Política de Privacidade

1. Identificação do Controlador

O Controlador dos dados pessoais tratados nesta plataforma é:

• Razão Social: 44.199.733 Lucas Souza Spinardi
• Nome Fantasia: Decupa
• CNPJ: 44.199.733/0001-72
• E-mail de contato: contato@decupa.com.br

2. Encarregado pelo Tratamento de Dados (DPO)

Nos termos do Art. 41 da LGPD, o encarregado pelo tratamento de dados pessoais pode ser contatado pelo e-mail: privacidade@decupa.com.br. O encarregado é responsável por aceitar reclamações e comunicações dos titulares, receber comunicações da ANPD e orientar sobre as práticas de proteção de dados adotadas pela plataforma.

3. Dados Pessoais Coletados

Coletamos as seguintes categorias de dados pessoais:

3.1. Dados de Cadastro (fornecidos pelo titular):

• Nome completo;
• Endereço de e-mail;
• Foto de perfil (quando fornecida via autenticação Google);
• Identificador único de usuário (UID do Firebase Authentication).

3.2. Dados de Uso da Plataforma (coletados automaticamente):

• Dados de projetos audiovisuais criados pelo titular (roteiros, storyboards, personagens, shot lists, calendários de filmagem);
• Dados financeiros de projetos (orçamentos e comprovantes de despesa inseridos voluntariamente);
• Contagem de gerações de IA realizadas por mês;
• Logs de acesso e endereço IP (por meio do provedor de hospedagem).

3.3. Dados de Pagamento:

• Informações de assinatura e status do plano (processadas exclusivamente pelo Stripe, Inc.);
• Não armazenamos dados de cartão de crédito, número de conta bancária ou quaisquer dados financeiros sensíveis — estes são processados e armazenados exclusivamente pelo Stripe.

3.4. Dados Processados por IA:

• Textos de roteiros e prompts enviados à API do Google Gemini para geração de conteúdo assistido;
• Imagens de comprovantes/notas fiscais enviados para extração automatizada de dados;
• Textos de editais em PDF enviados para análise automatizada.

Esses dados são enviados de forma transitória à API do Google Gemini e não são armazenados pelo Google para treinamento de modelos, conforme os termos de uso da Google Cloud API.

4. Finalidade e Base Legal do Tratamento

Tratamos seus dados pessoais com base nas seguintes hipóteses legais previstas no Art. 7º da LGPD:

5. Compartilhamento de Dados com Terceiros

Não vendemos, alugamos ou negociamos seus dados pessoais em nenhuma hipótese. Compartilhamos dados apenas com os seguintes operadores e parceiros, estritamente para a prestação do serviço:

• Google Cloud / Firebase (EUA) — Hospedagem, banco de dados (Firestore), autenticação (Firebase Auth) e armazenamento de arquivos (Cloud Storage). Base legal: execução de contrato.
• Google Gemini API (EUA) — Processamento de requisições de Inteligência Artificial. Os dados são transmitidos de forma transitória e não são utilizados para treinamento de modelos.
• Stripe, Inc. (EUA) — Processamento de pagamentos e gestão de assinaturas. O Stripe é certificado PCI-DSS Nível 1.
• Resend, Inc. (EUA) — Envio de e-mails transacionais e de marketing. Recebe nome e e-mail do titular.

6. Transferência Internacional de Dados

Em razão da infraestrutura utilizada (Google Cloud, Stripe, Resend), seus dados pessoais podem ser transferidos e processados nos Estados Unidos da América. Nos termos do Art. 33 da LGPD, essa transferência é realizada com base nas seguintes garantias:

• Os provedores adotam cláusulas contratuais padrão (SCCs) e certificações de proteção de dados reconhecidas internacionalmente;
• O Google e o Stripe mantêm políticas de privacidade compatíveis com padrões europeus (GDPR) e brasileiros (LGPD);
• Aplicamos medidas técnicas e organizacionais adicionais, como criptografia em trânsito (TLS) e em repouso.

7. Período de Retenção dos Dados

Seus dados pessoais serão armazenados pelo tempo necessário para cumprir as finalidades descritas nesta política, observando os seguintes critérios:

• Dados de conta e projetos: enquanto a conta estiver ativa. Após a exclusão da conta pelo titular, os dados são eliminados em até 30 (trinta) dias;
• Dados de pagamento: armazenados pelo Stripe conforme suas políticas, pelo prazo mínimo legal de 5 (cinco) anos para cumprimento de obrigações fiscais;
• Logs de acesso: armazenados pelo prazo de 6 (seis) meses, conforme Art. 15 do Marco Civil da Internet (Lei nº 12.965/2014);
• Dados de marketing (Resend): mantidos até a revogação do consentimento pelo titular.

8. Direitos do Titular dos Dados

Nos termos do Art. 18 da LGPD, você tem os seguintes direitos em relação aos seus dados pessoais:

• Confirmação e acesso: confirmar a existência de tratamento e acessar seus dados;
• Correção: solicitar a correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação: de dados desnecessários, excessivos ou tratados em desconformidade;
• Portabilidade: solicitar a portabilidade dos dados a outro fornecedor;
• Eliminação: solicitar a exclusão dos dados tratados com base no consentimento;
• Informação sobre compartilhamento: saber com quais entidades seus dados foram compartilhados;
• Revogação do consentimento: revogar o consentimento a qualquer momento, sem custos;
• Oposição: opor-se a tratamento realizado com fundamento em hipótese de dispensa de consentimento, em caso de descumprimento da LGPD;
• Revisão de decisões automatizadas: solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado.

Para exercer seus direitos, entre em contato pelo e-mail privacidade@decupa.com.br. Responderemos sua solicitação em até 15 (quinze) dias, conforme Art. 19 da LGPD. Você também pode excluir sua conta diretamente nas configurações do perfil.

9. Segurança dos Dados

Adotamos medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, conforme Art. 46 da LGPD:

• Criptografia em trânsito (TLS/HTTPS) em todas as comunicações;
• Criptografia em repouso nos bancos de dados (Google Firestore);
• Autenticação segura via OAuth 2.0 (Google Sign-In);
• Chaves de API do usuário armazenadas com criptografia AES no lado do cliente;
• Regras de segurança granulares no Firestore, garantindo que cada usuário acesse apenas seus próprios dados;
• Controle de acesso baseado em autenticação com verificação de tokens em todas as Server Actions.

10. Incidentes de Segurança

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos a ANPD (Agência Nacional de Proteção de Dados) e os titulares afetados em prazo razoável, conforme Art. 48 da LGPD, descrevendo a natureza dos dados afetados, os riscos relacionados e as medidas adotadas para mitigar o prejuízo.

11. Dados de Crianças e Adolescentes

O Decupa não é direcionado a menores de 18 anos. Não coletamos intencionalmente dados de crianças ou adolescentes. Caso tomemos conhecimento de que dados de um menor de 18 anos foram coletados sem o consentimento do responsável legal, procederemos à eliminação imediata desses dados, conforme Art. 14 da LGPD.

12. Cookies

Utilizamos cookies estritamente essenciais para autenticação e funcionamento da plataforma, além de cookies de preferência para manter a seleção do workspace ativo. Para informações detalhadas, consulte nossa Política de Cookies.

13. Alterações nesta Política

Reservamo-nos o direito de alterar esta Política de Privacidade a qualquer momento. As modificações serão comunicadas por meio de aviso na plataforma ou via e-mail cadastrado. Caso as alterações representem mudanças substanciais na forma como tratamos seus dados, solicitaremos novo consentimento quando aplicável, nos termos do Art. 8º, §6º da LGPD.

14. Legislação Aplicável e Foro

Esta Política de Privacidade é regida pela legislação brasileira, especialmente pela Lei nº 13.709/2018 (LGPD), pelo Marco Civil da Internet (Lei nº 12.965/2014) e pelo Código de Defesa do Consumidor (Lei nº 8.078/1990). Fica eleito o foro da comarca do domicílio do titular para dirimir quaisquer controvérsias decorrentes desta política.