Você é o titular dos dados
Você (líder) é o controlador dos seus dados. A Tráfego SA é operadora e processa dados conforme suas instruções e a base legal aplicável (LGPD art. 7º).
1. Quais dados coletamos
| Categoria | Exemplos | Origem |
|---|
| Identificação | Nome, e-mail, Telegram ID, fuso horário | Onboarding (você fornece) |
| Conversação | Mensagens enviadas, áudios, prompts ao agente | Telegram, comandos diretos |
| Conteúdo gerado | Briefings, relatórios, criativos no Drive | Operação do agente |
| Telemetria | Logs de uso, latência, custo por turno, IP de origem | Sistema (automático) |
| OAuth | Refresh tokens (Google Drive, demais integrações) | Sua autorização explícita |
2. Base legal e finalidade
- Execução de contrato (art. 7º V LGPD) — operar o serviço contratado.
- Consentimento (art. 7º I) — integrações OAuth, marketing opcional.
- Cumprimento de obrigação legal (art. 7º II) — guarda de logs por 6 meses (Marco Civil 12.965/2014 art. 15) e termos por 10 anos.
- Legítimo interesse (art. 7º IX) — segurança, prevenção de fraude, melhoria do produto sob anonimização.
3. Quem tem acesso (subprocessadores)
- Anthropic (EUA) — processamento via API Claude. Não treina modelos com seus dados (política Anthropic).
- Groq (EUA) — modelos rápidos e transcrição de áudio.
- Google (EUA) — Drive, OAuth, Gmail (quando autorizado).
- Telegram (UAE) — canal de conversação.
- Resend (EUA) — envio de e-mails transacionais.
- Hetzner (Alemanha) — hospedagem (servidores TSA).
- Cloudflare (EUA) — DNS, proxy CDN, proteção DDoS.
Transferências internacionais usam cláusulas-padrão e adequação (art. 33 LGPD).
4. Retenção
- Conversas e turnos: 12 meses (default), configurável via
/privacidade.
- Logs de acesso: 6 meses (Marco Civil).
- Aceite de termos: 10 anos (Marco Civil 12.965/2014 art. 15 §3º).
- Dados financeiros / faturamento: 5 anos (Receita Federal).
- Após hard-delete: 30 dias para anonimização irreversível em backups.
5. Seus direitos (LGPD art. 18)
- Acesso — exportar todos os seus dados em JSON via
/privacidade exportar.
- Correção — atualizar informações via
/USER editar.
- Eliminação — apagar conta e dados via
/privacidade apagar (DSAR).
- Portabilidade — receber dados em formato interoperável (JSON estruturado).
- Revogação de consentimento — desconectar integrações OAuth a qualquer momento.
- Informação sobre compartilhamento — esta página atualizada.
- Oposição — solicitar revisão de decisão automatizada.
6. Segurança
- Tokens OAuth criptografados em repouso (age, Ed25519 X25519).
- TLS 1.2+ em todo tráfego de rede.
- Isolamento por tenant via Postgres Row Level Security.
- Audit trail append-only de todas as ações sensíveis (10 anos).
- Detecção de tentativa de acesso indevido via plugin tsa-ip-content-filter.
7. Incidentes
Vazamento de dados pessoais é comunicado à ANPD (Autoridade Nacional de Proteção de Dados) e aos titulares afetados em até 72 horas a partir da detecção, conforme art. 48 LGPD.
8. Encarregado (DPO)
Responsável: Cadu Neiva · E-mail: dpo@caduneiva.com