Política de Privacidade
Última atualização: {{DATA_VIGENCIA}}
Esta é uma minuta. Substitua os placeholders entre chaves duplas pelos dados reais antes da publicação e submeta o documento final à revisão de advogado(a) inscrito(a) na OAB.
1. Controlador e Encarregado de Dados (DPO)
Controlador dos dados pessoais:
{{RAZAO_SOCIAL}}, inscrita no CNPJ {{CNPJ}}, com sede em {{ENDERECO_SEDE}}, operando as plataformas https://samiraverly.com e https://academy.samiraverly.com.
Encarregado pelo Tratamento de Dados Pessoais (DPO):
{{NOME_DPO}} Email: {{DPO_EMAIL}}
O DPO é o ponto de contato para titulares de dados e para a Autoridade Nacional de Proteção de Dados (ANPD). Solicitações relacionadas a esta Política devem ser direcionadas ao email acima.
1.A Aplicabilidade Internacional
Esta Política aplica-se a titulares de dados pessoais nas seguintes jurisdições, com as garantias adicionais correspondentes ao ordenamento jurídico local:
1.A.1 Brasil (LGPD — Lei 13.709/2018). Tratamento regulado integralmente nas demais cláusulas desta Política. Reclamações podem ser dirigidas à ANPD (portal.anpd.gov.br).
1.A.2 Portugal e União Europeia (GDPR — Regulamento (UE) 2016/679). Para titulares com residência habitual em Estado-Membro da UE, esta Política é interpretada em conformidade com o GDPR. Direitos adicionais reconhecidos nos termos dos artigos 15 a 22 do GDPR: acesso, retificação, apagamento (direito a ser esquecido), restrição de tratamento, portabilidade, oposição e direito de não ser submetido a decisão exclusivamente automatizada. Solicitações devem ser dirigidas a {{DPO_EMAIL}}, com resposta em até 30 (trinta) dias. Quando aplicável, a Empresa designa representante na UE: {{REPRESENTANTE_UE}}. As transferências de dados pessoais para fora do Espaço Económico Europeu são realizadas com base nas Cláusulas Contratuais Padrão (SCCs) adotadas pela Comissão Europeia, garantindo nível de proteção equivalente ao GDPR. Bases legais aplicáveis (Art. 6 GDPR): execução de contrato (Art. 6(1)(b)); consentimento (Art. 6(1)(a)); obrigação legal (Art. 6(1)(c)); interesse legítimo (Art. 6(1)(f)). Reclamações podem ser dirigidas à Comissão Nacional de Proteção de Dados — CNPD (cnpd.pt) ou à autoridade do Estado-Membro de residência do titular.
1.A.3 Estados Unidos (CCPA/CPRA — California Consumer Privacy Act). Para residentes da Califórnia, esta Política reconhece os seguintes direitos: (i) direito de saber quais categorias de informações pessoais são coletadas, vendidas ou compartilhadas; (ii) direito de exclusão das informações pessoais; (iii) direito de correção; (iv) direito de opt-out da venda ou compartilhamento — a Empresa não vende informações pessoais; (v) direito de limitar o uso de informações pessoais sensíveis; (vi) direito de não-retaliação por exercer direitos CCPA. Solicitações podem ser feitas em {{PORTAL_PRIVACIDADE_US}} ou por email a {{DPO_EMAIL}}. Resposta em até 45 (quarenta e cinco) dias. Reclamações podem ser dirigidas à California Privacy Protection Agency (cppa.ca.gov) ou ao Procurador-Geral da Califórnia.
2. Dados Pessoais Coletados
Coletamos os dados pessoais descritos abaixo, conforme a categoria:
2.1 Dados cadastrais e de identificação
- Nome completo
- Endereço de email
- Número de telefone (opcional, mas necessário para determinadas funcionalidades)
- País e estado de residência
- Fotografia de perfil (opcional, enviada pelo Usuário)
- Data de nascimento (para verificação de idade mínima)
2.2 Dados de pagamento e transacionais
- Valor, data e histórico de transações
- Últimos quatro dígitos do cartão e bandeira (dados mantidos pela Square; não armazenamos o número completo do cartão, código de segurança ou data de validade completa)
- Identificador de assinatura gerado pelo processador de pagamento
- Histórico de reembolsos e disputas
2.3 Dados comportamentais e de progresso
- Cursos acessados e percentual de conclusão
- Vídeos assistidos e posição de playback
- Certificados emitidos
- Publicações, comentários e interações na Comunidade
- Stories visualizadas e criadas
- Data e hora de acesso às aulas
2.4 Dados técnicos
- Endereço IP
- User-agent (navegador, sistema operacional, dispositivo)
- Cookies de sessão e autenticação
- Tokens de autenticação OAuth (Google)
- Logs de erro e de acesso à Plataforma
2.5 Dados de comunicação
- Conteúdo de mensagens enviadas ao suporte
- Registros de comunicações transacionais (confirmações de compra, redefinição de senha, etc.)
2.6 Dados de marketing (mediante consentimento)
- Preferências de comunicação
- Histórico de abertura e clique em emails promocionais
3. Finalidades do Tratamento
Tratamos seus dados pessoais para as seguintes finalidades:
| Finalidade | Descrição |
|---|---|
| Prestação do serviço | Criar e manter sua conta, fornecer acesso ao Conteúdo contratado, emitir certificados, operar a Comunidade |
| Processamento de pagamento | Realizar cobranças, gerenciar assinaturas, processar reembolsos, prevenir fraudes no checkout |
| Comunicação transacional | Enviar confirmações de compra, notificações de acesso, alertas de expiração, redefinição de senha |
| Suporte ao cliente | Responder dúvidas, resolver reclamações, tratar solicitações de direitos do titular |
| Melhoria da Plataforma | Analisar padrões de uso, corrigir erros, desenvolver novas funcionalidades |
| Prevenção a fraude e segurança | Detectar acessos não autorizados, abusos de conta, tentativas de fraude no pagamento |
| Cumprimento de obrigações legais | Atender exigências fiscais, regulatórias e judiciais |
| Marketing e comunicações promocionais | Enviar conteúdo, novidades e ofertas (somente com consentimento prévio — opt-in) |
4. Bases Legais (LGPD, Art. 7º)
Para cada finalidade indicamos a base legal aplicável:
| Finalidade | Base legal (Art. 7º LGPD) |
|---|---|
| Prestação do serviço contratado | Inciso V — execução de contrato |
| Processamento de pagamento | Inciso V — execução de contrato |
| Emissão de certificados | Inciso V — execução de contrato |
| Comunicação transacional | Inciso V — execução de contrato |
| Suporte ao cliente | Inciso V — execução de contrato / Inciso IX — legítimo interesse |
| Melhoria da Plataforma | Inciso IX — legítimo interesse (melhoria dos serviços) |
| Prevenção a fraude e segurança | Inciso IX — legítimo interesse (proteção do titular e da Empresa) |
| Cumprimento de obrigações legais | Inciso II — cumprimento de obrigação legal ou regulatória |
| Marketing e comunicações promocionais | Inciso I — consentimento (opt-in explícito) |
| Análise de comportamento para fraude no checkout | Inciso IX — legítimo interesse (prevenção a fraude) |
O legítimo interesse será utilizado somente quando não prevalecerem os interesses ou direitos fundamentais do titular, conforme Art. 10 da LGPD.
5. Compartilhamento com Terceiros e Subprocessadores
Compartilhamos dados pessoais com terceiros estritamente para viabilizar os serviços contratados. Abaixo a lista de subprocessadores e a finalidade de cada compartilhamento:
| Subprocessador | País sede | Finalidade |
|---|---|---|
| Square Inc. | Estados Unidos | Processamento de pagamentos, gestão de assinaturas, prevenção a fraude financeira |
| Mux, Inc. | Estados Unidos | Hospedagem, encoding e streaming de vídeo-aulas |
| Resend | Estados Unidos | Envio de emails transacionais (confirmações, notificações, redefinição de senha) |
| Uploadthing | Estados Unidos | Armazenamento e entrega de assets (imagens de perfil, materiais didáticos) |
| Pusher Ltd. | Estados Unidos / Reino Unido | Funcionalidades em tempo real (notificações, stories, chat) |
| MongoDB Atlas (MongoDB, Inc.) | Estados Unidos / União Europeia | Banco de dados principal da Plataforma |
| Vercel Inc. | Estados Unidos | Hospedagem e infraestrutura da aplicação web |
| Google LLC | Estados Unidos | Autenticação via OAuth, fontes web (Google Fonts) |
Todos os subprocessadores são contratados mediante cláusulas de proteção de dados compatíveis com as exigências da LGPD e, quando aplicável, do GDPR. Não vendemos dados pessoais a terceiros.
Poderemos ainda compartilhar dados com:
- Autoridades públicas, reguladores ou órgãos judiciais, quando exigido por lei ou ordem judicial;
- Assessores jurídicos e auditores externos, sob obrigação de confidencialidade;
- Empresa adquirente, em caso de fusão, aquisição ou reorganização societária, com notificação prévia ao titular.
6. Transferência Internacional de Dados
A maioria dos subprocessadores listados na cláusula 5 opera com servidores nos Estados Unidos, o que implica transferência internacional de dados pessoais.
A transferência é realizada com fundamento no Art. 33 da LGPD, com as seguintes garantias:
(a) cláusulas contratuais específicas de proteção de dados inseridas nos contratos com cada subprocessador; (b) adoção de padrões de segurança equivalentes ou superiores aos exigidos pela LGPD, incluindo certificações internacionais de segurança (SOC 2, ISO 27001, quando disponíveis); (c) para operações que envolvam titulares residentes na União Europeia ou em Portugal, adoção de mecanismos compatíveis com o GDPR, incluindo Cláusulas Contratuais Padrão (SCCs) quando aplicável.
O titular pode solicitar informações sobre as garantias específicas de cada transferência pelo email {{DPO_EMAIL}}.
7. Cookies e Tecnologias de Rastreamento
7.1 O que são cookies. Cookies são pequenos arquivos de texto armazenados no dispositivo do Usuário ao acessar a Plataforma. Utilizamos também tecnologias similares (pixels, local storage, fingerprinting limitado).
7.2 Categorias de cookies utilizados:
| Categoria | Descrição | Opt-out |
|---|---|---|
| Essenciais | Necessários para funcionamento da Plataforma (autenticação, sessão, segurança). Não podem ser desativados sem comprometer o acesso. | Não disponível |
| Analíticos | Coletam dados de uso agregados e anonimizados para melhoria da Plataforma. | Sim, via banner de consentimento |
| Marketing | Rastreiam comportamento para personalização de anúncios e mensuração de campanhas. Ativados apenas com consentimento. | Sim, via banner de consentimento |
7.3 Banner de consentimento. Na primeira visita, exibimos um banner de gestão de cookies que permite ao Usuário aceitar todas as categorias, personalizar sua escolha ou rejeitar as não essenciais. As preferências ficam salvas por {{DIAS_VALIDADE_COOKIE_CONSENT}} dias e podem ser revistas a qualquer tempo pelas configurações de privacidade do site.
7.4 Opt-out por navegador. O Usuário pode configurar seu navegador para recusar ou excluir cookies, mas isso pode afetar funcionalidades da Plataforma.
8. Retenção dos Dados
| Categoria | Prazo de retenção | Justificativa |
|---|---|---|
| Dados cadastrais | Durante a vigência da conta + 5 anos após encerramento | Prazo prescricional (CC, Art. 206) e obrigação legal |
| Dados transacionais e fiscais | 5 anos após a transação | Obrigação tributária (CTN, Art. 174) |
| Dados de pagamento (tokenizados) | Conforme política da Square; não armazenamos dados completos | PCI-DSS e contrato com Square |
| Dados de progresso e certificados | Durante a vigência da conta + 5 anos | Comprovação de conclusão de curso |
| Conteúdo da Comunidade | Durante a vigência da conta; após encerramento: anonimizado ou excluído em até 90 dias | Solicitação do titular ou encerramento da conta |
| Dados técnicos (logs, IP) | Até 6 meses, salvo necessidade de investigação de incidente | Marco Civil da Internet (Art. 15) |
| Dados de marketing | Até revogação do consentimento | Consentimento (LGPD, Art. 8º, § 5º) |
Após o vencimento dos prazos acima, os dados são eliminados de forma segura ou anonimizados de maneira irreversível.
9. Direitos do Titular (LGPD, Art. 18)
Nos termos do Art. 18 da Lei 13.709/2018, o titular dos dados tem os seguintes direitos, que podem ser exercidos a qualquer tempo:
- Confirmação de que tratamos seus dados pessoais;
- Acesso aos dados pessoais tratados;
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
- Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, observados os segredos comerciais e industriais;
- Eliminação dos dados pessoais tratados com base no consentimento, exceto nas hipóteses legais de retenção obrigatória;
- Informação sobre os terceiros com quem compartilhamos seus dados;
- Informação sobre a possibilidade de não fornecer consentimento e as consequências da negativa;
- Revogação do consentimento a qualquer tempo, sem custo, não afetando o tratamento realizado antes da revogação.
Como exercer seus direitos:
Envie solicitação por email para {{DPO_EMAIL}}, com identificação do titular (nome completo, email cadastrado) e descrição clara do direito que deseja exercer. Responderemos em até 15 (quinze) dias corridos, podendo solicitar documentos adicionais para verificação de identidade. Esse prazo pode ser prorrogado em situações fundamentadas, com informação ao titular.
10. Segurança da Informação
A Empresa adota medidas técnicas e organizacionais adequadas para proteger os dados pessoais contra acesso não autorizado, perda, alteração, divulgação ou destruição:
(a) Criptografia em trânsito: toda comunicação entre o dispositivo do Usuário e a Plataforma utiliza protocolo TLS/HTTPS; (b) Criptografia em repouso: dados sensíveis armazenados em banco de dados são criptografados; (c) Tokenização de cartão: dados de pagamento são processados e armazenados pela Square mediante tokenização, sem que a Empresa acesse ou armazene o número completo do cartão; (d) Controle de acesso: o acesso interno aos dados é restrito ao pessoal que necessita das informações para desempenhar suas funções (princípio do menor privilégio); (e) Monitoramento: sistemas de detecção de acessos não autorizados e anomalias são operados continuamente; (f) Backups: cópias de segurança são realizadas com frequência e testadas periodicamente.
Sem garantia absoluta. Nenhum sistema de segurança é inviolável. A Empresa não pode garantir a segurança absoluta dos dados, mas compromete-se a notificar o titular e a ANPD em caso de incidente relevante, conforme cláusula 11.
11. Incidentes de Segurança
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares (ex.: acesso não autorizado em larga escala, vazamento de senhas, exposição de dados sensíveis), a Empresa:
(a) notificará a Autoridade Nacional de Proteção de Dados (ANPD) no prazo previsto pela regulamentação vigente; (b) comunicará os titulares afetados por email, descrevendo a natureza do incidente, os dados envolvidos, as medidas adotadas para mitigação e os riscos identificados; (c) adotará medidas corretivas imediatas para conter e remediar o incidente; (d) documentará o incidente em registro interno, conforme exige o Art. 48 da LGPD.
12. Dados de Menores de Idade
A Plataforma destina-se exclusivamente a maiores de 18 anos. Não coletamos intencionalmente dados pessoais de menores de 18 anos. Caso identifiquemos que uma conta foi criada por menor de idade, procederemos ao encerramento imediato e à eliminação dos dados coletados, sem aviso prévio. Responsáveis legais que identifiquem uso indevido por menor sob sua tutela devem comunicar o DPO pelo email {{DPO_EMAIL}}.
13. Marketing e Comunicações
13.1 Comunicações transacionais. Emails relacionados à execução do contrato (confirmação de cadastro, comprovante de compra, notificação de vencimento, redefinição de senha, alertas de segurança) são enviados independentemente de opção de marketing. Esses emails não são opt-outáveis enquanto a conta estiver ativa, pois são necessários para a prestação do serviço.
13.2 Comunicações promocionais. Newsletters, promoções, lançamentos de cursos e conteúdo educativo são enviados somente para Usuários que consentiram expressamente (opt-in), no ato do cadastro ou posteriormente. O consentimento pode ser revogado a qualquer tempo pelo link de descadastramento presente em cada email ou pelo painel da conta, sem custo.
13.3 Sem compartilhamento para fins de marketing de terceiros. Não compartilhamos listas de emails ou dados de Usuários com parceiros para fins de marketing direto de terceiros.
14. Decisões Automatizadas
14.1 Prevenção a fraude. Utilizamos análise automatizada de dados comportamentais e transacionais para identificar padrões associados a fraude no checkout. Essa análise pode resultar em bloqueio temporário de transação, sujeito a revisão humana posterior.
14.2 Direito de revisão. O Usuário tem o direito de solicitar revisão humana de decisão automatizada que o afete significativamente, nos termos do Art. 20 da LGPD. Solicitações devem ser enviadas para {{DPO_EMAIL}}.
14.3 Personalização de conteúdo. O histórico de progresso e acesso pode ser utilizado para recomendar cursos relevantes ao Usuário, sem que isso constitua decisão automatizada com efeitos negativos ao titular.
15. Atualizações desta Política
Esta Política pode ser atualizada para refletir mudanças nos serviços, na legislação aplicável ou nas práticas de tratamento de dados. Alterações relevantes serão comunicadas por email ao endereço cadastrado com antecedência mínima de 10 dias antes da entrada em vigor. O uso continuado da Plataforma após essa data implica aceite da nova versão. A versão anterior ficará disponível para consulta mediante solicitação ao DPO.
16. Reclamações: ANPD e Procon
Caso o Usuário entenda que seus direitos como titular de dados não foram atendidos adequadamente, pode apresentar reclamação:
- ANPD — Autoridade Nacional de Proteção de Dados: portal.anpd.gov.br
- Procon estadual do domicílio do Usuário
- Plataforma consumidor.gov.br, gerida pela Senacon
Esses canais são complementares ao atendimento direto da Empresa pelo email {{DPO_EMAIL}} e são de uso irrestrito pelo titular, sem prejuízo ao exercício de outros recursos legais disponíveis.
17. Contato
Para questões relacionadas a esta Política de Privacidade, ao tratamento de seus dados pessoais ou ao exercício de seus direitos:
- DPO — Encarregado de Proteção de Dados: {{NOME_DPO}}
- Email: {{DPO_EMAIL}}
- Endereço postal: {{ENDERECO_SEDE}}
- Horário de atendimento: {{HORARIO_ATENDIMENTO_DPO}}
Responderemos à sua solicitação em até 15 (quinze) dias corridos do recebimento.