Política de Privacidade

Peritiq – Política de Privacidade

Data de Vigência: 27 de dezembro de 2025

1. Introdução e Escopo

A presente Política de Privacidade descreve como a Escola Amarela Serviços LTDA (doravante denominada "Prestador", "nós", "nosso" ou "nossa") coleta, utiliza e protege dados pessoais em conexão com sua utilização do nosso serviço Peritiq (doravante denominado o "Serviço").

Esta política aplica-se a todas as pessoas que interagem com o Serviço, incluindo visitantes do site, usuários em período de avaliação e usuários autorizados de um cliente pagante (doravante denominado "Cliente", "você", "seu").

Ao acessar ou utilizar o Serviço, você reconhece e concorda com as práticas descritas nesta Política de Privacidade. Esta política é incorporada por referência aos nossos Termos de Serviço.

2. Nosso Papel: Controlador e Operador de Dados

Atuamos em duas qualidades distintas nos termos do Regulamento Geral sobre a Proteção de Dados (RGPD) da UE e da Lei Geral de Proteção de Dados (LGPD) brasileira:

  • Controlador de Dados: Atuamos como Controlador de dados pessoais que coletamos diretamente de você para criar e gerenciar sua conta e processar pagamentos. Isso inclui Informações da Conta, Informações de Pagamento e Dados de Monitoramento de Segurança. Nós determinamos as finalidades e os meios de tratamento desses dados.
  • Operador de Dados: Atuamos como Operador para os dados que você nos fornece para processamento através do Serviço. Isso inclui o "Conteúdo Enviado" e o "Conteúdo Gerado" dele derivado. Você é o Controlador desses dados. Nós os tratamos apenas em seu nome e de acordo com suas instruções documentadas (conforme estabelecido em nossos Termos de Serviço e nesta política).

3. Dados que Tratamos como Controlador

Coletamos e controlamos os seguintes dados:

3.1. Informações da Conta

  • Seu nome, endereço de e-mail, nome da empresa e cargo (se fornecido)
  • Sua senha com hash (nunca armazenamos senhas em texto simples)
  • Suas preferências de idioma e comunicação
  • Data de criação da conta, registro de data/hora do último acesso e status da conta

3.2. Informações de Pagamento e Faturamento

  • Quando você assina um plano pago, nosso processador de pagamentos terceirizado, Stripe, coletará seus dados de pagamento (por exemplo, número do cartão de crédito, endereço de cobrança).
  • Não coletamos nem armazenamos seus dados completos de cartão de pagamento.
  • Apenas recebemos e armazenamos um ID único do Stripe (token), os últimos quatro dígitos do seu cartão, a data de validade do cartão e o país de cobrança para gerenciamento da assinatura.

3.3. Dados Técnicos de Registro

  • Endereço IP (com hash para proteção de privacidade)
  • Tipo de navegador, sistema operacional e tipo de dispositivo
  • URL de referência e páginas acessadas
  • Registros de data/hora das requisições

3.4. Dados de Segurança de Dispositivo e Sessão

  • Impressões digitais do dispositivo (um hash derivado das características do navegador e do dispositivo) para detectar tentativas de acesso não autorizado
  • Tokens de sessão e tokens CSRF para segurança
  • Esses dados nos ajudam a prevenir invasão de contas, detectar padrões de login suspeitos e proteger sua conta.

3.5. Dados de Monitoramento de Segurança

  • Tentativas de login malsucedidas (incluindo hash de IP, agente do usuário e registro de data/hora)
  • Eventos de limitação de taxa (rastreamento de requisições excessivas à API para prevenir abusos)
  • Histórico de logins bem-sucedidos para auditoria de segurança
  • Esses dados são utilizados exclusivamente para prevenção de fraudes, detecção de abusos e segurança da conta.

3.6. Metadados de Uso

  • Rastreamento de consumo de créditos (quais conteúdos você acessa)
  • Histórico de downloads de conteúdo
  • Padrões de uso de funcionalidades para melhoria do serviço
  • Não salvamos nem registramos o conteúdo de suas mensagens de chat.

3.7. Dados de Avaliação e Questionário

  • Quando você preenche avaliações ou questionários através do Serviço, armazenamos suas respostas em associação com sua conta de usuário.
  • Esses dados são utilizados para gerar resultados de análise personalizados para você.
  • Suas respostas podem contribuir para benchmarks anonimizados e agregados (nenhuma identificação individual é possível).
  • Metadados da sessão de avaliação (hora de início, hora de conclusão, status) são retidos para funcionalidade do serviço.

3.8. Conteúdo Gerado pelo Usuário

  • Se você enviar depoimentos, avaliações ou recomendações, armazenamos: sua nota, título, texto do comentário, nome de exibição (primeiro nome + inicial do sobrenome), cargo e nome da empresa.
  • Seu nome completo e endereço de e-mail são armazenados, mas não são exibidos publicamente.

3.9. Feedback Voluntário

  • Quaisquer sugestões, feedback ou ideias que você nos forneça voluntariamente a respeito do Serviço.

4. Dados que Tratamos como Operador

Em seu nome e como seu Operador de Dados, tratamos os seguintes dados dos quais você é o Controlador:

  • Conteúdo Enviado: Quaisquer documentos, arquivos ou dados que você ou seus usuários enviem, transmitam ou de outra forma forneçam ao Serviço para processamento pelo sistema RAG.
  • Conteúdo Gerado: As respostas e dados gerados por IA produzidos pelo Serviço com base no seu Conteúdo Enviado.

Suas Obrigações como Controlador: Você declara e garante que possui todos os direitos, consentimentos e uma base legal válida necessários para fornecer o Conteúdo Enviado ao Serviço para tratamento conforme descrito nesta política e em nossos Termos de Serviço.

Nossas Obrigações como Operador: Ao tratar seu Conteúdo Enviado e Conteúdo Gerado, nós iremos: a) Tratar esses dados apenas para fornecer, proteger e monitorar o Serviço conforme suas instruções; b) Nunca utilizar seu Conteúdo Enviado ou Conteúdo Gerado para treinar modelos de IA gerais ou públicos nem para qualquer finalidade que não seja a prestação direta do Serviço a você; c) Implementar medidas técnicas e organizacionais apropriadas para garantir a segurança e confidencialidade desses dados (veja o item 8); d) Fornecer assistência razoável a você (às suas custas) para ajudá-lo a cumprir suas obrigações de responder a solicitações de Direitos de Titulares de seus usuários; e e) Assegurar que nosso pessoal autorizado a acessar esses dados esteja vinculado a obrigações estritas de confidencialidade.

5. Base Legal para o Tratamento (RGPD e LGPD)

Só tratamos seus dados pessoais (como Controlador) quando temos uma base legal válida:

Atividade de Tratamento Dados Tratados Base Legal (RGPD / LGPD)
Prestação do Serviço (criação, autenticação, gerenciamento de conta) Informações da Conta Art. 6(1)(b) RGPD / Art. 7, V LGPD (Execução de Contrato)
Processamento de pagamentos e gerenciamento de assinaturas Informações de Pagamento, Informações da Conta Art. 6(1)(b) RGPD / Art. 7, V LGPD (Execução de Contrato)
Segurança da plataforma, prevenção de fraudes e detecção de abusos Dados Técnicos de Registro, Dados de Segurança de Dispositivo e Sessão, Dados de Monitoramento de Segurança Art. 6(1)(f) RGPD / Art. 7, IX LGPD (Legítimo Interesse)
Gerenciamento do Sistema de Créditos Metadados de Uso Art. 6(1)(b) RGPD (Execução de Contrato)
Geração de resultados de avaliação personalizados Dados de Avaliação e Questionário Art. 6(1)(b) RGPD / Art. 7, V LGPD (Execução de Contrato)
Criação de benchmarks anonimizados Dados de Avaliação (agregados, anonimizados) Art. 6(1)(f) RGPD / Art. 7, IX LGPD (Legítimo Interesse)
Exibição de depoimentos e avaliações Conteúdo Gerado pelo Usuário Art. 6(1)(a) RGPD / Art. 7, I LGPD (Consentimento)
Resposta às suas consultas e uso do seu feedback Informações da Conta, Feedback Art. 6(1)(f) RGPD / Art. 7, IX LGPD (Legítimo Interesse)
Cumprimento de obrigações financeiras, fiscais e legais Informações de Pagamento, Informações da Conta Art. 6(1)(c) RGPD / Art. 7, II LGPD (Obrigação Legal)
Prevenção de abuso de avaliação e aplicação da política de avaliação única Hash de E-mail (prevenção de fraude) Art. 6(1)(f) RGPD / Art. 7, IX LGPD (Legítimo Interesse em prevenção de fraude)

6. Compartilhamento de Dados e Suboperadores

Não vendemos, alugamos ou cedemos seus dados pessoais. Contratamos os seguintes suboperadores terceirizados para fornecer o Serviço e celebramos contratos de tratamento de dados apropriados com cada um deles:

  • Hostinger (UE): Fornece hospedagem de aplicativos e gerenciamento de banco de dados de usuários (para Informações da Conta) em seus data centers europeus.
  • Cloudflare (UE/Global): Fornece processamento RAG, vetorização e armazenamento para seu Conteúdo Enviado e Conteúdo Gerado principalmente em data centers europeus. Os Workers do Cloudflare podem processar Metadados de Uso e tokens de sessão em sua rede global para respostas de baixa latência.
  • Stripe (EUA): Nosso processador de pagamentos. Suas Informações de Pagamento são enviadas diretamente ao Stripe. O Stripe é certificado sob o EU-U.S. Data Privacy Framework.
  • Escola Amarela (Brasil): Como empresa controladora, nossa equipe administrativa, de faturamento e suporte no Brasil pode acessar as Informações da Conta.

7. Transferências Internacionais de Dados

Seu Conteúdo Enviado e Conteúdo Gerado são processados e armazenados exclusivamente dentro da União Europeia (UE) por nossos suboperadores.

Suas Informações da Conta e Informações de Pagamento podem ser transferidas internacionalmente da seguinte forma:

  • Para o Brasil: Suas Informações da Conta podem ser acessadas do Brasil por nossa empresa controladora para fins administrativos e de suporte. Essa transferência é protegida pela aplicação das Cláusulas Contratuais Padrão (SCCs) da Comissão Europeia.
  • Para os EUA: Suas Informações de Pagamento são processadas pelo Stripe, uma empresa sediada nos EUA. Essa transferência é protegida por Cláusulas Contratuais Padrão (SCCs) e pelo EU-U.S. Data Privacy Framework, garantindo um nível adequado de proteção de dados.

8. Segurança de Dados

Implementamos e mantemos medidas técnicas e organizacionais apropriadas (TOMs) para proteger todos os dados pessoais contra acesso, divulgação, alteração, destruição ou perda não autorizados. Essas medidas incluem:

  • Criptografia: As senhas são criptografadas de forma segura usando bcrypt. Todos os dados são criptografados em trânsito (TLS 1.2 ou superior) e em repouso (AES-256). Campos sensíveis como endereços de e-mail são criptografados no nível do banco de dados.
  • Pseudonimização: Os endereços de e-mail são convertidos em hash para fins de pesquisa, reduzindo a exposição em caso de violação do banco de dados.
  • Separação de Dados por Cliente: Seu Conteúdo Enviado e Conteúdo Gerado são segregados lógica e seguramente em seu próprio espaço de nomes dedicado.
  • Controles de Acesso: O acesso a dados pessoais é estritamente limitado a pessoal autorizado com base na necessidade de conhecimento, e o acesso administrativo requer autenticação multifator.
  • Monitoramento de Segurança: Empregamos sistemas automatizados para detectar e responder a atividades suspeitas, incluindo tentativas de login por força bruta e padrões de acesso incomuns.
  • Proteção CSRF: Todas as operações que alteram o estado requerem tokens CSRF válidos para prevenir ataques de falsificação de solicitação entre sites.
  • Limitação de Taxa: Os endpoints de API estão sujeitos a limitação de taxa para prevenir abusos e ataques de negação de serviço.

9. Retenção de Dados

Retemos dados pessoais apenas pelo tempo necessário para as finalidades para as quais foram coletados.

Categoria de Dados Período de Retenção Base
Informações da Conta Duração da assinatura + 7 anos Obrigação legal (registros fiscais/financeiros)
Dados de Pagamento e Faturamento 10 anos a partir da data da transação Obrigação legal (registros fiscais/financeiros)
Conteúdo Enviado e Conteúdo Gerado Duração da assinatura ativa + 30 dias Execução de contrato
Dados de Avaliação e Questionário Duração da assinatura ativa + 30 dias Execução de contrato
Dados Técnicos de Registro 90 dias (contínuos) Legítimo interesse (segurança/depuração)
Dados de Monitoramento de Segurança (tentativas de login, limitações de taxa) 30 dias Legítimo interesse (segurança)
Hash de E-mail (prevenção de fraude) Indefinidamente Legítimo interesse (prevenção de fraude)
Conteúdo Gerado pelo Usuário (Depoimentos) Até a revogação do consentimento ou exclusão da conta Consentimento
Mensagens de Chat NÃO ARMAZENADAS Não aplicável

Retenção de Backup: Os dados contidos em backups de infraestrutura de rotina serão excluídos de acordo com nossos ciclos padrão de retenção de backup (geralmente não excedendo 180 dias) e permanecerão criptografados e inacessíveis até serem sobrescritos.

Dados de Prevenção de Fraude: Para aplicar nossa política de avaliação única e prevenir abusos, retemos um hash criptográfico seguro e unidirecional do seu endereço de e-mail mesmo após a exclusão da conta. Tratamos esses dados exclusivamente para prevenção de fraudes, conforme permitido pelo RGPD (Art. 6(1)(f); Art. 17(3)(e)) e pela LGPD (Art. 7, IX; Art. 16, II).

10. Seus Direitos como Titular de Dados (RGPD e LGPD)

Seus direitos dependem do nosso papel como Controlador ou Operador:

10.1. Dados para os quais Somos o Controlador (Seus Dados de Conta)

Você tem os seguintes direitos em relação aos dados pessoais que controlamos:

  • Direito de Acesso: Solicitar uma cópia dos seus dados pessoais. Você pode exportar seus dados a qualquer momento através das configurações da sua conta ou entrando em contato conosco.
  • Direito de Retificação: Solicitar a correção de dados imprecisos. Você pode atualizar a maioria das informações diretamente nas configurações da sua conta.
  • Direito à Eliminação ("Direito ao Esquecimento"): Solicitar a exclusão dos seus dados, sujeito às nossas obrigações legais de retenção. Note que reteremos hashes de e-mail para prevenção de fraudes.
  • Direito à Limitação do Tratamento: Solicitar que limitemos como usamos seus dados em determinadas circunstâncias.
  • Direito à Portabilidade de Dados: Solicitar seus dados em um formato estruturado, de uso comum e legível por máquina (JSON).
  • Direito de Oposição: Opor-se ao nosso tratamento dos seus dados com base em interesses legítimos. Cessaremos o tratamento a menos que demonstremos motivos legítimos convincentes.
  • Direito de Revogar o Consentimento: Quando o tratamento for baseado em consentimento (por exemplo, depoimentos, newsletter), você pode revogar o consentimento a qualquer momento sem afetar a licitude do tratamento anterior.
  • Direito de Apresentar Reclamação: Você tem o direito de apresentar uma reclamação a uma autoridade de supervisão (por exemplo, sua autoridade local de proteção de dados da UE ou a ANPD brasileira – Autoridade Nacional de Proteção de Dados).

Para exercer esses direitos, entre em contato com nossa Equipe de Proteção de Dados pelo e-mail privacy@peritiq.com. Responderemos em até 30 dias (ou conforme exigido pela legislação aplicável).

10.2. Dados para os quais Você é o Controlador (Seu Conteúdo Enviado)

Como Controlador do seu Conteúdo Enviado, você é responsável por atender às solicitações de Direitos de Titulares dos seus próprios usuários (por exemplo, seus funcionários). Se recebermos tal solicitação diretamente, a encaminharemos ao Administrador da sua conta para tratamento. Forneceremos assistência razoável conforme exigido por lei.

11. Cookies e Tecnologias de Rastreamento

Utilizamos cookies essenciais necessários para o funcionamento adequado do Serviço:

  • Cookies de Sessão: Utilizados para manter seu estado de login e tokens de segurança. Estes são estritamente necessários e não podem ser desativados.
  • Tokens CSRF: Utilizados para prevenir ataques de falsificação de solicitação entre sites.
  • Preferência de Idioma: Utilizada para lembrar o idioma selecionado.

Não utilizamos cookies de rastreamento de terceiros, cookies de publicidade ou cookies de análise que rastreiem você em diferentes sites. Utilizamos a proteção contra bots do Cloudflare (Turnstile), que pode definir cookies para fins de segurança.

12. Privacidade de Crianças e Adolescentes

O Serviço não é destinado ao uso por pessoas menores de 16 anos (ou a idade aplicável de consentimento digital em sua jurisdição). Não coletamos intencionalmente dados pessoais de crianças. Se tomarmos conhecimento de que coletamos dados pessoais de uma criança sem o consentimento apropriado, tomaremos medidas para excluir essas informações.

13. Alterações nesta Política de Privacidade

Podemos atualizar esta Política de Privacidade periodicamente para refletir mudanças em nossas práticas ou na legislação aplicável. Notificaremos você sobre quaisquer alterações materiais por meio de:

  • Publicação de um aviso no Serviço
  • Envio de um e-mail para o endereço associado à sua conta
  • Atualização da "Data de Vigência" no topo desta política

Recomendamos que você revise esta política periodicamente. Seu uso continuado do Serviço após a data de vigência de quaisquer alterações constitui sua aceitação da política atualizada.

14. Entre em Contato

Se você tiver dúvidas sobre esta Política de Privacidade, seus dados pessoais ou desejar exercer seus direitos, entre em contato conosco:

  • Equipe de Proteção de Dados: privacy@peritiq.com
  • Consultas Gerais: hi@peritiq.com
  • Endereço Postal: Escola Amarela Serviços Ltda, Rua da Paz 1313, São Paulo - SP, Brasil