Auditoria pela ANPD (art. 20, §2º). A Operadora poderá realizar, mediante requisição da ANPD, auditoria para verificação de aspectos discriminatórios em tratamento automatizado, preservados o segredo comercial e industrial.

§14.7 Canal específico de revisão humana — modelo de pedido. O Titular pode submeter o seguinte modelo:

Para: mentor@fabioportela.com.br
Assunto: Revisão Humana — Análise [ID]

Eu, [nome], requeiro, com base no art. 20 da LGPD, a revisão humana
da análise de ID [ID], gerada em [data], pelos seguintes motivos:

1. [descrição da inadequação percebida]
2. [trechos específicos da análise contestados]
3. [resultado esperado]

Aguardo retorno fundamentado no prazo de 15 dias úteis.

§14.8 Confidencialidade da revisão. O conteúdo submetido à revisão humana é tratado sob confidencialidade pelos especialistas envolvidos, com registro de quem acessou e quando, em admin_audit.

§14.9 Resultado. O resultado pode confirmar a análise original, propor alterações, ou recomendar nova geração de análise com prompts ajustados, sem prejuízo de eventual restituição de créditos consumidos se a análise for considerada inadequada por falha técnica.

§15. IA generativa — fluxo de dados, ZDR, treinamento, abuso

§15.1 O que sai da nossa infraestrutura para o provedor de IA. Quando o Titular solicita uma análise:

• Prompt: o texto da instrução montado pela Operadora.
• Contexto: trechos selecionados do Conteúdo do Usuário pertinentes à tarefa (não o repositório inteiro).
• Instruções de sistema: prompt mestre versionado da Operadora.
• Configurações: modelo, temperatura, max tokens, ferramentas habilitadas.

§15.2 O que NÃO sai. Dados pessoais não diretamente necessários ao prompt, dados financeiros, senhas, tokens, metadados administrativos, e quaisquer dados de outros Titulares.

§15.3 ZDR — Zero Data Retention (Anthropic). A Operadora envia o cabeçalho contratual anthropic-data-retention-zero em todas as requisições ao endpoint da Anthropic. Como resultado:

• O conteúdo do prompt e da resposta não é retido pela Anthropic após o término da requisição;
• O conteúdo não é utilizado para treinamento de modelos da Anthropic;
• Limitação: conforme política pública da Anthropic, mesmo com ZDR, logs reduzidos podem ser mantidos por até 30 dias para fins de abuse review em casos de suspeita de violação de Acceptable Use Policy; tais logs ficam sob acesso restrito da equipe de trust & safety da Anthropic e não são usados para treino.

§15.4 Google Gemini. Para o Gemini (Vertex AI / AI Studio), a Operadora adota a configuração de opt-out de uso para treinamento (disponível na API do tier pago). Aplicam-se limitações análogas ao ZDR: o Google pode manter logs por período limitado para auditoria de abuso. O processamento ocorre preferencialmente em região da UE, quando disponível.

§15.5 Embeddings. A geração de embeddings via Gemini segue regime equivalente: opt-out de treinamento, transferência sob SCC, armazenamento dos vetores resultantes no banco da Operadora (não no Google).

§15.6 Não-treinamento. Por contrato e por configuração técnica, nenhum Sub-operador de IA usa o Conteúdo do Usuário para treinar modelos próprios ou de terceiros. A Operadora também não usa o Conteúdo do Usuário para treinar modelos próprios; eventuais melhorias de prompt usam dados anonimizados ou casos hipotéticos sintéticos.

§15.7 Filtro pre-flight. Antes do envio ao provedor, a Operadora aplica:

• Detecção heurística de PII evidente (CPF, RG, número de cartão, telefone) e warning ao Titular antes do envio;
• Detecção de tentativas de prompt injection (instruções ocultas em uploads, tags maliciosas) e sanitization;
• Bloqueio de conteúdo que viole a Política de IA (e.g., pedidos de ghostwriting fraudulento, conteúdo ilícito).

§15.8 Dados sensíveis em prompts. Se o sistema detectar potenciais dados sensíveis no prompt, exibirá aviso e solicitará confirmação consciente do Titular antes do envio, registrando consentimento específico em consent_logs.

§15.9 Telemetria sem texto. Registramos apenas metadados (tokens, modelo, latência, custo, status) — nunca o texto do prompt ou da resposta em logs operacionais. O conteúdo da análise é salvo apenas no banco do Titular, sob RLS.

§15.10 Conteúdo sensível involuntariamente compartilhado. Caso o Titular constate ter compartilhado conteúdo sensível involuntariamente, deve contatar o DPO para eliminação imediata da análise correspondente, propagando-se a remoção ao Sub-operador quando aplicável e aos backups na próxima rotação.

§15.11 Diagrama narrativo do fluxo. Em linguagem simples: (i) o Titular escreve no Editor; (ii) clica em "Analisar"; (iii) a Operadora monta um prompt incluindo o trecho relevante e instruções; (iv) o sistema executa o filtro pre-flight; (v) o prompt é enviado por HTTPS/TLS 1.3 ao provedor de IA, com cabeçalho ZDR; (vi) o provedor processa e devolve a resposta; (vii) o provedor descarta o prompt e a resposta (ZDR); (viii) a Operadora salva a análise no banco do Titular (RLS); (ix) a Operadora exibe a análise ao Titular; (x) telemetria registra apenas metadados.

§15.12 Limites da IA. Os modelos podem produzir alucinações, omissões e imprecisões. A IA não substitui análise crítica do Titular, orientador, banca ou comitê de ética. Veja a Política de IA para tratamento completo desse tema.

§15.13 Direito de oposição a tratamentos automatizados específicos. O Titular pode optar por desabilitar funcionalidades que dependam de IA generativa, mediante configuração na Conta, sem perda das demais funcionalidades (editor, repositório, exportação).

§15.14 Conteúdo de terceiros referenciado. Quando a IA realiza busca web (Tavily) ou referencia obras citadas, o conteúdo de terceiros é processado de forma transitória e não armazenado além do necessário ao retorno da análise.

§15.15 Versionamento dos prompts mestres. Os prompts mestres usados pela Operadora são versionados em controle de versão privado; alterações materiais são acompanhadas de testes de regressão para evitar regressões de qualidade ou de proteção a dados pessoais.

§15.16 Avaliação contínua de provedores. A Operadora monitora alterações nas políticas de privacidade da Anthropic, Google, Tavily e demais Sub-operadores de IA. Mudanças relevantes (e.g., remoção de ZDR, alteração de regime de treinamento) ensejam reavaliação contratual e, se necessário, substituição do provedor com notificação aos Titulares.

§15.17 Direito de explicação. Em adição ao art. 20, §1º LGPD, a Operadora mantém na Política de IA explicação acessível dos modelos utilizados, parâmetros principais e limitações conhecidas, em linguagem compatível com leitores não especialistas.

§15.18 Segregação multi-tenant. Os contextos de análise são estritamente segregados por Titular: nenhum prompt contém informação de outro Titular; caches de contexto, se utilizados, são por Titular e protegidos por RLS.

§16. Telemetria e logs de aplicação

§16.1 Telemetria de produto. Coletamos eventos pseudonimizados via PostHog auto-hospedado (UE) cobrindo: login, logout, criação de projeto, geração de análise, abertura de modal, conclusão de funil, erro do cliente. Cada evento contém um identificador interno (UUID) sem dados diretamente identificáveis (nome, e-mail). Retenção: 12 meses; depois, agregação irreversível.

§16.2 Logs de aplicação. Logs de requisição (rota, status, latência) ficam retidos por 6 meses (Marco Civil art. 15); logs de erro detalhados, por 30 dias no Sentry. Não armazenamos corpo de requisição/resposta em logs.

§16.3 Logs de IA. Metadados (tokens, modelo, custo, status, latência, finalidade) por 90 dias, para auditoria, suspeita de abuso e debugging; após, pseudonimização ou agregação.

§16.4 Agregação para BI. Métricas agregadas (DAU, MAU, conversão, retenção) podem ser conservadas por prazo indeterminado, dado que não são dados pessoais.

§16.5 Acesso a logs. Acesso restrito por role-based access control, com VPN + 2FA, registro de comandos sensíveis em admin_audit imutável.

§16.6 Categorias de eventos. Sem prejuízo do inventário em §4.10, a Operadora classifica eventos em quatro categorias: (i) account events — login, logout, mudança de senha, 2FA; (ii) product events — criação de projeto, geração de análise, upload, exportação; (iii) error events — exceções de cliente e de servidor, latência anômala; (iv) security events — falhas de autenticação, abuso de rate limit, padrões compatíveis com fraude.

§16.7 Pseudonimização. O identificador externo usado em telemetria é desvinculado do nome e e-mail por meio de uma tabela-mapa restrita; o desvinculamento permanente (anonimização) ocorre ao fim da janela de 12 meses.

§16.8 Acesso por engenharia. Equipe de engenharia acessa eventos pseudonimizados via dashboards do PostHog auto-hospedado, sob autenticação SSO + 2FA. Reidentificação só ocorre mediante demanda de suporte ou de cumprimento legal, registrada em log de auditoria.

§16.9 Exclusão sob requisição. A exclusão de Conta dispara processo para remoção dos eventos identificáveis associados na PostHog em até 30 dias, mantendo-se apenas agregações anonimizadas.

§16.10 Não-uso de pixels de terceiros. A Operadora não utiliza pixels de Meta, Google Ads ou similares na área autenticada da Plataforma. Eventuais pixels no site institucional são acionados apenas mediante consentimento de marketing.

§16.11 Vedação a vendas de telemetria. Dados de telemetria não são vendidos, cedidos ou licenciados a terceiros sob nenhuma hipótese.

§17. Dados sensíveis (art. 11 LGPD) — aviso especial

§17.1 Princípio. A Plataforma não solicita dados pessoais sensíveis em campos próprios. Nossa pesquisa de finalidade não exige dados de saúde, origem racial, religião, orientação sexual, opinião política, dado genético ou biométrico.

§17.2 Risco de inserção involuntária. Por se tratar de plataforma de redação assistida, o Titular pode inadvertidamente inserir dados sensíveis em projetos (exemplo: trecho de prontuário em pesquisa em saúde, depoimento religioso em ciências sociais).

§17.3 Consentimento específico. Caso o Titular conscientemente insira dados sensíveis, declara-se ciente de que o tratamento ocorrerá sob a base do consentimento específico e destacado (art. 11, II, "a"), registrado no consent_logs no momento do upload, e que poderá revogar tal consentimento exigindo a eliminação dos respectivos trechos.

§17.4 Boas práticas recomendadas. A Operadora recomenda fortemente que dados sensíveis de terceiros sejam anonimizados antes do upload (e.g., substituir nomes por iniciais, omitir dados identificadores, agregar). Materiais de pesquisa com seres humanos devem observar Resoluções CNS 466/2012 e 510/2016 e parecer do Comitê de Ética em Pesquisa (CEP).

§17.5 Detecção e alerta. O sistema exibirá aviso quando detectar padrões compatíveis com dados sensíveis. Esse alerta é orientativo e não substitui a responsabilidade do Titular.

§17.6 Eliminação proativa. A Operadora reserva-se o direito de, identificando dados sensíveis em volume desproporcional ou em violação manifesta à finalidade da Plataforma, suspender o upload e solicitar ao Titular a remoção ou anonimização do conteúdo antes do prosseguimento.

§17.7 Compartilhamento com Sub-operadores. O envio incidental de trechos com dados sensíveis a Sub-operadores de IA (no contexto do prompt) ocorre sob o mesmo regime de ZDR / opt-out de treinamento, conforme §15.

§17.8 Pesquisas envolvendo seres humanos. Quando o Conteúdo do Usuário envolver pesquisa com seres humanos (TCLE, dados de pacientes, dados de pesquisa qualitativa), o Titular declara-se ciente de que a responsabilidade ética e legal pela coleta e tratamento desses dados em sua origem é exclusivamente sua, observada a Resolução CNS 466/2012 e correlatas.

§17.9 Retirada imediata. O Titular pode, a qualquer tempo, requerer a retirada imediata de trechos sensíveis específicos, mediante indicação inequívoca ao DPO; a remoção é efetivada em até 5 dias úteis.

§18. Menores de idade

§18.1 Público-alvo. A Plataforma é destinada exclusivamente a maiores de 18 anos, dada a natureza profissional/acadêmica avançada (pós-graduação) e os termos contratuais.

§18.2 Detecção e providências. A Operadora não coleta intencionalmente dados de crianças (menores de 12 anos) ou adolescentes (12 a 18 anos). Identificado cadastro de menor: (i) suspensão imediata da Conta; (ii) notificação ao responsável quando localizável; (iii) eliminação dos dados em até 30 dias, exceto para fins de defesa em eventual demanda; (iv) reembolso de eventuais valores pagos.

§18.3 Adolescentes 16-18 com consentimento dos pais. Excepcionalmente, em projetos específicos e com consentimento expresso de pelo menos um dos genitores ou responsável legal, nos termos do art. 14 da LGPD, a Operadora poderá manter conta de adolescente entre 16 e 18 anos, com funcionalidades reduzidas e limitação de pagamento ao responsável.

§18.4 Denúncia. Suspeitas de cadastros indevidos de menores podem ser comunicadas ao DPO.

§18.5 Princípio do melhor interesse. Qualquer tratamento incidental de dados de menores observará o princípio do melhor interesse (art. 14, caput, LGPD), com restrição máxima de finalidades e ausência absoluta de perfilamento publicitário.

§18.6 Comunicação ao responsável. Comunicações ao responsável legal de adolescente entre 16 e 18 anos serão realizadas em linguagem clara, simples e acessível, observando a sua compreensão.

§18.7 Vedação absoluta de dados sensíveis de menores. Em qualquer hipótese, não serão coletados, intencional ou incidentalmente, dados pessoais sensíveis de menores; sua identificação enseja eliminação imediata.

§19. Marketing direto e comunicações

§19.1 Opt-in. Comunicações de marketing (newsletter, ofertas, novidades) são enviadas apenas a Titulares que tenham consentido expressamente, mediante opt-in ativo e granular durante o cadastro ou no painel de Conta. O consentimento é registrado em consent_logs.

§19.2 Opt-out. Todo e-mail de marketing contém link de descadastro funcional (one-click unsubscribe). Pode-se também desativar todas as comunicações em /conta → Privacidade & Consentimentos. O opt-out é imediato e propaga em até 24h.

§19.3 Canais. Marketing direto ocorre exclusivamente por e-mail. A Operadora não realiza ligações ou envia SMS de marketing.

§19.4 Comunicações transacionais. E-mails operacionais (boas-vindas, confirmação, recibo, alertas de segurança, redefinição de senha) são indispensáveis à prestação do Serviço e não dependem de opt-in (base: execução de contrato).

§19.5 Cookies de marketing. Cookies destinados a remarketing exigem opt-in granular no banner de cookies. Sem consentimento explícito, não são acionados.

§19.6 Frequência. A Operadora compromete-se a observar frequência razoável de envios (em regra, não superior a 1 e-mail de marketing por semana), evitando saturação.

§19.7 Conteúdo. E-mails de marketing são relevantes ao público acadêmico (e.g., dicas de escrita, atualizações de funcionalidade, descontos de planos), evitando-se conteúdo intrusivo ou alheio ao Serviço.

§19.8 Lista de supressão. Endereços que solicitam opt-out são incluídos em lista de supressão imediata, mantida indefinidamente para impedir reinscrição automática.

§19.9 Comprovação de envio. A Operadora mantém logs de envio (não do conteúdo, apenas metadados) por 3 anos para comprovação de respeito ao opt-out e às boas práticas anti-spam (CAN-SPAM, GDPR e CDC).

§19.10 Comunicações de relacionamento educativo. Conteúdos puramente educativos (e.g., dicas de redação publicadas no blog) podem ser enviados a Titulares ativos como parte do Serviço, com possibilidade de opt-out independente.

§20. Anonimização, agregação e melhoria do produto

§20.1 Uso de dados anonimizados. A Operadora pode utilizar dados anonimizados/agregados para: (i) BI interno (métricas de produto, retenção, conversão); (ii) melhoria de prompts da IA (versões A/B com dados sintéticos derivados de padrões agregados); (iii) pesquisa estatística não-identificável.

§20.2 Opt-out do uso anonimizado. O Titular pode optar por não ter seus dados utilizados nem mesmo anonimizados para melhoria do produto, mediante manifestação ao DPO. Nesse caso, exclui-se o conjunto de dados associado do pipeline de agregação, sem prejuízo do uso continuado do Serviço.

§20.3 Critérios técnicos. A anonimização segue padrões reconhecidos (k-anonimato >= 5, eliminação de identificadores diretos e quase-identificadores, perturbação estatística quando aplicável) e é documentada em RIPD próprio.

§20.4 Cuidados contra reidentificação. A Operadora avalia continuamente o risco de reidentificação por linkage com conjuntos externos. Se um dataset anonimizado tornar-se reidentificável dadas novas técnicas ou novos dados auxiliares disponíveis, ele será reclassificado como dado pessoal e tratado conforme as bases legais e prazos aplicáveis.

§20.5 Pesquisa científica. Pesquisas internas de melhoria do Serviço observam princípios de minimização e proporcionalidade; quando envolverem amostras com pseudonimização e potencial residual de identificação, será conduzida LIA ou solicitado consentimento específico.

§20.6 Compartilhamento de datasets agregados. A Operadora pode publicar relatórios públicos com dados agregados (e.g., "média de tempo entre upload e primeira análise: X minutos"), nunca contendo informação individualizável.

§21. Backups, recuperação e propagação de exclusões

§21.1 Backups. A Operadora realiza backup automático diário do banco de dados, com criptografia AES-256, retenção em ciclo de 30 dias e RPO (Recovery Point Objective) de 24 horas. O RTO (Recovery Time Objective) estimado é de 4 horas em condições normais.

§21.2 Propagação de exclusões. Solicitada eliminação pelo Titular, a exclusão lógica ocorre imediatamente nos sistemas em produção, e a propagação aos backups ocorre na próxima rotação completa, em até 90 dias (em razão dos ciclos), com confirmação ao Titular ao final.

§21.3 Restauração. Restaurações de backup são acionadas apenas para resposta a incidentes; o conjunto restaurado é varrido para reaplicar as exclusões já solicitadas antes da sua reentrada em produção.

§21.4 Localização dos backups. Backups são armazenados em região distinta da primária, dentro da União Europeia, para tolerância a falhas geográficas, mantendo-se as mesmas garantias contratuais e técnicas.

§21.5 Testes de recuperação. Periodicamente, a Operadora realiza testes de recuperação parcial em ambiente isolado, verificando integridade, completude e tempo de restauração; resultados são registrados pelo Comitê de Privacidade.

§21.6 Conservação após encerramento de Conta. Após eliminação, os backups que ainda contiverem dados do Titular eliminado serão tratados como bloqueados — inacessíveis para qualquer finalidade que não a sua própria sobrescrição na rotação subsequente.

§22. Portabilidade e exportabilidade dos dados

§22.1 Formato. O Titular pode exportar seus dados em formato JSON estruturado e legível por máquina, acompanhado de:

• Dicionário de campos (descrição de cada chave).
• Esquema JSON (JSON Schema) para validação.
• Conjunto de arquivos originais (PDFs, DOCX) em pasta zipada.

§22.2 Como exportar. Botão "Exportar meus dados" em /conta → Privacidade & Consentimentos, ou solicitação ao DPO. Geração assíncrona; entregue por link assinado válido por 72h.

§22.3 Limites. Não exportamos dados de outros Titulares; segredos comerciais e prompts internos do sistema não são exportáveis; vetores de embedding são fornecidos em formato bruto sem o modelo proprietário.

§22.4 Portabilidade direta. A LGPD prevê portabilidade direta a outro fornecedor (art. 18, V), condicionada a regulamentação setorial ainda não emitida pela ANPD para o segmento. Quando regulamentada, a Operadora implementará protocolos interoperáveis.

§22.5 Exemplo de estrutura JSON exportada (excerto).

{
  "schema_version": "1.0",
  "exported_at": "2026-05-17T12:00:00Z",
  "user": {
    "id": "uuid",
    "name": "...",
    "email": "...",
    "cpf": null,
    "academic_profile": { "institution": "...", "program": "...", "area": "..." }
  },
  "projects": [
    { "id": "...", "title": "...", "created_at": "...", "chapters": [...] }
  ],
  "analyses": [
    { "id": "...", "agent": "avaliador_rigoroso", "model": "claude-haiku-4-5",
      "tokens_in": 0, "tokens_out": 0, "input": "...", "output": "...",
      "created_at": "..." }
  ],
  "consents": [
    { "document": "privacidade", "version": "2.1", "accepted_at": "...",
      "source": "signup", "ip_mask": "200.0.0.0/24" }
  ],
  "financial": [
    { "stripe_id": "pi_...", "amount_brl": 0, "status": "succeeded",
      "invoice_url": "...", "issued_at": "..." }
  ]
}

§22.6 Limite de tamanho. Em razão do potencial volume (e.g., embeddings), a exportação pode ser dividida em múltiplos arquivos compactados, com manifesto. O Titular pode optar por exportação seletiva (apenas projetos, apenas análises, apenas perfil).

§22.7 Segurança da entrega. O link de download é assinado, expira em 72 horas e exige autenticação ativa do Titular para download. O arquivo é cifrado em trânsito (TLS 1.3).

§22.8 Verificação de integridade. O pacote exportado inclui hash SHA-256 publicado para que o Titular possa verificar a integridade local do download.

§22.9 Prazo padrão de geração. A exportação é tipicamente entregue em até 24 horas; em volumes muito grandes, pode estender-se até o limite legal de 15 dias.

§22.10 Cancelamento. O Titular pode cancelar uma exportação em andamento pelo painel da Conta antes da geração do link.

§23. Contas inativas (conta-zumbi)

§23.1 Política. Contas sem login por 12 meses serão notificadas no e-mail cadastrado com aviso de inatividade e oportunidade de reativação. Persistindo a inatividade por 24 meses, a Conta será encerrada, observando-se:

• Eliminação dos dados pessoais não sujeitos a obrigação de retenção;
• Retenção de dados financeiros pelo prazo legal (5 anos);
• Retenção de logs de acesso conforme Marco Civil (6 meses);
• Manutenção de hash do e-mail em lista interna para evitar reativação sem nova ciência da Política vigente.

§23.2 Direito à exclusão antecipada. O Titular pode, a qualquer momento, solicitar exclusão antecipada pelo painel da Conta ou ao DPO.

§23.3 Notificações. A primeira notificação de inatividade ocorre aos 12 meses; segunda, aos 18 meses; terceira (última), aos 23 meses, com aviso final sobre encerramento. O Titular pode, em qualquer momento, evitar o encerramento mediante mero login.

§23.4 Reabertura. Encerrada a Conta por inatividade, a reabertura é tratada como novo cadastro, sujeita à versão vigente desta Política e dos Termos de Uso. Não há recuperação automática dos dados eliminados.

§24. Compartilhamento com autoridades públicas

§24.1 Regra geral. A Operadora compartilha dados pessoais com autoridades públicas apenas quando exigido por ordem judicial, requisição administrativa fundamentada amparada por lei, ou em cumprimento direto de obrigação legal.

§24.2 Devido processo. Requisições amplas, desproporcionais, sem fundamento legal ou em desconformidade com o devido processo serão contestadas judicialmente. A Operadora exige minimização (entrega apenas dos dados estritamente necessários) e prazo razoável.

§24.3 Notificação ao Titular. Sempre que legalmente possível e que não comprometa investigação em curso, a Operadora notificará o Titular do compartilhamento e indicará o órgão requisitante. Em ordens com sigilo, manter-se-á a confidencialidade até cessada a vedação.

§24.4 Registro. Todo compartilhamento com autoridades é registrado em log próprio para fins de prestação de contas (art. 6º, X LGPD).

§24.5 Cooperação internacional. Requisições oriundas de autoridades estrangeiras seguem o regime do art. 33 e dos acordos de cooperação aplicáveis (MLAT), com tradução e juízo de admissibilidade pela Operadora.

§24.6 Hipóteses típicas. Exemplos não-exaustivos: (i) ordens judiciais cíveis (provas em ação reparatória, divórcio, sucessão); (ii) ordens judiciais criminais (investigação de crime cibernético, fraude); (iii) requisições administrativas de Receita Federal restritas à esfera fiscal; (iv) requisições de Procon ou Senacon no exercício de competências do CDC.

§24.7 Relatório de transparência. Anualmente, ou conforme periodicidade definida pelo Comitê de Privacidade, a Operadora poderá divulgar relatório de transparência contendo o número agregado de requisições recebidas, percentual atendido e contestado, sem identificação dos Titulares.

§24.8 Fluxo interno de avaliação. Toda requisição é triada pelo DPO em conjunto com a equipe jurídica, com observância de: (i) competência do órgão; (ii) base legal específica invocada; (iii) proporcionalidade entre o pedido e os dados solicitados; (iv) existência de ordem formal; (v) prazos legais; (vi) sigilo eventual. O atendimento é fundamentado em parecer interno.

§24.9 Comunicação ao Titular após a cessação do sigilo. Quando inicialmente houver sigilo legal sobre a requisição, a Operadora compromete-se a comunicar o Titular tão logo a vedação cesse, salvo se nova ordem prorrogar a confidencialidade.

§25. Denúncias de abuso e canal de whistleblower

§25.1 Canal. O Titular ou terceiro pode denunciar uso indevido da Plataforma (uso por menor, fraude, conteúdo ilícito, ghostwriting fraudulento, perseguição, abuso entre usuários) ao DPO em mentor@fabioportela.com.br com o assunto "Denúncia — Abuso".

§25.2 Confidencialidade. A identidade do denunciante é tratada como confidencial, observadas exigências legais. É vedada retaliação contra denunciante de boa-fé.

§25.3 Apuração. A apuração observará contraditório e ampla defesa do Titular denunciado, sem prejuízo de medidas cautelares (suspensão preventiva da Conta) quando houver indícios robustos de risco a terceiros.

§25.4 Prazo. Resposta inicial ao denunciante em até 15 dias; conclusão da apuração em até 45 dias, prorrogáveis em casos complexos.

§25.5 Encaminhamento legal. Constatado ilícito penal, a Operadora pode comunicar autoridades competentes, observado o art. 5º, XXXIX, da Constituição.

§25.6 Tipos típicos de denúncia. Sem caráter exaustivo: (i) uso por menor de idade; (ii) plágio ou fraude acadêmica; (iii) ghostwriting fraudulento (terceirização integral de trabalho a ser apresentado como próprio); (iv) revenda de credenciais; (v) tentativa de explorar vulnerabilidades; (vi) uso para conteúdo ilícito; (vii) assédio entre Usuários.

§25.7 Provas e ônus. O denunciante é convidado a anexar elementos mínimos (capturas de tela, mensagens, links). A ausência de elementos não impede a apuração, mas pode limitar seu alcance.

§25.8 Sanções aplicáveis. Conforme apuração, podem ser aplicadas: advertência, suspensão temporária, encerramento da Conta, restrição de funcionalidades, recusa de novo cadastro, comunicação a autoridades. Decisões são fundamentadas e comunicadas ao Titular afetado, com prazo recursal de 5 dias úteis ao DPO.

§25.9 Vedação à retaliação. É expressamente vedada qualquer represália a denunciantes de boa-fé, sob pena de sanções internas e responsabilização legal.

§25.10 Tratamento dos dados do denunciante. Os dados do denunciante são tratados sob legítimo interesse com confidencialidade reforçada e retidos pelo prazo necessário à instrução e eventual revisão administrativa ou judicial.

§26. Retenção pós-término do contrato

Encerrada a relação contratual (exclusão de Conta, conta-zumbi, rescisão), a Operadora observa o seguinte regime de retenção residual, em consonância com os arts. 15 e 16 LGPD:

• Dados anonimizados: mantidos por prazo indeterminado para BI, fora do escopo de dado pessoal (art. 12).
• Dados financeiros e fiscais: 5 anos (Receita Federal, CTN).
• Listas de prevenção a fraude: até 5 anos (legítimo interesse).
• Consent logs: 5 anos após o último aceite (art. 8º, §2º).
• Logs de acesso: 6 meses (Marco Civil art. 15).
• Demais dados: eliminação em até 90 dias, com propagação aos backups.

§26.1 Encerramento amigável. O Titular pode requerer o encerramento total mediante "Excluir minha Conta" em /conta → Privacidade & Consentimentos; a Operadora confirmará por e-mail e iniciará o procedimento de eliminação.

§26.2 Encerramento por iniciativa da Operadora. Em hipóteses de violação grave aos Termos de Uso, a Operadora poderá rescindir a relação, observando contraditório e os prazos de retenção residual aqui definidos.

§26.3 Continuidade de obrigações. Cláusulas de proteção de dados, sigilo, retenção legal e direitos do Titular sobrevivem ao encerramento contratual pelo prazo que lhes for próprio.

§27. Canais externos

Independentemente do canal interno (DPO), o Titular pode procurar:

• ANPD — Autoridade Nacional de Proteção de Dados: www.gov.br/anpd. Competente para receber petições contra o Controlador e aplicar sanções (arts. 52 a 54 LGPD).
• Procon do estado/município de domicílio do Titular — órgão de defesa do consumidor.
• consumidor.gov.br — plataforma pública oficial de resolução extrajudicial de conflitos de consumo.
• Senacon — Secretaria Nacional do Consumidor (MJSP).
• Ministério Público — em casos de violação coletiva de direitos do consumidor ou de proteção de dados.
• Poder Judiciário — ação individual ou coletiva (art. 22 LGPD).
• Defensoria Pública — assistência jurídica integral e gratuita a hipossuficientes.
• OAB — quando envolver questões éticas ou de advocacia.

§27.1 Recomendação. A Operadora encoraja o Titular a, sempre que possível, esgotar primeiro o canal interno (DPO) antes de acionar terceiros, em busca de solução rápida e amigável; o uso de canais externos é, contudo, direito assegurado e em nada prejudica o relacionamento contratual.

§27.2 Consumidor.gov.br. A Operadora compromete-se a aderir à plataforma consumidor.gov.br e a responder reclamações em prazo razoável, com índice de resolução compatível com boas práticas do setor.

§27.3 Procedimentos administrativos da ANPD. Quando provocada pela ANPD em processo de fiscalização, a Operadora colabora integralmente, fornecendo as informações e documentos solicitados nos prazos definidos pela Autoridade.

§28. DPO — qualificação, contato e prazos

§28.1 Qualificação. O DPO designado possui formação em Direito, com especialização em Proteção de Dados Pessoais, atuando em conformidade com o art. 41 LGPD e a Resolução CD/ANPD nº 18/2024 sobre Encarregado.

§28.2 Contato direto. E-mail: mentor@fabioportela.com.br. Resposta em até 15 dias.

§28.3 Reclamação formal. Para reclamações formais, recomenda-se enviar e-mail com: (i) nome completo; (ii) e-mail cadastrado; (iii) descrição dos fatos; (iv) direito invocado ou demanda específica; (v) anexos pertinentes. O DPO emitirá protocolo, conduzirá a apuração e responderá no prazo legal.

§28.4 Independência funcional. O DPO atua com autonomia técnica, dotado de recursos para desempenho de suas funções, sem instruções da Operadora que comprometam o exercício do cargo.

§28.5 Substituição e continuidade. Em caso de impedimento, ausência prolongada ou substituição do DPO, a Operadora designará suplente e comunicará à ANPD e aos Titulares mediante publicação nesta Política e na página de Conta.

§28.6 Relação com áreas internas. O DPO interage diretamente com áreas de Engenharia, Produto, Comercial, Suporte, Fiscal e Jurídico, formando o Comitê de Privacidade com reuniões mensais e atas registradas.

§28.7 Indicadores. O DPO produz relatório anual com (i) número de manifestações recebidas; (ii) tempo médio de resposta; (iii) percentual atendido integralmente; (iv) incidentes ocorridos e respectivas medidas; (v) recomendações de melhoria.

§29. Compromissos da Operadora

A Operadora declara e se compromete a:

1. Não vender dados pessoais a terceiros sob nenhuma hipótese;
2. Não usar dados pessoais sensíveis para perfilamento, marketing ou treinamento de modelos;
3. Não usar Conteúdo do Usuário para treinar modelos próprios ou de terceiros;
4. Manter ZDR em sub-operadores de IA sempre que tecnicamente disponível;
5. Implementar e auditar RLS e princípios de menor privilégio em todos os sistemas;
6. Notificar incidentes em até 72 horas à ANPD e aos Titulares afetados;
7. Honrar os direitos do Titular em até 15 dias, sem custo;
8. Comunicar mudanças materiais nesta Política com 30 dias de antecedência;
9. Adotar privacy by design e privacy by default em novos produtos e funcionalidades;
10. Manter RIPDs atualizados para tratamentos de alto risco;
11. Atualizar e auditar Sub-operadores periodicamente;
12. Aplicar criptografia ponta-a-ponta (TLS 1.3, AES-256) ao longo da cadeia de tratamento;
13. Contestar requisições desproporcionais de autoridades nacionais e estrangeiras;
14. Capacitar a equipe em proteção de dados e ética em IA;
15. Sustentar canais transparentes de atendimento, denúncia e reclamação.
16. Não realizar fingerprinting persistente de dispositivos para fins comportamentais;
17. Não compartilhar dados pessoais com data brokers ou intermediários de publicidade direcionada;
18. Manter relatório anual de transparência a partir de 2027, quando atingida maturidade operacional para tanto;
19. Promover letramento em privacidade dos Titulares por meio de avisos contextuais, FAQ e documentação acessível;
20. Adotar postura proativa em autorregulação setorial, participando de fóruns e códigos de conduta sobre IA generativa em educação.

Os compromissos acima vinculam contratualmente a Operadora e podem ser exigidos pelo Titular, pela ANPD e pelos órgãos de defesa do consumidor.

§30. Atualizações desta Política — versionamento

§30.1 Versionamento. Esta Política está em versão 2.1, com última revisão em 17 de maio de 2026. Cada versão recebe identificador semântico (major.minor) e hash criptográfico publicado no rodapé da Conta.

§30.2 Mudanças materiais. Alterações que importem em (i) novas categorias de dados; (ii) novas finalidades; (iii) novas bases legais; (iv) novos Sub-operadores em jurisdições diversas; (v) novas hipóteses de retenção ou compartilhamento; serão comunicadas por e-mail aos Usuários ativos e exibidas em destaque na Plataforma com antecedência mínima de 30 dias.

§30.3 Mudanças não-materiais. Esclarecimentos de redação, atualização de endereço, correções de referências legais entram em vigor com a publicação.

§30.4 Histórico. Versões anteriores ficam disponíveis em arquivo mediante solicitação ao DPO. O histórico de versões aceitas pelo Titular permanece em /conta → Privacidade & Consentimentos.

§30.5 Direito de oposição. Discordando das mudanças materiais, o Titular pode encerrar a Conta sem ônus antes da entrada em vigor da nova versão.

§30.6 Tabela de versões — exemplo.

§30.7 Forma de notificação. A notificação será feita por (i) e-mail ao endereço cadastrado; (ii) banner persistente na Plataforma até manifestação; (iii) destaque na página inicial da área autenticada. Para mudanças que envolvam consentimento, será exigido novo aceite explícito.

§30.8 Idioma da notificação. A notificação é redigida em português brasileiro claro e acessível, com hiperlink para a versão integral. Modelos de aviso são revisados pelo Comitê de Privacidade.

§30.9 Registro de aceite. O aceite de nova versão fica registrado em consent_logs com versão, hash, data e fonte; o histórico fica visível ao Titular em /conta → Privacidade & Consentimentos.

§30.10 Arquivamento. Versões anteriores ficam arquivadas internamente por 5 anos como prova de transparência, sendo disponibilizadas ao Titular sob requisição.

§31. Disposições finais e foro

§31.1 Lei aplicável. Esta Política é regida pelas leis da República Federativa do Brasil, em especial pela LGPD, pelo Marco Civil da Internet, pelo Código de Defesa do Consumidor e pelo Código Civil.

§31.2 Foro. Fica eleito o foro do domicílio do Titular consumidor para dirimir quaisquer controvérsias decorrentes desta Política, sem prejuízo da competência da ANPD na esfera administrativa.

§31.3 Independência das cláusulas. A invalidade ou ineficácia de qualquer disposição desta Política não prejudica a validade das demais.

§31.4 Tolerância. A não exigência, pela Operadora, do cumprimento de qualquer disposição desta Política não importará renúncia, novação ou alteração tácita.

§31.5 Sucessão. Em caso de fusão, incorporação, cisão ou aquisição que envolva a Operadora, os direitos e obrigações decorrentes desta Política transferem-se à sucessora, com manutenção integral das garantias ao Titular e direito de exclusão e oposição na forma de §30.5.

§31.6 Cessão. Os direitos e obrigações da Operadora podem ser cedidos a sociedade do mesmo grupo econômico ou a sucessora legítima, sob as mesmas condições contratuais.

§31.7 Acessibilidade. A Operadora compromete-se a manter esta Política em formato acessível (HTML estruturado, contraste adequado, leitura por screen readers), em obediência à Lei Brasileira de Inclusão (Lei 13.146/2015).

§31.8 Glossário aplicável a textos de aceite. Os termos definidos no §2 valem também para banners, modais e e-mails de consentimento que façam referência a esta Política.

§32. Contato

• DPO / LGPD: mentor@fabioportela.com.br
• Suporte: suporte@pesquisadordesucesso.com.br
• Controladora: ATHENEO MENTORIA E CURSOS ACADÊMICOS LTDA. — CNPJ 52.735.279/0001-55
• Endereço: ST SCN Quadra 02 Bloco D Loja 310 1º Pavimento, Parte 469, Escritório Virtual, CEP 70712-904, Brasília/DF
• ANPD: www.gov.br/anpd
• Documentos correlatos: Termos de Uso, Política de Cookies, Política de IA.

Esta Política foi elaborada com base em legislação vigente em 17 de maio de 2026 e pode ser atualizada conforme evolução normativa, jurisprudencial e regulatória (em especial atos da ANPD). Em caso de dúvida sobre qualquer dispositivo, recomenda-se contato direto com o Encarregado, que prestará esclarecimentos no prazo de 15 dias.

A Operadora reafirma seu compromisso com a proteção integral dos dados pessoais de seus Titulares, com transparência, ética e responsabilidade no uso de inteligência artificial generativa para fins educacionais e acadêmicos.

— Fim da Política de Privacidade, versão 2.1.

Próxima revisão programada: novembro de 2026, ou antes em caso de alteração legislativa ou regulatória relevante.