Identificação do controlador
O TranscreveAI é o controlador dos dados pessoais tratados nesta plataforma, conforme definido no Art. 5º, VI da Lei nº 13.709/2018 (LGPD).
- Razão social / nome empresarial: [A ser preenchido — CNPJ/MEI do operador]
- Endereço: [A ser preenchido]
- E-mail de contato: contato@transcreveai.app
- Encarregado de Dados (DPO): ver Seção 16.
Esta Política é regida pela LGPD (Lei nº 13.709/2018) e demais normas brasileiras de proteção de dados. Foro: Brasil.
A quem se aplica
Esta Política aplica-se a todos os titulares de dados pessoais tratados pelo TranscreveAI, incluindo:
- Usuários cadastrados na plataforma;
- Visitantes do site público (marketing, blog, formulários);
- Pessoas cuja voz / imagem foi capturada em áudios ou reuniões enviadas por usuários (e.g., participantes de reuniões gravadas);
- Procuradores e representantes legais que exerçam direitos em nome de titulares.
Dados que coletamos
A tabela abaixo descreve, para cada categoria de dados pessoais tratados: a finalidade, a base legal (Art. 7º LGPD), a política de retenção, e os subprocessadores que recebem esses dados.
| Categoria | Finalidade | Base legal | Retenção |
|---|---|---|---|
| Dados de cadastro nome completo, e-mail… | Identificar o titular, autenticar o acesso, personalizar a experiência. | Art. 7º, V — execução de contrato | Mantidos enquanto a conta estiver ativa. Após exclusão, anonimização imediata e hard-delete em 30 dias. |
| Áudios enviados (voz)SENSÍVEL arquivos de áudio (.mp3, .m4a, .ogg, etc), duração… | Realizar a transcrição automática contratada. | Art. 7º, V — execução de contrato + Art. 11, II, 'a' (consentimento específico para dados sensíveis) | Arquivos brutos: deletados do Storage logo após a transcrição (segundos a minutos). Não armazenados além do processamento. |
| Transcrições e resumosSENSÍVEL texto completo, resumos por IA… | Entregar o serviço de transcrição e funcionalidades de IA assistiva. | Art. 7º, V — execução de contrato | Mantidos enquanto a conta estiver ativa, ou até o usuário excluir individualmente. Após exclusão: 30 dias em lixeira → hard-delete. |
| Reuniões gravadas (bot)SENSÍVEL URL da reunião, áudio + vídeo… | Permitir gravação e transcrição automática de reuniões Meet, Zoom e Teams. | Art. 7º, I — consentimento específico (reforçado nos Termos seção sobre gravação) | Mesma política de transcrições. O usuário é responsável por informar os demais participantes da reunião sobre a gravação. |
| Dados de pagamento e-mail, nome… | Processar pagamentos, gerenciar assinaturas, emitir nota fiscal. | Art. 7º, V (execução de contrato) + Art. 7º, II (obrigação legal — Código Tributário) | 5 anos após a última transação (obrigação fiscal — CTN Art. 174). |
| Comunicação transacional e-mail de confirmação, alertas de uso… | Enviar mensagens operacionais relacionadas ao serviço. | Art. 7º, V — execução de contrato | Vinculada à conta. Histórico de entregas guardado por 1 ano. |
| Auditoria e segurança endereço IP do aceite, user-agent… | Demonstrar conformidade legal, prevenir fraude, investigar incidentes. | Art. 7º, IX — legítimo interesse + Art. 37 (registro de operações) | Logs de aceite: vinculados à conta. AdminAuditLog: append-only por tempo indeterminado (trilha de auditoria). |
| Pedidos LGPD (Art. 18) nome do titular, CPF (criptografado)… | Processar pedidos formais de exercício de direitos. | Art. 7º, V — execução de procedimento | Mantidos por 5 anos após a conclusão para fins de comprovação de atendimento à LGPD. |
Dados sensíveis — voz biométrica (Art. 11 LGPD)
A voz humana é dado pessoal sensível conforme Art. 5º, II e Art. 11 da LGPD (categoria biométrica). Por isso, o tratamento de áudios na plataforma exige:
- Consentimento específico e destacado do titular no cadastro (checkbox que confirma ciência e aceite, com link para esta Política);
- Criptografia em repouso (AES-256-GCM) das transcrições e resumos derivados;
- Deleção imediata do arquivo bruto do Storage logo após a conclusão da transcrição;
- Acesso restrito via Row-Level Security (RLS) no banco de dados e autenticação obrigatória nas APIs.
Para reuniões gravadas via bot (Google Meet, Zoom, Teams), o usuário organizador é responsável por informar os demais participantes sobre a gravação e a transcrição automática, conforme os Termos de Uso.
Bases legais
Tratamos dados pessoais com base nas seguintes hipóteses do Art. 7º da LGPD:
- I — Consentimento: para tratamento de dados sensíveis (voz), cookies não essenciais, comunicações de marketing;
- II — Cumprimento de obrigação legal: retenção de dados fiscais (5 anos), atendimento à fiscalização;
- V — Execução de contrato: prestar o serviço contratado, processar pagamentos, enviar comunicações operacionais;
- IX — Legítimo interesse: prevenção de fraude, segurança da plataforma, auditoria.
Cookies
Utilizamos cookies categorizados em três grupos:
- Necessários: indispensáveis ao funcionamento (sessão de autenticação Supabase, workspace ativo, aceite de termos). Não podem ser desativados.
- Analíticos: medições agregadas de uso. Atualmente não utilizados — placeholder no banner para evolução futura.
- Marketing: rastreamento publicitário. Atualmente não utilizados.
Você pode revogar/alterar preferências a qualquer momento no banner inferior da página (Cookie Preferences).
Compartilhamento com subprocessadores
Para entregar o serviço, compartilhamos dados estritamente necessários com os subprocessadores listados a seguir. Lista completa, atualizada e detalhada em: /api/usuario/compartilhamento-terceiros (autenticado).
- Supabase (US/UE) — banco, autenticação, storage
- Deepgram (US) — transcrição automática (STT)
- DeepSeek (US/CN) — IA para resumos e perguntas (API garantida como não-treinamento)
- Anthropic (US) — IA alternativa (Claude, API não-treinamento)
- Stripe (US/IE) — processamento de pagamentos
- Mercado Pago (BR) — processamento de pagamentos
- Recall.ai (UE — eu-central-1) — bot de reunião
- Brevo (FR) — e-mail transacional
- Upstash — Redis para rate limiting (sem PII)
Transferência internacional
Alguns subprocessadores processam dados fora do Brasil (principalmente Estados Unidos e União Europeia). Estas transferências são amparadas por Cláusulas Contratuais Padrão (SCC equivalentes ao GDPR) e pelos requisitos do Art. 33 da LGPD, em especial o inciso II.
Sempre que possível, configuramos os subprocessadores em regiões alinhadas à LGPD (Recall.ai em eu-central-1; Brevo sediada na UE).
Retenção e eliminação
Aplicamos uma política de retenção mínima necessária:
- Arquivos de áudio brutos: deletados imediatamente após a transcrição (segundos a minutos).
- Transcrições e resumos: enquanto a conta estiver ativa; após exclusão, 30 dias em lixeira → hard-delete via cron
purga-lgpd. - Conta excluída: anonimização imediata + hard-delete em 30 dias.
- Dados de pagamento: 5 anos (Código Tributário Nacional — Art. 174).
- AdminAuditLog: append-only, por tempo indeterminado (trilha regulatória).
Segurança (Art. 46 LGPD)
Medidas técnicas e organizacionais que aplicamos:
- TLS 1.3 em trânsito, HSTS preload 2 anos;
- Criptografia em repouso AES-256-GCM aplicacional para conteúdo sensível (transcrições, resumos, perguntas IA);
- Banco PostgreSQL com Row-Level Security (RLS) habilitado em todas as tabelas;
- Autenticação via tokens JWT HttpOnly, refresh-rotation, sessão gerenciada pelo Supabase Auth;
- Rate limiting distribuído (Upstash Redis) em endpoints sensíveis (login, IA, pedidos LGPD);
- Webhooks validados por HMAC-SHA256 com timing-safe comparison;
- Backups automáticos com criptografia gerenciada pelo provedor, incluindo PITR (point-in-time recovery) de 7 dias;
- Monitoramento contínuo da integridade da chave de encriptação (cron diário
encryption-healthcheck).
Seus direitos como titular (Art. 18 LGPD)
Você pode exercer, a qualquer momento, os seguintes direitos:
- I — Confirmação da existência de tratamento;
- II — Acesso aos dados;
- III — Correção de dados incompletos, inexatos ou desatualizados;
- IV — Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
- V — Portabilidade dos dados em formato interoperável;
- VI — Eliminação dos dados tratados com base em consentimento;
- VII — Informação sobre compartilhamento com terceiros;
- VIII — Informação sobre não fornecimento de consentimento e suas consequências;
- IX — Revogação do consentimento.
Como exercer seus direitos
Você pode exercer os direitos do Art. 18 por qualquer destes canais:
- Formulário dedicado: /lgpd/pedido — registra protocolo, SLA legal de 15 dias.
- E-mail ao DPO: contato@transcreveai.app — para questões gerais ou pedidos informais.
- Auto-atendimento (usuário logado): Configurações → Conta — exportar dados, excluir conta, corrigir dados cadastrais.
Prazo de resposta: até 15 dias contados a partir do recebimento do pedido (LGPD Art. 19, §1º). Em casos complexos ou que exijam validação de identidade adicional, o prazo pode ser prorrogado mediante justificativa.
Comunicação de incidentes (Art. 48 LGPD)
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados em prazo razoável, conforme previsto em regulamentação.
Mantemos plano interno de resposta a incidentes documentado e cron diário de validação da chave de encriptação para detecção precoce de comprometimento.
Decisões automatizadas e IA (Art. 20 LGPD)
O TranscreveAI utiliza modelos de inteligência artificial para gerar transcrições, resumos, atas e respostas em chat. Estes conteúdos são assistivos — podem conter erros e devem ser revisados pelo usuário antes de uso em decisões críticas.
Não tomamos decisões automatizadas com efeitos jurídicos sobre os titulares baseadas em processamento exclusivamente algorítmico. Operações como suspensão de conta ou recusa de serviço sempre envolvem revisão humana.
Menores de idade (Art. 14 LGPD)
O serviço é destinado a pessoas maiores de 18 anos. Coletamos auto-declaração de maioridade no cadastro e no re-aceite de termos.
Não tratamos intencionalmente dados de menores. Caso identifiquemos a coleta de dados de um menor de 18 anos sem consentimento dos responsáveis legais, eliminaremos os dados em até 15 dias úteis após a identificação.
Se você é responsável legal por um menor cujos dados estejam na plataforma, contate-nos pelo formulário /lgpd/pedido selecionando "Eliminação".
Encarregado de Dados (DPO)
Conforme Art. 41 da LGPD, designamos um Encarregado pelo Tratamento de Dados Pessoais como ponto único de contato:
- E-mail: contato@transcreveai.app
- Canal preferencial para pedidos formais: /lgpd/pedido
Alterações nesta Política
Esta Política pode ser atualizada periodicamente. Mudanças materiais serão comunicadas por:
- E-mail aos usuários cadastrados;
- Banner ou modal in-app exigindo re-aceite quando a mudança impactar o consentimento;
- Página /privacidade/historico lista todas as versões com resumo das mudanças.
Reclamação à ANPD
Você tem o direito de apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) caso entenda que seus direitos não foram respeitados:
- Site oficial ANPD: www.gov.br/anpd
Antes de recorrer à ANPD, recomendamos exercer seu direito diretamente conosco — temos prazo legal de 15 dias para responder e priorizamos resolução amigável.