Legal
Política de Privacidade
Esta Política descreve como o Arauto coleta, usa, compartilha e protege os dados pessoais de quem acessa nossa plataforma. Foi escrita para ser lida — sem juridiquês onde dá pra evitar.
1. Quem somos
Controladora dos dados pessoais é a ARAUTO TECNOLOGIA LTDA., CNPJ [XX.XXX.XXX/0001-XX], com sede em São Paulo/SP, e-mail dpo@arautoai.com.br. Designamos um Encarregado pelo Tratamento de Dados Pessoais (DPO) conforme exigência do art. 41 da LGPD, com canal dedicado no e-mail acima.
2. Quais dados coletamos
2.1 Dados que você fornece diretamente
- Nome completo, e-mail, telefone (opcional)
- Foto de perfil (opcional)
- Dados de pagamento (processados via Stripe — não armazenamos cartão completo)
- Conteúdo enviado: sermões, áudios, vídeos, documentos institucionais, mensagens em chat com a IA
- Dados de membros e visitantes da igreja (no plano Institucional, quando você cadastra)
2.2 Dados coletados automaticamente
- IP, user-agent, sistema operacional, idioma
- Páginas visitadas, tempo de sessão, eventos de interação
- Logs de uso da IA (prompts, modelos chamados, tokens consumidos)
- Cookies (ver seção 11 e Política de Cookies)
2.3 Dados de terceiros
- Login federado: nome e e-mail vindos do Google/Microsoft, quando você opta por essa via
- Sub-processadores (Stripe, AWS, etc.) podem nos informar status técnico relacionado ao seu uso
3. Finalidades do tratamento
Tratamos seus dados para:
| # | Finalidade | Categoria de dado |
|---|---|---|
| 3.1 | Operar a plataforma (gerar materiais, salvar sermões, processar pagamento) | Conta + Conteúdo + Pagamento |
| 3.2 | Atendimento ao cliente | Conta + Histórico de tickets |
| 3.3 | Comunicações operacionais (recibos, avisos de manutenção) | |
| 3.4 | Melhoria do produto (analytics agregado) | Eventos anônimos |
| 3.5 | Marketing (newsletter, novidades) — somente com consentimento | E-mail + Preferências |
| 3.6 | Cumprimento de obrigações legais e fiscais | Dados de cobrança |
| 3.7 | Segurança e prevenção a fraude | IP, logs de acesso |
| 3.8 | Auditoria de respostas geradas pelo chatbot (painel humano) | Conteúdo do chatbot |
4. Bases legais
| Finalidade | Base legal (LGPD art. 7º) |
|---|---|
| Operação da plataforma e cobrança | Execução de contrato (inc. V) |
| Cumprimento fiscal / legal | Obrigação legal (inc. II) |
| Segurança / antifraude | Legítimo interesse (inc. IX) |
| Analytics agregado | Legítimo interesse (inc. IX) |
| Marketing | Consentimento (inc. I) — revogável |
| Cookies não essenciais | Consentimento (inc. I) — revogável |
5. Com quem compartilhamos
5.1 Sub-processadores (lista completa na seção 6).
5.2 Autoridades públicas: somente mediante ordem judicial, requisição administrativa formal ou obrigação legal.
5.3 No caso de mudança societária (fusão, aquisição), comunicaremos com 30 dias de antecedência.
5.4 Nunca vendemos seus dados pessoais.
5.5 Conteúdo seu (sermões, áudio, documentos) nunca treina modelos públicos dos provedores de IA. Operamos com acordos de retenção zero com Anthropic e OpenAI.
6. Sub-processadores
| Sub-processador | Finalidade | País | Política |
|---|---|---|---|
| Amazon Web Services (AWS) | Hospedagem, banco, storage | Brasil (sa-east-1) | Ver política(abre em nova aba) |
| Stripe | Processamento de pagamento | EUA + Irlanda | Ver política(abre em nova aba) |
| Anthropic | Inferência de IA (Claude)retenção zero | EUA | Ver política(abre em nova aba) |
| OpenAI | Inferência de IA (GPT)retenção zero | EUA | Ver política(abre em nova aba) |
| Vercel | CDN, deploy frontend | Global edge | Ver política(abre em nova aba) |
| Resend | Envio de e-mail transacional | EUA | Ver política(abre em nova aba) |
| Twilio (WhatsApp) | Envio de reflexões | EUA + Brasil | Ver política(abre em nova aba) |
| PostHog / Mixpanel | Analytics de produto (anonimizado) | EUA + UE | Ver política(abre em nova aba) |
| Google Analytics 4 | Analytics web (consentimento) | EUA | Ver política(abre em nova aba) |
| Upstash | Cache e rate-limit | Global edge | Ver política(abre em nova aba) |
A lista é atualizada conforme contratamos ou desligamos sub-processadores. Histórico em /legal/privacidade/sub-processadores.
7. Retenção
| Categoria de dado | Tempo | Justificativa |
|---|---|---|
| Conta ativa | Enquanto a conta existir | Execução de contrato |
| Conta encerrada (recuperável) | 30 dias após encerramento | Possibilidade de restauração |
| Conta encerrada (excluída) | Anonimização imediata após 30d | LGPD art. 16 |
| Dados de cobrança | 5 anos (fiscal) | Obrigação legal |
| Logs de segurança | 12 meses | Legítimo interesse |
| Conteúdo gerado pela IA | Enquanto a conta existir | Execução de contrato |
| E-mails marketing | Até revogação do consentimento | Consentimento |
Após o prazo, dados são anonimizados (impossível reidentificar) ou excluídos definitivamente.
8. Segurança
8.1 Adotamos medidas técnicas e administrativas para proteger dados pessoais, incluindo:
- Criptografia em trânsito (TLS 1.3) e em repouso (AES-256)
- Backups encriptados e geograficamente isolados
- Controle de acesso por roles e MFA obrigatório para admin
- Logs auditáveis de acesso a dados sensíveis
- Treinamento periódico da equipe sobre privacidade
- Resposta a incidentes em até 72h conforme art. 48 LGPD
8.2 Apesar de nossos esforços, nenhuma medida é 100% inviolável. Comunicaremos titulares e ANPD em caso de incidente relevante.
9. Transferências internacionais
9.1 Alguns sub-processadores estão fora do Brasil (EUA, UE, edge global). Quando há transferência, garantimos cláusulas contratuais standard (SCC) ou que o país adotado tenha grau de proteção equivalente, conforme art. 33 LGPD.
10. Direitos do titular (LGPD art. 18)
Você tem direito a:
- (I) Confirmação da existência de tratamento
- (II) Acesso aos dados
- (III) Correção de dados incompletos ou desatualizados
- (IV) Anonimização, bloqueio ou eliminação de dados desnecessários
- (V) Portabilidade para outro fornecedor
- (VI) Eliminação dos dados tratados com base em consentimento
- (VII) Informação sobre compartilhamentos
- (VIII) Informação sobre não fornecer consentimento e suas consequências
- (IX) Revogação do consentimento
Como exercer: pelo Portal LGPD ou direto com o DPO em dpo@arautoai.com.br. Respondemos em até 15 dias úteis.
12. Menores de idade
12.1 O Arauto não é destinado a menores de 16 anos. Não coletamos conscientemente dados de crianças.
12.2 Se identificarmos cadastro de menor, excluiremos a conta imediatamente. Se você é pai/responsável e suspeita disso, escreva para dpo@arautoai.com.br.
13. Alterações desta Política
13.1 Atualizações relevantes serão comunicadas com 30 dias de antecedência por e-mail e banner no app.
13.2 Mudanças menores (correção ortográfica, atualização de links) podem ocorrer sem aviso, mas ficam registradas na seção de histórico.
13.3 Versões anteriores: /legal/privacidade/historico (futuro).
14. Contato e DPO
- DPO: dpo@arautoai.com.br
- Geral de privacidade: privacy@arautoai.com.br
- Reclamação à ANPD: se entender que seus direitos não foram atendidos, é direito seu reclamar à Autoridade Nacional de Proteção de Dados (ANPD).
Contato
Dúvidas sobre esta Política?
Para questões sobre dados pessoais, contate nosso DPO em dpo@arautoai.com.br. Para privacidade geral: privacy@arautoai.com.br. Para reclamar à ANPD: gov.br/anpd.