Política de Privacidade

A DMoraes LTDA (CNPJ 66.779.832/0001-66), titular da marca e do serviço IVI disponibilizado em useivi.com.br, é a Controladora dos dados pessoais tratados nesta plataforma. Esta política detalha de forma transparente quais dados coletamos, por que coletamos, com quem compartilhamos e como você pode exercer seus direitos, em estrita conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD).

1. Dados pessoais que tratamos

Coletamos somente o estritamente necessário para entregar o serviço IVI com qualidade, seguindo o princípio da necessidade (Art. 6º, III, LGPD):

• Dados de cadastro: nome, e-mail, telefone (WhatsApp) e, quando aplicável, CPF/CNPJ para faturamento.
• Dados de uso e conversas: mensagens trocadas com a IVI (texto e áudio), tarefas, notas, lembretes, lançamentos financeiros e demais conteúdos que você gera deliberadamente na plataforma.
• Dados de integração (opt-in): tokens OAuth e metadados das contas que você conecta — Google (Calendar/Gmail/Drive), Notion, Linear, GitHub, HubSpot, Stripe e demais conectores MCP. Os escopos solicitados são sempre os mínimos necessários, exibidos no fluxo de autorização do provedor.
• Dados financeiros (via Stripe): não armazenamos número de cartão. A Stripe é a operadora de pagamento (PCI-DSS Level 1) e nos devolve apenas o ID do cliente, status da assinatura e últimos 4 dígitos.
• Dados técnicos e de navegação: endereço IP, identificador de dispositivo, user-agent, datas/horários de acesso, logs de erro e de auditoria.
• Cookies e identificadores: detalhados na Política de Cookies.

Não coletamos dados sensíveis (Art. 5º, II, LGPD) propositalmente — saúde, biometria, religião, orientação política/sexual. Se você inserir tais dados em conversas livres com a IVI, eles serão tratados sob a sua responsabilidade e sob o mesmo regime de segurança dos demais conteúdos do seu workspace.

2. Para que tratamos seus dados (finalidades)

• Autenticar você, prover e manter o serviço contratado.
• Executar comandos solicitados (agendar, enviar e-mail, buscar arquivo etc.).
• Personalizar a experiência (briefing diário, memória de contexto, preferências).
• Cobrar assinaturas e prevenir fraude.
• Prestar suporte técnico e responder solicitações.
• Comunicar atualizações operacionais e de segurança.
• Melhorar a plataforma com métricas agregadas e anonimizadas.
• Cumprir obrigações legais, regulatórias e ordens de autoridades competentes.

3. Bases legais (Art. 7º e 11 da LGPD)

Cada finalidade está apoiada em uma base legal específica:

• Execução de contrato (Art. 7º, V): cadastro, prestação do serviço, cobrança, integrações OAuth, suporte.
• Cumprimento de obrigação legal/regulatória (Art. 7º, II): emissão de documentos fiscais, retenção de logs por exigência legal, atendimento à ANPD.
• Legítimo interesse (Art. 7º, IX): prevenção a fraude, segurança da plataforma, métricas agregadas de produto. Realizamos teste de balanceamento e você pode opor-se a qualquer momento.
• Consentimento (Art. 7º, I): cookies não essenciais, comunicações de marketing e integrações opcionais — sempre revogável a qualquer tempo.

4. Compartilhamento com terceiros (subprocessadores)

Para entregar o serviço, contratamos operadores qualificados, todos vinculados por contrato com cláusulas de proteção de dados. Eles tratam dados apenas em nosso nome e nas finalidades aqui descritas:

• Supabase (banco de dados e autenticação) — armazenamento principal.
• Vercel (hospedagem do frontend e edge functions).
• Railway / EasyPanel (hospedagem do backend de IA).
• Stripe (processamento de pagamentos — PCI-DSS).
• Google LLC (Gemini API para inferência de IA, somente quando você usa a IVI).
• Anthropic / OpenAI (modelos de IA acessórios, quando aplicável).
• Composio (broker de conectores MCP, quando você opta por integrá-los).
• UAZAPI (gateway de mensageria WhatsApp, quando ativado).
• Meta Platforms (Pixel para mensuração publicitária — opt-in via banner de cookies).
• Provedores de e-mail transacional (envio de notificações e recuperação de senha).

A lista completa e atualizada está disponível mediante solicitação ao DPO. Nunca vendemos dados pessoais.

5. Transferência internacional de dados (Art. 33 LGPD)

Alguns subprocessadores (Stripe, Google, Anthropic, OpenAI, Vercel) processam dados em servidores fora do Brasil — predominantemente Estados Unidos e União Europeia. Essas transferências ocorrem em países com nível adequado de proteção ou por meio de cláusulas contratuais padrão e compromissos contratuais específicos firmados com cada operador, em linha com o Art. 33 da LGPD.

6. Retenção e descarte (Art. 15 e 16 LGPD)

• Conta ativa: mantemos seus dados enquanto sua conta estiver ativa.
• Após cancelamento: dados de conteúdo são excluídos ou anonimizados em até 30 dias, salvo quando exigido prazo maior por obrigação legal.
• Dados fiscais e contábeis: retidos por até 5 (cinco) anos para cumprimento de obrigações tributárias.
• Logs de auditoria e prevenção a fraude: retidos por até 6 (seis) meses (legítimo interesse), conforme Art. 16, II e III.

7. Segurança da informação

Adotamos medidas técnicas e administrativas proporcionais ao risco, entre elas:

• Criptografia em trânsito (TLS 1.2+) e em repouso (AES-256) nos bancos de dados.
• Hash de senha com Argon2/bcrypt — nunca armazenamos senha em texto claro.
• Row Level Security (RLS) no Supabase: cada usuário só consegue ler os próprios registros — isolamento lógico de tenant.
• Tokens OAuth criptografados e com escopo mínimo necessário.
• Controle de acesso por função (RBAC) para a equipe da Controladora.
• Registro de logs imutáveis e revisões periódicas de segurança.
• Backups automatizados e plano de continuidade de negócio.

Apesar do nosso esforço contínuo, nenhum sistema é 100% imune. Caso identifiquemos um incidente de segurança que represente risco ou dano relevante a titulares, notificaremos a ANPD e os titulares afetados em prazo razoável, conforme Art. 48 da LGPD e diretrizes da ANPD.

8. Tomada de decisões automatizadas e IA

A IVI utiliza modelos de inteligência artificial (LLMs) para interpretar comandos, organizar tarefas e gerar respostas. Não tomamos decisões automatizadas com efeito jurídico ou impacto relevante sobre você (ex.: análise de crédito, rejeição automática de proposta) sem revisão humana. Você tem direito a solicitar revisão de decisões automatizadas que afetem seus interesses (Art. 20 LGPD), enviando pedido ao DPO.

9. Seus direitos como titular (Art. 18 LGPD)

Você pode, gratuitamente e a qualquer momento, solicitar:

• Confirmação da existência de tratamento;
• Acesso aos dados;
• Correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade;
• Portabilidade a outro fornecedor;
• Eliminação dos dados tratados com base em consentimento;
• Informação sobre entidades públicas e privadas com as quais compartilhamos dados;
• Informação sobre a possibilidade de não fornecer consentimento e as consequências;
• Revogação do consentimento.

Para exercer qualquer direito, envie e-mail para dpo@dmoraes.com.br. Respondemos em até 15 (quinze) dias, conforme Art. 19 LGPD. Caso entenda que sua solicitação não foi atendida adequadamente, você pode peticionar diretamente à Autoridade Nacional de Proteção de Dados (ANPD).

10. Crianças e adolescentes

O serviço não é destinado a menores de 18 anos. Caso identifiquemos cadastro nessas condições, eliminaremos os dados, salvo havendo consentimento específico e em destaque de pelo menos um dos pais ou responsável legal (Art. 14 LGPD).

11. Alterações desta política

Podemos atualizar esta política para refletir mudanças legais, regulatórias ou de produto. Mudanças materiais serão comunicadas com antecedência razoável por e-mail e/ou na plataforma. A versão atual é a 2.0, vigente desde 22 de maio de 2026.

12. Fale com o Encarregado (DPO)