cert·AI
Trial grátis

Legal

Política de Privacidade

Última atualização: 17 de maio de 2026

1. Controlador dos dados

Para fins da Lei Geral de Proteção de Dados (Lei 13.709/2018), o controlador dos dados pessoais tratados pela plataforma CertAI é:

2. Dados coletados

Coletamos as seguintes categorias de dados pessoais:

  • Identificação: nome, e-mail e identificador do provedor OAuth (Google ou GitHub) no momento do cadastro.
  • Perfil de estudo: data prevista da prova (examDate), horas semanais disponíveis (hoursPerWeek) e nível declarado (level), fornecidos no onboarding.
  • Atividade de estudo: respostas a simulados, tempo por questão, acertos e erros, progresso de flashcards e revisões espaçadas.
  • Pagamento: dados de assinatura e histórico de cobranças. Os dados completos de cartão são processados e armazenados diretamente pela Stripe, nunca pela CertAI.
  • Telemetria de produto: eventos de uso anonimizados ou pseudonimizados via PostHog (cliques, páginas vistas, funil de onboarding).
  • Erros e diagnóstico: logs de erro capturados via Sentry (stack traces, URL, identificador da sessão).
  • Dados técnicos: endereço IP, user-agent e cookies estritamente necessários para sessão e segurança.

3. Finalidades e bases legais

O tratamento ocorre com base nas hipóteses do art. 7º da LGPD, conforme a finalidade:

  • Execução de contrato (art. 7º, V): cadastro, login, entrega do conteúdo de estudo, processamento de pagamentos, cobrança e suporte.
  • Consentimento (art. 7º, I): analytics de produto (PostHog, Vercel Analytics) e comunicações de marketing por e-mail. Você pode revogar a qualquer momento pelo banner de cookies ou pela área da conta.
  • Legítimo interesse (art. 7º, IX): segurança da plataforma, prevenção a fraudes e melhoria do serviço (telemetria de erros via Sentry), respeitada a expectativa razoável do titular.
  • Cumprimento de obrigação legal (art. 7º, II): retenção de registros fiscais e financeiros pelo prazo exigido em lei.

4. Compartilhamento com terceiros

Compartilhamos dados estritamente necessários com os seguintes operadores, todos sob contrato de processamento:

  • Stripe (EUA): processamento de pagamentos e gestão de assinaturas.
  • Anthropic (EUA): geração de questões, flashcards, explicações e análises por IA. Trechos de respostas e prompts são enviados para a API da Anthropic, sob política de não-treinamento em dados de API.
  • PostHog (EUA): analytics de produto (sujeito a consentimento via banner de cookies).
  • Sentry (EUA): captura de erros e diagnóstico.
  • Resend (EUA): envio de e-mails transacionais (confirmação, recuperação, recibos).
  • Neon (EUA): banco de dados Postgres gerenciado.
  • Vercel (EUA): hospedagem do frontend e analytics de performance.
  • Railway (EUA): hospedagem dos workers de processamento.

Transferências internacionais ocorrem nos termos do art. 33 da LGPD, com base em cláusulas contratuais padrão e na finalidade legítima da prestação do serviço.

5. Direitos do titular

Você pode exercer, a qualquer tempo, os seguintes direitos previstos no art. 18 da LGPD:

  • Confirmação da existência de tratamento.
  • Acesso aos dados.
  • Correção de dados incompletos, inexatos ou desatualizados.
  • Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos.
  • Portabilidade dos dados a outro fornecedor.
  • Eliminação dos dados tratados com base em consentimento.
  • Informação sobre entidades públicas e privadas com as quais houve compartilhamento.
  • Revogação do consentimento.
  • Oposição a tratamento com base em hipótese diversa do consentimento.

Para exercer qualquer destes direitos, envie e-mail para devleochiarelli@gmail.com. Respondemos em até 15 dias.

6. Retenção

Mantemos os dados pelo tempo necessário ao cumprimento das finalidades descritas, salvo quando prazo maior for exigido por lei:

  • Conta ativa: enquanto a assinatura estiver vigente e por até 12 meses após o cancelamento, para fins de reativação.
  • Histórico de estudo: excluído em até 90 dias após encerramento definitivo da conta, salvo solicitação expressa de portabilidade.
  • Registros fiscais: retidos por 5 anos, conforme legislação tributária brasileira.
  • Logs de segurança: retidos por até 6 meses, em cumprimento ao Marco Civil da Internet.

7. Cookies

Utilizamos as seguintes categorias de cookies:

  • Essenciais (sem consentimento): sessão do Auth.js v5, preferência de tema, segurança contra CSRF. Sem estes cookies, o Serviço não funciona.
  • Analytics (consentimento opt-in): PostHog para eventos de produto e Vercel Analytics para métricas de performance e tráfego.

Você pode revisar e alterar sua preferência a qualquer momento pelo banner de cookies exibido na página inicial ou apagando o item cookieConsent do armazenamento local do navegador.

8. Segurança

Adotamos medidas técnicas e administrativas razoáveis para proteger os dados, incluindo criptografia em trânsito (TLS), criptografia em repouso no banco, controle de acesso baseado em papéis e revisão periódica de logs. Nenhum sistema é absolutamente seguro, mas trabalhamos para reduzir riscos.

9. Alterações desta Política

Esta Política pode ser atualizada para refletir mudanças no Serviço, na legislação ou em operadores contratados. Alterações materiais são comunicadas por e-mail e indicadas pela data de última atualização no topo deste documento.

10. Contato

Para dúvidas sobre privacidade ou para exercer seus direitos, escreva para devleochiarelli@gmail.com.

Ver também os Termos de Uso.