Política de Privacidade da DavitAI
1. Introdução e Escopo
Esta Política de Privacidade descreve como a DavitAI coleta, utiliza, compartilha, armazena e protege os dados pessoais de usuários, visitantes do site, clientes pagantes, agências parceiras e candidatos a vagas. Aplica-se a todas as superfícies oficiais da DavitAI: davitai.com, app.davitai.com, admin.davitai.com, APIs públicas, comunicações por e-mail e qualquer outra integração identificada com a marca DavitAI.
A DavitAI é uma plataforma brasileira de agentes de inteligência artificial para criadores de conteúdo. Operamos em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — LGPD), com o Regulamento Geral de Proteção de Dados europeu (GDPR — Regulamento (UE) 2016/679) e, no que aplicável a usuários da Califórnia, com o California Consumer Privacy Act (CCPA/CPRA).
Última atualização: 8 de junho de 2026. Recomendamos a leitura conjunta dos Termos de Uso e do guia de Direitos LGPD.
2. Dados que Coletamos
Coletamos apenas o estritamente necessário (princípio da minimização). As categorias são:
- Dados de cadastro: nome completo, e-mail, senha (armazenada via hash bcrypt + salt — nunca em texto puro), idioma, fuso horário.
- Dados de autenticação: sessões, tokens de refresh, conexões OAuth para canais externos (Twitter/X, Instagram, YouTube, WordPress). Todos os tokens OAuth são criptografados com AES-256-GCM antes da gravação em banco.
- Dados de uso da plataforma: agentes executados, prompts enviados, créditos consumidos, jobs criados, conteúdo gerado, histórico de execuções e métricas de performance.
- Dados de pagamento: processados diretamente pela Stripe, Inc., sob sua própria política de privacidade. A DavitAI armazena apenas metadados de transação (status, valor, brand do cartão) — nunca número completo, CVV ou validade.
- Dados de comunicação: mensagens enviadas via formulário de contato, e-mails de suporte, respostas a pesquisas e tickets internos.
- Dados técnicos automáticos: endereço IP, user-agent, tipo de dispositivo, resolução, sistema operacional, referrer, métricas de Web Vitals.
- Dados de cookies: essenciais sempre; analytics e marketing apenas com consentimento.
Não coletamos dados sensíveis (Art. 5º, II da LGPD) de forma deliberada. Caso você compartilhe informações sensíveis nos prompts dos agentes (origem racial, opinião política, saúde, dados biométricos), tais dados serão tratados apenas para execução imediata do job e descartados conforme política de retenção.
3. Como Usamos seus Dados (Finalidades)
Seus dados são tratados estritamente para:
- Operação do serviço: autenticação, autorização, execução de agentes, gestão de créditos, suporte ao usuário.
- Cobrança e faturamento: processar pagamentos recorrentes, emitir notas fiscais, gerenciar reembolsos.
- Comunicações transacionais: verificação de e-mail, falhas de pagamento, conclusão de jobs longos, alertas de segurança.
- Comunicações de marketing: newsletter, atualizações de produto, dicas — apenas mediante consentimento expresso e revogável.
- Analytics e melhoria de produto: apenas com consentimento, agregados e anonimizados sempre que possível.
- Segurança e antifraude: detecção de abuso, prevenção de credit mining, proteção contra ataques automatizados.
- Cumprimento legal: obrigações fiscais, requisições judiciais, comunicações à ANPD quando aplicável.
4. Base Legal para o Tratamento
A DavitAI fundamenta cada tratamento em uma das hipóteses do Art. 7º da LGPD (e Art. 6 do GDPR equivalente):
- Execução de contrato (LGPD Art. 7º, V / GDPR Art. 6(1)(b)) — operação da plataforma.
- Consentimento (LGPD Art. 7º, I / GDPR Art. 6(1)(a)) — marketing, analytics, cookies não essenciais.
- Obrigação legal (LGPD Art. 7º, II / GDPR Art. 6(1)(c)) — registros fiscais, requisições judiciais.
- Legítimo interesse (LGPD Art. 7º, IX / GDPR Art. 6(1)(f)) — segurança, antifraude, melhoria de qualidade. Sempre precedido de teste de balanceamento documentado.
5. Compartilhamento com Operadores e Terceiros
A DavitAI não vende, aluga, nem comercializa dados pessoais. Compartilhamos exclusivamente com operadores que executam serviços essenciais ao funcionamento da plataforma, sob contrato de proteção de dados (DPA) e cláusulas equivalentes à LGPD/GDPR:
- Stripe, Inc. — processamento de pagamentos. Atua como controladora autônoma para fins de antifraude.
- Google Cloud Platform (Vertex AI) — execução dos modelos Gemini para texto, áudio e imagem. Configuração da DavitAI desativa uso dos seus prompts para treinamento.
- Anthropic, PBC — modelos Claude para tarefas selecionadas. Dados de entrada não são usados para treinamento.
- Resend — envio de e-mails transacionais e de marketing (com consentimento).
- Sentry — monitoramento de erros (IP e user-agent anonimizados em produção).
- Hetzner Online GmbH (Alemanha) — hospedagem do banco Postgres, cache Redis e workers, dentro da União Europeia.
- Cloudflare, Inc. — CDN, WAF e proteção contra DDoS.
Lista completa atualizada de subprocessadores disponível mediante solicitação ao DPO.
6. Seus Direitos como Titular
Sob a LGPD, GDPR e CCPA, você tem direitos amplos sobre seus dados pessoais — todos exercíveis gratuitamente:
- Acesso e confirmação do tratamento.
- Correção de dados incompletos, inexatos ou desatualizados.
- Eliminação dos dados tratados com base no consentimento.
- Anonimização ou bloqueio de dados desnecessários ou tratados em desconformidade.
- Portabilidade em formato JSON estruturado.
- Informação sobre compartilhamento com terceiros.
- Revogação de consentimento a qualquer momento.
- Oposição ao tratamento baseado em legítimo interesse (GDPR Art. 21).
- Não discriminação por exercer direitos (CCPA §1798.125).
- Opt-out de “venda” de dados pessoais (CCPA — não aplicável à DavitAI, pois não vendemos).
Para exercer qualquer direito, envie um e-mail para davitai@davitai.com ou consulte o guia detalhado em /legal/lgpd. Resposta em até 15 dias úteis.
7. Retenção de Dados
Seguimos prazos específicos por categoria, sempre justificados pela finalidade:
- Dados de cadastro: mantidos enquanto a conta estiver ativa.
- Conta encerrada: anonimização em 30 dias; eliminação completa em 90 dias.
- Conta inativa há 24 meses: notificação prévia + eliminação automática.
- Registros fiscais e contábeis: 5 anos (CTN — Art. 174).
- Logs de execução de agentes: 90 dias.
- Logs de segurança e antifraude: 6 meses.
- Logs de acesso (Marco Civil — Art. 15): 6 meses.
- Backups completos: rotação automática a cada 30 dias.
8. Medidas de Segurança
Implementamos controles técnicos e organizacionais compatíveis com o estado da arte:
- Criptografia em trânsito (TLS 1.3) e em repouso (AES-256).
- Tokens OAuth criptografados com AES-256-GCM antes de qualquer persistência.
- Controle de acesso baseado em função (RBAC), princípio do menor privilégio.
- Segregação completa entre produção, staging e desenvolvimento.
- Monitoramento contínuo de incidentes via Sentry, alertas em tempo real.
- Auditorias internas trimestrais; testes de penetração anuais por terceiros qualificados.
- Política de senha forte e suporte planejado a autenticação multi-fator (MFA).
Em caso de incidente de segurança envolvendo dados pessoais, notificaremos a ANPD e os titulares afetados dentro dos prazos da LGPD (Art. 48) e do GDPR (Art. 33 — 72 horas).
9. Transferência Internacional de Dados
A operação da DavitAI envolve transferências internacionais necessárias e protegidas:
- Vertex AI (GCP): US e EU — Cláusulas Padrão Contratuais (SCC).
- Stripe: EUA — decisão de adequação parcial + SCC.
- Hetzner: Alemanha — abrigado pelo GDPR, considerado adequado pela ANPD.
- Cloudflare: múltiplas regiões — SCC e Data Processing Addendum.
Todas as transferências seguem o Capítulo V da LGPD e o Capítulo V do GDPR.
10. Cookies, Analytics e Consent Mode
Utilizamos cookies essenciais (sessão, autenticação, CSRF) sem necessidade de consentimento. Cookies de analytics (Google Analytics 4 configurado em Consent Mode v2) e marketing exigem consentimento explícito via banner. Você pode revisar e revogar suas escolhas a qualquer momento clicando no link Cookies no rodapé da página.
Detalhamento completo dos cookies, finalidade, duração e fornecedor disponível na própria interface do banner.
11. Privacidade de Crianças
A DavitAI não é direcionada a menores de 13 anos. Em conformidade com o COPPA (US Children’s Online Privacy Protection Act) e o Art. 14 da LGPD, não coletamos deliberadamente dados de menores. Para usuários entre 13 e 18 anos, exigimos consentimento dos responsáveis legais. Caso identifiquemos cadastro de menor sem autorização, a conta é excluída e os dados, eliminados.
12. Alterações nesta Política
Esta Política pode ser atualizada periodicamente. Alterações materiais (mudança de finalidade, novo subprocessador relevante, alteração de retenção) serão comunicadas por e-mail com no mínimo 15 dias úteis de antecedência. A data da última atualização aparece no topo desta página, e versões anteriores ficam arquivadas mediante solicitação ao DPO.
13. Contato do Encarregado (DPO)
Para todas as questões relacionadas a privacidade, proteção de dados ou exercício de direitos:
- DPO: davitai@davitai.com (assunto: DPO — LGPD/GDPR).
- Página de contato: /contact.
- Autoridade Nacional de Proteção de Dados (ANPD): www.gov.br/anpd — para reclamações regulatórias.
- Sobre a DavitAI: /about.
Links relacionados: Direitos LGPD · Termos de Uso · Contato · Sobre a DavitAI · Agentes disponíveis.