Política de Privacidade
Última atualização: 20 de maio de 2026
1. Controlador dos Dados
Esta Política de Privacidade descreve como seus dados pessoais são coletados, utilizados, armazenados e protegidos por:
RYTORA AI TECHNOLOGY & SOLUTIONS LTDA
CNPJ: 62.234.242/0001-05
Rua Bom Jesus, 212, Sala 1904, Andar 19, Cond. Ar 3000
Juvevê, Curitiba/PR, CEP 80035-010
E-mail: contact@rytora.ai
Telefone: (41) 3797-7506
Esta política está em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD — Lei nº 13.709/2018), o Marco Civil da Internet (Lei nº 12.965/2014) e as regulamentações da Autoridade Nacional de Proteção de Dados (ANPD).
2. Encarregado pelo Tratamento de Dados (DPO)
Em atendimento ao art. 41 da LGPD, designamos publicamente o seguinte Encarregado pelo Tratamento de Dados Pessoais:
Encarregado (DPO): Luis Roberto Pinho da Silva Junior
E-mail: dpo@rytora.ai
O Encarregado é o canal oficial entre você (titular dos dados), a Rytora e a ANPD para esclarecimentos, reclamações ou exercício de direitos previstos na LGPD. Respondemos no prazo legal de até 15 dias corridos.
3. Dados que Coletamos
| Categoria | Dados | Finalidade |
|---|---|---|
| Cadastro | Nome, e-mail, senha (com hash), foto de perfil (opcional) | Identificação, autenticação, recuperação de conta |
| Pagamento | Dados de cartão (tokenizados, processados pelo Stripe — não armazenamos número completo), CPF/CNPJ, endereço de cobrança | Processamento de pagamentos, emissão de NFSe, cumprimento fiscal |
| Conteúdo | Prompts enviados, código gerado por IA, projetos criados, histórico de conversas | Prestação do serviço, geração de IA, histórico do usuário |
| Técnicos | Endereço IP, tipo de navegador/dispositivo, logs de acesso, cookies essenciais | Segurança, prevenção a fraudes, cumprimento do Marco Civil (art. 15 — guarda mínima de 6 meses) |
| Uso | Métricas anonimizadas de uso (gerações realizadas, créditos consumidos) | Cobrança por consumo, prevenção a abuso, melhoria do produto |
4. Base Legal para o Tratamento (Art. 7º LGPD)
- Execução de contrato (art. 7º, V): operação do serviço, autenticação, processamento de pagamentos, prestação de suporte
- Cumprimento de obrigação legal (art. 7º, II): emissão de NFSe, retenção fiscal pelo prazo legal, atendimento à ANPD e Receita Federal
- Legítimo interesse (art. 7º, IX): segurança da aplicação, prevenção a fraude e abuso, análise agregada de uso
- Consentimento (art. 7º, I): comunicações de marketing, cookies não essenciais, integrações de terceiros opcionais. Pode ser revogado a qualquer momento (ver Seção 8).
5. Subprocessadores
Para prestar o serviço, compartilhamos dados estritamente necessários com os seguintes operadores. Cada um possui contrato de processamento de dados (DPA) com a Rytora:
| Subprocessador | País | Finalidade |
|---|---|---|
| Stripe, Inc. | EUA (Irlanda para clientes UE/EEE) | Processamento de pagamentos, gestão de assinaturas |
| Anthropic PBC | EUA | Geração de código por IA (Claude Sonnet / Opus) |
| Moonshot AI | Singapura | Geração de código por IA (Kimi K2.6) |
| OpenAI, L.L.C. | EUA | Geração de código por IA (modelos GPT) — uso restrito |
| Google LLC (Vertex / Gemini API) | EUA | Geração de código por IA (modelos Gemini) — uso restrito |
| Neon, Inc. | EUA (região configurável) | Banco de dados PostgreSQL gerenciado dos apps gerados |
| DigitalOcean, LLC | EUA (DOKS Kubernetes) | Hospedagem da plataforma, containers de preview |
| Resend, Inc. | EUA | Envio de e-mails transacionais |
| Vercel, Inc. | EUA | Publicação opcional de apps frontend |
| Railway Corp. | EUA | Publicação opcional de apps backend |
Os provedores de IA (Anthropic, Moonshot, OpenAI, Google) operam em modo API sem treinamento (zero retention API): seus prompts e o código gerado não são utilizados para treinar modelos. Reservamos o direito de adicionar ou substituir subprocessadores; alterações materiais serão comunicadas com 30 dias de antecedência por e-mail e atualização desta página.
6. Transferência Internacional de Dados
Conforme tabela na Seção 5, parte de seus dados é transferida para países onde os subprocessadores operam (principalmente EUA e Singapura). Tais transferências respeitam:
- Cláusulas contratuais específicas alinhadas à Resolução CD/ANPD nº 19/2024 (cláusulas-padrão internacionais para transferência internacional de dados pessoais)
- Contratos de Processamento de Dados (Data Processing Addendums) celebrados com cada subprocessador
- Garantias de nível de proteção compatível com a LGPD, incluindo criptografia em trânsito (TLS 1.2+) e em repouso (AES-256)
Atualmente o Brasil não possui decisões de adequação publicadas pela ANPD para os países acima. A transferência ocorre, portanto, com base nas cláusulas-padrão (art. 33, II, LGPD).
7. Retenção de Dados
| Categoria | Prazo | Base |
|---|---|---|
| Cadastro (conta ativa) | Durante a vigência da conta | Execução de contrato |
| Cadastro (após exclusão) | 30 dias para reversão; depois anonimização | Direito ao arrependimento + LGPD |
| Dados fiscais (NFSe, transações Stripe) | 5 anos após emissão | CTN art. 173 / 174 (prazo decadencial e prescricional fiscal) |
| Logs de acesso (IP, timestamp) | Mínimo 6 meses | Marco Civil da Internet, art. 15 |
| Conteúdo gerado (projetos, prompts) | Durante a vigência da conta + 30 dias pós-exclusão | Execução de contrato |
| Backups | Até 90 dias para fins de recuperação | Segurança / continuidade do serviço |
8. Seus Direitos (Art. 18 LGPD)
Como titular dos dados, você pode a qualquer momento:
- Confirmação e acesso — saber se tratamos seus dados e obter cópia
- Correção — corrigir dados incompletos, inexatos ou desatualizados
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade
- Portabilidade — receber seus dados em formato estruturado (JSON) via /settings/privacy
- Eliminação dos dados tratados com base no seu consentimento, ressalvadas hipóteses de guarda legal obrigatória
- Informação sobre compartilhamento — saber com quais entidades públicas e privadas seus dados foram compartilhados (ver Seção 5)
- Informação sobre a possibilidade de não fornecer consentimento e suas consequências
- Revogação do consentimento a qualquer tempo, com efeito ex nunc. Para revogar: e-mail para dpo@rytora.ai ou autosserviço em /settings/privacy
Atendimento via dpo@rytora.ai ou diretamente nas Configurações de Privacidade da sua conta. Respondemos em até 15 dias corridos, prorrogáveis por mais 15 nos casos justificados.
9. Revisão de Decisões Automatizadas (Art. 20 LGPD)
Determinadas decisões no BuildLabs são tomadas de forma automatizada — em especial:
- Limites e bloqueios de crédito por suspeita de abuso/fraude
- Categorização automática de prompts para roteamento de modelo de IA
- Detecção de uso indevido (rate limits, padrões abusivos)
Você tem direito de solicitar revisão por pessoa natural dessas decisões. Solicite via dpo@rytora.ai com descrição da decisão a revisar. Retorno em até 15 dias.
10. Cookies e Tecnologias Semelhantes
Utilizamos cookies estritamente necessários para autenticação e segurança, além de cookies opcionais sujeitos ao seu consentimento prévio (banner de cookies exibido no primeiro acesso):
| Categoria | Exemplos | Necessário? |
|---|---|---|
| Essenciais | next-auth.session-token, next-auth.csrf-token, next-auth.callback-url | Sim (dispensa consentimento) |
| Funcionais | Preferência de tema, idioma, picker de modelo de IA | Não — opt-out via banner |
| Analíticos | Métricas agregadas anonimizadas (sem fingerprinting) | Não — sujeito a consentimento |
| Marketing | Atualmente não utilizados | — |
Você pode revisar ou revogar suas preferências de cookies a qualquer momento em /settings/privacy.
11. Segurança
Adotamos medidas técnicas e organizacionais incluindo:
- Criptografia em trânsito (TLS 1.2+) e em repouso (AES-256)
- Hash de senhas com algoritmo de uso corrente (bcrypt/argon2)
- Controle de acesso por papéis (RBAC) e princípio do menor privilégio
- Logs de auditoria de operações sensíveis
- Backups criptografados com retenção limitada
- Avaliação periódica de fornecedores quanto a postura de segurança
Nenhum sistema é 100% seguro. Em caso de incidente de segurança que possa acarretar risco ou dano relevante a você, comunicaremos à ANPD no prazo de até 72 horas conforme art. 48 da LGPD, bem como informaremos você diretamente quando exigido.
12. Inteligência Artificial e Processamento de Conteúdo
Seus prompts e o código gerado são processados pelos provedores de IA listados na Seção 5 sob os seguintes princípios:
- Não treinamento: todos os provedores operam em modo API com retenção zero — seu conteúdo NÃO é usado para treinar modelos
- Retenção mínima do provedor: tipicamente até 30 dias para fins de segurança e detecção de abuso (variando por provedor)
- Logs locais: mantemos histórico do seu projeto em nosso banco enquanto a conta estiver ativa, para que você possa retomar trabalho
Não envie aos modelos de IA informações sensíveis de terceiros, segredos comerciais alheios ou dados pessoais sem base legal adequada. Você é responsável pelo conteúdo que envia.
13. Crianças e Adolescentes (Art. 14 LGPD)
O BuildLabs é destinado a maiores de 18 anos. O tratamento de dados de crianças (até 12 anos incompletos) e adolescentes (12 a 18 anos) observa o art. 14 da LGPD:
- Não direcionamos a oferta do serviço a crianças e adolescentes
- Caso identifiquemos tratamento de dados de criança, exigiremos consentimento específico e em destaque de pelo menos um dos pais ou responsável legal
- Caso identifiquemos cadastro de menor sem consentimento adequado, a conta será suspensa e os dados eliminados
Pais e responsáveis podem solicitar exclusão e relatórios de tratamento de dados de menores pelo e-mail dpo@rytora.ai.
14. Alterações desta Política
Esta Política pode ser atualizada periodicamente. Alterações materiais (escopo de tratamento, novos subprocessadores, novas finalidades) serão comunicadas com no mínimo 30 dias de antecedência por e-mail e pelo aviso destacado na aplicação. A data da última atualização consta no topo desta página.
15. Reclamações e Contato com a ANPD
Caso entenda que seus direitos não foram adequadamente atendidos pela Rytora, você pode apresentar reclamação à Autoridade Nacional de Proteção de Dados:
ANPD — Autoridade Nacional de Proteção de Dados
Site: gov.br/anpd
Canal de Comunicação: Canais ao cidadão
Pedimos, contudo, que entre primeiro em contato com nosso Encarregado em dpo@rytora.ai — buscamos resolver sua questão diretamente.