Política de Privacidade
Última atualização: 24 de abril de 2026 · Versão Omnibus 1.0 · Exerça seus direitos →
Seções gerais
1. Introdução
Esta Política descreve como a Brainiall Inc. ("Brainiall", "nós", "nosso") coleta, usa, armazena, compartilha e protege seus dados pessoais ao utilizar o serviço chat.brainiall.com e APIs associadas, incluindo funcionalidades de chat, geração de imagem/vídeo, síntese de voz e transcrição ("Serviço").
Este é um documento unificado (omnibus) cobrindo dez regimes de proteção de dados. As seções gerais aplicam-se a todos os usuários. As seções por jurisdição (ver navegação acima) trazem direitos, prazos e autoridades locais adicionais.
Encarregado de Proteção de Dados (DPO / Data Protection Officer): dpo@brainiall.com · Privacidade geral: privacy@brainiall.com
2. Dados que Coletamos
2.1 Dados fornecidos por você
- Identificação e conta: nome, e-mail, avatar (via Google/Apple OAuth) e idioma preferido.
- Conteúdo gerado pelo usuário: prompts textuais, áudio enviado para transcrição, arquivos submetidos e mídia gerada pelo Serviço.
- Pagamento: processado pela Stripe, Inc. (PCI-DSS Nível 1). Armazenamos apenas o identificador do cliente Stripe (
stripe_customer_id) e metadados de assinatura — não armazenamos números de cartão. - Suporte: mensagens trocadas com nosso canal de atendimento.
2.2 Dados coletados automaticamente
- Técnicos: endereço IP (hash), User-Agent, tipo de dispositivo, fingerprint anônimo para prevenção de abuso (retenção 30 dias).
- Sessão: cookie de sessão
HttpOnly,Secure,SameSite=Lax. - Uso e telemetria: número de mensagens, créditos consumidos, tempo de resposta — agregado para capacidade e qualidade.
- Analytics opt-in: Google Analytics, Microsoft Clarity — somente se você consentir no banner de cookies.
2.3 Dados sensíveis (apenas se você optar)
- Biometria de voz (feature Voice Translate / Voice Clone) — armazenada cifrada, deletável a qualquer momento em Configurações.
3. Como Usamos Seus Dados
- Prestação do Serviço: autenticar sua conta, entregar respostas de IA, gerar mídia, processar créditos.
- Pagamentos e faturamento: processar assinaturas e emitir recibos.
- Segurança e prevenção de fraude: detectar abuso, bloquear bots e ataques automatizados.
- Comunicação transacional: confirmações, recibos, alertas de segurança.
- Comunicação de marketing: apenas com consentimento explícito, com opt-out em um clique.
- Melhoria do produto: análises agregadas e anonimizadas; seus prompts NÃO são usados para treinar modelos (obrigação contratual com nossos provedores de infraestrutura).
- Conformidade legal: cumprir obrigações fiscais, contábeis e atender requisições legais válidas.
5. Retenção de Dados
| Categoria | Prazo |
|---|---|
| Dados de conta | Enquanto a conta estiver ativa; exclusão em até 30 dias após pedido |
| Histórico de conversas e mídia gerada | Até você deletar manualmente |
| Logs de segurança | 90 dias |
| Analytics anonimizado | 12 meses, depois agregado |
| Registros fiscais (pagamentos) | Até 10 anos (obrigação legal — CTN art. 173) |
6. Seus Direitos (base universal)
Independentemente da jurisdição, honramos globalmente os direitos fundamentais de titulares de dados:
- Acesso: obter cópia dos dados que detemos sobre você (export JSON em
/api/account/export). - Retificação: corrigir dados incorretos ou desatualizados.
- Eliminação: deletar sua conta e os dados associados (até 30 dias).
- Portabilidade: receber seus dados em formato legível por máquina.
- Restrição e oposição: limitar ou se opor a tratamentos específicos.
- Revogação de consentimento: a qualquer momento, com efeitos futuros.
- Não-discriminação: exercer direitos não reduz a qualidade do Serviço.
Exercer um direito?
Use nosso formulário seguro com prazo de resposta automático.
Abrir solicitação DSAR →7. Segurança
- Criptografia TLS 1.3 em trânsito; at-rest para bases e blobs sensíveis.
- Autenticação via OAuth (sem senhas armazenadas), sessões com
HttpOnly/Secure/SameSite=Lax. - HSTS, CSP, X-Content-Type-Options e headers de segurança aplicados em todas as rotas.
- Princípio de privilégio mínimo e rotação de segredos trimestral.
- Notificação de violação: notificaremos você e a autoridade competente nos prazos regulatórios aplicáveis (ver por jurisdição abaixo).
8. Menores de Idade
O Serviço é destinado a maiores de 18 anos. Não coletamos conscientemente dados de menores sem consentimento dos responsáveis (LGPD art. 14 · GDPR art. 8, limiar 16 anos). Se você acredita que um menor forneceu dados, escreva ao DPO.
9. Alterações
Mudanças materiais serão notificadas por e-mail e aviso no Serviço com pelo menos 15 a 30 dias de antecedência, conforme a jurisdição. A versão vigente é sempre a publicada nesta URL, com data de última atualização no topo.
10. Contato
Brainiall Inc. · DPO: dpo@brainiall.com · Privacidade geral: privacy@brainiall.com · Segurança: security@brainiall.com · Governança de IA: ai-governance@brainiall.com
🇧🇷 LGPD — Brasil (Lei 13.709/2018)
- Regulador
- Autoridade Nacional de Proteção de Dados — ANPD
- Encarregado (DPO)
- dpo@brainiall.com · Brainiall Inc., Encarregado nomeado conforme art. 41.
- Prazo de resposta
- 15 dias (art. 19)
- Bases legais
- Consentimento (art. 7º, I), execução de contrato (art. 7º, V), legítimo interesse para B2B/segurança (art. 7º, IX), cumprimento de obrigação legal (art. 7º, II)
- Transferência internacional
- SCCs (cláusulas-padrão) + decisões de adequação quando aplicável (art. 33)
- Notificação de incidente
- À ANPD e aos titulares em prazo razoável (art. 48) — nosso SLA interno: 72h
Direitos específicos (art. 18): confirmação de existência; acesso; correção; anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade; portabilidade; eliminação após consentimento; informação sobre compartilhamento; revogação de consentimento; revisão de decisões automatizadas (art. 20); petição à ANPD.
Titulares no Brasil podem peticionar à ANPD em gov.br/anpd/pt-br/canais_atendimento.
🇪🇺 GDPR — União Europeia (Reg. 2016/679)
- Regulador
- Autoridades nacionais de proteção de dados (DPAs) de cada Estado-Membro — lista em edpb.europa.eu
- DPO
- dpo@brainiall.com
- Representante UE (art. 27)
- Nomeado mediante demanda B2B; contato via eu-rep@brainiall.com
- Prazo de resposta
- 1 mês (art. 12), extensível por mais 2 se necessário
- Bases legais (art. 6)
- Contrato (b), interesse legítimo (f — segurança/antifraude), consentimento (a — marketing/analytics), obrigação legal (c)
- Transferências
- SCCs 2021/914 + TIA; EU-US DPF para operadores certificados (quando aplicável)
- Notificação de incidente
- À DPA em até 72h (art. 33); aos titulares sem demora indevida se alto risco (art. 34)
Direitos (art. 15-22): acesso, retificação, apagamento ("direito ao esquecimento"), restrição, portabilidade, oposição, não submissão a decisão automatizada que produza efeitos jurídicos. Direito de apresentar reclamação à DPA do seu país.
🇬🇧 UK GDPR + Data Protection Act 2018
- Regulador
- Information Commissioner's Office (ICO) · Wycliffe House, Water Lane, Wilmslow, SK9 5AF
- DPO
- dpo@brainiall.com
- Representante UK (art. 27)
- Sob demanda B2B via uk-rep@brainiall.com
- Prazo de resposta
- 1 mês, extensível por 2 adicionais
- Transferências
- UK IDTA (International Data Transfer Agreement) ou Addendum ao SCC UE
- Notificação de incidente
- À ICO em até 72h
Os direitos espelham os do GDPR. Reclamações podem ser apresentadas à ICO em ico.org.uk/make-a-complaint.
🇺🇸 CCPA / CPRA — Califórnia, EUA
- Regulador
- California Privacy Protection Agency (CPPA) e California Attorney General
- Privacy Officer
- dpo@brainiall.com
- Prazo de resposta
- 45 dias, prorrogáveis por mais 45 mediante aviso (Cal. Civ. Code § 1798.130)
- Categorias coletadas
- Identificadores; info comercial; dados de Internet; geolocalização aproximada; áudio/biometria (opt-in). Detalhes em /privacy-ccpa.
- Venda ou compartilhamento
- Não vendemos nem compartilhamos para publicidade contextualizada entre contextos.
Direitos: saber (right to know); deletar; corrigir; opt-out de venda/compartilhamento; limitar uso de dados sensíveis (biometria de voz); não-discriminação. Agentes autorizados aceitos mediante prova de representação.
Link informativo "Do Not Sell or Share My Personal Information": dpo@brainiall.com?subject=DNSMPI.
🇯🇵 APPI — Japão (Lei 57/2003, emendada em 2022)
- Regulador
- Personal Information Protection Commission (PPC)
- Privacy Officer
- dpo@brainiall.com
- Prazo de resposta
- Sem demora excessiva; alvo interno de 30 dias
- Transferências (art. 28)
- Consentimento informado pelo titular, contrato equivalente ou reconhecimento de regime adequado
- Notificação de incidente
- Em caso de risco material, comunicação à PPC e ao titular (art. 26)
Direitos (art. 28-34): divulgação, correção, suspensão do uso, suspensão de fornecimento a terceiros, apagamento. Incluímos também informação sobre mecanismos de transferência internacional, conforme art. 28 APPI.
🇸🇦 PDPL — Arábia Saudita (Lei 1443/2021)
- Regulador
- Saudi Data & AI Authority (SDAIA)
- DPO
- dpo@brainiall.com
- Prazo de resposta
- 30 dias
- Bases legais (art. 5-6)
- Consentimento, contrato, obrigação legal, interesses vitais, interesse legítimo (dentro de salvaguardas)
- Transferências
- Requerem adequação reconhecida pela SDAIA ou salvaguardas equivalentes; avaliação de impacto registrada
- Notificação de incidente
- Comunicação à SDAIA em até 72h para incidentes materiais
Direitos: ser informado, acessar, corrigir, deletar e restringir tratamento. Direito de peticionar à SDAIA em sdaia.gov.sa.
🇦🇪 UDPL — Emirados Árabes Unidos (Federal Decree-Law 45/2021)
- Regulador
- UAE Data Office (federal) + autoridades de zonas francas (DIFC Commissioner; ADGM Office of Data Protection)
- DPO
- dpo@brainiall.com
- Prazo de resposta
- Até 30 dias
- Bases legais
- Consentimento, contrato, obrigações legais, interesse legítimo, proteção de interesses vitais, interesse público
- Transferências
- Adequação reconhecida, SCCs, regras corporativas vinculativas ou consentimento explícito
- Notificação de incidente
- Sem demora indevida ao UAE Data Office e ao titular quando houver risco material
Direitos: informação, acesso, retificação, apagamento, restrição, portabilidade, oposição e sobre decisões automatizadas. Usuários em DIFC estão sujeitos ao DIFC Data Protection Law 5/2020; em ADGM, ao Data Protection Regulations 2021.
🇨🇦 PIPEDA — Canadá (S.C. 2000, c. 5)
- Regulador
- Office of the Privacy Commissioner (OPC) + reguladores provinciais de Quebec (CAI), Alberta, British Columbia
- Privacy Officer
- dpo@brainiall.com
- Prazo de resposta
- 30 dias
- Princípios (Schedule 1)
- Accountability, finalidade, consentimento, limitação de coleta, limitação de uso/retenção, precisão, salvaguardas, abertura, acesso individual, contestação
- Transferências
- Responsabilidade do controlador, com medidas contratuais equivalentes (Modelo PIPEDA)
- Notificação de incidente
- Ao OPC e aos titulares em caso de "real risk of significant harm" (s. 10.1), sem demora
Residentes de Quebec podem invocar Lei 25 (S.Q. 2021, c. 25) adicionalmente — reclamações à Commission d'accès à l'information (CAI).
🇳🇬 NDPA — Nigéria (Nigeria Data Protection Act, 2023)
- Regulador
- Nigeria Data Protection Commission (NDPC)
- DPO
- dpo@brainiall.com
- Prazo de resposta
- Até 30 dias
- Bases legais (§25)
- Consentimento, contrato, obrigação legal, interesses vitais, interesse público, interesse legítimo
- Transferências (§41-43)
- Mediante decisão de adequação da NDPC, SCCs, BCR ou consentimento explícito
- Notificação de incidente (§40)
- À NDPC em até 72h e ao titular quando houver risco
Direitos do titular (§26-§37): informação, acesso, retificação, apagamento, restrição, portabilidade, oposição, não submissão a decisões automatizadas relevantes. Reclamações à NDPC em ndpc.gov.ng.
🇮🇳 DPDP — Índia (Digital Personal Data Protection Act, 2023)
- Regulador
- Data Protection Board of India (DPBI) — constituído sob o DPDP Act
- DPO / Data Protection Officer
- dpo@brainiall.com
- Prazo de resposta
- A ser definido pelo regulamento; adotamos 30 dias como padrão
- Base legal (§6)
- Consentimento com notice (§5), certos usos legítimos (§7) — emprego, pagamentos, saúde pública, emergência
- Transferências (§16)
- Salvo restrições aplicadas por notificação governamental, transferências internacionais são permitidas
- Notificação de incidente (§8(6))
- Ao Data Protection Board e ao titular em caso de violação
Direitos (§11-§15): acesso à informação, correção/apagamento, ressarcimento em caso de dano, nomeação de pessoa para exercer direitos após morte/incapacidade. Menores de 18 anos demandam consentimento verificável dos pais (§9).
🤖 EU AI Act — Artigo 50 (Transparência de IA)
- Marco regulatório
- Regulamento (UE) 2024/1689, em vigor escalonado a partir de agosto de 2026
- Governança de IA
- ai-governance@brainiall.com
Transparência (art. 50):
- Ao interagir com o Brainiall Chat você está interagindo com um sistema de IA. Um banner visível no
/chatdeixa isso explícito. - Todas as respostas textuais, imagens, vídeos e áudios gerados são conteúdo sintético (AI-generated). Conteúdos de imagem e vídeo são marcados com metadados de proveniência (incluindo C2PA, em roadmap para julho de 2026) e watermarks quando tecnicamente viável.
- Não realizamos reconhecimento de emoções (art. 5(1)(f)) nem categorização biométrica (art. 5(1)(g)) de dados sensíveis. Não usamos os dados para "social scoring".
- Deepfakes criados pelo usuário via Studio recebem rotulagem automática conforme art. 50(4).
- Oferecemos mecanismo acessível para reportar abuso de conteúdo gerado em trust@brainiall.com.
Para modelos fundacionais (General Purpose AI — GPAI), operamos como implementador (deployer); nossos fornecedores upstream mantêm documentação técnica conforme anexos XI-XII. Cópias das fichas técnicas agregadas e do resumo de conteúdo de treino estão sob NDA (B2B) e podem ser solicitadas em ai-governance@brainiall.com.
Links rápidos: Exercer direitos (DSAR) · Termos · DPA · Subprocessadores · Contatar DPO