Política de Privacidade
1. Quem somos (Controlador)
IBRAEH Instituto Brasileiro de Excelência Humana LTDA, inscrita no CNPJ sob nº 26.642.651/0001-79, com sede em Av Tancredo Neves, 450, Ed Suarez Trade, sala 1601, Caminho das Árvores, Salvador/BA, CEP 41.820-020, doravante denominada "SoDiz", "Controlador", "nós" ou "nosso", é a controladora dos dados pessoais tratados na operação do aplicativo SoDiz e do portal https://app.sodiz.com.br.
2. Encarregado pelo Tratamento de Dados (DPO)
Em cumprimento ao art. 41 da LGPD, a SoDiz designa como Encarregado:
- Nome: Vital Fernandes Araújo, sócio-administrador da Controladora.
- E-mail:
dpo@sodiz.com.br - Página pública: app.sodiz.com.br/dpo
O Encarregado é o ponto único de contato para o titular de dados e para a Autoridade Nacional de Proteção de Dados (ANPD).
3. Quais dados coletamos
3.1. Dados fornecidos diretamente pelo titular
| Categoria | Dado concreto | Origem |
|---|---|---|
| Identificação | Nome completo, e-mail, foto de perfil | Google OAuth (no momento do login) |
| Identificação fiscal | CPF (pessoa física) ou CNPJ (pessoa jurídica) | Formulário de checkout no portal |
| Dados de pagamento | Cartão tokenizado, dados Pix, dados de boleto | Coletados e armazenados diretamente pelo gateway Asaas — a SoDiz nunca tem acesso ao número do cartão |
| Vocabulário customizado | Lista de termos PT-BR/EN cadastrados pelo usuário | Armazenado apenas no dispositivo local |
3.2. Dados coletados automaticamente
| Categoria | Dado concreto | Onde fica |
|---|---|---|
| Áudio capturado | Buffer PCM 16kHz mono enviado para transcrição | NÃO persistido — descartado após processamento |
| Transcrições e textos gerados | Resultado do processamento de IA do SoDiz | Armazenado apenas no dispositivo local (%USERPROFILE%\.sodiz\history.jsonl) |
| Métricas de uso | Palavras transcritas por semana, quantidade de comandos F10 executados, timestamp da última sessão | Backend (usage_events), agregadas e retidas por 90 dias |
| Dados técnicos | Endereço IP, user-agent, versão do app desktop, versão do sistema operacional | Logs do servidor e Sentry, retidos por 30 dias |
| Token de sessão | Refresh token Supabase | Windows Credential Manager (DPAPI) no dispositivo do usuário |
3.3. Dados que NÃO coletamos
- Conteúdo do clipboard fora da janela de gravação ativa
- Áudio em background quando o app não está gravando
- Senhas (login é exclusivamente OAuth Google)
- Dados sensíveis (LGPD art. 11): saúde, religião, orientação sexual, dados biométricos para identificação, dados genéticos
- Dados de menores de 18 anos (vide cláusula 12)
- Localização geográfica precisa (apenas IP, sem geolocalização ativa)
- Dados de marketing, remarketing ou fingerprinting publicitário
4. Para que usamos seus dados (finalidades)
| Finalidade | Categorias de dado usadas |
|---|---|
| Criar e manter sua Conta na Plataforma | Nome, e-mail, foto Google |
| Transcrever áudio em texto | Áudio (em trânsito, descartado pós-processamento) |
| Executar comandos inteligentes F10 (reescrita por IA — plano Pro+) | Texto selecionado + instrução em áudio |
| Cobrar a assinatura | Nome, e-mail, CPF/CNPJ, dados de pagamento |
| Emitir nota fiscal (quando aplicável) | Nome, CPF/CNPJ, endereço |
| Aplicar limites de uso por plano | Métricas de palavras transcritas |
| Detectar abuso e fraude (rate limit, anti-DDoS) | IP, user-agent, padrão de uso |
| Estabilidade do serviço (monitoramento de erros) | Stack traces e user_id hashed (Sentry) |
| Comunicar mudanças no serviço e suporte | |
| Cumprir obrigações legais e responder à ANPD | Conforme demanda específica |
5. Bases legais (LGPD art. 7º)
| Finalidade | Base legal | Artigo |
|---|---|---|
| Cadastro, autenticação e funcionalidade core (transcrição, comando F10) | Execução de contrato | Art. 7º, V |
| Cobrança e emissão fiscal | Execução de contrato + Obrigação legal | Art. 7º, II e V |
| Armazenamento de CPF/CNPJ | Obrigação legal/regulatória | Art. 7º, II |
| Rate limit, anti-fraude e logs de segurança | Legítimo interesse | Art. 7º, IX |
| Monitoramento de erros via Sentry | Legítimo interesse | Art. 7º, IX |
| Comunicações de produto (changelog, manutenção) | Execução de contrato | Art. 7º, V |
| Marketing por e-mail (newsletter futura) | Consentimento opt-in | Art. 7º, I |
| Cookies não-essenciais (analytics futuro) | Consentimento via banner | Art. 7º, I |
A SoDiz não trata dados pessoais sensíveis (art. 11 LGPD).
6. Compartilhamento com operadores
Para operar a Plataforma, compartilhamos dados estritamente necessários com os seguintes operadores (sub-processadores), todos vinculados por DPA (Data Processing Agreement) ou termo equivalente:
| Operador | País | O que recebe | Finalidade |
|---|---|---|---|
| Google LLC (OAuth) | EUA | E-mail, nome, foto | Autenticação |
| Google LLC (Gemini) | EUA | Texto + áudio (instrução do F10) | Processamento de linguagem natural — plano Pro+ |
| Supabase Inc. | EUA (control plane) + Brasil (DB em AWS sa-east-1) | E-mail, nome, refresh tokens, metadados de sessão, registros de assinatura | Autenticação + banco de dados |
| Groq Inc. | EUA | Áudio em trânsito | Transcrição por IA. Áudio não é retido (zero-retention policy contratada) |
| Asaas Gestão Financeira S.A. | Brasil | Nome, e-mail, CPF/CNPJ, dados de pagamento | Processamento de assinaturas e cobrança |
| Hostinger International Ltd. | Lituânia (sede) / Brasil (VPS prod em São Paulo) | Logs de aplicação, banco de dados auxiliar | Hospedagem do backend api.sodiz.com.br |
| Vercel Inc. | EUA + edge global | Logs de acesso ao portal | Hospedagem do portal app.sodiz.com.br |
| Cloudflare Inc. (R2) | EUA + edge global | Backups criptografados do PostgreSQL | Backup operacional |
| Sentry / Functional Software Inc. | EUA | Stack traces, user_id hashed | Monitoramento de erros |
| Resend Inc. | EUA | Nome, e-mail | E-mail transacional (recibo, alertas) |
A SoDiz não vende dados pessoais a terceiros. Não há compartilhamento com fins publicitários ou de marketing comportamental.
6.1. Compartilhamento com autoridades
Podemos compartilhar dados com autoridades públicas competentes mediante ordem judicial, requisição da ANPD ou cumprimento de obrigação legal, sempre com transparência ao titular quando juridicamente possível.
7. Transferência internacional de dados (LGPD art. 33)
Diversos operadores listados acima estão sediados ou armazenam dados nos Estados Unidos e na União Europeia. A transferência é fundamentada em:
- Cláusulas contratuais específicas (DPAs assinados com cada operador) — LGPD art. 33, II
- Consentimento específico do titular — LGPD art. 33, V (manifestado no aceite desta Política)
Todos os operadores aderem a padrões reconhecidos internacionalmente:
- Google: Standard Contractual Clauses (SCCs) UE
- Supabase, Sentry, Vercel, Resend, Cloudflare: DPAs com SCCs
- Groq: DPA com cláusula de zero-retention
- Hostinger: GDPR-compliant (sede UE)
8. Retenção e eliminação de dados
| Categoria | Prazo de retenção |
|---|---|
| Áudio capturado | Não persistido. Descartado imediatamente após transcrição (latência típica < 2s) |
| Transcrições e histórico | Armazenados apenas localmente no dispositivo do usuário; SoDiz não retém cópia |
| Vocabulário customizado | Armazenado apenas localmente no dispositivo do usuário |
| Conta ativa (e-mail, nome, foto) | Enquanto a Conta estiver ativa |
| Métricas de uso agregadas (palavras/semana) | 90 dias corridos |
| Logs de servidor (IP, user-agent) | 30 dias corridos |
| Registros de assinatura e pagamento | 5 anos após o último pagamento (obrigação fiscal — Lei 9.430/96 art. 37) |
| Refresh tokens | Até logout ou expiração natural Supabase |
Webhooks Asaas (asaas_webhook_events) | 90 dias — usados para idempotência |
| Backup encriptado R2 | Retenção rolling 30 dias |
8.1. Exclusão por solicitação do titular
Ao solicitar exclusão (cláusula 9), aplicamos o fluxo soft-delete 30 dias + hard-delete LGPD:
- Imediato: a Conta é desabilitada (
deleted_atsetado), todos os acessos são revogados, refresh tokens invalidados. - Até 30 dias corridos: dados pessoais são anonimizados ou eliminados em todos os sistemas operacionais (Supabase, logs, Sentry).
- Backup: os backups encriptados em R2 são sobrescritos no ciclo de retenção de 30 dias (eliminação completa em até 60 dias do pedido).
- Exceção fiscal: registros mínimos exigidos pela Receita Federal (nome, CPF, valor pago, data) ficam retidos por 5 anos em segregação técnica, sem possibilidade de uso para outras finalidades.
9. Seus direitos como titular (LGPD art. 18)
Você, titular dos dados, tem direito a:
| Direito | Como exercer |
|---|---|
| Confirmação da existência de tratamento | E-mail a dpo@sodiz.com.br |
| Acesso aos seus dados | Portal https://app.sodiz.com.br/dashboard ou e-mail ao DPO |
| Correção de dados incompletos ou desatualizados | Portal ou e-mail ao DPO |
| Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade | E-mail ao DPO |
| Portabilidade dos dados a outro fornecedor | E-mail ao DPO — entregamos em JSON estruturado em até 15 dias |
| Eliminação dos dados tratados com consentimento | App desktop: menu da tray → "Excluir conta", ou DELETE https://api.sodiz.com.br/me, ou e-mail ao DPO |
| Informação sobre entidades com quem compartilhamos | Esta Política (cláusula 6) |
| Informação sobre a possibilidade de não fornecer consentimento e consequências | Esta Política (cláusula 12) |
| Revogação do consentimento | E-mail ao DPO (efeito a partir da solicitação, sem retroatividade) |
| Oposição ao tratamento por descumprimento da LGPD | E-mail ao DPO ou reclamação à ANPD (https://www.gov.br/anpd) |
Prazo de resposta: até 15 (quinze) dias corridos a partir do recebimento da solicitação (LGPD art. 19, II e Resolução ANPD 4/2023). Em casos complexos, podemos prorrogar uma vez por igual período, com justificativa.
10. Cookies e tecnologias similares
10.1. O portal app.sodiz.com.br utiliza cookies estritamente necessários para a sessão de autenticação (sb-* do Supabase, cookies de sessão Vercel).
10.2. Não utilizamos cookies de tracking publicitário, remarketing ou fingerprinting.
10.3. Caso adicionemos analytics no futuro (Plausible, PostHog ou similar), ativaremos banner de consentimento explícito conforme Guia Orientativo da ANPD sobre Cookies (2023) e este documento será atualizado.
10.4. O aplicativo desktop não utiliza cookies (não há browser interno).
11. Segurança dos dados
11.1. Aplicamos medidas técnicas e administrativas razoáveis para proteger seus dados:
- TLS 1.2+ em todas as conexões (Let's Encrypt no Coolify)
- JWT validado via JWKS público (sem service-role no hot path)
- Row-Level Security (RLS) ativa em todas as tabelas Supabase
- Refresh tokens armazenados no Windows Credential Manager (DPAPI) — apenas no dispositivo do usuário
- Backups encriptados em Cloudflare R2 (AES-256)
- Rate limit em todas as rotas autenticadas (Redis-first)
- Webhook Asaas protegido por shared secret + idempotência por
event.id - 2FA ativo no painel administrativo Coolify
- Monitoramento de erros via Sentry com scrubber agressivo de PII (paths Windows, e-mails, JWTs, transcripts, tokens)
11.2. Apesar das medidas, nenhum sistema é 100% imune a incidentes. Em caso de incidente de segurança com risco relevante aos titulares, comunicaremos a ANPD e os titulares afetados em prazo razoável, conforme art. 48 LGPD e Resolução ANPD 15/2024.
12. Crianças e adolescentes
A Plataforma é destinada exclusivamente a maiores de 18 anos. Não coletamos intencionalmente dados de crianças ou adolescentes. Caso identifiquemos coleta inadvertida, eliminaremos os dados imediatamente. Pais ou responsáveis podem solicitar exclusão via dpo@sodiz.com.br.
13. Alterações desta Política
13.1. Esta Política pode ser atualizada para refletir mudanças regulatórias ou no produto. Versão e data ficam no topo do documento.
13.2. Alterações materiais (mudança de finalidade, novo operador, ampliação de coleta) serão comunicadas por e-mail ao endereço cadastrado, com antecedência mínima de 15 dias corridos da entrada em vigor.
13.3. O histórico de versões fica disponível mediante solicitação ao DPO.
14. Como exercer seus direitos / contato
- E-mail DPO:
dpo@sodiz.com.br - Página do DPO: app.sodiz.com.br/dpo
- Portal de gestão da conta:
https://app.sodiz.com.br/dashboard - Reclamação à autoridade: ANPD —
https://www.gov.br/anpd(Setor de Indústrias Gráficas, Quadra 6, Lote 800, Brasília/DF, CEP 70610-460)
Responderemos a todas as solicitações em até 15 dias corridos, gratuitamente.