Política de Privacidade
Versão v2 • Em vigor desde 15 de maio de 2026
Controlador dos dados
- Razão social
- LUMINUS SOLUCOES EM INTELIGENCIA ARTIFICIAL LTDA
- CNPJ
- 61.843.859/0001-57
- Endereço
- R RAIMUNDO CORREIA 4 São Luis MA
- luminuslpa@gmail.com
Encarregado pelo Tratamento de Dados (DPO)
Conforme Art. 41 da LGPD.
- Nome
- João José Cunha Melo e Sousa Bentivi
- luminuslpa@gmail.com
- Direitos LGPD (Art. 18)
- suporte@pensador.com
Dados pessoais tratados
| Categoria | Campos | Finalidade | Base legal | Retenção |
|---|---|---|---|---|
| Identificação e cadastro | Nome, e-mail, foto de perfil (avatar) | Autenticação, identificação na interface e comunicação operacional sobre a conta. | Art. 7º, V — execução de contrato (prestação do serviço de IA contratado pelo titular). | Enquanto a conta estiver ativa. Após exclusão da conta, dados pessoais são apagados em até 30 dias (retenção operacional para reversão acidental). |
| Conteúdo gerado pelo usuário | Mensagens enviadas ao assistente, conversas, projetos, tags, anotações, transcrições de áudio | Prestação do serviço de IA conversacional: processar a requisição, gerar resposta e manter o histórico para consulta futura do titular. | Art. 7º, V — execução de contrato. | Mantidos enquanto a conta estiver ativa, ou até o titular excluir manualmente. Apagados com a exclusão da conta. |
| Dados de pagamento (planos pagos) | Número de documento (CPF), telefone, máscara do cartão (apenas últimos dígitos), referências internas do gateway | Processamento da assinatura recorrente, emissão de cobrança e prevenção a fraudes. | Art. 7º, V — execução de contrato; Art. 7º, II — cumprimento de obrigação legal (fiscal/financeira). | Pagamentos: 5 anos (obrigação fiscal). Tokens e máscaras: até 365 dias após o último uso. CPF: até 5 anos após a última transação. |
| Telemetria de uso | Eventos de páginas visitadas, ações na interface, identificador de sessão, contagens de uso por endpoint | Monitorar saúde do serviço, prevenir abuso, dimensionar capacidade e melhorar funcionalidades. | Art. 7º, IX — legítimo interesse (operação e segurança do serviço). | 90 dias (rotinas automáticas de purga). |
| Logs técnicos e de segurança | Endpoint acessado, código de status, mensagens de erro (com PII redigida) | Diagnóstico de incidentes, detecção de uso indevido e auditoria. | Art. 7º, II e IX — cumprimento de obrigação legal e legítimo interesse (segurança). | 30 dias. |
| Consentimentos | Tipo (privacidade/termos/marketing), versão aceita, data, hash do IP, user-agent | Demonstrar o cumprimento do dever de comprovar o consentimento (Art. 8º, §1º). | Art. 7º, II — cumprimento de obrigação legal. | Pelo tempo da relação contratual e por mais 5 anos após o encerramento, como prova. |
| Comunicações de marketing (apenas se opt-in) | E-mail, nome, status de envio, status de descadastro | Envio de novidades, dicas e campanhas — somente após consentimento expresso do titular. | Art. 7º, I — consentimento livre, informado e inequívoco do titular. | Enquanto o consentimento estiver ativo. Revogação imediata via link de descadastro ou /settings. |
Quem mais trata seus dados (operadores)
Empresas terceiras que tratam dados em nome do controlador — Art. 5, VII LGPD.
| Operador | Papel | País | Base de transferência |
|---|---|---|---|
| OpenAI, LLC | Processamento de IA: recebe as mensagens enviadas pelo titular e devolve a resposta gerada pelo modelo. | Estados Unidos | Art. 33, IX — execução de contrato; mecanismos contratuais com cláusulas-padrão de proteção de dados. |
| Supabase, Inc. | Banco de dados, autenticação e armazenamento. Hospeda perfil, conversas, preferências e logs. | Estados Unidos (infraestrutura AWS us-west-2) | Art. 33, IX — execução de contrato; SCC e DPA padrão fornecidos pelo provedor. |
| Efi (Gerencianet Pagamentos do Brasil S.A.) | Gateway de pagamento — processa assinaturas, cartões e cobranças recorrentes. | Brasil | Não há transferência internacional. Operador direto sob jurisdição brasileira (LGPD). |
| Stripe Payments Inc. | Gateway de pagamento legado, usado em planos antigos. Em desuso para novos clientes. | Estados Unidos / Irlanda | Art. 33, IX — execução de contrato; SCC padrão Stripe. |
| Resend, Inc. | Envio transacional e de marketing por e-mail. | Estados Unidos | Art. 33, IX — execução de contrato; SCC padrão. |
| Google LLC (Identity Platform) | Autenticação federada via 'Entrar com Google'. Recebemos do Google apenas nome, e-mail e foto de perfil que o titular autoriza no consentimento OAuth. | Estados Unidos | Art. 33, IX — execução de contrato; o titular consente diretamente com o Google ao usar o login federado. |
Sobre esta política
Esta Política de Privacidade descreve, em linguagem objetiva, como a plataforma Pensador trata os dados pessoais dos seus usuários, em conformidade com:
- Constituição Federal de 1988, em especial o art. 1º, III (dignidade da pessoa humana), o art. 5º, X (inviolabilidade da intimidade, vida privada, honra e imagem) e o art. 5º, LXXIX (proteção de dados pessoais como direito fundamental autônomo, incluído pela EC 115/2022);
- Código Civil (Lei nº 10.406/2002), especialmente os arts. 11, 12, 16, 18, 20 e 21, sobre direitos da personalidade e inviolabilidade da vida privada;
- Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — LGPD);
- Marco Civil da Internet (Lei nº 12.965/2014), em particular o art. 7º (direitos do usuário de internet), incluindo o inciso X (direito à exclusão definitiva dos dados pessoais fornecidos ao término da relação);
- Código de Defesa do Consumidor (Lei nº 8.078/1990), quando aplicável à relação de consumo.
Estamos comprometidos em tratar seus dados de forma transparente, com finalidades específicas, base legal adequada e segurança proporcional ao risco. Esta política se aplica a todos os usuários do serviço, autenticados ou não, e abrange todas as operações de tratamento realizadas pelo controlador.
Como coletamos seus dados
Coletamos dados pessoais nas seguintes situações:
- Cadastro via OAuth Google — ao clicar em "Entrar com Google", o Google nos envia seu nome, e-mail e foto de perfil, mediante seu consentimento direto naquele provedor. O controlador não tem acesso à sua senha do Google.
- Uso do serviço — quando você envia mensagens ao assistente, cria conversas, projetos, tags ou faz upload de áudio, esses conteúdos são processados e armazenados para que possamos prestar o serviço contratado.
- Pagamentos — ao assinar um plano pago, coletamos os dados necessários para a cobrança (CPF, telefone, máscara do cartão). Os dados completos do cartão nunca trafegam pelos nossos servidores: eles vão diretamente do seu navegador para o gateway Efi (PCI-DSS).
- Telemetria automática — registramos eventos técnicos de uso (rotas acessadas, tempos de resposta, erros) para monitoramento operacional, com PII redigida automaticamente.
Como protegemos seus dados
Adotamos medidas técnicas e organizacionais proporcionais aos riscos:
- Criptografia em trânsito: todo o tráfego usa HTTPS/TLS com HSTS e cabeçalho
Strict-Transport-Security(max-age 2 anos). - Criptografia em repouso: o banco PostgreSQL gerenciado pelo Supabase cifra os dados em repouso (AES-256).
- Row Level Security (RLS) no banco: cada usuário só enxerga seus próprios dados; tabelas administrativas exigem nível
admin. - Autenticação federada: não armazenamos senhas — a autenticação é delegada ao Google via OAuth 2.0.
- Redação automática de PII (e-mails, IPs, tokens, JWTs, CPF) nos logs operacionais.
- Cabeçalhos de segurança:
X-Frame-Options: DENY,Content-Security-Policy,Referrer-Policy: strict-origin-when-cross-origin,Permissions-Policy. - Webhooks de cobrança (Efi/Stripe) validados com assinatura HMAC em tempo constante.
- Rate-limiting em endpoints sensíveis (login, cobrança, exportação de dados).
Apesar do esforço, nenhum sistema é absolutamente seguro. Em caso de incidente que possa gerar risco ou dano relevante aos titulares, comunicaremos a ANPD e os titulares afetados nos termos do Art. 48 da LGPD.
Por quanto tempo guardamos seus dados
A retenção segue o princípio da necessidade. O resumo está na tabela "Dados pessoais tratados" acima. Em síntese:
| Categoria | Prazo |
|---|---|
| Conta ativa | Enquanto você usar a plataforma |
| Conta excluída | Apagada em até 30 dias após a solicitação |
| Telemetria | 90 dias |
| Logs técnicos | 30 dias |
| Pagamentos | 5 anos (obrigação fiscal) |
| Consentimentos | Relação contratual + 5 anos (prova) |
Cookies e identificadores
Usamos apenas cookies estritamente necessários ao funcionamento do serviço (sessão Supabase) e armazenamento local de preferências (tema, fonte). Não usamos cookies de publicidade, analytics de terceiros (Google Analytics, Meta Pixel, Hotjar) ou trackers de marketing. Detalhes completos em Política de Cookies.
Crianças e adolescentes
O serviço não é direcionado a menores de 18 anos. Não coletamos intencionalmente dados de crianças ou adolescentes. Se você é responsável por um menor e identificou que ele criou conta, escreva para o e-mail de contato abaixo para que possamos remover os dados.
Transferência internacional de dados
Alguns operadores listados (OpenAI, Supabase, Vercel, Stripe, Resend, Google) estão sediados nos Estados Unidos. Essas transferências internacionais ocorrem com base no Art. 33, IX da LGPD (execução de contrato) e estão amparadas pelas cláusulas-padrão de proteção de dados (SCC) fornecidas pelos próprios operadores em seus termos. O processamento ocorre apenas para entregar o serviço que você contratou.
Decisões automatizadas
O assistente de IA responde às suas mensagens com base em modelos de linguagem da OpenAI. As respostas são geradas automaticamente e podem conter imprecisões. Você tem o direito de solicitar a revisão humana de qualquer decisão automatizada que afete seus interesses, nos termos do Art. 20 da LGPD — basta escrever para o e-mail de contato do encarregado.
Atualizações desta política
Esta política pode ser atualizada para refletir mudanças legais, técnicas ou de negócio. Cada nova versão recebe um número (v1, v2...) e uma data de vigência. Quando a versão for substantivamente alterada, solicitaremos novo aceite no próximo acesso. O histórico das versões fica registrado e pode ser solicitado ao encarregado.
Como falar conosco
Para qualquer dúvida, solicitação ou exercício de direito previsto no Art. 18, use os contatos do controlador e do encarregado listados acima. Respondemos em até 15 dias (Art. 19, §1º, II).
Se não houver resposta satisfatória, você pode também peticionar diretamente à Autoridade Nacional de Proteção de Dados (ANPD).
Seus direitos (Art. 18 LGPD)
Você tem direito a: confirmação e acesso aos seus dados, correção, anonimização, portabilidade, eliminação, informação sobre compartilhamento, revogação do consentimento, e oposição a tratamento. Para exercer esses direitos:
- Acesso e portabilidade: baixe seus dados em formato JSON em /settings.
- Eliminação: exclua sua conta e dados em /settings.
- Revogação do consentimento de marketing: desmarque a opção em /settings → Preferências ou clique no link de descadastro em qualquer e-mail recebido.
- Demais direitos: envie e-mail para suporte@pensador.com.
Atendemos solicitações em até 15 dias (Art. 19, II). Em caso de descumprimento, você pode peticionar diretamente à Autoridade Nacional de Proteção de Dados (ANPD).