Política de Privacidade

1. Visão Geral

Selfward ("nós", "nosso") opera a plataforma Selfward (o "Serviço"). Esta Política de Privacidade explica como coletamos, usamos, divulgamos e protegemos suas informações quando você usa nosso Serviço. Ao usar o Selfward, você concorda com as práticas descritas nesta política.

2. Controlador de Dados

Selfward é o controlador de dados responsável pelos seus dados pessoais. Se você tiver dúvidas sobre como tratamos seus dados ou desejar exercer seus direitos, entre em contato conosco em:

• privacy@selfward.ai
• Encarregado de Proteção de Dados: privacy@selfward.ai

Representante UE/Reino Unido: Se você está localizado no Espaço Econômico Europeu ou no Reino Unido, pode entrar em contato com nosso representante designado para questões de proteção de dados em privacy@selfward.ai. Estamos em processo de nomeação de um representante formal na UE nos termos do Artigo 27 do GDPR e um representante no Reino Unido sob o UK GDPR. Até que essa nomeação seja finalizada, todas as consultas devem ser direcionadas ao nosso Encarregado de Proteção de Dados.

3. Base Legal para o Processamento

Processamos seus dados pessoais com base nos seguintes fundamentos legais sob o Artigo 6 do GDPR:

• Contract Performance: Execução de Contrato: Processamento necessário para fornecer o Serviço ao qual você se cadastrou (gerenciamento de conta, entrega de avaliação, geração de relatórios, processamento de pagamentos).
• Consent: Consentimento: Quando você deu consentimento explícito, como ao se inscrever para comunicações opcionais por e-mail, participar do nosso programa de indicação ou consentir com cookies.
• Legitimate Interest: Interesse Legítimo: Processamento necessário para nossos interesses comerciais legítimos, como melhorar a qualidade do serviço por meio de análises anonimizadas, prevenir fraudes e garantir segurança. Realizamos testes de equilíbrio para garantir que nossos interesses não sobreponham seus direitos.
• Legal Obligation: Obrigação Legal: Processamento necessário para cumprir leis aplicáveis, como manutenção de registros fiscais, resposta a solicitações legais de autoridades ou notificações de violação de dados.

2. Dados que Coletamos

Coletamos as seguintes categorias de informações:

Dados da Conta

• Endereço de e-mail (para autenticação e comunicação)
• Nome de exibição (opcional, para personalização)
• Provedor de autenticação e informações de perfil (se usar o Login do Google: seu nome, endereço de e-mail e foto de perfil conforme autorizado por você pela tela de consentimento OAuth do Google)
• Preferências e configurações da conta

Dados da Avaliação

• Suas respostas às perguntas de avaliação de autodescoberta
• Tempo gasto em cada pergunta (para garantia de qualidade dos dados)
• Relatórios gerados, insights de personalidade e históricos de pontuação
• Dados de comparação (se você participar de comparações de relacionamento, com consentimento mútuo)

Dados de Pagamento

• Registros de transações e histórico de compras (armazenados por nós)
• Detalhes de cobrança como tipo de cartão e últimos quatro dígitos (processados pela Apple App Store ou Google Play Store; nunca armazenamos números completos de cartão)
• Status da assinatura e datas de renovação

Dados Técnicos e de Uso

• Endereço IP e geolocalização aproximada (apenas nível de país/região)
• Tipo de navegador, sistema operacional e informações do dispositivo
• Páginas visitadas, recursos utilizados e duração da sessão
• Origem de referência e parâmetros UTM (se você chegou via link de indicação)

3. Como Usamos Seus Dados

• Para fornecer o Serviço: gerar seu perfil personalizado de autodescoberta, relatórios e insights
• Para processar pagamentos: lidar com transações, assinaturas e reembolsos pela Apple App Store, Google Play Store e RevenueCat
• Para melhorar o Serviço: analisar dados anonimizados e agregados para melhorar a precisão das avaliações e a experiência do usuário
• Para nos comunicar com você: enviar e-mails transacionais (verificação de conta, redefinição de senha, notificações de relatório, recibos de pagamento)
• Para fornecer suporte ao cliente: responder às suas consultas e resolver problemas
• Para garantir a segurança: detectar fraudes, prevenir abusos e manter a integridade da plataforma
• Para cumprir obrigações legais: manter registros exigidos por leis fiscais, de proteção ao consumidor ou outras leis aplicáveis
• Para administrar o programa de indicação: rastrear cadastros por indicação e distribuir créditos de indicação (se você participar)

6. Segurança dos Dados

Implementamos medidas de segurança abrangentes para proteger seus dados:

• Criptografia em repouso: Todos os dados são criptografados usando criptografia AES-256 em nosso banco de dados (Supabase/PostgreSQL)
• Criptografia em trânsito: Todas as conexões usam criptografia TLS 1.3
• Segurança em nível de linha (RLS): Políticas de banco de dados garantem que você só pode acessar seus próprios dados
• Registro de auditoria imutável: Todos os acessos e modificações de dados são registrados para monitoramento de segurança
• Pseudonimização de PII: Identificadores pessoais sensíveis são armazenados em um cofre separado com acesso controlado
• Sanitização de entrada: Todas as entradas do usuário são validadas e sanitizadas para prevenir ataques de injeção
• Limitação de taxa: Endpoints da API são limitados em taxa para prevenir abusos
• Avaliações regulares de segurança: Realizamos revisões periódicas da nossa postura de segurança

Notificação de Violação de Dados: Em caso de violação de dados pessoais que represente risco aos seus direitos e liberdades, notificaremos a autoridade supervisora relevante dentro de 72 horas e notificaremos você sem demora indevida, conforme exigido pelos Artigos 33 e 34 do GDPR.

5. Compartilhamento de Dados

Compartilhamos seus dados apenas com os seguintes provedores de serviço que são necessários para operar o Selfward:

Nossos Subprocessadores:

• RevenueCat (San Francisco, EUA): Gerenciamento de assinaturas e processamento de pagamentos via Apple App Store e Google Play Store. A RevenueCat gerencia estados de assinatura e validação de compras. Eles nunca recebem seus dados de avaliação. Privacidade: https://www.revenuecat.com/privacy
• Anthropic (San Francisco, EUA): Geração de relatórios por AI. A Anthropic recebe pontuações de avaliação anonimizadas para gerar seus relatórios. Os dados são processados de forma transitória e não são retidos para treinamento. Privacidade: https://www.anthropic.com/privacy
• Supabase (San Francisco, EUA): Hospedagem de banco de dados e autenticação. Todos os seus dados de conta e avaliação são armazenados na infraestrutura da Supabase com criptografia em repouso. Privacidade: https://supabase.com/privacy
• Resend (EUA): Entrega de e-mails transacionais. A Resend recebe seu endereço de e-mail para entregar notificações de conta, alertas de relatório e redefinições de senha. Privacidade: https://resend.com/legal/privacy-policy
• Vercel (San Francisco, EUA): Hospedagem de aplicação web. A Vercel hospeda nossa aplicação web e processa solicitações HTTP, que podem incluir endereços IP e informações do navegador. Privacidade: https://vercel.com/legal/privacy-policy
• PostHog (San Francisco, EUA): Análise de produto com foco em privacidade. O PostHog recebe eventos de uso anonimizados (visualizações de tela, uso de recursos, métricas de desempenho). Não enviamos informações pessoalmente identificáveis ou dados de avaliação ao PostHog. Privacidade: https://posthog.com/privacy
• Expo / EAS (EUA): Infraestrutura de build de aplicativo móvel e entrega de notificações push. O Expo recebe tokens de notificação push para entregar notificações às quais você optou. O Expo não recebe seus dados de avaliação. Privacidade: https://expo.dev/privacy

Também podemos divulgar seus dados se exigido por lei, ordem judicial ou solicitação governamental, ou se necessário para proteger os direitos, propriedade ou segurança do Selfward, nossos usuários ou outros.

9. Transferências Internacionais de Dados

Nossos provedores de serviço estão localizados principalmente nos Estados Unidos. Se você está localizado no Espaço Econômico Europeu (EEE), Reino Unido ou Suíça, seus dados podem ser transferidos e processados nos Estados Unidos. Garantimos que salvaguardas apropriadas estão em vigor para tais transferências, incluindo Cláusulas Contratuais Padrão (CCPs) aprovadas pela Comissão Europeia, e nossos processadores mantêm medidas adequadas de proteção de dados. Supabase, RevenueCat, Anthropic e Vercel oferecem acordos de processamento de dados que incluem CCPs para transferências internacionais.

10. Cookies, Rastreamento e Análises

Usamos apenas cookies essenciais necessários para o funcionamento do Serviço (autenticação, gerenciamento de sessão, preferências). Não usamos redes de publicidade, pixels de rastreamento ou cookies de rastreamento entre sites. Seus dados de autodescoberta nunca são usados para fins publicitários. Para detalhes completos sobre nosso uso de cookies, consulte nossa Política de Cookies.

Não Rastrear: Respeitamos os sinais de Não Rastrear (DNT) do navegador. Quando detectamos um sinal DNT, não realizamos nenhum rastreamento além do estritamente necessário para o funcionamento do Serviço.

11. Seus Direitos

Dependendo da sua localização, você tem os seguintes direitos em relação aos seus dados pessoais:

Direitos sob o GDPR (Residentes do EEE/Reino Unido)

• Direito de Acesso (Artigo 15): Solicitar uma cópia de todos os dados pessoais que mantemos sobre você
• Direito de Retificação (Artigo 16): Corrigir dados pessoais imprecisos ou incompletos
• Direito ao Apagamento (Artigo 17): Solicitar a exclusão dos seus dados pessoais ("direito ao esquecimento")
• Direito à Portabilidade de Dados (Artigo 20): Receber seus dados em formato estruturado, de uso comum e legível por máquina (JSON). Você pode exportar seus dados a qualquer momento nas configurações da sua conta.
• Direito à Restrição (Artigo 18): Solicitar que limitemos como processamos seus dados
• Direito de Objeção (Artigo 22): Opor-se ao processamento baseado em interesses legítimos
• Direito de Retirar o Consentimento: Quando o processamento é baseado em consentimento, você pode retirar o consentimento a qualquer momento sem afetar a legalidade do processamento anterior
• Direito de Apresentar Reclamação: Você tem o direito de apresentar uma reclamação à autoridade supervisora de proteção de dados local

Direitos sob a CCPA/CPRA (Residentes da Califórnia)

• Direito de Saber: Solicitar a divulgação das categorias e itens específicos de informações pessoais que coletamos, usamos e compartilhamos
• Direito de Excluir: Solicitar a exclusão das suas informações pessoais
• Direito de Recusar a Venda: Não vendemos suas informações pessoais. Não há nada a recusar.
• Direito à Não Discriminação: Não discriminaremos você por exercer seus direitos sob a CCPA
• Direito de Corrigir: Solicitar a correção de informações pessoais imprecisas

Categorias de informações pessoais que coletamos: Identificadores (e-mail, nome), atividade na internet (dados de uso), informações profissionais (respostas de avaliação de carreira) e informações pessoais sensíveis (respostas de triagem de saúde mental). Não compartilhamos ou vendemos nenhuma dessas categorias a terceiros para publicidade comportamental entre contextos.

Direitos sob Outras Leis Estaduais de Privacidade dos EUA

• Virgínia (VCDPA), Colorado (CPA), Connecticut (CTDPA), Oregon (OCPA), Texas (TDPSA) e outros estados com leis de privacidade de dados do consumidor concedem a seus residentes direitos semelhantes, incluindo o direito de acessar, corrigir, excluir e obter uma cópia de dados pessoais, e o direito de recusar a venda de dados pessoais, publicidade direcionada e perfilamento.
• Selfward não vende dados pessoais, não realiza publicidade direcionada e não perfila usuários para decisões que produzam efeitos legais ou similarmente significativos. Portanto, não há nada a recusar sob essas leis.
• Se você é residente de qualquer estado dos EUA com lei de privacidade de dados do consumidor e deseja exercer seus direitos, entre em contato conosco em privacy@selfward.ai. Se recusarmos sua solicitação, você pode recorrer enviando e-mail para privacy@selfward.ai com o assunto "Recurso de Direitos de Privacidade" e responderemos dentro do prazo legal exigido.

Para exercer qualquer um desses direitos, entre em contato conosco em privacy@selfward.ai. Verificaremos sua identidade e responderemos dentro do prazo legal aplicável (geralmente 30 dias para o GDPR, 45 dias para a CCPA).

12. Programa de Indicação

Se você participar do nosso programa de indicação, coletamos e processamos os seguintes dados adicionais:

• Seu código de indicação único (gerado automaticamente)
• O número de indicações bem-sucedidas que você fez (não rastreamos quem você indicou especificamente)
• Créditos de indicação ganhos e resgatados
• Quando um usuário indicado se cadastra, registramos o código de indicação usado, mas o indicado não é informado de quem o indicou
• Os dados do programa de indicação são usados exclusivamente para administração do programa e distribuição de créditos. Não são compartilhados com terceiros.

13. Retenção de Dados

Retemos diferentes categorias de dados por diferentes períodos:

• Dados da conta: Retidos enquanto sua conta estiver ativa
• Dados de avaliação e relatórios: Retidos enquanto sua conta estiver ativa, para que você possa acessar seus históricos e acompanhar mudanças ao longo do tempo
• Dados de pagamento: Registros de transações retidos por 7 anos para conformidade fiscal
• Dados técnicos: Endereços IP e logs de acesso retidos por 90 dias para monitoramento de segurança
• Dados do programa de indicação: Retidos enquanto sua conta estiver ativa
• Dados agregados e anônimos: Podem ser retidos indefinidamente para melhoria do serviço e pesquisa

Exclusão da Conta: Quando você exclui sua conta, todos os dados pessoais são permanentemente excluídos em até 30 dias. Isso inclui dados de avaliação, relatórios, histórico de chat e informações do perfil. Alguns registros podem ser retidos por mais tempo quando exigido por lei (ex.: registros fiscais).

10. Privacidade de Crianças

O Selfward não é destinado a crianças menores de 18 anos. Não coletamos intencionalmente dados pessoais de crianças. Se tomarmos conhecimento de que coletamos dados de uma criança menor de 18 anos, excluiremos essas informações imediatamente.

11. Alterações nesta Política

Podemos atualizar esta Política de Privacidade periodicamente. As alterações serão publicadas nesta página com uma data de vigência atualizada. Para alterações significativas, forneceremos aviso através do Serviço ou por e-mail.