Política de Privacidade

1. Introdução e Escopo

1.1 Objetivo da Política

Esta Política de Privacidade ("Política") descreve como a Marcos Gaius Tecnologia LTDA, CNPJ 57.873.343/0001-88, com sede na Rua Pastor Oswald Hesse 730, Apt 77, Bloco 1, Ribeirão Fresco, Blumenau-SC, CEP 89015-100 ("Empresa", "nós"), coleta, utiliza, armazena, compartilha e protege dados pessoais dos usuários ("Você", "Usuário") quando utilizam o SegundaMente — plataforma composta por:

número(s) oficial(is) de WhatsApp Business para envio de áudios;
dashboard web acessível em app.segundamente.app ou subdomínios;
site institucional em www.segundamente.app;
APIs, integrações, bots e comunicações relacionadas.

1.2 Base legal

A presente Política está em conformidade com a Lei 13.709/2018 (LGPD) e demais normas brasileiras de proteção de dados, bem como boas práticas recomendadas por autoridades setoriais.

1.3 Vínculo com os Termos de Uso

Esta Política faz parte integrante dos Termos de Uso do SegundaMente. Ao aceitar os Termos (cláusula 1.2), Você também manifesta ciência e concordância com as práticas de tratamento aqui descritas.

1.4 Abrangência

A Política aplica-se a todos os dados pessoais tratados pela Empresa no contexto do SegundaMente, incluindo:

informações fornecidas diretamente pelo Usuário (cadastro, áudios, perguntas no dashboard, suporte);
dados coletados de forma automática (cookies, logs, métricas de uso);
dados recebidos de terceiros necessários à prestação do serviço (gateways de pagamento, provedores de nuvem e IA, plataformas de análise como Google Analytics, Meta Pixel e Microsoft Clarity).

1.5 Exclusões de Escopo

Esta Política não cobre sites, aplicativos, conteúdos ou serviços de terceiros acessados por meio de links ou integrações disponibilizadas na Plataforma (por exemplo, páginas da Meta ou do provedor de pagamento). Tais serviços possuem políticas próprias, sobre as quais não temos controle.

1.6 Público-Alvo

A Plataforma destina-se a pessoas físicas ou jurídicas localizadas no Brasil. Menores de 18 anos podem utilizar o serviço; os pais ou responsáveis são incentivados a supervisionar a experiência on-line de crianças e adolescentes, especialmente no envio de áudios com dados sensíveis.

1.7 Atualizações

Podemos revisar esta Política periodicamente para refletir mudanças legislativas, técnicas ou comerciais. Qualquer alteração material será comunicada com antecedência mínima de 10 dias, conforme item 16 do sumário. A continuação do uso após a data de vigência indicará concordância com a nova versão.

2. Definições-chave

Termo	Significado para esta Política
Dados Pessoais	Qualquer informação relacionada a pessoa natural identificada ou identificável, conforme art. 5º, I, LGPD (ex.: nome, e-mail, telefone, endereço IP).
Dados Sensíveis	Subcategoria de Dados Pessoais referente a origem racial ou étnica, convicção religiosa, opinião política, dados genéticos, biométricos, saúde, vida sexual etc. (art. 5º, II, LGPD).
Conteúdo do Usuário	Áudios enviados via WhatsApp, transcrições, resumos gerados pela IA, perguntas feitas no dashboard e metadados associados (tempo, data, minuto consumido).
Titular	Pessoa natural a quem se referem os Dados Pessoais coletados ou tratados.
Controladora	Marcos Gaius Tecnologia LTDA, que decide as finalidades e meios de tratamento.
Operador / Suboperador	Pessoa física ou jurídica que trata dados pessoais em nome da Controladora (ex.: AWS, Stripe, Google Analytics, OpenAI).
Tratamento	Toda operação realizada com Dados Pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle e extração.
LGPD	Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018).
Base Legal	Hipótese autorizadora que legitima o tratamento (execução de contrato, consentimento, legítimo interesse, obrigação legal, etc.).
Cookies	Pequenos arquivos de texto armazenados no navegador do Usuário que coletam informações sobre navegação e preferências.

3. Categorias de Dados Coletados

Origem	Exemplos de Dados	Finalidades Principais
A) Fornecidos pelo Usuário (cadastro e perfil)	Nome/razão social, e-mail, telefone WhatsApp, CPF ou CNPJ (quando necessário para faturamento), endereço de cobrança, preferências de comunicação	Identificar o Titular, criar Conta, faturar planos, enviar notificações, cumprir obrigações fiscais
B) Conteúdo do Usuário	Arquivos de áudio enviados via WhatsApp, transcrições integrais, resumos gerados pela IA, perguntas feitas no dashboard, dados sensíveis eventualmente contidos nos áudios	Prestar o serviço contratado (resumo, transcrição, Q&A); exibir histórico ao Usuário; melhorar modelos de IA (em forma anonimizada)
C) Dados de Uso	Data e hora de envio do áudio, duração em segundos, saldo de minutos, logs de acesso ao dashboard (endereço IP, user-agent, sistema operacional, navegador), eventos de interface (cliques, páginas visitadas)	Medir consumo de minutos, prevenir fraudes, garantir segurança, otimizar UX
D) Dados de Pagamento	Identificador de transação, 4 últimos dígitos e bandeira do cartão, token de cartão (PCI), status de pagamento, valor pago, notas fiscais eletrônicas (chave, data, valor)	Processar cobranças, emitir NF-e, controle financeiro e contábil
E) Suporte	Histórico de conversas por WhatsApp ou e-mail, capturas de tela, anexos enviados pelo Usuário	Resolver solicitações, manter registro de atendimento, melhorar serviço
F) Cookies e Tecnologias de Rastreamento	Cookies essenciais (sessão, autenticação), cookies analíticos (Google Analytics, Microsoft Clarity), cookies de marketing (Meta Pixel), identificadores de dispositivo	Manter login, prevenir fraude, gerar métricas de audiência, personalizar e avaliar campanhas

Observações adicionais

Dados Sensíveis: Áudios podem conter informações sensíveis (saúde, opiniões etc.). O tratamento ocorre com consentimento explícito do Usuário (art. 7º, I, c/c art. 11, I, LGPD) e limita-se às funcionalidades contratadas.
Dados de Pagamento: Os dados completos de cartão ficam sob custódia do operador de pagamento certificado; a SegundaMente armazena apenas metadados necessários para identificar e comprovar a transação.
Menores de 18 anos: Ao fornecer dados, o menor declara ter autorização — e os responsáveis são incentivados a supervisionar o uso.

4. Finalidades do Tratamento × Bases Legais

#	Finalidade	Base legal (LGPD)
4.1	Prestação do serviço (resumir, transcrever, responder Q&A, exibir histórico)	Execução de contrato – art. 7º, V
4.2	Gerir a conta e autenticar acesso	Execução de contrato – art. 7º, V
4.3	Cobrança de planos, emissão de NF-e e contabilidade	Execução de contrato (art. 7º, V) + obrigação legal/fiscal (art. 7º, II)
4.4	Suporte ao usuário	Execução de contrato – art. 7º, V
4.5	Prevenção a fraudes, segurança e integridade da Plataforma	Legítimo interesse – art. 7º, IX
4.6	Analytics e melhoria de produto (UX, performance, estatísticas internas)	Legítimo interesse – art. 7º, IX
4.7	Comunicações de marketing direto (novos recursos, promoções)	Legítimo interesse + opt-out fácil – art. 7º, IX
4.8	Treinamento e ajuste de modelos de IA (em formato anonimizado)	Legítimo interesse – art. 7º, IX / art. 12
4.9	Tratamento de "Dados Sensíveis" contidos nos áudios	Consentimento explícito – art. 11, I
4.10	Cumprimento de ordens judiciais ou regulatórias	Obrigação legal – art. 7º, II

Observações complementares

O consentimento explícito (item 4.9) é obtido no primeiro envio de áudio, por checkbox ou mensagem de confirmação no WhatsApp. O titular pode revogá-lo a qualquer momento (art. 18, §5º).
Para comunicações de marketing (4.7) oferecemos opt-out imediato em todos os e-mails e mensagem "SAIR" no WhatsApp.
Dados usados para fins de analytics e IA são anonimizados sempre que possível, de modo a afastar a possibilidade de identificação (art. 12).
Quando houver conflito entre interesses legítimos da Empresa e direitos do titular, aplicaremos testes de balanceamento e, se necessário, ofereceremos meios de oposição.

5. Compartilhamento de Dados e Suboperadores

5.1 Critérios de compartilhamento

Compartilhamos Dados Pessoais apenas com terceiros que:

sejam indispensáveis à execução do serviço;
apresentem nível de segurança e conformidade compatível com a LGPD;
firmem contrato escrito contendo cláusulas de proteção de dados, confidencialidade e limitação de propósito.

5.2 Tipologia de suboperadores

Categoria	Exemplos / Função	País(es) destino prováveis
Hospedagem e banco de dados	AWS, GCP ou Azure – armazenagem de servidores, backups e logs	EUA (principal), Brasil
APIs de IA	OpenAI, DeepSeek – transcrição, resumo e Q&A	EUA, Singapura
Gateways de pagamento	Stripe, PagSeguro, Mercado Pago – tokenização de cartão, Pix, emissão de NF-e	Brasil; EUA/UE para processamento
Mensageria WhatsApp	Provedor oficial (p. ex. Twilio, 360dialog) – recepção e entrega de mensagens/áudios	EUA, Alemanha
Analytics	Google Analytics, Microsoft Clarity – métricas de navegação; Meta Pixel – campanhas	EUA, Irlanda
Envio de e-mails	Postmark, SendGrid ou Amazon SES – comunicações transacionais e marketing	EUA

5.3 Salvaguardas para transferência internacional

Quando o tratamento ocorrer fora do Brasil, adotamos uma ou mais das medidas abaixo:

Cláusulas-Padrão Contratuais (SCCs) ou aditivo DPA (Data Processing Addendum) aprovado pela ANPD;
certificações internacionais reconhecidas (ISO 27001, SOC 2);
política corporativa global vinculante do fornecedor (BCR);
avaliação de impacto e verificação de nível adequado de proteção de dados.

5.4 Responsabilidades do suboperador

Cada suboperador:

trata os dados somente para a finalidade contratada;
deve implementar controles de segurança técnicos / organizacionais equivalentes aos exigidos da Controladora;
é monitorado periodicamente (auditorias, relatórios de conformidade, SLA);
deve notificar a Controladora sobre incidentes de segurança sem demora injustificada.

5.5 Compartilhamento exigido por lei

Poderemos divulgar Dados Pessoais a autoridades judiciais, policiais ou regulatórias quando:

houver ordem judicial, requisição legal ou obrigação regulatória;
for necessário para proteger direitos da Controladora, dos Usuários ou de terceiros, em conformidade com a legislação.

5.6 Divulgação agregada ou anonimizada

Dados estatísticos desidentificados (ex.: contagem de minutos processados por mês, taxa média de acerto da IA) podem ser publicados ou compartilhados para fins de marketing, pesquisa ou relatórios de mercado, sem possibilitar a reidentificação de titulares.

5.7 Lista completa sob demanda

Manteremos registro atualizado de todos os suboperadores. O Usuário pode solicitar a lista detalhada ao DPO (art. 18, VII), que será entregue em até 15 dias.

6. Direitos dos Titulares

A LGPD (Lei 13.709/2018) assegura a Você, Titular de Dados Pessoais, um conjunto de prerrogativas que podem ser exercidas a qualquer momento, gratuitamente, mediante requisição ao nosso Encarregado (DPO).

6.1 Direitos previstos no art. 18 da LGPD

Art. 18	Direito	O que significa na prática?
I	Confirmação	Saber se tratamos ou não seus dados.
II	Acesso	Receber cópia eletrônica dos dados que mantemos sobre Você.
III	Correção	Solicitar atualização ou retificação de dados incompletos, inexatos ou desatualizados.
IV	Anonimização, bloqueio ou eliminação	Quando o tratamento for desnecessário, excessivo ou em desconformidade com a LGPD.
V	Portabilidade	Receber seus dados em formato estruturado e interoperável ou transferi-los a outro fornecedor, quando tecnicamente viável.
VI	Eliminação	Apagar dados tratados com base em consentimento, exceto quando houver hipótese legal de retenção.
VII	Informação sobre compartilhamento	Saber com quais entidades públicas ou privadas compartilhamos seus dados.
VIII	Revogação do consentimento	Retirar o consentimento a qualquer momento, sem afetar tratamentos já realizados de forma legítima.
IX	Oposição	Contestar tratamento realizado sob base de legítimo interesse, apresentando razões particulares.

6.2 Formas de solicitação

E-mail: contato@segundamente.app
WhatsApp comercial: +1 407 680 7191 (será orientado a encaminhar para o e-mail acima)
Carta registrada: Aos cuidados do DPO, endereço da Controladora

Identificação: Para proteger a confidencialidade, poderemos solicitar comprovação razoável de identidade (documento oficial ou validação via número de WhatsApp cadastrado).

6.3 Prazos

Etapa	Prazo máximo
Confirmação de recebimento	2 dias úteis
Resposta substantiva	15 dias corridos a partir da confirmação

Pedidos complexos (ex.: portabilidade envolvendo grandes volumes) podem demandar prazo adicional justificado, sempre informado ao Titular.

6.4 Custos

O exercício de direitos é gratuito. Cobramos tarifa apenas quando:

o pedido for manifestamente infundado ou repetitivo; ou
requerer cópias físicas, caso em que será repassado apenas o custo de reprografia/postagem.

6.5 Limitações legais

Podemos negar ou restringir pedidos quando:

Impossível comprovar identidade do solicitante;
A revelação violar direitos de terceiros ou segredos comerciais;
Houver obrigação legal ou regulatória de retenção (ex.: notas fiscais por 5 anos);
Dados já tenham sido anonimizados, não sendo mais pessoais.

Em caso de negativa, informaremos o motivo, indicando possibilidade de reclamação à Autoridade Nacional de Proteção de Dados (ANPD).

6.6 Reclamações

Se entender que não atendemos adequadamente sua solicitação, Você pode:

contatar novamente o DPO para reavaliação;
protocolar reclamação diretamente à ANPD ou aos órgãos de defesa do consumidor.

7. Segurança da Informação

A SegundaMente adota uma combinação de controles técnicos, organizacionais e processuais alinhados às normas ISO 27001, ISO 27017 (nuvem) e boas práticas do OWASP para preservar a confidencialidade, integridade e disponibilidade dos dados.

7.1 Controles técnicos

Área	Medidas aplicadas
Criptografia	TLS 1.2+ para todo tráfego externo; AES-256 em repouso (banco de dados, backups, objetos em nuvem); Crypto-shredding para descarte rápido
Gestão de acesso	Autenticação multifator (MFA) para painéis de nuvem e Git; Princípio do menor privilégio com RBAC; Rotação automática de chaves e tokens (AWS KMS)
Monitoramento e logs	SIEM centraliza logs de app, API, firewall e WAF; Alertas 24 × 7 para anomalias (CloudWatch + PagerDuty); Logs imutáveis por 6 meses
Proteção de API	Rate-limit, WAF, verificação de assinatura; Análise automática de payload contra injeção e XSS
Backups	Snapshots diários com retenção de 30 dias; Teste de restauração a cada trimestre
Ambiente de IA	Dados criptografados antes de envio às APIs de IA; Chaves separadas por ambiente (prod, staging)
Isolamento	VPC dedicada, sub-redes privadas, SG restritivas; Contêineres separados por micro-serviço

7.2 Controles organizacionais

Política de segurança interna assinada por todos os colaboradores; revisão anual.
Treinamento de conscientização semestral (phishing, LGPD, gestão de senhas).
Procedimento de onboarding/offboarding: concessão e revogação de acessos em até 24 h.
Avaliação de fornecedores: due-diligence de segurança e cláusulas DPA.
Desenvolvimento seguro: code review, CI/CD com static code analysis, segredos em cofres.

7.3 Gestão de vulnerabilidades e testes

Scan contínuo (Snyk / Dependabot) em dependências.
Pentest externo anual; relatórios compartilháveis sob NDA.
Bug-bounty privado para pesquisadores convidados, recompensas por CVEs.

7.4 Plano de resposta a incidentes

Detecção automática via SIEM ou reporte humano.
Classificação (Severidade 1–4) pela equipe de Segurança.
Conter → Erradicar → Recuperar conforme playbooks pré-definidos.
Notificação: titulares e ANPD em até 48 h quando houver risco ou dano relevante (conforme art. 48, LGPD).
Lições aprendidas e revisão de controles.

7.5 Continuidade de negócios

Multi-AZ e replicação cross-region para dados críticos.
RTO (tempo para restaurar) alvo: 4 h; RPO (perda máxima de dados): 15 min.
DR drill semestral com teste de fail-over.

7.6 Responsabilidades do Usuário

Manter o dispositivo livre de malware e atualizado.
Não compartilhar credenciais ou tokens do dashboard.
Utilizar senhas fortes e habilitar verificações adicionais quando oferecidas.

8. Retenção e Descarte

Mantemos cada categoria de dado apenas pelo tempo estritamente necessário ao cumprimento das finalidades descritas no item 4, respeitando obrigações legais, prazos prescricionais e boas práticas de mercado. Findo o prazo, os dados são eliminados ou anonimizados de forma irreversível.

Categoria de dado	Prazo padrão de retenção	Fundamento / critério
Áudios, transcrições, resumos, perguntas (Conteúdo do Usuário)	• Enquanto a assinatura estiver ativa • 1 mês + 15 dias após cancelamento da conta • Até 15 dias para pedidos de exclusão antecipada	Execução de contrato; legítimo interesse limitado a eventual defesa jurídica
Minutos consumidos e métricas de uso	12 meses	Necessário para contestação de consumo e cálculo de indenizações
Logs de acesso ao dashboard e IP	6 meses	Art. 15 e 16 do Marco Civil; segurança
Histórico de suporte (tickets, anexos)	24 meses após solução	Legítimo interesse (prova contratual e melhoria)
Metadados de pagamento e NF-e	5 anos contábeis/fiscais	Obrigações do art. 173 do CTN e legislação fiscal
Cookies essenciais	Sessão a 12 meses (conforme finalidade)	Execução de contrato
Cookies analíticos	24 h a 26 meses (Google padrão)	Legítimo interesse
Cookies de marketing	90 dias a 2 anos	Legítimo interesse + opt-out
E-mails e métricas de marketing	Até opt-out + 12 meses	Legítimo interesse / prova de consentimento
Backups criptografados	Retidos por 30 dias	Continuidade de negócio

8.1 Procedimento de Exclusão

Solicitação do titular — via contato@segundamente.app; confirmamos identidade e registramos protocolo.
Triagem — verificamos dados sujeitos a retenção obrigatória.
Execução — eliminamos ou anonimizamos em até 15 dias úteis, exceto backups (até 30 dias adicionais).
Confirmação — enviamos comprovação da exclusão ao titular.

8.2 Exceções

Dados necessários à defesa em processos judiciais ou administrativos poderão ser mantidos até o trânsito em julgado.
Obrigações fiscais ou regulatórias prevalecem sobre prazos padrão.
Dados já anonimizados podem ser mantidos indefinidamente para estatísticas e aprimoramento de IA, pois não são mais considerados Dados Pessoais (art. 12, LGPD).

8.3 Segurança no descarte

Adotamos métodos recomendados pela ISO / IEC 27040:2015:

sobrescrita segura (7-pass) ou criptodestroi em mídias digitais;
deleção por chave criptográfica em backups ("crypto-shredding");
registro de log de eliminação com hash de verificação.

9. Cookies e Tecnologias Similares

9.1 O que são cookies?

Cookies são pequenos arquivos de texto enviados ao seu navegador quando você visita nossos sites ou usa o dashboard. Eles armazenam informações que podem ser lidas posteriormente pelo servidor ou aplicativos de terceiros. Tecnologias similares incluem localStorage, sessionStorage, pixels de rastreamento e tags de scripts.

9.2 Categorias que usamos

Categoria	Finalidade	Exemplos	Base legal
Estritamente necessários	Autenticar sessão, manter login, prevenir fraudes, lembrar preferências de privacidade	_auth_token, _csrf, cookies_accepted	Execução de contrato (art. 7º, V)
Analíticos	Medir audiência, performance e UX	_ga, _gid (Google Analytics), _clck (Microsoft Clarity)	Legítimo interesse (art. 7º, IX)
Marketing/Pixels	Mensurar campanhas, remarketing	fbp, fr (Meta Pixel), msclkid	Legítimo interesse (art. 7º, IX) + opt-out

9.3 Mecanismo de consentimento

Banner de cookies — exibido na primeira visita ao site, solicitando escolha entre:

"Aceitar todos"
"Rejeitar marketing" (mantém só necessários e analíticos)
"Configurar preferências" (painel granular)

O banner reaparece a cada 12 meses ou sempre que alterarmos materialmente esta Política. Preferências salvas são armazenadas em cookie _cookie_pref criptografado.

9.4 Gerenciamento pelo Usuário

Painel "Gerenciar Cookies" — acessível no rodapé do site para alterar consentimento a qualquer momento.
Navegador — é possível bloquear ou apagar cookies nas configurações (pode afetar funcionalidades essenciais).
Opt-out analítico — fornecemos link direto para o Google Analytics Opt-out Add-on.
Marketing — sair de listas de remarketing usando "Definições de anúncios" da Meta ou enviando "SAIR" via WhatsApp/e-mail.

10. Incidentes de Segurança

10.1 Definição

Considera-se Incidente de Segurança qualquer evento confirmado que resulte na destruição, perda, alteração, divulgação ou acesso não autorizado a Dados Pessoais, ainda que acidental, capaz de acarretar risco ou dano relevante aos titulares (art. 48, LGPD).

10.2 Processo de Resposta a Incidentes

Fase	Descrição	Prazo alvo
Detecção	Monitoramento 24 × 7 (logs, SIEM, alertas WAF) ou reporte de terceiros/usuário.	Imediato
Análise e classificação	Time de Segurança e DPO avaliam impacto, categorias de dados e número de titulares afetados.	≤ 4 h
Contenção	Isolar sistemas afetados, revogar chaves, bloquear IPs maliciosos.	≤ 8 h
Erradicação	Remover causa raiz (patch, reconfiguração, rollback).	≤ 24 h
Recuperação	Restaurar serviços e validar integridade/segurança.	≤ 24 h após erradicação
Notificação	Comunicar titulares e ANPD quando houver risco ou dano relevante (art. 48).	Até 48 h da confirmação
Lições aprendidas	Análise pós-incidente, relatório interno, melhoria de controles.	≤ 10 dias

10.3 Conteúdo mínimo da notificação

Descrição do incidente, data e hora.
Categorias e volume de dados pessoais afetados.
Medidas técnicas e organizacionais já adotadas.
Riscos ou danos potenciais aos titulares.
Orientações para mitigação (trocar senhas, vigilância de contas etc.).
Canal de contato do DPO para dúvidas adicionais.

11. Contato

Caso tenha dúvidas, solicitações ou reclamações relacionadas a esta Política de Privacidade, você pode entrar em contato pelos canais abaixo:

Assunto	Canal	Horário de atendimento (BRT)
Direitos dos titulares (art. 18, LGPD) Incidentes de segurança	Encarregado (DPO) — Kauan Venancio Almeida Nascimento E-mail: contato@segundamente.app	Dias úteis, 09h – 17h
Questões gerais sobre a Plataforma, Termos de Uso ou suporte técnico	E-mail: contato@segundamente.app WhatsApp: +1 407 680 7191	Dias úteis, 09h – 17h
Correspondência oficial	Marcos Gaius Tecnologia LTDA Rua Pastor Oswald Hesse 730, Apt 77, Bloco 1 Bairro Ribeirão Fresco – Blumenau-SC CEP 89015-100	—

Responderemos solicitações de titulares em até 15 dias corridos após confirmação de recebimento e identidade, conforme seção 6 desta Política.

Esta Política de Privacidade foi atualizada em 19 de junho de 2025 e está em conformidade com a LGPD e demais normas brasileiras de proteção de dados.

Entrar em Contato Voltar ao Site