Política de Privacidade
Esta é uma tradução informativa. Em caso de conflito ou dúvida de interpretação, a versão em inglês (English) é a que prevalece legalmente.
Esta Política de Privacidade explica como coletamos, usamos, compartilhamos e protegemos dados pessoais quando você utiliza nossos websites e Serviços (Vector56, v56.spark, v56.ims, SuState, TrueTrack, continue.fit, QuietShift, Suggistit, MyCookingMyRules e qualquer outro produto operado pela 98M7 Group OÜ).
1. Controlador de dados
O Controlador dos seus dados pessoais é a 98M7 Group OÜ, empresa registrada na Estônia (código de registro 16752935), com sede em Tallinn, Estônia. Você pode nos contatar sobre questões de privacidade pela página de contato. Não nomeamos um Encarregado de Proteção de Dados porque não somos legalmente obrigados a fazê-lo (nosso processamento não atinge os limiares do Artigo 37 do GDPR).
2. Escopo
Esta política cobre os dados pessoais que processamos como Controlador — tipicamente sobre visitantes de nossos websites, titulares de conta, clientes, prospects e pessoas que nos contatam. Quando processamos dados pessoais em nome de um cliente empresarial (por exemplo, dados pessoais que o cliente carrega nos Serviços), atuamos como Operador e nosso Acordo de Processamento de Dados se aplica.
3. Quais dados coletamos
Dados de conta. Nome, endereço de e-mail, hash de senha, nome da organização, cargo, país, preferência de idioma.
Dados de cobrança. Nome e endereço de cobrança, número de VAT, últimos quatro dígitos e bandeira do cartão de pagamento, histórico de transações. Os dados completos do cartão são processados pela Stripe e nunca chegam aos nossos servidores.
Dados de uso do Serviço. Páginas visitadas, funcionalidades usadas, créditos consumidos, registros de eventos com carimbo de data/hora, relatórios de erro, métricas de desempenho, endereço IP, informações de navegador e dispositivo.
Dados de conteúdo. Qualquer coisa que você carregue, digite, desenhe ou de outra forma envie para dentro dos Serviços.
Dados de suporte. Qualquer informação que você forneça ao nos contatar, incluindo o conteúdo de e-mails e anexos.
Dados de marketing. Estado de inscrição por e-mail, eventos de clique e abertura em e-mails que enviamos a você, e qualquer informação que você forneça em formulários.
4. Por que processamos esses dados e sob qual base legal
Baseamo-nos nas seguintes bases legais previstas no Artigo 6 do GDPR:
Execução de contrato (Art. 6(1)(b)) — para operar os Serviços, gerenciar sua conta, processar pagamentos, prestar suporte e cumprir nossas obrigações contratuais com você.
Interesses legítimos (Art. 6(1)(f)) — para manter os Serviços seguros, prevenir fraude e abuso, depurar e melhorar o produto, gerenciar nosso negócio e contatar clientes existentes sobre funcionalidades e atualizações relevantes ao seu uso. Avaliamos que esses interesses não se sobrepõem aos seus direitos e liberdades.
Obrigação legal (Art. 6(1)(c)) — para manter registros contábeis (a legislação contábil estoniana exige a retenção de faturas por 7 anos), para responder a solicitações legais de autoridades e para cumprir regulamentações fiscais e de proteção ao consumidor.
Consentimento (Art. 6(1)(a)) — para e-mails de marketing a não clientes, para cookies não essenciais e para qualquer processamento opcional que descrevemos a você separadamente. Você pode retirar o consentimento a qualquer momento, sem afetar a legalidade do processamento já realizado.
5. Retenção
Mantemos os dados pessoais apenas pelo tempo necessário às finalidades acima.
Dados de conta e de conteúdo — durante a vida útil da conta, depois excluídos ou anonimizados em até 90 dias após o encerramento da conta.
Dados de cobrança — 7 anos a partir da data da fatura (legislação contábil estoniana).
Registros de uso — 13 meses de forma contínua (rolling), depois agregados ou excluídos.
Tickets de suporte — 3 anos a partir da data de resolução.
Dados de marketing — até o cancelamento da inscrição, depois suprimidos em uma lista permanente de não contato.
Backups — até 35 dias, após os quais os dados excluídos deixam de ser recuperáveis a partir do backup.
6. Com quem compartilhamos dados
Não vendemos dados pessoais. Compartilhamos dados apenas com as categorias de destinatário abaixo, todos vinculados a acordos escritos que os obrigam a proteger os dados e usá-los somente conforme nossas instruções:
Subprocessadores — prestadores de serviço terceiros que processam dados pessoais em nosso nome para nos ajudar a entregar os Serviços. Nossos subprocessadores atuais estão listados em vector56.com/subprocessors e incluem a Cloudflare (hospedagem e infraestrutura), a Stripe (pagamentos), a Anthropic e a OpenAI (inferência de IA quando aplicável) e a Resend (e-mail transacional).
Consultores profissionais — contadores, auditores e advogados, quando razoavelmente necessário.
Autoridades — quando somos legalmente obrigados a divulgar dados, ou quando a divulgação é necessária para proteger nossos direitos, os direitos de nossos usuários ou a segurança pública.
Sucessores — em conexão com uma fusão, aquisição ou venda de ativos, quando o destinatário concorda com as mesmas proteções previstas nesta política.
7. Transferências internacionais
Alguns de nossos subprocessadores estão sediados fora do Espaço Econômico Europeu, incluindo nos Estados Unidos. Quando dados pessoais são transferidos para fora do EEE, baseamo-nos em uma das seguintes salvaguardas: uma decisão de adequação da Comissão Europeia (por exemplo, o EU-US Data Privacy Framework, quando o destinatário é certificado pelo DPF); as Cláusulas Contratuais Padrão da Comissão Europeia (módulos de 2021); ou o UK International Data Transfer Addendum, quando dados do Reino Unido estão envolvidos. Realizamos uma Avaliação de Impacto de Transferência para transferências relevantes e priorizamos infraestrutura na região da UE quando razoavelmente disponível. Você pode solicitar uma cópia das salvaguardas aplicáveis entrando em contato conosco.
8. Como protegemos os dados
Usamos medidas técnicas e organizacionais padrão do setor: criptografia em trânsito (TLS 1.2+), criptografia em repouso para armazenamento de dados de produção, controles de acesso de privilégio mínimo, autenticação multifator em contas administrativas, credenciais com prazo limitado, aplicação regular de patches de dependências, separação entre ambientes de produção e não produção, e acesso registrado a sistemas sensíveis. Testamos nossa segurança por meio de revisões periódicas e mantemos um plano de resposta a incidentes. Nenhum sistema é perfeitamente seguro; não podemos garantir segurança absoluta, mas trabalhamos para tornar uma violação improvável e uma violação sem contenção ainda mais improvável.
9. Notificação de violação de dados
Se sofrermos uma violação de dados pessoais que possa representar risco aos direitos e liberdades das pessoas afetadas, notificaremos a Inspetoria de Proteção de Dados da Estônia no prazo de 72 horas a partir do momento em que tomarmos conhecimento da violação, conforme exigido pelo Artigo 33 do GDPR, e notificaremos as pessoas afetadas sem atraso indevido quando a violação puder representar alto risco a elas.
10. Seus direitos
Sujeito às condições previstas nos Artigos 15 a 22 do GDPR (e disposições equivalentes do UK GDPR), você tem o direito de: acessar seus dados pessoais; corrigir dados incorretos; ter seus dados apagados (o "direito ao esquecimento"); restringir nosso processamento dos seus dados; opor-se ao processamento baseado em interesses legítimos ou para marketing direto; receber seus dados em formato portátil e transmiti-los a outro controlador; e não ser submetido a uma decisão baseada exclusivamente em processamento automatizado que produza efeitos jurídicos ou similarmente significativos sobre você (atualmente não realizamos esse tipo de processamento).
Para exercer qualquer um desses direitos, entre em contato conosco pela página de contato. Respondemos em até 30 dias; podemos estender esse prazo por mais dois meses em solicitações complexas, e avisaremos caso isso ocorra. Não cobramos por essas solicitações, salvo quando manifestamente infundadas ou excessivas.
11. Reclamações
Você pode reclamar junto a uma autoridade supervisora caso acredite que nosso processamento viola a legislação de proteção de dados. Nossa autoridade supervisora principal é a Inspetoria de Proteção de Dados da Estônia (Andmekaitse Inspektsioon) — aki.ee/en. Residentes da UE e do Reino Unido também podem reclamar junto à autoridade supervisora de seu país de residência (no Reino Unido, o Information Commissioner's Office, em ico.org.uk).
12. Residentes da Califórnia
Se você é residente da Califórnia, tem direitos adicionais sob o California Consumer Privacy Act / California Privacy Rights Act: o direito de saber quais informações pessoais temos sobre você; o direito de exclusão; o direito de correção; o direito de optar por não participar da "venda" ou do "compartilhamento" de informações pessoais (não vendemos nem compartilhamos informações pessoais conforme esses termos são definidos pela CCPA/CPRA); e o direito de não sofrer discriminação por exercer esses direitos. Para exercer esses direitos, entre em contato conosco pela página de contato. As categorias de informações pessoais descritas na seção 3 acima se aplicam igualmente aos residentes da Califórnia.
13. Residentes do Reino Unido
O UK GDPR e o Data Protection Act 2018 conferem aos residentes do Reino Unido direitos substancialmente equivalentes aos dos residentes da UE sob o GDPR. Nosso representante do Artigo 27 no Reino Unido (se nomeado) está identificado no rodapé desta página; caso contrário, você pode nos contatar diretamente. Reclamações ao Information Commissioner's Office do Reino Unido em ico.org.uk.
14. Crianças
Os Serviços não são direcionados a crianças menores de 16 anos, e não coletamos intencionalmente dados pessoais de ninguém com idade inferior a essa. Se você acredita que uma criança nos forneceu dados pessoais, entre em contato conosco e nós os excluiremos.
15. Decisões automatizadas e IA
Alguns dos nossos Serviços usam modelos de IA de terceiros (atualmente Anthropic e OpenAI) para gerar textos ou saídas analíticas a partir de dados que você fornece. Essas saídas são informativas e não as utilizamos para tomar decisões que produzam efeitos jurídicos ou similarmente significativos sobre você. Não utilizamos seu Conteúdo para treinar modelos de IA. O processamento dos seus dados pelo provedor de IA é regido por seus próprios termos; escolhemos provedores que se comprometem contratualmente a não reter seus dados além do necessário para produzir a resposta, e repassamos suas solicitações de exclusão de dados a esses provedores.
16. Cookies
Usamos um pequeno número de cookies e tecnologias similares. Detalhes e suas opções estão em nossa Política de Cookies.
17. Alterações
Atualizamos esta política periodicamente. Alterações materiais serão notificadas por e-mail ou banner no produto 30 dias antes de entrarem em vigor. O número de versão e a data de vigência no topo da página indicam qual versão está em vigor. Versões anteriores são arquivadas; você pode solicitar uma cópia.
18. Contato
98M7 Group OÜ — Tallinn, Estônia. Consultas sobre privacidade: fale conosco.