Política de Privacidade

O AutoPodcast.ai ("nós", "nosso", "a Plataforma") respeita sua privacidade e está comprometido em proteger seus dados pessoais. Esta Política de Privacidade explica como coletamos, usamos, armazenamos e protegemos seus dados pessoais em total conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018), o Regulamento Geral sobre a Proteção de Dados da União Europeia (GDPR — Regulamento 2016/679) e as melhores práticas de segurança da informação alinhadas à ISO/IEC 27001:2022.

Controlador de Dados

O AutoPodcast.ai é o controlador de dados responsável pelo tratamento dos seus dados pessoais. Para todos os assuntos relacionados a esta política, você pode entrar em contato com nosso Encarregado de Proteção de Dados (DPO) pelo e-mail: [email protected].

Base Legal para o Tratamento (LGPD Art. 7 / GDPR Art. 6)

Tratamos seus dados pessoais com base em: (a) Consentimento — ao criar voluntariamente uma conta na Plataforma, você consente expressamente com a coleta e o tratamento dos seus dados para as finalidades descritas nesta política; (b) Interesse legítimo — para personalizar sua experiência, exibir publicidade direcionada com base no seu comportamento de navegação dentro da Plataforma e melhorar nossos serviços; (c) Obrigação legal — quando exigido para cumprir leis e regulamentos aplicáveis; (d) Execução de contrato — para fornecer os serviços que você solicitou ao se registrar.

Dados que Coletamos

Coletamos apenas o mínimo de dados necessários para fornecer nossos serviços: (1) Dados da conta: nome, endereço de e-mail e foto de perfil (obtidos via Google OAuth 2.0 ou autenticação por link mágico) — estritamente limitados ao essencial para o cadastro; (2) Dados de navegação e uso dentro da Plataforma: histórico de escuta, assinaturas, favoritos, comentários, interações com episódios e preferências de conteúdo; (3) Dados técnicos: endereço IP, tipo de navegador, tipo de dispositivo, sistema operacional e timestamps de acesso, coletados para fins de segurança, análise e melhoria da plataforma; (4) Dados de cookies e consentimento: suas preferências de cookies e registros de consentimento; (5) Dados de análise: visualizações de página, duração da sessão, caminhos de navegação e eventos de interação coletados através do Google Analytics 4 (GA4) e Google Tag Manager (GTM); (6) Dados de engajamento de e-mail: taxas de abertura, taxas de clique e dados de interação com links de e-mails de resumos e comunicações do serviço. NÃO coletamos dados sensíveis (origem racial, opiniões políticas, crenças religiosas, dados de saúde, dados biométricos, orientação sexual ou qualquer categoria especial de dados conforme LGPD Art. 11 / GDPR Art. 9).

Autenticação e Login de Terceiros

Utilizamos o protocolo OAuth 2.0 (atualmente via Google, podendo integrar outros provedores no futuro) exclusivamente para simplificar e proteger o processo de cadastro e login. Por meio do OAuth 2.0, recebemos apenas seu nome, endereço de e-mail e foto de perfil — o mínimo necessário para a criação da conta. NÃO acessamos seus contatos, arquivos, agenda ou qualquer outro dado da sua conta Google ou de qualquer outro provedor. O token OAuth é utilizado exclusivamente para autenticação e não é armazenado após o estabelecimento da sessão.

Como Usamos Seus Dados

Seus dados são usados para: (a) Prestação do serviço — gerenciar sua conta, assinaturas, histórico de escuta e preferências de resumo por e-mail; (b) Personalização — recomendar podcasts e episódios com base no seu comportamento de escuta e preferências dentro da Plataforma; (c) Comunicação — enviar resumos por e-mail que você optou por receber, com notificações de episódios no horário escolhido; (d) Publicidade direcionada — usar seu comportamento de navegação e preferências de conteúdo DENTRO da Plataforma para exibir anúncios personalizados. Os anunciantes NUNCA recebem seus dados pessoais — eles apenas selecionam segmentos de audiência (por ex., "usuários interessados em tecnologia"), e nós realizamos a segmentação internamente; (e) Análise e melhoria — compreender padrões de uso através do GA4, GTM, métricas de engajamento de e-mail e dados de rastreamento de links para melhorar funcionalidades, qualidade do conteúdo e experiência geral do usuário; (f) Desenvolvimento de produtos e serviços — todos os dados de navegação, uso da plataforma, interação com e-mails e análise comportamental poderão ser utilizados para desenvolver, melhorar e otimizar nossos produtos e serviços; (g) Segurança — prevenção de fraudes, detecção de abusos e integridade da plataforma.

Publicidade, Parcerias de Afiliados e Compartilhamento de Dados

Podemos usar seu endereço de e-mail e dados de navegação coletados dentro da Plataforma para personalizar e veicular anúncios direcionados. Também participamos de programas de publicidade afiliada, incluindo a rede de afiliados Awin (awin.com), que nos permite receber comissões ao vincular produtos e serviços de comerciantes parceiros. Ao clicar em um link de afiliado, a Awin pode colocar cookies no seu dispositivo para rastrear a indicação e eventuais transações resultantes. A Awin processa esses dados como controladora independente sob sua própria política de privacidade (disponível em awin.com/legal). No entanto, seus dados pessoais do AutoPodcast.ai NUNCA são compartilhados, vendidos, alugados ou de qualquer forma divulgados a terceiros anunciantes, redes de afiliados ou parceiros além do estritamente necessário para o rastreamento de afiliados (ou seja, o evento de clique e a confirmação de transação). Os anunciantes e parceiros afiliados definem públicos-alvo por categoria de interesse, e nossos sistemas fazem a correspondência internamente — o anunciante nunca sabe quem você é nem tem acesso aos seus dados pessoais da nossa Plataforma. Toda a segmentação publicitária é realizada dentro dos nossos sistemas, e nenhuma informação pessoalmente identificável deixa nossa infraestrutura para fins publicitários além do rastreamento padrão de cliques de afiliados.

Ferramentas de Análise e Rastreamento

Utilizamos as seguintes ferramentas de análise e rastreamento para compreender o comportamento dos usuários, melhorar nossos serviços e otimizar a experiência na Plataforma: (a) Google Analytics 4 (GA4) — coleta dados de uso anonimizados incluindo visualizações de página, duração da sessão, caminhos de navegação, interações do usuário e relatórios demográficos/de interesse. O GA4 utiliza cookies primários e pode transferir dados para servidores do Google nos Estados Unidos. Os dados são processados de acordo com os termos de processamento de dados do Google; (b) Google Tag Manager (GTM) — gerencia e implanta tags de rastreamento na Plataforma. O GTM em si não coleta dados pessoais, mas facilita a implantação de tags de análise e marketing; (c) Rastreamento de links encurtados — podemos utilizar URLs encurtadas (em e-mails, redes sociais e dentro da Plataforma) que rastreiam dados de cliques incluindo: número de cliques, região geográfica (nível país/cidade), tipo de dispositivo, fonte de referência e timestamp. Esses dados são usados para medir o engajamento com o conteúdo e otimizar estratégias de distribuição. Todas as ferramentas de análise são configuradas para respeitar suas preferências de consentimento de cookies. Os cookies de análise são ativados apenas após você fornecer consentimento explícito através do nosso banner de cookies.

Rastreamento de Comunicações por E-mail

Quando você opta por receber resumos por e-mail ou comunicações do AutoPodcast.ai, podemos rastrear: (a) Taxas de abertura — se e quando você abriu um e-mail, utilizando um pequeno pixel de rastreamento transparente; (b) Cliques em links — quais links dentro do e-mail você clicou e quando; (c) Dados de cliente de e-mail e dispositivo — o tipo de cliente de e-mail e dispositivo utilizado para abrir o e-mail. Esses dados são usados exclusivamente para: melhorar a relevância e qualidade das nossas comunicações por e-mail, otimizar horários de envio e conteúdo com base em padrões de engajamento, garantir a entregabilidade e aprimorar nossos produtos e serviços. Você pode cancelar o recebimento de e-mails a qualquer momento pelas configurações do seu perfil ou clicando no link de descadastramento em qualquer e-mail.

Rastreamento de Links e Encurtamento de URLs

Podemos utilizar URLs encurtadas ou rastreadas na Plataforma, em e-mails e nas redes sociais para medir engajamento e compreender o desempenho do conteúdo. Ao clicar em um link rastreado, podemos coletar: a URL clicada, timestamp do clique, sua localização geográfica aproximada (nível país/cidade baseado em IP), tipo de dispositivo e navegador, e a fonte de referência. Esses dados são agregados e usados para melhorar recomendações de conteúdo, medir a eficácia das nossas comunicações e otimizar a experiência do usuário. Links rastreados sempre redirecionam ao destino pretendido sem atraso.

Compartilhamento de Dados com Terceiros

NÃO vendemos, alugamos ou compartilhamos seus dados pessoais com terceiros, exceto: (a) Prestadores de serviço que processam dados em nosso nome (Google Cloud Platform para hospedagem, Google Analytics para análise, SendGrid para entrega de e-mails) sob obrigações contratuais rigorosas e acordos de processamento de dados (DPAs) em conformidade com a LGPD e o GDPR; (b) Quando exigido por lei, ordem judicial ou solicitação de autoridade competente; (c) Para proteger os direitos, propriedade ou segurança do AutoPodcast.ai ou de seus usuários. Todos os processadores terceirizados são contratualmente obrigados a tratar seus dados exclusivamente para os fins que especificamos e a implementar medidas técnicas e organizacionais de segurança adequadas.

Seus Direitos (LGPD Art. 18 / GDPR Art. 15-22)

Você possui os seguintes direitos em relação aos seus dados pessoais: (a) Direito de acesso — solicitar uma cópia de todos os dados pessoais que possuímos sobre você; (b) Direito de retificação — corrigir dados imprecisos ou incompletos; (c) Direito à exclusão (direito ao esquecimento) — solicitar a exclusão permanente da sua conta e de todos os dados associados a qualquer momento, diretamente pela Plataforma; (d) Direito à portabilidade — receber seus dados em formato estruturado e legível por máquina; (e) Direito de revogar o consentimento — revogar seu consentimento a qualquer momento, sem afetar a legalidade do tratamento anterior; (f) Direito à limitação do tratamento — solicitar restrição do tratamento de dados em determinadas circunstâncias; (g) Direito de oposição — opor-se ao tratamento de dados com base em interesse legítimo; (h) Direito à informação — ser informado sobre terceiros com quem seus dados foram compartilhados; (i) Direito à não discriminação — exercer seus direitos jamais resultará em tratamento discriminatório. Para exercer qualquer um desses direitos, entre em contato pelo [email protected] ou utilize a funcionalidade de exclusão de conta diretamente na Plataforma.

Exclusão de Conta e Apagamento de Dados

Você pode solicitar a exclusão da sua conta e de todos os dados pessoais associados a qualquer momento, diretamente pelas configurações de perfil da Plataforma. Ao solicitar a exclusão: (a) Sua conta é imediatamente desativada e seus dados são excluídos temporariamente (soft-delete); (b) Após 30 dias, todos os seus dados pessoais são permanente e irreversivelmente apagados dos nossos sistemas ativos; (c) Cópias de backup contendo seus dados são eliminadas em até 90 dias, conforme nosso ciclo de rotação de backups; (d) Dados anonimizados e agregados para estatísticas (que não podem identificá-lo) poderão ser mantidos para fins de análise. Se preferir não se cadastrar, você pode usar a Plataforma livremente sem conta — todo o conteúdo de podcast é público. O cadastro é totalmente opcional e existe apenas para melhorar sua experiência (assinaturas, histórico de escuta, resumos personalizados).

Retenção de Dados

Retemos seus dados pessoais apenas pelo tempo necessário para cumprir as finalidades descritas nesta política: (a) Dados da conta — retidos enquanto sua conta estiver ativa; (b) Dados de navegação e uso — retidos enquanto sua conta estiver ativa; (c) Dados de análise (GA4/GTM) — retidos por até 14 meses conforme configurações padrão de retenção do Google Analytics; (d) Logs técnicos/de segurança — retidos por até 12 meses para fins de auditoria de segurança, sendo permanentemente excluídos após esse período; (e) Registros de consentimento — retidos por 5 anos conforme exigido por lei para comprovar conformidade. Após a exclusão da conta, o processo de apagamento de dados descrito acima é iniciado imediatamente.

Transferência Internacional de Dados

Seus dados podem ser processados e armazenados em servidores localizados fora do seu país de residência (incluindo os Estados Unidos, via Google Cloud Platform e Google Analytics). Todas as transferências internacionais estão em conformidade com o Capítulo V da LGPD e o Capítulo V do GDPR, utilizando Cláusulas Contratuais Padrão (SCCs) aprovadas pela Comissão Europeia e garantias equivalentes reconhecidas pela legislação brasileira. Asseguramos que todos os processadores de dados em países terceiros forneçam níveis adequados de proteção de dados.

Segurança da Informação (Alinhado à ISO/IEC 27001:2022)

Implementamos medidas de segurança técnicas e organizacionais alinhadas às melhores práticas da ISO/IEC 27001:2022, incluindo: (a) Criptografia — todos os dados em trânsito são protegidos via TLS 1.3, e dados em repouso são criptografados usando AES-256; (b) Controle de acesso — controle de acesso baseado em funções (RBAC) com princípio de menor privilégio para todo acesso ao sistema; (c) Segurança de autenticação — protocolo OAuth 2.0 com manuseio seguro de tokens; nenhuma senha é armazenada; (d) Infraestrutura — hospedada no Google Cloud Platform com certificações SOC 2 Tipo II, ISO 27001 e ISO 27017; (e) Monitoramento — monitoramento contínuo de segurança, logging e alertas para atividades suspeitas; (f) Avaliações regulares — avaliações periódicas de vulnerabilidades e revisões de segurança; (g) Minimização de dados — coletamos e processamos apenas o mínimo de dados necessários para cada finalidade.

Resposta a Incidentes de Segurança

Em caso de incidente de segurança envolvendo dados pessoais, iremos: (a) Notificar a Autoridade Nacional de Proteção de Dados (ANPD) e/ou a autoridade supervisora relevante da UE em até 72 horas, conforme exigido pelo Art. 48 da LGPD e Art. 33 do GDPR; (b) Notificar os titulares dos dados afetados sem demora indevida quando o incidente representar alto risco aos seus direitos e liberdades; (c) Documentar o incidente, seus efeitos e as medidas corretivas tomadas; (d) Implementar medidas corretivas para prevenir recorrência.

Cookies

Utilizamos cookies essenciais para gerenciamento de sessão, preferências de idioma e configurações de tema (estritamente necessários — não podem ser desativados), e cookies de análise opcionais incluindo cookies do Google Analytics 4 (GA4) (apenas com seu consentimento explícito). Para detalhes completos, consulte nossa Política de Cookies.

Crianças e Menores de Idade

Nossa Plataforma não se destina a crianças menores de 13 anos (ou menores de 16 anos em jurisdições onde o GDPR se aplica). Não coletamos intencionalmente dados pessoais de menores. Se tomarmos conhecimento de que coletamos dados de um menor sem o consentimento parental adequado, tomaremos medidas imediatas para excluir tais dados.

Alterações nesta Política

Podemos atualizar esta Política de Privacidade periodicamente para refletir mudanças em nossas práticas, tecnologia, requisitos legais ou por outras razões operacionais. Alterações significativas serão comunicadas por e-mail aos usuários cadastrados e/ou por meio de aviso destacado na Plataforma. O uso continuado da Plataforma após as alterações constitui aceitação da política atualizada.

Contato de Proteção de Dados

Para quaisquer consultas relacionadas à privacidade, solicitações de titulares de dados ou reclamações, entre em contato com nosso Encarregado de Proteção de Dados pelo e-mail: [email protected]. Responderemos a todas as solicitações legítimas dentro dos prazos exigidos pela legislação aplicável (15 dias conforme a LGPD, 30 dias conforme o GDPR).

Autoridade Supervisora

Se você acredita que seus direitos de proteção de dados foram violados, você tem o direito de registrar uma reclamação junto a: (a) No Brasil: a Autoridade Nacional de Proteção de Dados (ANPD) — www.gov.br/anpd; (b) Na UE: a Autoridade de Proteção de Dados (DPA) do seu país de residência. Encorajamos que entre em contato conosco primeiro pelo [email protected] para que possamos resolver suas preocupações diretamente.