Política de Privacidade

Vigência: 22 de maio de 2026 · Versão 1.0 (sujeita a revisão jurídica e atualização via iubenda após validação comercial).

1. Controlador e DPO

O Controlador dos dados pessoais tratados pela Plataforma SoDiz é a IBRAEH Instituto Brasileiro de Excelência Humana LTDA, CNPJ 26.642.651/0001-79, com sede em Av Tancredo Neves, 450, Ed Suarez Trade, sala 1601, Caminho das Árvores, Salvador/BA, CEP 41.820-020.

Encarregado pelo Tratamento de Dados (DPO): Vital Araújo (DPO interino · founder), contato dpo@sodiz.com.br.

2. Dados que coletamos

• Cadastro: nome e e-mail via login Google OAuth (Supabase Auth).
• Identificação fiscal: CPF ou CNPJ no checkout (obrigatório pelo gateway Asaas).
• Uso: contagem semanal de palavras transcritas e comandos F10 (sem o conteúdo).
• Técnico: IP, user-agent, request-id para segurança e debugging.

3. O que NÃO coletamos

• Conteúdo das transcrições não é persistido em nossos servidores. Áudio é processado pelo serviço de transcrição contratado pela SoDiz e descartado em segundos.
• Histórico de transcrições é armazenado apenas localmente no seu computador (~/.sodiz/history.jsonl).
• Vocabulário customizado também fica local.

4. Bases legais (LGPD art. 7º)

• Execução de contrato (inc. V): autenticação, cobrança, entrega do serviço.
• Cumprimento de obrigação legal (inc. II): NF-e, retenção fiscal por 5 anos.
• Legítimo interesse (inc. IX): segurança, anti-fraude, observabilidade técnica via Sentry com PII scrubbing.
• Consentimento (inc. I): cookies não essenciais, comunicação de marketing (opt-in explícito).

5. Operadores e sub-operadores

Compartilhamos dados estritamente necessários com:

• Google LLC (OAuth + Workspace) · EUA
• Supabase Inc. (Auth + Postgres + Storage) · EUA
• Groq Inc. (transcrição por IA) · EUA
• Google Cloud (comando F10 por IA) · EUA
• Asaas (pagamentos BR) · Brasil
• Hostinger (VPS backend) · EUA/EU
• Vercel Inc. (portal web) · EUA
• Cloudflare Inc. (backup R2 criptografado) · EUA
• Functional Software Inc. dba Sentry (error tracking) · EUA
• Resend Inc. (transactional email) · EUA

6. Transferência internacional

Parte do tratamento ocorre nos EUA e UE. Tomamos como salvaguarda contratos com Standard Contractual Clauses (SCC) ou equivalentes previstos no art. 33 da LGPD. Em caso de dúvida, contate o DPO.

7. Retenção

• Áudio: 0s (descartado pós-transcrição).
• Transcrições: não persistidas em servidor (apenas local no cliente).
• Métricas de uso: até 90 dias detalhadas, depois agregadas.
• Conta: até exclusão pelo titular.
• Fiscal: 5 anos pós-encerramento (obrigação tributária).

8. Seus direitos (LGPD art. 18)

Você pode solicitar a qualquer momento: confirmação de tratamento, acesso, correção, anonimização, bloqueio, eliminação, portabilidade, informação sobre compartilhamento, revogação de consentimento. Resposta em até 15 dias corridos (LGPD art. 19).

Exclusão da conta pode ser feita direto no app (Configurações → Excluir conta) ou por e-mail ao DPO. Soft-delete imediato; hard-delete físico após 30 dias, ressalvada retenção fiscal.

9. Segurança

TLS Let's Encrypt em todos os endpoints; JWT Supabase com leeway conservador; refresh tokens cifrados em trânsito e em repouso (Fernet AES-128-CBC + HMAC); Row Level Security no Postgres Supabase; backup pg_dump diário cifrado em Cloudflare R2; secrets em vault Coolify encriptados com APP_KEY. Sentry recebe apenas metadata — scrubber remove paths Windows com username, e-mails, JWTs, transcripts e tokens.

10. Criança e adolescente

A Plataforma destina-se a maiores de 18 anos. Não tratamos conscientemente dados de crianças ou adolescentes. Em caso de identificação, exclusão imediata.

11. Cookies

Usamos apenas cookies essenciais (sessão Supabase, CSRF). Sem cookies de marketing ou tracking de terceiros.

12. Como exercer direitos

Envie e-mail para dpo@sodiz.com.br ou acesse a página DPO. Identifique-se e descreva a solicitação. Responderemos em até 15 dias.

13. Alterações desta política

Mudanças materiais são comunicadas com 15 dias de antecedência via e-mail cadastrado e aviso no portal. Esta versão 1.0 será substituída pela versão oficial iubenda quando publicada.