legal
Política de Privacidade
Última atualização: 15 de junho de 2026 · Versão 1.3.0
1. Introdução
A Avello AI ("nós", "nosso", "Empresa") respeita a privacidade dos seus usuários. Esta Política de Privacidade descreve como coletamos, usamos, armazenamos e protegemos seus dados pessoais, em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018).
Ao utilizar nossos serviços, você concorda com as práticas descritas nesta política.
2. Dados que coletamos
2.1. Dados fornecidos por você
- Nome completo (obrigatório)
- Email (obrigatório)
- CPF (obrigatório para emissão de nota fiscal)
- Telefone / WhatsApp (opcional)
- Razão social, CNPJ, endereço (apenas para PJ)
2.2. Dados de uso
- Endereço IP
- Tipo de navegador, sistema operacional
- Páginas acessadas, horário, duração da sessão
- Requisições à API (apenas metadados: timestamp, modelo, contagem de tokens; não armazenamos o conteúdo das requisições)
2.3. Dados de pagamento
Processados diretamente pela Cakto. Não armazenamos dados de cartão de crédito em nossos servidores. Recebemos apenas a confirmação do pagamento.
2.4. Cookies
Utilizamos cookies essenciais (autenticação, segurança) e, sob legítimo interesse, o Meta Pixel (mensuração de campanhas de marketing), carregado por padrão. Você pode se opor a qualquer momento pelas configurações do navegador ou contatando o DPO (ver seção 7.2).
3. Finalidade do tratamento
Tratamos seus dados para:
- Execução do contrato: prover o Serviço contratado
- Cumprimento de obrigação legal: emissão de NF, escrituração contábil
- Legítimo interesse: análise de uso, melhoria do produto, prevenção de fraude, mensuração de anúncios (dados hasheados — ver seção 4.1)
- Consentimento: comunicações de marketing (opcionais, opt-in)
Não realizamos:
- Venda de dados a terceiros
- Compartilhamento com terceiros sem necessidade técnica
- Uso de dados para perfilhação psicográfica
- Decisões automatizadas que afetem direitos (não há credit scoring, etc.)
4. Compartilhamento com terceiros
Compartilhamos dados estritamente necessários com:
| Operador | Finalidade | Dados compartilhados |
|---|---|---|
| Cakto | Processamento de pagamento | Nome, email, CPF, telefone |
| Supabase | Banco de dados e autenticação | Todos os dados de cadastro |
| Netlify | Hospedagem do aplicativo | Dados de tráfego, sessão |
| Resend | Envio de emails transacionais | Nome, email |
| Sentry | Monitoramento de erros | Endereço IP, contexto técnico (sem PII em texto puro) |
| BetterStack | Uptime e status | Apenas dados técnicos agregados |
| Cloudflare | Proxy/CDN e proteção de tráfego | Dados de tráfego (IP, requisições) |
| Meta Platforms | Mensuração de anúncios (Pixel + Conversions API) | Eventos de navegação (legítimo interesse) e, na compra, e-mail, telefone e nome hasheados (SHA-256, irreversíveis), um identificador interno da conta (hasheado, não é o CPF) e o identificador técnico do clique no anúncio |
| Anthropic / Kiro | Processamento das chamadas LLM | Conteúdo das requisições à API (terceiros tratam conforme seus próprios termos) |
Todos os operadores possuem políticas de privacidade próprias e adesão à LGPD ou regulações equivalentes (GDPR).
4.1. Mensuração de anúncios (Meta)
Ao confirmar uma compra, enviamos à Meta Platforms — pela Conversions API, de servidor a servidor — o valor do plano adquirido; o seu e-mail, telefone e nome hasheados com SHA-256 (transformação irreversível: a Meta só consegue correlacionar com contas que ela já possui, nunca ler o dado em claro); um identificador interno da sua conta (também hasheado — não é o seu CPF); e o identificador técnico do clique no anúncio (gerado pelo próprio Meta no seu navegador). A finalidade é exclusivamente medir a eficácia das nossas campanhas, e a base legal é o legítimo interesse (Art. 7º, IX da LGPD).
Você pode se opor a esse tratamento a qualquer momento:
- Ajustando suas preferências de anúncios na Meta
- Solicitando ao nosso DPO (dpo@avelloia.cloud) a exclusão dos seus dados de mensuração
5. Armazenamento e segurança
5.1. Onde armazenamos
- Banco de dados: Supabase (servidores nos EUA ou Brasil, dependendo da região do projeto)
- Backups: Supabase com PITR (Point-In-Time Recovery)
5.2. Medidas de segurança técnicas
- Criptografia em trânsito (TLS 1.2+)
- Criptografia em repouso (pgsodium, AES-256)
- Row Level Security (RLS) no banco
- 2FA obrigatório no painel administrativo
- Senhas com hash bcrypt (não armazenamos texto puro)
- API keys com hash + prefix
- Logs com mascaramento de PII (sem CPF, email em texto puro)
- Rate limiting em rotas críticas
- Monitoramento de tentativas suspeitas (Sentry, Cloudflare)
5.3. Tempo de retenção
| Dado | Tempo |
|---|---|
| Dados de cadastro (cliente ativo) | Enquanto a conta estiver ativa |
| Dados de cliente cancelado | 5 anos (obrigação fiscal — Receita Federal) |
| Logs de acesso | 6 meses |
| Logs de uso de API (metadados) | 13 meses para análise; depois agregados/anonimizados |
| Backups | 30 dias |
| Sessões inativas | 90 dias |
Após o prazo, os dados são anonimizados (não permitem reidentificação) ou excluídos.
6. Direitos do titular
Conforme o Art. 18 da LGPD, você tem direito a:
| Direito | Como exercer |
|---|---|
| Confirmação de tratamento | Email para o DPO |
| Acesso aos seus dados | Painel cliente → “Meus Dados” |
| Correção de dados incompletos/inexatos | Painel cliente → “Editar Perfil” |
| Anonimização ou exclusão | Painel cliente → “Excluir Conta” |
| Portabilidade (dados em formato estruturado) | Painel cliente → “Exportar Dados” |
| Eliminação dos dados tratados com consentimento | Email para o DPO |
| Informações sobre compartilhamento | Esta política, atualizada |
| Revogação do consentimento | Painel → “Preferências de Comunicação” |
Prazo de resposta: até 15 dias úteis após a solicitação.
Após exercer a exclusão, manteremos apenas os dados estritamente necessários para obrigação legal (NF emitida, por exemplo), em formato isolado.
7. Cookies e tecnologias similares
7.1. Cookies essenciais (sem necessidade de consentimento)
- Autenticação de sessão
- Token CSRF
- Preferências básicas (tema, idioma)
7.2. Cookies de marketing (legítimo interesse — direito de oposição)
- Meta Pixel: mensuração de campanhas (PageView, Lead, início de checkout) — carregado por padrão sob legítimo interesse
Esses cookies operam sob legítimo interesse (Art. 7º, IX da LGPD). Você pode exercer o direito de oposição a qualquer momento: bloqueando cookies de terceiros nas configurações do seu navegador, usando extensões de bloqueio de rastreadores, ou solicitando ao DPO em dpo@avelloia.cloud.
Nota: a mensuração de compra pela Conversions API (seção 4.1) é server-side, não usa cookies e opera sob a mesma base de legítimo interesse — o direito de oposição a ela é exercido pelos canais descritos na seção 4.1.
8. Crianças e adolescentes
O Avello AI não é destinado a menores de 18 anos. Não coletamos intencionalmente dados de menores. Se identificarmos coleta indevida, os dados serão excluídos imediatamente.
9. Transferência internacional de dados
Alguns operadores (Supabase, Netlify, Sentry, Meta) podem armazenar dados em servidores fora do Brasil (EUA, Europa). Essas transferências são protegidas por:
- Cláusulas Contratuais Padrão (SCC)
- Certificações internacionais dos operadores
- Conformidade com a LGPD, Art. 33
10. Incidentes de segurança
Em caso de incidente que envolva dados pessoais com risco aos titulares, faremos:
- Notificação à ANPD em até 72 horas
- Notificação aos titulares afetados em até 72 horas
- Implementação de medidas de mitigação
- Publicação de comunicado em nosso status page
11. Encarregado de Proteção de Dados (DPO)
Nome: André Reis
Email: dpo@avelloia.cloud
Você pode contatar o DPO para:
- Exercer qualquer direito desta política
- Reportar incidente
- Esclarecer dúvidas sobre tratamento de dados
- Denunciar uso indevido
12. Alterações nesta política
Esta política pode ser atualizada periodicamente. Mudanças significativas serão comunicadas via email com 30 dias de antecedência. O histórico de versões está no fim deste documento.
13. Foro
Para questões judiciais relacionadas a esta política, fica eleito o foro do domicílio do titular, na forma da legislação aplicável.
14. Contato
- DPO: dpo@avelloia.cloud
- Suporte: suporte@avelloia.cloud
- ANPD (autoridade competente): gov.br/anpd
Histórico de versões
| Versão | Data | Mudanças |
|---|---|---|
| 1.3.0 | 2026-06-15 | Mensuração Meta (Conversions API) passa a incluir nome e identificador interno da conta (hasheados) e o identificador técnico do clique no anúncio, para atribuição de conversões |
| 1.2.0 | 2026-06-13 | Meta Pixel passa a operar sob legítimo interesse (carregado por padrão, sem banner de consentimento); direito de oposição via navegador ou DPO |
| 1.1.0 | 2026-06-11 | Meta Pixel + Conversions API (dados hasheados, legítimo interesse); Cloudflare na tabela de operadores |
| 1.0.0 | 2026-06-03 | Versão inicial |