Política de privacidade.

O controlador dos dados pessoais tratados na Plataforma é xxxx, CNPJ xxxx, com sede em xxxx, doravante “Empresa”, responsável pelo serviço fotoslinkedin.com.br.

O Encarregado pelo Tratamento de Dados Pessoais (DPO), nos termos do art. 41 da LGPD, pode ser contatado em [email protected].

Coletamos apenas o necessário para entregar o serviço:

2.1 Dados cadastrais

• Nome (opcional);
• E-mail;
• Senha (armazenada com hash criptográfico, nunca em texto puro);
• Telefone (opcional, para suporte e recuperação de conta).

2.2 Imagens faciais — dado pessoal sensível

Suas fotos são tratadas como dado pessoal sensível (art. 5º, II e art. 11 da LGPD), pois contêm características biométricas. Coletamos:

• Fotos enviadas por upload ou capturadas pela câmera (selfies, frontal e ¾);
• Metadados de captura: data, formato, tamanho;
• Imagens geradas pela IA a partir das suas fotos.

2.3 Dados de uso e técnicos

• Estilo, expressão, roupa e proporção selecionados;
• Histórico de gerações (jobs) e seu status;
• Endereço IP, identificador de dispositivo, navegador e versão do sistema;
• Logs de acesso e segurança (mantidos por 6 meses, em conformidade com o Marco Civil da Internet — art. 15);
• Cookies essenciais de sessão (ver seção 10).

2.4 Dados de pagamento

Para assinaturas e compras, o processamento de pagamento é feito pelo Mercado Pago. Não armazenamos números completos de cartão de crédito. Recebemos do Mercado Pago apenas: status da cobrança, identificador da transação, valor, bandeira e os 4 últimos dígitos do cartão (quando aplicável).

• Cadastrais: autenticar você, recuperar conta, enviar comunicações transacionais (recibos, alertas de cobrança, notificações de jobs concluídos).
• Imagens faciais (input): enviar ao modelo de IA para gerar o headshot solicitado. Sob hipótese alguma usamos suas fotos para treinar modelos próprios ou de terceiros.
• Imagens geradas: disponibilizar o resultado para download, manter histórico e permitir nova geração baseada nas mesmas fontes.
• Dados de uso: prevenir fraudes, abusos e violações dos Termos de Uso; calcular consumo de créditos; melhorar estabilidade e qualidade do serviço.
• Dados de pagamento: emitir notas, processar cobranças, controlar assinaturas, prevenir chargebacks.

Toda operação de tratamento se apoia em pelo menos uma das bases legais do art. 7º (dados comuns) e do art. 11 (dados sensíveis) da LGPD:

• Execução de contrato (art. 7º, V) — cadastro, autenticação, geração das imagens, cobrança e atendimento.
• Consentimento específico e destacado (art. 7º, I e art. 11, I) — para o tratamento de imagens faciais (dado sensível). Você dá esse consentimento ao enviar fotos no fluxo de geração ou nas configurações de fotos salvas. Pode revogar a qualquer momento.
• Cumprimento de obrigação legal/regulatória (art. 7º, II) — guarda de logs por 6 meses (Marco Civil), retenção fiscal de comprovantes de pagamento.
• Legítimo interesse (art. 7º, IX) — segurança da informação, prevenção a fraudes e análise técnica agregada/anonimizada para melhoria do serviço, com avaliação de impacto (RIPD) disponível mediante solicitação ao DPO.

Compartilhamos com operadores (subprocessadores) estritamente necessários para entregar o serviço, todos vinculados por contrato a obrigações compatíveis com a LGPD:

• OpenAI, L.L.C. (EUA) — execução do modelo gpt-image-2. Recebe apenas as imagens necessárias para a geração e os parâmetros do estilo. A OpenAI declara não usar dados da API para treinar modelos por padrão.
• Cloudflare, Inc. (EUA, infraestrutura global) — armazenamento dos arquivos no Cloudflare R2 e CDN.
• Mercado Pago (Brasil) — processamento de pagamentos (cartão e PIX).
• Resend, Inc. (EUA) — envio de e-mails transacionais.
• Veloz — hospedagem da aplicação e banco de dados PostgreSQL.
• Better-Auth — biblioteca de autenticação executada na nossa infraestrutura (não há transferência de dados a terceiros por essa via).
• Autoridades públicas — apenas mediante ordem judicial, requisição administrativa válida ou para cumprir obrigação legal.

Não vendemos, alugamos nem cedemos dados pessoais a terceiros para fins de marketing.

Alguns operadores (OpenAI, Cloudflare, Resend) processam dados fora do Brasil. Essas transferências obedecem ao art. 33 da LGPD, com base em cláusulas contratuais específicas e garantias de nível de proteção adequado. Pedimos que cada operador adote padrões equivalentes aos brasileiros, e mantemos contrato de processamento de dados (DPA) vigente com cada um deles.

• Conta: enquanto ativa. Após o encerramento, anonimizamos ou excluímos os dados em até 30 dias, exceto registros que devamos guardar por obrigação legal.
• Imagens enviadas e geradas: ficam disponíveis enquanto a conta estiver ativa. Você pode excluir cada imagem a qualquer momento em /galeria e /minhas-fotos. Para usuários anônimos, as imagens são removidas em até 30 dias após a geração.
• Logs de acesso e segurança: 6 meses (Marco Civil, art. 15).
• Dados fiscais: 5 anos, conforme legislação tributária.
• Dados de cobrança/recibos: 5 anos, contados do encerramento da relação contratual.

Findados os prazos legais, os dados são excluídos ou anonimizados de forma irreversível.

A LGPD (art. 18) garante a você os seguintes direitos, que podem ser exercidos a qualquer momento, gratuitamente:

• Confirmação da existência de tratamento;
• Acesso aos dados;
• Correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei;
• Portabilidade a outro fornecedor de serviço, observados os segredos comercial e industrial;
• Eliminação dos dados tratados com base em consentimento, ressalvadas as hipóteses do art. 16;
• Informação sobre as entidades públicas e privadas com as quais compartilhamos dados;
• Informação sobre a possibilidade de não fornecer consentimento e suas consequências;
• Revogação do consentimento, a qualquer momento, sem efeito retroativo;
• Oposição ao tratamento realizado com base em uma das hipóteses sem consentimento, em caso de descumprimento da lei.

Para exercer qualquer desses direitos, envie um e-mail para [email protected] ou use a página central LGPD. Responderemos em até 15 dias.

• Conexões via TLS 1.2+ em todo o tráfego;
• Hash de senha com algoritmo moderno (Argon2/scrypt) — nunca armazenamos a senha em texto puro;
• Acesso ao bucket R2 via credenciais segregadas com escopo restrito ao serviço;
• Princípio do menor privilégio em acessos administrativos, com autenticação multifator (MFA);
• Segregação entre ambientes de desenvolvimento, homologação e produção;
• Monitoramento de tentativas de acesso anômalas e bloqueio automático de bots;
• Auditoria periódica de dependências e atualização de bibliotecas críticas.

Em caso de incidente de segurança que possa acarretar risco ou dano relevante a você, notificaremos a ANPD e os titulares afetados em prazo razoável, conforme art. 48 da LGPD e Resolução CD/ANPD nº 15/2024.

Usamos um conjunto mínimo de cookies:

• Sessão (essencial): mantém você logado. Sem este cookie, autenticação não funciona.
• Preferências: salva escolhas do wizard de geração (estilo, expressão) no localStorage para reabrir a partir de onde parou.

Não utilizamos cookies de publicidade comportamental, fingerprinting agressivo nem rastreadores de terceiros para perfilamento.

A Plataforma é direcionada a maiores de 18 anos. Não coletamos dados de crianças ou adolescentes de forma deliberada. Se identificarmos cadastro de menor sem consentimento do responsável, excluiremos a conta e os dados associados. Pais e responsáveis que identifiquem coleta indevida devem contatar [email protected] para remoção imediata.

Podemos atualizar esta política para refletir mudanças no produto, em parceiros, na legislação ou em decisões da ANPD. Quando houver mudança relevante, comunicaremos por e-mail e/ou aviso destacado na Plataforma com pelo menos 15 dias de antecedência. A data de atualização sempre estará no topo da página.

E-mail: [email protected]
Endereço: xxxx

Para exercer seus direitos de forma guiada, acesse a central LGPD. Você também pode peticionar diretamente à Autoridade Nacional de Proteção de Dados (ANPD) em www.gov.br/anpd.