→ documento legal

Política de Privacidade

Última atualização: 20 de maio de 2026

1. Resumo em 30 segundos

O que coletamos: email, áudios que você grava, vídeos que você gera, métricas de uso.
Pra que: entregar o serviço, melhorar o produto, processar pagamentos.
Com quem compartilhamos: só processadores essenciais (Supabase, OpenAI, Pexels, Stripe, Resend, Google Cloud) — todos contratualmente vinculados a sigilo e proteção.
Não fazemos: não treinamos IA com seu conteúdo, não vendemos seus dados, não usamos cookies de tracking de terceiros.
Seus direitos: acesso, correção, exportação, exclusão. Veja página LGPD.

2. Dados que coletamos

2.1 Dados de cadastro

Email (obrigatório pra login);
Nome (opcional, perfil);
Foto de perfil (opcional, perfil).

2.2 Conteúdo enviado por você

Áudios (voice memos) gravados ou enviados;
Imagens e vídeos próprios enviados pro Vault;
Mensagens trocadas com a Lia (IA assistente);
Reels gerados e seus metadados (cenas, captions, configurações).

2.3 Dados de uso

IP, user-agent, timestamp das ações;
Métricas agregadas: número de reels criados, tempo de processamento, latência;
Logs técnicos pra diagnóstico (retidos por até 90 dias).

2.4 Dados de pagamento

Histórico de assinaturas e cobranças (gerenciado pela Stripe);
A gente nunca vê seu cartão. Dados de cartão ficam na Stripe (PCI-DSS Level 1).

3. Base legal (LGPD Art. 7º)

Execução de contrato — pra fornecer o serviço que você contratou;
Consentimento — pra emails de marketing (você pode descadastrar);
Legítimo interesse — pra logs de segurança e métricas anônimas de produto;
Obrigação legal — pra notas fiscais, retenção fiscal, ordens judiciais.

4. Sub-processadores

Pra rodar o Clec dependemos de empresas confiáveis que processam dados em nome da gente, sob contrato de confidencialidade:

Fornecedor	Função	Local
Supabase	Banco de dados, autenticação, storage de arquivos	sa-east-1 (São Paulo)
OpenAI	Transcrição (Whisper) + Lia AI (GPT-5)	EUA
Google Cloud Run	Renderização de vídeo (servidor de render)	southamerica-east1 (São Paulo)
Pexels	Biblioteca de B-roll (vídeos stock)	UE/EUA
Stripe	Processamento de pagamentos	EUA / Irlanda
Resend	Envio de emails transacionais	EUA
Vercel	Hospedagem da aplicação web	Global edge
datafa.st	Analytics (anônimo, sem cookies)	UE

Quando há transferência internacional, garantimos cláusulas contratuais padrão equivalentes ao requerido pela ANPD.

5. Como protegemos

Criptografia em trânsito (TLS 1.2+) e em repouso (AES-256);
RLS (Row-Level Security) no banco — cada usuário só acessa seus próprios dados;
Service-role keys e segredos isolados em variáveis de ambiente, nunca em código;
Acesso a logs/banco restrito a operadores autorizados e auditado;
Backups diários cobertos pelo Supabase Storage.

6. Retenção

Conta ativa: dados retidos enquanto a conta existir.
Conta excluída: dados pessoais e conteúdo apagados em até 30 dias. Logs anonimizados podem permanecer por até 12 meses pra fins de segurança e contabilidade.
Dados fiscais (notas, recibos): retidos por 5 anos por exigência legal.

7. Cookies e tracking

A gente usa apenas cookies essenciais pra funcionamento da aplicação (sessão de login, preferências). Não usamos Google Analytics, Facebook Pixel ou pixels de marketing. Analytics de uso são feitos via datafa.st de forma agregada e anônima, sem cookies de identificação cross-site.

8. Crianças e adolescentes

O Clec não é direcionado a menores de 18 anos. Se identificarmos conta de menor sem autorização do responsável legal, suspendemos o acesso e apagamos os dados.

9. Mudanças nesta política

A gente pode atualizar essa política a qualquer momento. Mudanças materiais (ex: novo sub-processador, nova categoria de dado) comunicamos por email com no mínimo 15 dias de antecedência. A versão sempre fica datada no topo.

10. Contato — DPO / Encarregado

Pra dúvidas, pedidos de acesso/exclusão/exportação, ou denúncias de tratamento indevido:

Email: contato@clec.com.br

Você também pode reclamar diretamente à ANPD (Autoridade Nacional de Proteção de Dados).