Política de Privacidade
Última atualização: Maio de 2026
Seus dados são seus. Ponto.
Não vendemos, alugamos nem compartilhamos seus dados com terceiros para fins de marketing ou publicidade. Seus dados existem para prestar o serviço que você contratou — e só isso. Se você sair, leva tudo. Nossas cópias são destruídas em até 30 dias após o cancelamento.
Identificação do Controlador
A consultor.app é a controladora dos dados pessoais dos Usuários da plataforma, nos termos do Art. 5º, VI da LGPD (Lei nº 13.709/2018).
Em relação aos dados pessoais dos clientes dos Usuários processados dentro da plataforma: o Usuário atua como controlador e a consultor.app atua como operadora, nos termos do Art. 5º, VII e Art. 39 da LGPD. O Usuário é responsável por definir as finalidades e bases legais para esse tratamento.
Privacidade — privacidade@consultor.app
DPO — dpo@consultor.app
Dados que Coletamos
Fornecidos pelo titular:
- Nome completo e endereço de email
- Senha — armazenada exclusivamente como hash bcrypt; nunca em texto claro, nunca acessível por nenhum funcionário da Operadora
- Perfil profissional (área de atuação, bio, foto)
- Conteúdo criado na plataforma: metodologias, histórico de conversas com o agente, base de conhecimento, documentos e dados de clientes
- Dados de pagamento — processados diretamente pelo Stripe; a consultor.app não armazena números de cartão, CVV ou dados bancários
Coletados automaticamente:
- Endereço IP e geolocalização aproximada (nível de cidade)
- Identificadores de dispositivo e navegador (user-agent, resolução)
- Logs de acesso e uso da plataforma (páginas, ações, timestamps)
- Cookies essenciais e analíticos (detalhados na Seção 9)
De integrações autorizadas pelo Usuário:
- Google Workspace: eventos do Calendar, arquivos do Drive e links do Meet compartilhados pelo Usuário
- Slack: mensagens e canais autorizados pelo Usuário
- Notion: páginas e bases de dados autorizadas pelo Usuário
Finalidades e Base Legal (LGPD Art. 7º)
Bases legais LGPD Art. 7º
| Finalidade | Base Legal |
|---|---|
| Prestação do serviço contratado | Art. 7º, V — Execução de contrato |
| Comunicações transacionais (confirmações, alertas, faturas) | Art. 7º, V — Execução de contrato |
| Segurança, prevenção de fraudes e abuso | Art. 7º, IX — Legítimo interesse |
| Melhoria do produto e analytics agregados | Art. 7º, IX — Legítimo interesse |
| Comunicações de marketing e novidades | Art. 7º, I — Consentimento (revogável) |
| Cumprimento de obrigações legais e regulatórias | Art. 7º, II — Cumprimento de obrigação legal |
Compartilhamento com Terceiros
Os dados são compartilhados exclusivamente com os fornecedores essenciais listados abaixo, todos vinculados por contratos de processamento de dados (DPA) com cláusulas de confidencialidade e segurança.
Fornecedores autorizados
| Fornecedor | Finalidade | Garantia |
|---|---|---|
| AWS | Hospedagem e infraestrutura | sa-east-1 (São Paulo) e us-east-1 (Virgínia) — DPA assinado |
| Anthropic | Modelos de IA (Claude) | Contrato no-train — dados não usados para treinamento de modelos |
| OpenAI | Modelos de IA auxiliares | Contrato no-train — dados não usados para treinamento de modelos |
| Stripe | Processamento de pagamentos | PCI DSS Level 1 — dados de cartão não chegam aos nossos servidores |
Nenhum dado pessoal é vendido, alugado ou compartilhado com terceiros para fins de marketing, publicidade ou qualquer finalidade não descrita nesta Política.
Transferências Internacionais
Alguns dos fornecedores listados na Seção 4 operam servidores nos Estados Unidos (AWS us-east-1, Anthropic, OpenAI, Stripe). Essas transferências internacionais são realizadas com base em Cláusulas Contratuais Padrão (Standard Contractual Clauses — SCC) aprovadas pela Comissão Europeia e reconhecidas como mecanismo adequado pela ANPD.
Clientes Enterprise com requisito de residência de dados na União Europeia podem solicitar configuração exclusiva nas regiões eu-west-1 (Irlanda) ou eu-central-1 (Frankfurt). A Avaliação de Impacto de Transferência (TIA) está disponível mediante solicitação ao DPO.
Direitos do Titular (LGPD Art. 18)
O titular dos dados pessoais tem os seguintes direitos, exercíveis a qualquer momento e sem custo:
Seus direitos como titular
Confirmação e Acesso
Saber se tratamos seus dados pessoais e acessar a cópia completa deles.
Correção
Corrigir dados incompletos, inexatos ou desatualizados.
Anonimização, Bloqueio ou Eliminação
Solicitar a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
Portabilidade
Receber seus dados em formato estruturado e interoperável para transferência a outro fornecedor.
Eliminação de dados tratados por consentimento
Solicitar a eliminação de dados cujo tratamento se baseie exclusivamente em consentimento.
Informação sobre compartilhamento
Saber com quais entidades públicas e privadas seus dados são compartilhados.
Revogação de consentimento
Retirar o consentimento a qualquer momento, sem prejuízo da licitude do tratamento anterior.
Oposição
Opor-se ao tratamento realizado com fundamento em hipótese diversa do consentimento, em caso de descumprimento da LGPD.
Para exercer qualquer desses direitos, envie solicitação para privacidade@consultor.app. O prazo de resposta é de até 15 dias corridos; a maioria das solicitações é atendida em até 72 horas.
Retenção de Dados
- Conta ativa: dados mantidos enquanto o contrato estiver vigente
- Após cancelamento: 30 dias para exportação pelo Usuário; destruição segura em até 30 dias adicionais, incluindo backups
- Logs de segurança: retidos por 90 dias para fins de auditoria e resposta a incidentes
- Obrigações legais: dados fiscais, contratuais e registros exigidos por lei são retidos pelo prazo legal aplicável, no mínimo 5 anos (Código Civil, Art. 206)
Segurança
Medidas técnicas e organizacionais implementadas:
- TLS 1.3 em todas as conexões, sem fallback para versões anteriores
- AES-256 em repouso via AWS KMS com rotação automática de chaves a cada 90 dias
- Row Level Security (RLS) no Postgres — isolamento completo por workspace
- RBAC com 4 papéis (Owner, Admin, Member, Viewer) e princípio do menor privilégio
- MFA obrigatório para todos os perfis com papel Admin ou Owner
- Logs de auditoria imutáveis com hash encadeado (append-only, não editáveis)
- Backups diários criptografados armazenados em região AWS separada da produção
Para relatar vulnerabilidades de segurança: security@consultor.app (programa de divulgação responsável).
Cookies
Essenciais: necessários para autenticação, segurança de sessão e funcionamento básico da plataforma. Não podem ser desativados sem comprometer o serviço.
Analíticos: coletam dados agregados e anônimos sobre uso da plataforma para melhoria do produto. Opt-out disponível nas configurações da conta.
A consultor.app não utiliza cookies de rastreamento para fins publicitários nem compartilha dados de navegação com redes de anúncios.
Menores de Idade
O serviço não é direcionado a pessoas menores de 18 anos e não coleta intencionalmente dados pessoais de menores. Caso a Operadora identifique que dados de um menor foram coletados sem o consentimento do responsável legal, esses dados serão eliminados imediatamente. Para reportar essa situação: privacidade@consultor.app.
Notificação de Incidentes
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a consultor.app notificará a ANPD e os titulares afetados em até 72 horas da confirmação do incidente, conforme Art. 48 da LGPD.
A notificação incluirá:
- Natureza e categoria dos dados pessoais afetados
- Número estimado de titulares envolvidos
- Medidas técnicas e organizacionais adotadas para mitigar os efeitos
- Dados de contato do DPO: dpo@consultor.app
Alterações nesta Política
Alterações significativas nesta Política serão notificadas por email com no mínimo 15 dias de antecedência em relação à data de vigência. A versão anterior ficará disponível mediante solicitação ao DPO.
O uso continuado da plataforma após a data de vigência das alterações constitui aceitação da nova Política. Caso o Usuário não concorde, poderá cancelar a conta sem penalidade antes da data de vigência.
Dúvidas sobre privacidade, solicitações de titulares ou questões com o DPO?
● Atualizado em maio de 2026