Última atualização: 18 de abril de 2026
Data de entrada em vigor: 18 de abril de 2026
Preâmbulo
A AISnapEdit (doravante, "AISnapEdit", "nós", "nosso" ou "a Plataforma") opera o site https://aisnapedit.com, todos os seus subdomínios, suas interfaces de API e seus clientes associados (em conjunto, o "Serviço"). Trata-se de uma plataforma SaaS de IA Tudo-em-Um voltada a usuários de todo o mundo, que oferece capacidades de geração de conteúdo por IA nos formatos de imagem, vídeo, áudio e música.
A presente Política de Privacidade (doravante, "a Política") descreve, ao acessar, cadastrar-se ou usar o Serviço, quais informações coletamos, como as utilizamos, a quem as divulgamos, por quanto tempo as retemos, quais direitos assistem a você e os canais pelos quais você pode exercê-los.
A Política foi elaborada para atender, simultaneamente, aos requisitos de transparência sobre o tratamento de dados pessoais impostos pelas seguintes jurisdições:
- Regulamento Geral sobre a Proteção de Dados da União Europeia (RGPD, Regulamento (UE) 2016/679)
- Regulamento Geral sobre a Proteção de Dados do Reino Unido (UK GDPR) e Data Protection Act 2018
- Lei Federal Suíça de Proteção de Dados (FADP)
- Lei de Privacidade do Consumidor da Califórnia / Lei de Direitos de Privacidade (CCPA/CPRA)
- Lei de Proteção de Dados do Consumidor da Virgínia (VCDPA)
- Lei de Privacidade do Colorado (CPA)
- Lei de Privacidade de Dados de Connecticut (CTDPA)
- Lei de Privacidade do Consumidor de Utah (UCPA)
- Lei de Privacidade e Segurança de Dados do Texas (TDPSA)
- Lei "Minha Saúde, Meus Dados" do Estado de Washington (MHMDA)
- SB220 de Nevada
- Lei de Proteção da Privacidade Infantil Online dos EUA (COPPA)
- Regulamento de Inteligência Artificial da UE (EU AI Act, Regulamento (UE) 2024/1689)
- Diretiva sobre os direitos de autor no mercado único digital da UE (DSM, Diretiva (UE) 2019/790), artigo 4º, sobre mineração de textos e dados (TDM)
- Demais legislações aplicáveis em matéria de proteção de dados e defesa do consumidor
Relação entre os três documentos: esta Política, os "Termos de Serviço" (Terms of Service) e a "Política de Reembolso" (Refund Policy) compõem, em conjunto, a relação contratual integral entre você e a AISnapEdit. As relações terminológicas e as referências cruzadas entre os três documentos estão indicadas em cada texto; em caso de contradição direta entre eles, esta Política terá efeito interpretativo preferencial apenas nas questões de tratamento de dados.
O acesso ou uso do Serviço implica que você leu, compreendeu e aceitou os termos desta Política. Se você não concordar com qualquer de suas disposições, abstenha-se de utilizar o Serviço.
1. Definições
A Política utiliza os termos a seguir, mantidos em plena coerência com os empregados nos "Termos de Serviço" e na "Política de Reembolso":
Termos compartilhados (unificados entre os três documentos):
- Assinante de primeira viagem: usuário pagante inicial identificado como pessoa física única pela combinação de e-mail, método de pagamento, impressão digital do dispositivo, endereço IP e outros sinais; a criação de múltiplas contas para contornar esta definição configura violação.
- Critério exclusivo: decisão definitiva adotada pela AISnapEdit com base em juízo razoável.
- Dia útil: dia útil federal estadunidense (de segunda a sexta-feira, excluídos os feriados federais dos EUA), calculado no fuso horário do Pacífico (PT) dos Estados Unidos, onde se localiza nossa sede operacional.
- Arquivo final de saída: imagem, vídeo, áudio, texto ou conteúdo similar gerado com sucesso pelo usuário e baixado, copiado, compartilhado ou exportado ao menos uma vez.
- Consumo: qualquer chamada de API bem-sucedida, consumo de créditos ou atividade de geração de conteúdo, independentemente de o usuário conservar ou não o resultado.
- Créditos (Credits): produto virtual de consumo entregue pela AISnapEdit ao usuário; não constitui pré-pagamento, depósito, saldo armazenado ou qualquer instrumento financeiro similar.
- Indisponibilidade contínua do Serviço: indisponibilidade do Serviço superior a 24 horas consecutivas por motivos técnicos atribuíveis a nós.
- Estorno (Chargeback): pedido de reversão apresentado diretamente pelo usuário à sua instituição emissora.
- Lista de bloqueio (Blocklist): conjunto de dados de risco mantido em decorrência de violações, contendo hashes de e-mail, fingerprints de cartão, IPs, impressões digitais de dispositivo, entre outros identificadores.
Termos próprios da Política de Privacidade:
- Dados pessoais (Personal Data): informação que permite identificar, direta ou indiretamente, uma pessoa natural, conforme o artigo 4(1) do RGPD.
- Informação pessoal (Personal Information): informação relacionada a um residente da Califórnia ou razoavelmente associável a ele, conforme §1798.140(v) da CCPA/CPRA.
- Informação pessoal sensível (Sensitive Personal Information): as nove categorias de informação sensível definidas em §1798.140(ae) da CPRA.
- Tratamento (Processing): qualquer operação automatizada ou não sobre dados pessoais, conforme o artigo 4(2) do RGPD.
- Controlador de dados (Controller): agente que determina as finalidades e os meios do tratamento, conforme o artigo 4(7) do RGPD. (Na LGPD brasileira, equivale ao "controlador".)
- Operador de dados (Processor): agente que trata os dados em nome do controlador, conforme o artigo 4(8) do RGPD.
- Suboperador (Sub-Processor): agente a quem o operador delega o tratamento ulterior.
- SCCs: cláusulas contratuais-tipo modulares aprovadas pela Comissão Europeia em 2021 (Standard Contractual Clauses).
- DPF: Quadro de Privacidade de Dados UE-EUA (EU-US Data Privacy Framework, Decisão de Execução (UE) 2023/1795).
- GPC: Global Privacy Control, sinalização de opt-out transmitida por navegadores ou extensões aos sites.
- DPIA: Avaliação de Impacto sobre a Proteção de Dados (Data Protection Impact Assessment, artigo 35 do RGPD).
- ROPA: Registro de Atividades de Tratamento (Record of Processing Activities, artigo 30 do RGPD).
- TIA: Avaliação de Impacto de Transferência (Transfer Impact Assessment, exigida após o acórdão Schrems II).
- LIA: Avaliação do Balanço do Interesse Legítimo (Legitimate Interest Assessment, artigo 6(1)(f) do RGPD).
- ADMT: Tecnologia de Decisão Automatizada (Automated Decision-Making Technology, regras da CCPA de 2026).
2. Informações sobre o controlador de dados
2.1 Controlador de dados
Aplicável ao Espaço Econômico Europeu (EEE), Reino Unido, Suíça e demais jurisdições que exijam a identificação do controlador:
AISnapEdit
- Site: https://aisnapedit.com
- E-mail para assuntos de privacidade: [email protected]
- E-mail para dúvidas gerais: [email protected]
- Jurisdição da sede operacional: Califórnia, Estados Unidos (operamos no fuso horário do Pacífico, PT)
A AISnapEdit atua como "controlador" na acepção do RGPD em relação às atividades de tratamento descritas nesta Política. Recebemos notificações de usuários e solicitações de direitos do titular apenas pelo e-mail indicado acima; as informações cadastrais detalhadas da pessoa jurídica serão divulgadas na versão oficial em vigor desta Política.
2.2 Contato de proteção de dados
Não atingimos o limiar do artigo 37 do RGPD para a nomeação obrigatória de Encarregado de Proteção de Dados (DPO), pois não tratamos, em larga escala, categorias especiais de dados nem realizamos monitoramento sistemático em larga escala, mas designamos um contato específico para assuntos de privacidade (Privacy Contact), personificado pelo responsável jurídico, com as seguintes funções:
- Responder a solicitações de direitos do titular
- Coordenar a gestão e a notificação de incidentes de violação de dados
- Cooperar com investigações e consultas das autoridades regulatórias
- Articular a comunicação com os representantes na UE e no Reino Unido
Contato: [email protected]
2.3 Representante na UE (art. 27.º do RGPD)
Em conformidade com o artigo 27.º do RGPD, a AISnapEdit designou a seguinte empresa profissional terceirizada como seu Representante na União Europeia:
- Razão social: Instant EU GDPR Representative Limited
- Endereço registrado: Office 2, 12a Lower Main Street, Lucan, Dublin, Ireland
- Contato: via [email protected] (encaminharemos as solicitações ao nosso Representante na UE após o recebimento)
Os titulares de dados residentes na União Europeia podem exercer seus direitos por meio do canal acima indicado; as autoridades supervisoras também podem entrar em contato com o Representante na UE ou com a AISnapEdit pelos mesmos dados de contato.
2.4 Representante no Reino Unido (art. 27.º do RGPD do Reino Unido)
Em conformidade com o artigo 27.º do RGPD do Reino Unido, a AISnapEdit designou a mesma entidade como Representante na UE e Representante no Reino Unido:
- Razão social: Instant EU GDPR Representative Limited
- Endereço registrado: Office 2, 12a Lower Main Street, Lucan, Dublin, Ireland
- Contato: via [email protected] (encaminharemos as solicitações ao nosso Representante no Reino Unido após o recebimento)
3. Informações que coletamos
Esta seção divulga todos os dados que coletamos, classificados por fonte e categoria. Para cada categoria, as §§ 4 (bases jurídicas), 5 (finalidades), 7 (destinatários) e 9 (prazos de retenção) trazem detalhamentos adicionais.
3.1 Informações fornecidas diretamente por você
| Categoria de dados | Campos específicos | Momento da coleta |
|---|---|---|
| Credenciais de conta | Endereço de e-mail, nome de usuário, hash da senha (armazenado de forma criptografada), credenciais de autorização OAuth | Cadastro, login |
| Perfil pessoal | Avatar, nome de exibição, preferências, idioma, tema | Cadastro e atualização de perfil |
| Informações relacionadas a pagamentos | Nome e endereço de cobrança, BIN e últimos quatro dígitos do cartão, fingerprint do cartão (retornado pelo Stripe, não reversível ao número completo), identificador da transação, status da assinatura | Gestão de pagamentos e assinaturas |
| Conteúdo de comunicações | E-mails, chamados de suporte, formulários de feedback, conversas de atendimento (se esta funcionalidade estiver ativada) | Quando você inicia a comunicação |
| Conteúdo do usuário (entrada de IA) | Texto do prompt, imagens, vídeos, áudios e demais arquivos de mídia carregados | Quando você envia uma solicitação de geração |
| Saída gerada por IA | Imagens, vídeos, áudios, músicas e demais arquivos finais produzidos pelo modelo de IA a partir da sua entrada | Na conclusão da tarefa de geração |
3.2 Informações coletadas automaticamente
| Categoria de dados | Campos específicos | Momento da coleta |
|---|---|---|
| Informações do dispositivo | Sistema operacional, tipo e versão do navegador, tipo de dispositivo, resolução de tela, fuso horário, idioma preferencial | Ao acessar o Serviço |
| Dados de uso | Rotas de páginas visitadas, funcionalidades utilizadas, cliques, duração de sessão, carimbos de tempo, modelo de IA selecionado | Durante toda a sessão |
| Dados de log | Endereço IP (IP de cadastro e de acessos posteriores), horário de acesso, referer, logs de erros, rotas e códigos de status das solicitações de API | Durante todo o funcionamento do Serviço |
| Cookies e tecnologias similares | Cookies de sessão, de preferência, de análise e de marketing (vide §10) | Ao acessar o Serviço |
3.3 Informações provenientes de terceiros
| Fonte | Campos compartilhados | Finalidade |
|---|---|---|
| Provedor OAuth (Google) | Nome, e-mail, avatar e identificador OAuth único autorizados por você | Login social |
| Processador de pagamento (Stripe) | Status da transação, callbacks de sucesso/falha, fingerprint do cartão, pontuação e etiquetas de risco do Radar | Verificação de pagamentos, prevenção à fraude |
| Provedores de análise | Estatísticas agregadas de visita, dados de reprodução de sessão | Melhoria do Serviço |
3.4 Dados antifraude e de segurança da conta [divulgação adicionada]
Para prevenir fraudes em pagamentos, abuso multicontas e abuso de reembolsos, bem como para proteger os interesses dos usuários legítimos e a continuidade do negócio, coletamos, tratamos e retemos os seguintes dados relacionados ao controle de risco:
| Categoria de dados | Conteúdo específico | Situação atual |
|---|---|---|
| IP de cadastro e de acesso | Endereço IP no cadastro e em sessões posteriores | Em uso atualmente |
| Identificadores de IP em lista de bloqueio | Marcações de IP adicionadas após um bloqueio | Em uso atualmente |
| Sinais básicos de impressão digital do dispositivo | Tipo e versão de navegador, sistema operacional, tipo de dispositivo, combinação de UA, resolução, fuso horário | Em uso atualmente (para a identificação multidimensional da §3.2.2 dos Termos de Serviço e a prevenção à fraude da §4 da Política de Reembolso) |
| Hash de impressão digital do dispositivo de alta entropia (expansão planejada) | Combinação de características de Canvas, WebGL, fontes, etc., após hash irreversível SHA-256 | Expansão planejada — antes do efetivo desenvolvimento atualizaremos, em simultâneo, o escopo de divulgação e a tabela de prazos de retenção |
| Fingerprint do cartão | pm_* ou card_fingerprint retornado pelo Stripe, não reversível ao número completo do cartão | Em uso atualmente |
| Pontuação de risco do Stripe Radar | Pontuações e etiquetas de fraude retornadas pelo Stripe Radar na fase de autorização | Em uso atualmente |
| Padrões de comportamento | Quantidade e intervalo de tentativas de pagamento malsucedidas, frequência de troca de método de pagamento em curto período, histórico de reembolsos, histórico de estornos | Em uso atualmente |
| Sinais de associação multicontas | Similaridade de hashes de e-mail, mesmo método de pagamento ou mesmo IP vinculados a várias contas | Em uso atualmente |
| Identificadores de lista de bloqueio | Conjunto de hashes de e-mail, fingerprints de cartão, IPs, hashes de impressão digital de dispositivo etc. de contas permanentemente bloqueadas | Em uso atualmente |
Os dados acima correspondem diretamente às regras antifraude descritas na §4 da "Política de Reembolso". Quanto às tecnologias de impressão digital do dispositivo planejadas, mas ainda não implantadas, comprometemo-nos a atualizar explicitamente, antes do efetivo desenvolvimento, o escopo de divulgação desta Política, ajustando simultaneamente a tabela de prazos de retenção.
Base jurídica: artigo 6(1)(f) do RGPD, interesse legítimo para prevenir fraudes, proteger usuários legítimos e manter a continuidade do negócio. Concluímos e arquivamos a correspondente avaliação do balanço do interesse legítimo (LIA) para esta atividade; você pode solicitar um resumo por [email protected].
3.5 Dados inferidos e derivados [divulgação exigida pela CCPA/CPRA]
A partir dos dados originais descritos em §3.1 a §3.4, produzimos alguns dados inferidos ou derivados:
- Inferência de preferências de uso: a partir da frequência de seleção de modelos e das categorias de conteúdo gerado, inferimos suas preferências funcionais para aprimorar a experiência do usuário.
- Pontuação de risco agregada: avaliação do nível global de risco da conta pelo sistema antifraude.
- Perfil de uso de assinatura e créditos: cálculos de status para lembretes de vencimento de assinatura, saldo de créditos e funcionalidades correlatas.
Declaramos expressamente não inferir as seguintes categorias:
- Raça ou origem étnica
- Opiniões políticas, convicções religiosas ou filosóficas
- Filiação sindical
- Estado de saúde ou dados médicos
- Orientação sexual ou vida sexual
- Dados genéticos ou modelos biométricos
4. Bases jurídicas do tratamento
Nos termos dos artigos 6 e 9 do RGPD e das disposições equivalentes em outras jurisdições, a base jurídica para cada categoria e cada finalidade é a seguinte:
4.1 Matriz de bases jurídicas
| Categoria de dados | Finalidade | Base jurídica |
|---|---|---|
| Credenciais de conta, perfil pessoal | Criação de conta, verificação de identidade, personalização do Serviço | Artigo 6(1)(b) RGPD, execução do contrato |
| Conteúdo do usuário (prompts, mídia carregada) | Prestação do serviço de geração por IA, exibição do arquivo final de saída | Artigo 6(1)(b) RGPD, execução do contrato |
| Informações de pagamento | Processamento de pagamentos, gestão de assinaturas, registros fiscais e financeiros | 6(1)(b) execução do contrato + 6(1)(c) obrigação legal (compliance fiscal) |
| Dados de uso, dados de log | Otimização do Serviço, resolução de problemas, monitoramento de segurança | 6(1)(f) interesse legítimo (LIA arquivada) |
| Cookies de análise e marketing | Análise de desempenho, análise de comportamento de uso, ações de marketing | 6(1)(a) consentimento |
| Dados antifraude (§3.4) | Prevenção a fraude em pagamentos, abuso multicontas e abuso de reembolsos | 6(1)(f) interesse legítimo |
| Dados da lista de bloqueio | Impedir reinscrição de usuários bloqueados | 6(1)(f) interesse legítimo + 17(3)(e) exceção para defesa de pretensões legais |
| Inscrição em marketing por e-mail | Comunicações de marketing direto | 6(1)(a) consentimento (revogável a qualquer momento) |
| Retenção fiscal e transacional | Cumprimento de obrigações legais de retenção (vide §9) | 6(1)(c) obrigação legal |
| Compliance legal e resposta a autoridades | Atendimento a intimações, auxílio a investigações, cumprimento de ordens judiciais | 6(1)(c) obrigação legal |
| Logs relacionados a conteúdo gerado por IA | Detecção de abusos, revisão de conformidade, depuração | 6(1)(f) interesse legítimo |
4.2 Declaração sobre categorias especiais de dados (artigo 9 do RGPD)
Não coletamos ativamente as seguintes categorias especiais:
- Dados que revelem origem racial ou étnica, opiniões políticas, convicções religiosas ou filosóficas, filiação sindical
- Dados biométricos (modelos biométricos usados para identificar unicamente uma pessoa natural)
- Dados genéticos
- Dados relativos à saúde
- Dados sobre vida sexual ou orientação sexual
Em relação a rostos que possam constar em imagens que você carregar no Serviço, não realizamos reconhecimento facial, identificação biométrica ou extração de modelos biométricos, nem construímos qualquer banco de dados biométrico. Para conhecer os limites do produto em relação a deepfakes, face-swap ou clonagem de voz de pessoas reais, consulte §6.5.
4.3 Direito de revogar o consentimento
Para tratamentos cuja base jurídica seja o seu consentimento (como e-mails de marketing e parte dos cookies opcionais), você poderá revogá-lo a qualquer momento; a revogação não afeta a licitude do tratamento anterior. Os mecanismos estão descritos na §10 (gestão de preferências de cookies) e na §11 (exercício de direitos).
5. Como utilizamos suas informações
Esta seção detalha a coluna "Finalidade" da matriz da §4.
5.1 Conta e prestação do Serviço
- Criar e gerenciar sua conta, verificar sua identidade
- Prestar os serviços de geração por IA (vide §6)
- Exibir os arquivos finais de saída e permitir download, compartilhamento e exportação
- Gerenciar saldo de créditos, status de assinatura e histórico
- Enviar notificações transacionais relacionadas à conta (confirmação de pedido, lembrete de renovação, redefinição de senha)
5.2 Pagamentos e prevenção à fraude
- Processar pagamentos, renovações de assinatura e reembolsos
- Executar as regras antifraude descritas na §4 da "Política de Reembolso"
- Operar a avaliação automatizada de risco (vide §14.2)
- Manter a lista de bloqueio para impedir a reinscrição de usuários já bloqueados
5.3 Melhoria e análise do Serviço
- Analisar comportamento de uso para melhorar funcionalidades e experiência
- Resolver incidentes a partir dos logs de erro
- Realizar testes A/B e estudos de usabilidade (com dados anonimizados ou pseudonimizados)
- Elaborar estatísticas agregadas sobre o desempenho global do Serviço
5.4 Compliance e segurança
- Cumprir leis, regulamentos e ordens governamentais aplicáveis
- Atender a requisições legítimas de autoridades policiais, intimações ou ordens judiciais
- Proteger os direitos, a propriedade e a segurança da AISnapEdit e dos demais usuários
- Prevenir, detectar e responder a fraudes, abusos e outras condutas ilícitas
5.5 Comunicações e marketing
- Enviar e-mails transacionais relacionados à conta e a atualizações do Serviço (base contratual)
- Enviar e-mails de marketing (mediante seu consentimento expresso, revogável a qualquer momento pelo link de cancelamento no rodapé do e-mail ou por [email protected])
- Comunicar, por meio de notificações no Serviço, alterações relevantes de políticas ou incidentes de segurança
6. Geração por IA e seus dados
6.1 Arquitetura do serviço de IA
A AISnapEdit atua como controladora de dados nos serviços de geração por IA. Quando você aciona uma tarefa de geração, enviamos seu prompt e os arquivos carregados ao provedor de modelos de IA correspondente (que atua como operador) para inferência; ao final do processamento, os resultados são retornados e armazenados em nossos serviços de armazenamento.
Não treinamos modelos de IA por conta própria nem executamos fluxos proprietários de ajuste fino em nossos servidores. O modelo específico depende da seleção que você faz na interface.
6.2 Dados compartilhados com provedores de modelos de IA
Para oferecer capacidades de geração diversas (imagem, vídeo, áudio, música), conforme o modelo selecionado, roteamos sua entrada aos provedores a seguir:
| Categoria de provedor | Capacidade de geração | Dados compartilhados | Principais regiões de recepção |
|---|---|---|---|
| Provedores de geração de imagem por IA | Text-to-image, image-to-image, edição de imagem | Prompt, mídia carregada | Estados Unidos, UE, Singapura, Hong Kong |
| Provedores de geração de vídeo por IA | Text-to-video, image-to-video, edição de vídeo | Prompt, mídia carregada, vídeos de referência | Estados Unidos, UE, Singapura, Hong Kong |
| Provedores de geração de áudio por IA | Síntese de voz, processamento de áudio | Prompt, áudio carregado | Estados Unidos, UE, Singapura, Hong Kong |
| Provedores de geração de música por IA | Text-to-music, edição musical | Prompt, parâmetros de estilo | Estados Unidos, UE |
Os provedores de modelos de IA em uso incluem (classificados por categoria de capacidade, sem lista nominal exaustiva, considerando a rápida evolução do ecossistema de IA): Google (família Gemini), Replicate, Kie, Fal, Tuzi e outros serviços de geração de conteúdo por IA. A lista completa e atualizada em tempo real pode ser consultada na página de seleção de modelos do Serviço; planejamos publicar uma página independente em /legal/ai-providers, que será referida aqui simultaneamente.
Aviso: o Serviço não oferece atualmente funcionalidade de chat por IA; os pontos de entrada e os serviços de roteamento para modelos de chat como o OpenRouter foram removidos do produto e não coletamos nem compartilhamos mais mensagens de conversa.
Cada provedor de modelos de IA trata seus dados de acordo com sua própria política de privacidade. Submetemos tais tratamentos a restrições contratuais mediante um acordo de tratamento de dados (DPA) com cada provedor e envidamos os melhores esforços comerciais para enviar ao downstream apenas os dados estritamente necessários à prestação do serviço de geração.
6.3 Política sobre dados de treinamento
A AISnapEdit não utiliza seus prompts ou saídas geradas para treinar nossos modelos de IA (não treinamos modelos próprios).
Quanto aos provedores de modelos de IA downstream:
- Política padrão (mecanismo opt-out): salvo se você ajustar expressamente suas preferências, sua entrada poderá ser utilizada pelos provedores downstream para fins de aprimoramento de qualidade do modelo (conforme as cláusulas contratuais padrão de cada um). Você pode, a qualquer momento, ativar a opção de exclusão ("não utilizar para melhoria de modelos") nas configurações de conta; após ativada, incluiremos, no envio ao provedor, o indicador correspondente de "não utilizar para treinamento".
- Categorias de dados com treinamento proibido: independentemente de você ativar o opt-out, proibimos a transmissão ao downstream, para fins de treinamento ou aprimoramento, de conteúdos relativos a informações de pagamento, credenciais de conta e dados antifraude.
Artigo 4º da Diretiva DSM da UE (TDM Opt-Out):
Nos termos do artigo 4º da Diretiva da UE sobre os direitos de autor no mercado único digital, você tem direito de reservar o uso de suas obras frente à mineração de textos e dados. Em relação ao Serviço:
- Implantamos no diretório raiz do site as declarações
robots.txteai.txtcom a preferência explícita de opt-out para TDM, aplicável a todos os crawlers externos e sistemas de treinamento de IA. - Para conteúdos publicados abertamente por você em Gallery ou páginas de exibição, você pode solicitar por escrito, em [email protected], que apliquemos marcações adicionais de opt-out a peças específicas.
6.4 Retenção de dados no processamento de IA
| Categoria de dados | Prazo de retenção |
|---|---|
| Mídia de entrada carregada | Transmitida em tempo real ao provedor downstream, sem armazenamento prolongado (exceto se você salvar ativamente na conta); as cópias temporárias são eliminadas em até 7 dias |
| Arquivos de saída gerados | Até a exclusão por você ou encerramento da conta |
| Logs de processamento (rota da solicitação, código de status, modelo selecionado, mensagens de erro) | 90 dias |
| Amostras para detecção de abuso | Se acionarem marcação de violação, são retidas até o encerramento do caso e por mais 2 anos |
6.5 Declaração de limites sobre biometria, rostos e deepfakes
- Não realizamos reconhecimento facial, identificação biométrica, inferência de idade, reconhecimento emocional ou qualquer extração de modelos biométricos.
- As imagens carregadas com rostos são transmitidas ao provedor downstream apenas como dados de pixels para geração; após o processamento, não são usadas para compor qualquer banco de identificação.
- O produto não oferece face-swap de pessoas reais, clonagem de voz de pessoas reais nem geração de deepfakes que tenham pessoas naturais específicas como alvo, nem qualquer outra capacidade suscetível de causar grave indução a erro ou dano à reputação de terceiros.
- Se o Serviço passar a incluir, no futuro, funcionalidades que envolvam identificação biométrica, obteremos seu consentimento expresso em separado (artigo 9(2)(a) do RGPD, §15(b) da BIPA, §1798.121 da CPRA) e informaremos, de forma destacada, antes da ativação, o escopo específico do tratamento e os mecanismos de exclusão.
7. Como divulgamos suas informações
Fora das situações expressamente indicadas a seguir, não divulgamos suas informações pessoais a terceiros.
7.1 Prestadores de serviço (lista de suboperadores)
Para oferecer, manter e melhorar o Serviço, contamos com os prestadores a seguir, criteriosamente selecionados. Todos os prestadores estão sujeitos a um acordo de tratamento de dados (DPA) por escrito, e o escopo do tratamento se limita ao mínimo necessário à prestação do respectivo serviço.
| Categoria | Serviço prestado | Provedor em uso | Dados compartilhados |
|---|---|---|---|
| Processamento de pagamentos | Cobranças de assinatura, pagamentos avulsos, faturas, reembolsos | Stripe (Stripe Payments Europe Ltd. / Stripe, Inc.) | Dados de cobrança, valores, fingerprint do cartão, status da transação |
| Prevenção à fraude em pagamentos (suboperador da Stripe) | Pontuação e bloqueio de risco de fraude na fase de autorização | Stripe Radar (suboperador da Stripe, ativado automaticamente) | IP, sinais de impressão digital do dispositivo, fingerprint do cartão, histórico de transações, domínio do e-mail |
| Inferência de modelos de IA | Geração de imagem / vídeo / áudio / música | Provedores classificados por categoria (vide §6.2) | Prompt, mídia carregada |
| Armazenamento e CDN | Arquivos carregados, arquivos de saída, cache CDN | Amazon Web Services (AWS S3), Cloudflare R2 | Arquivos carregados, arquivos de saída, solicitações de acesso |
| Análise web | Estatísticas de visita, análise de comportamento | Google Analytics 4 | Rota da página, eventos, ID de dispositivo (pseudoanonimizado), IP (parcialmente pseudoanonimizado) |
| Análise de experiência de sessão | Reprodução de sessões, mapas de calor, clickstream (áreas de entrada sensíveis não são gravadas por padrão) | Microsoft Clarity | Movimentos do mouse, cliques, interações com a página; campos sensíveis (senhas, cartões) ficam excluídos por marcadores de mascaramento |
| Envio de e-mails transacionais | Verificação de cadastro, confirmação de pedido, notificações | Resend | E-mail do destinatário, corpo do e-mail |
| Infraestrutura (CDN / edge / cache) | Proteção DDoS, aceleração, roteamento edge | Cloudflare | Metadados de tráfego, IP |
| Autenticação e OAuth | Login social | Google OAuth | Perfil básico dentro do escopo autorizado |
| Atendimento ao cliente (se ativado) | Atendimento online, chamados | O provedor específico será divulgado na ativação | Conteúdo de atendimento, e-mail |
Observações importantes:
- Esta tabela divulga apenas os prestadores efetivamente em uso. Nosso código pode manter integrações alternativas (processadores de pagamento ou ferramentas de atendimento de reserva), mas elas só representam divulgação efetiva quando a integração é ativada em ambiente de produção.
- Atualizaremos dinamicamente as mudanças de suboperadores por meio de revisões desta Política; planejamos publicar uma página independente em
/legal/sub-processors, que será referida aqui quando disponível.
7.2 Compliance legal e requerimentos de autoridades
Nas situações a seguir, poderemos divulgar suas informações na medida exigida por lei e de forma razoável:
- Cumprimento de leis, regulamentos, ordens judiciais ou intimações legítimas de autoridades
- Cooperação em investigações ou procedimentos judiciais em curso
- Proteção dos direitos, propriedade e segurança da AISnapEdit, de seus usuários ou do público
- Investigação, prevenção ou resposta a condutas ilícitas ou a violações dos Termos de Serviço
7.3 Transferências empresariais
Em caso de fusão, aquisição, reestruturação, venda de ativos ou transações semelhantes, suas informações podem ser transferidas como parte dos ativos cedidos à nova entidade. Informaremos você, por meios razoáveis, antes da transferência, e nos asseguraremos de que o adquirente trate suas informações com nível de proteção não inferior ao desta Política.
7.4 Divulgação baseada no seu consentimento
Mediante autorização expressa sua, poderemos divulgar suas informações a terceiros para finalidades não abrangidas por esta Política. Tal autorização poderá ser revogada a qualquer momento.
7.5 Divulgação sobre publicidade contextual cruzada e "sharing" [específico da CPRA]
Sob a definição ampliada de "sharing" da CPRA da Califórnia, certos cookies de terceiros (especialmente os relacionados a análise e publicidade), ainda que não configurem "venda" tradicional, podem configurar "sharing" para fins de publicidade contextual cruzada.
- Não vendemos suas informações pessoais mediante contrapartida financeira.
- Contudo, nas páginas em que Google Analytics e Microsoft Clarity estão ativos, as transferências podem configurar "sharing" nos termos da CPRA.
- Residentes da Califórnia e usuários que exerçam direitos análogos podem optar pela exclusão pelos seguintes meios:
- Clicando no link "Do Not Sell or Share My Personal Information" no rodapé do site.
- Ativando a sinalização GPC (Global Privacy Control) via navegador ou extensão — a reconhecemos automaticamente e a tratamos como instrução de opt-out.
- Enviando e-mail para [email protected].
7.6 Links para terceiros
O Serviço pode conter links para sites, plugins ou aplicativos de terceiros. Não controlamos tais terceiros nem respondemos por suas práticas de privacidade. Recomendamos que você leia a política de privacidade de qualquer serviço externo antes de acessá-lo.
8. Transferências internacionais de dados
Devido à arquitetura multirregional do Serviço, seus dados pessoais podem ser transferidos e tratados em países distintos do de sua residência.
8.1 Mecanismos de transferência
Para transferências a partir do Espaço Econômico Europeu, Reino Unido ou Suíça a países sem decisão de adequação, adotamos um dos seguintes mecanismos conforme as qualificações do destinatário:
- Quadro de Privacidade de Dados UE-EUA (EU-US DPF): quando o destinatário está autocertificado no DPF (Decisão de Execução (UE) 2023/1795), apoiamo-nos no DPF como garantia de adequação — por exemplo, Stripe, Google, Cloudflare, AWS, Microsoft e Resend integram o DPF.
- Extensão do DPF para o Reino Unido (UK Extension): para transferências do Reino Unido aos EUA.
- Swiss-US DPF: para transferências da Suíça aos EUA.
- Cláusulas Contratuais-Tipo (SCCs) da UE (versão modular de 2021): para destinatários fora do DPF.
- International Data Transfer Agreement (IDTA) do Reino Unido ou Aditivo SCC do Reino Unido: para transferências envolvendo o Reino Unido.
- Decisões de adequação: para transferências a países reconhecidos como de proteção adequada pela Comissão Europeia (como Japão, Coreia do Sul e setor comercial do Canadá).
8.2 Principais regiões de recepção
Com base nos prestadores indicados na §7, seus dados podem ser transferidos a:
- Estados Unidos: Stripe, Google, AWS, Cloudflare, Resend, Microsoft Clarity, entre outros.
- União Europeia: Stripe Europe, determinados nós de AWS / Cloudflare.
- Singapura e Hong Kong: determinados nós de inferência de provedores de modelos de IA.
- Reino Unido: determinados nós edge da Cloudflare.
8.3 Seus direitos sobre transferências
Você tem direito de:
- Conhecer os países para os quais seus dados são transferidos
- Solicitar acesso à documentação das salvaguardas específicas (por exemplo, partes não comercialmente sensíveis de cópias de SCCs)
- Opor-se a transferências específicas
8.4 Avaliação de impacto de transferência (TIA)
Conforme o acórdão Schrems II do Tribunal de Justiça da UE (Processo C-311/18), realizamos ou estamos realizando uma TIA para cada destinatário estadunidense fora do DPF e para outros destinos de alto risco, a fim de avaliar se o ambiente legal e as salvaguardas do país receptor são suficientes para proteger os direitos fundamentais dos titulares. Você pode solicitar um resumo da TIA por [email protected].
9. Retenção de dados
Retemos seus dados pessoais pelo tempo necessário para cumprir as finalidades desta Política, atender a obrigações legais, resolver disputas e executar acordos. Os prazos específicos são os seguintes:
| Categoria de dados | Prazo de retenção | Base jurídica |
|---|---|---|
| Dados de conta (perfil básico) | Durante a existência da conta + 30 dias após o encerramento | 6(1)(b) execução do contrato |
| Registros transacionais (faturas, comprovantes de pagamento) | EUA 7 anos / UE 10 anos / Reino Unido 6 anos (prevalece o prazo mais extenso exigido pela legislação do seu local) | 6(1)(c) obrigações fiscais e financeiras |
| Análise de uso (nível agregado) | 26 meses | 6(1)(f) interesse legítimo |
| Comunicações de suporte (chamados, conversas) | 3 anos após a resolução do caso | 6(1)(f) interesse legítimo |
| Logs de processamento de IA | 90 dias | 6(1)(f) resolução de problemas |
| Cópias temporárias de mídia de entrada | Eliminação em até 7 dias | 6(1)(b) execução do contrato |
| Conteúdo gerado | Até a exclusão por você ou encerramento da conta | 6(1)(b) execução do contrato |
| Inscrição em marketing | Até a revogação do consentimento | 6(1)(a) consentimento |
| Dados antifraude (pontuações do Stripe Radar, padrões de comportamento, pontuação de risco) | 5 anos | 6(1)(f) interesse legítimo |
| Hash de fingerprint do cartão | 7 anos (alinhado aos registros transacionais) | 6(1)(c) + 6(1)(f) |
| Identificadores de lista de bloqueio (hash de e-mail, fingerprint de cartão, IP, impressão digital de dispositivo) | Indefinido | 17(3)(e) exceção para defesa de pretensões legais + 6(1)(f) interesse legítimo |
| Documentação de DPIA e compliance | Conforme exigências legais e recomendações do setor | 6(1)(c) obrigação legal |
Nota sobre a retenção indefinida da lista de bloqueio: nos termos do artigo 17(3)(e) do RGPD, quando o tratamento for necessário à "constituição, exercício ou defesa de direitos em ações judiciais", o direito de exclusão do titular não se aplica. Os dados antifraude da lista de bloqueio são necessários para: (a) defender pretensões posteriores apresentadas por usuários bloqueados sob outra identidade; (b) evitar que tais usuários contornem as restrições dos Termos de Serviço e gerem novos prejuízos; (c) auxiliar no reconhecimento setorial de padrões conhecidos de fraude. Por isso, não estabelecemos prazo fixo de exclusão e revisamos anualmente a necessidade da lista.
Finalizado o prazo, os dados serão excluídos de forma segura ou submetidos a anonimização irreversível.
10. Cookies e tecnologias de rastreamento
10.1 Tipos de cookies que utilizamos
| Tipo de cookie | Finalidade | Ativo por padrão? | Base jurídica |
|---|---|---|---|
| Cookies essenciais | Sessão, proteção CSRF, segurança básica | Sim (não exigem consentimento) | 6(1)(f) interesse legítimo |
| Cookies de preferências | Idioma, tema, ajustes de exibição | Sim | 6(1)(f) interesse legítimo |
| Cookies analíticos | Estatísticas e reprodução de sessões (Google Analytics, Clarity) | Dependem do seu consentimento | 6(1)(a) consentimento |
| Cookies de marketing | Atribuição de campanhas (se ativa) | Dependem do seu consentimento | 6(1)(a) consentimento |
10.2 Cookies de terceiros e exclusão
| Provedor | Finalidade | Mecanismo de exclusão |
|---|---|---|
| Google Analytics | Análise web | Google Analytics Opt-Out ou preferências de cookies do site |
| Microsoft Clarity | Reprodução de sessões, mapas de calor | Privacidade da Microsoft ou preferências de cookies do site |
10.3 Gestão de cookies
Você pode gerenciar cookies das seguintes formas:
- Configurações do navegador (bloqueio ou limpeza de cookies).
- Banner de consentimento de cookies do Serviço (implementação progressiva planejada): EEE, Reino Unido e Suíça terão opt-in por padrão na primeira visita; usuários dos EUA terão opt-out por padrão com reconhecimento automático do sinal GPC.
- Links de exclusão de cada provedor.
Atenção: desativar cookies essenciais pode impedir o login ou o funcionamento de funcionalidades centrais.
10.4 Sinal Do Not Track (DNT)
Em razão da ausência de padrão setorial unificado, não respondemos ao sinal DNT enviado pelo navegador, mas respondemos ao sinal GPC, mais recente (vide §10.5).
10.5 Global Privacy Control (GPC) [incluído — exigido pela CPRA]
Com base na CPRA da Califórnia e em leis do Colorado, Connecticut e outros estados, reconhecemos e respondemos automaticamente ao sinal GPC (Global Privacy Control). Quando detectamos um sinal GPC emitido pelo seu navegador ou extensão, o consideramos uma instrução válida de "exclusão de venda/compartilhamento de informações pessoais" nos termos da CCPA/CPRA e ajustamos, em conformidade, a carga de cookies analíticos e publicitários e o compartilhamento de dados.
11. Seus direitos de privacidade
11.1 Direitos no âmbito do RGPD (EEE, Reino Unido, Suíça)
Se você estiver no EEE, Reino Unido ou Suíça, possui os seguintes direitos:
| Direito | Conteúdo |
|---|---|
| Acesso (art. 15) | Solicitar cópia dos seus dados pessoais e informações sobre o tratamento |
| Retificação (art. 16) | Solicitar a retificação de dados inexatos ou incompletos |
| Eliminação (art. 17) | Solicitar a eliminação ("direito ao esquecimento") nas hipóteses legais |
| Limitação (art. 18) | Solicitar a limitação de atividades específicas de tratamento |
| Portabilidade (art. 20) | Receber seus dados em formato estruturado e legível por máquina ou solicitar a transmissão a outro controlador |
| Oposição (art. 21) | Opor-se ao tratamento baseado em interesse legítimo (inclusive antifraude, com possível invocação da exceção do art. 21(1)) |
| Revogação do consentimento (art. 7(3)) | Revogar a qualquer momento tratamentos baseados em consentimento |
| Não sujeição a decisões automatizadas (art. 22) | Vide §14 |
Exceções ao direito de eliminação: conforme o artigo 17(3) do RGPD, a solicitação poderá ser recusada nas seguintes hipóteses:
- Existência de obrigação legal de retenção (por exemplo, dados transacionais no período fiscal)
- Necessidade para constituição, exercício ou defesa de direitos em ações (dados antifraude em lista de bloqueio)
- Necessidade por interesse público ou pesquisa científica
Prazos de resposta: respondemos em 30 dias da recepção; em casos complexos ou numerosos, pode haver prorrogação de 60 dias, informada nos primeiros 30 dias.
11.2 Direitos no âmbito da CCPA/CPRA (residentes da Califórnia)
Se você for residente da Califórnia, possui os seguintes direitos:
| Direito | Conteúdo |
|---|---|
| Direito de ser informado (§1798.100/110/115) | Solicitar divulgação das categorias e conteúdos específicos das informações pessoais que coletamos, usamos e compartilhamos |
| Exclusão (§1798.105) | Solicitar a exclusão das suas informações pessoais (ressalvadas exceções legais) |
| Retificação (§1798.106) | Solicitar a retificação de informações inexatas |
| Exclusão da venda (§1798.120) | Excluir-se da venda de informações pessoais (não vendemos) |
| Exclusão do sharing (§1798.120) | Excluir-se do sharing associado a publicidade contextual cruzada |
| Limitação do uso de informações sensíveis (§1798.121) | Limitar o uso de informações pessoais sensíveis |
| Não discriminação (§1798.125) | O exercício de direitos não afetará qualidade ou preço do Serviço |
Categorias de informação pessoal sensível que coletamos (CPRA §1798.140(ae)):
- Credenciais de acesso à conta (e-mail + senha / token OAuth)
- Localização geográfica precisa (apenas se você conceder permissão de geolocalização ao navegador)
- Conteúdo sensível que possa constar em material carregado por você (conforme sua decisão)
Não utilizamos as informações pessoais sensíveis para inferir atributos sensíveis; empregamo-las apenas para finalidades comerciais permitidas pela CPRA (verificação de identidade, prevenção à fraude, execução do contrato). Você não precisa exercer o direito de "limitação de uso" para gozar dessa garantia padrão.
Prazos de resposta: 45 dias, prorrogáveis por mais 45 dias em casos complexos.
Agente autorizado: você pode nomear um agente autorizado para apresentar solicitações em seu nome, mediante verificação razoável de identidade.
Shine the Light Act da Califórnia (§1798.83): vide §17.
11.3 Direitos no âmbito de outras leis estaduais dos EUA
| Lei | Estado | Principais direitos |
|---|---|---|
| VCDPA | Virgínia | Acesso, exclusão, retificação, portabilidade, exclusão de venda + publicidade direcionada |
| CPA | Colorado | Idem + resposta ao Universal Opt-Out Mechanism (respondemos via GPC) |
| CTDPA | Connecticut | Idem |
| UCPA | Utah | Acesso, exclusão, portabilidade (escopo mais restrito) |
| TDPSA | Texas | Acesso, exclusão, retificação, portabilidade, exclusão de venda + publicidade direcionada + definição de perfil |
| Nevada SB220 | Nevada | Mecanismo de solicitação de exclusão de venda (vide §18) |
Recurso: se sua solicitação for negada, você terá direito a recurso em até 45 dias, revisado por profissional específico.
11.4 Lei "Minha Saúde, Meus Dados" do Estado de Washington (MHMDA)
O Serviço não trata dados de "saúde do consumidor" (Consumer Health Data) conforme definidos pela MHMDA, não realiza inferências de saúde, diagnósticos ou serviços médicos. Se, durante o uso do Serviço, você carregar por iniciativa própria conteúdo pessoal que envolva saúde, não o utilizaremos nem divulgaremos para finalidades comerciais, nem o venderemos a terceiros, como corretores de dados.
11.5 Como exercer seus direitos
- Envio por e-mail: envie mensagem a [email protected], com o assunto "Privacy Rights Request - [tipo de direito]".
- Formulário web: pela página /privacy/rights-request (implantação progressiva).
- Verificação de identidade: para evitar solicitações fraudulentas, poderemos pedir autenticação por e-mail cadastrado, método de pagamento vinculado, etc., unicamente para verificação.
- Prazos de resposta: conforme a legislação da sua jurisdição (RGPD 30 dias + prorrogação de 60; CCPA/CPRA 45 dias + prorrogação de 45).
- Negativas e recurso: em caso de negativa, apresentaremos os motivos por escrito; você pode recorrer em [email protected]; o recurso passará por análise humana e será respondido em 5 dias úteis.
11.6 Reclamação às autoridades regulatórias
Se você entender que nosso tratamento viola a legislação aplicável, tem direito de apresentar reclamação:
- Residentes do EEE: autoridade de proteção de dados do seu Estado-membro; lista completa no site do EDPB.
- Residentes do Reino Unido: Information Commissioner's Office (ICO), https://ico.org.uk.
- Residentes da Suíça: Comissário Federal de Proteção de Dados e Transparência (FDPIC).
- Residentes dos EUA: Federal Trade Commission (FTC), https://ftc.gov ou procuradorias estaduais.
12. Segurança dos dados
Implementamos medidas técnicas e organizacionais proporcionais ao risco das atividades para proteger seus dados pessoais contra acesso não autorizado, divulgação, alteração ou destruição.
12.1 Medidas técnicas
- Criptografia em trânsito: TLS 1.3 em todo o site.
- Criptografia em repouso: banco de dados e armazenamento de objetos com AES-256.
- Controle de acesso: controle de acesso baseado em papéis (RBAC), princípio do menor privilégio e autenticação multifator (MFA) obrigatória em operações críticas.
- Segurança de sessões: gestão via Better-Auth, com validade curta e mecanismo de atualização.
- Monitoramento e alertas: monitoramento 24/7 de tráfego e acessos anômalos.
- Auditorias periódicas: auditorias internas e externas e escaneamentos de vulnerabilidade.
12.2 Medidas organizacionais
- Minimização de dados: coletamos e retemos apenas o necessário às finalidades.
- Treinamento de equipe: treinamento periódico em privacidade e segurança para todos os colaboradores.
- Avaliação de fornecedores: due diligence em todos os operadores e suboperadores e assinatura de DPA padronizado.
- Resposta a incidentes: procedimentos documentados e registros de simulações.
- Ciclo de vida dos dados: classificação, retenção e exclusão definidas.
12.3 Notificação de violações
Ao confirmarmos incidente que possa afetar seus dados pessoais:
- Notificação à autoridade: notificaremos a autoridade de proteção de dados competente em até 72 horas após a descoberta inicial (artigo 33 do RGPD).
- Notificação ao titular: se a violação puder gerar alto risco a seus direitos e liberdades, notificaremos você em prazo não superior a 72 horas após a confirmação do alcance (artigo 34 do RGPD). A notificação incluirá: natureza do incidente, categorias de dados aproximadamente afetadas, possíveis consequências, medidas adotadas e recomendadas e contato de privacidade.
- Obrigações estaduais nos EUA: aplicaremos os prazos previstos em cada lei estadual (por exemplo, §1798.82 da Califórnia ou os 30–45 dias do SHIELD Act de Nova York).
13. Privacidade de menores
O Serviço é destinado a usuários com 18 anos ou mais.
- Limite de idade unificado: em coerência com os Termos de Serviço, adotamos o limite mínimo global de 18 anos, superior ao da COPPA (13 anos nos EUA), do artigo 8º do RGPD (16 anos padrão na UE) e do UK GDPR (13 anos).
- Não coleta deliberada: não coletamos deliberadamente informações pessoais de menores de 18 anos.
- Verificação de idade: no cadastro, a idade é declarada por caixa de confirmação; reforçaremos, futuramente, a verificação combinando-a com avisos por região.
- Canal para responsáveis: se um pai, mãe ou responsável identificar que um menor forneceu informações pessoais sem consentimento, poderá solicitar a exclusão por [email protected]; processaremos a solicitação após verificação.
14. Decisões automatizadas e definição de perfil
14.1 Geração de conteúdo por IA
Nossa geração de conteúdo por IA baseia-se integralmente nas entradas explícitas do usuário (modelo selecionado, prompt e mídia carregada). Esse tratamento:
- Não constitui, por sua natureza, "decisão baseada unicamente em tratamento automatizado que produza efeitos jurídicos ou semelhantes significativos" do artigo 22(1) do RGPD.
- Tem como base jurídica o artigo 6(1)(b), execução do contrato, e o artigo 22(2)(a), necessidade contratual.
- Você pode deixar de usar a funcionalidade a qualquer momento.
14.2 Decisões automatizadas antifraude [divulgação essencial — conformidade com o artigo 22 do RGPD]
Informamos expressamente: para prevenir fraude em pagamentos e abuso de conta, operamos um sistema automatizado de controle de risco (que inclui Stripe Radar e nossos mecanismos internos); em determinadas situações, esse sistema pode, de forma automatizada:
- Negar solicitações de reembolso
- Suspender ou bloquear permanentemente a conta
- Invalidar imediatamente os créditos da conta
- Incluir, na lista de bloqueio, hash de e-mail, fingerprint de cartão, IP e impressão digital do dispositivo relacionados
Essas decisões constituem decisões automatizadas que, nos termos do artigo 22 do RGPD, podem produzir efeitos jurídicos ou semelhantes significativos.
Lógica de decisão (divulgação geral):
Para evitar que detalhes sensíveis da estratégia antifraude sejam divulgados e, assim, contornados maliciosamente, divulgamos apenas as categorias e dimensões gerais:
- Dimensão de risco de pagamento: múltiplos pagamentos malsucedidos, troca frequente de método de pagamento em curto período, pontuação de fraude do Stripe Radar acima do limiar interno.
- Dimensão de associação de contas: sinais de correspondência multidimensional entre hash de e-mail, fingerprint de cartão, impressão digital do dispositivo e IP.
- Dimensão de anomalia de reembolsos: solicitações em prazo extremamente curto após a compra (horas), vários reembolsos em 6 meses, histórico de estornos.
- Dimensão de conduta da conta: uso de bots / crawlers / scripts automatizados, venda ou compartilhamento de conta e créditos, criação de múltiplas contas para contornar esta Política.
Seus direitos nos termos do artigo 22(3) do RGPD:
- Direito à intervenção humana: pedir a análise humana da decisão.
- Direito de expressar seu ponto de vista: apresentar provas (registros de uso, comprovantes de pagamento, histórico de comunicação, justificativa de plausibilidade do local, etc.) para refutar a decisão.
- Direito a recurso: nos termos da §10 da "Política de Reembolso", você pode recorrer em até 14 dias do recebimento da decisão, por [email protected]; o recurso passará por análise humana e será respondido em 5 dias úteis.
- Direito a explicação: você pode obter explicação geral da lógica da decisão (conforme esta seção); por razões de eficácia antifraude, não divulgamos limiares, pesos ou parâmetros específicos.
- Direito a reclamação: você pode reclamar à autoridade de proteção de dados competente (vide §11.6).
Base jurídica: artigo 22(2)(a) do RGPD, necessidade contratual (cumprimento das obrigações antifraude dos Termos de Serviço e da Política de Reembolso) e artigo 6(1)(f), interesse legítimo (prevenção à fraude e proteção aos usuários legítimos). Concluímos, para este tratamento, uma avaliação do balanço do interesse legítimo (LIA) e uma avaliação de impacto sobre a proteção de dados (DPIA) correspondentes (vide §15).
14.3 Definição de perfil para melhoria do Serviço
A inferência de preferências funcionais a partir dos dados de uso (vide §3.5) não afeta o status da conta e destina-se apenas à melhoria do produto e à personalização das recomendações; você pode desativar as recomendações personalizadas nas configurações da conta.
15. Avaliação de impacto sobre a proteção de dados (DPIA)
Nos termos do artigo 35 do RGPD, realizamos ou estamos realizando DPIA para atividades de tratamento que podem gerar alto risco a direitos e liberdades dos titulares:
- DPIA sobre decisões automatizadas antifraude: concluída (abrange as categorias de dados da §3.4 e os fluxos de decisão da §14.2).
- DPIA sobre detecção de abusos em geração por IA: em avaliação.
- DPIA sobre a tecnologia de impressão digital do dispositivo planejada: será concluída antes do desenvolvimento.
As DPIA identificaram medidas mitigadoras correspondentes (minimização de dados, hash irreversível, prazos limitados de retenção, canal humano de recurso, etc.). Você pode solicitar um resumo da DPIA (excluídas partes comercialmente ou operacionalmente sensíveis) por [email protected].
16. Conformidade com o Regulamento de IA da UE
As disposições de transparência do Regulamento de IA da UE (EU AI Act, Regulamento (UE) 2024/1689) entrarão em vigor de forma escalonada a partir de 2 de agosto de 2026. Em relação ao Serviço:
16.1 Classificação de risco dos sistemas de IA
Atuamos como implementador downstream de sistemas de IA; o Serviço oferecido é de IA generativa e, em regra, enquadra-se na categoria de risco limitado (limited risk) do Regulamento. Não operamos:
- Sistemas de IA proibidos do artigo 5 (pontuação social, manipulação subliminar, etc.).
- Sistemas de IA de alto risco do Anexo III (seleção de pessoal, classificação de crédito, decisões policiais, etc.).
16.2 Transparência sobre dados de treinamento
Não treinamos modelos de IA por conta própria; os modelos utilizados são operados por provedores downstream que já cumprem suas obrigações de transparência. Os links para a divulgação dos dados de treinamento de cada provedor serão consolidados na futura página /legal/ai-providers; até lá, para consultar dados de um provedor específico, entre em contato por [email protected].
16.3 Marcação de conteúdo gerado por IA (artigo 50(2))
Para imagens, vídeos, áudios e demais conteúdos sintéticos gerados por IA:
- Incorporamos marcas legíveis por máquina (como C2PA Content Credentials) na medida em que os provedores downstream oferecem suporte.
- Algumas saídas podem conter, simultaneamente, marca d'água visível.
- É proibido remover, alterar ou contornar tais marcas (vide §5.4 dos Termos de Serviço).
16.4 Divulgação de interação com IA (artigo 50(1)(a))
Quando você interage com as funcionalidades de geração por IA do Serviço (edição de imagem, geração de vídeo, etc.), a interface indica claramente que a interação é com um sistema de inteligência artificial, e não com um humano.
16.5 Obrigação de divulgação de deepfakes (artigo 50(4))
Embora o produto não ofereça a geração de deepfakes que possam ser confundidos com pessoas, eventos ou lugares reais (vide declaração de limites da §6.5), se você usar conteúdo gerado por IA em temas de interesse público (notícias, política, saúde, etc.), deverá divulgar, na publicação, que é conteúdo gerado ou auxiliado por IA. As obrigações contratuais correspondentes constam na §5.4 dos Termos de Serviço.
17. Shine the Light Act da Califórnia
Nos termos da §1798.83 do Civil Code da Califórnia ("Shine the Light Act"), residentes da Califórnia podem solicitar informações sobre os terceiros aos quais tenhamos divulgado suas informações pessoais para finalidades de marketing direto desses terceiros. Não compartilhamos suas informações pessoais com terceiros para essa finalidade; consultas e exercício de direitos podem ser encaminhados por [email protected].
18. Direitos de privacidade de Nevada
Nos termos da SB220 de Nevada, residentes de Nevada podem optar por excluir-se da venda de informações pessoais. Não vendemos suas informações pessoais em troca de contrapartida financeira; você pode, ainda assim, apresentar pedido confirmatório de exclusão por [email protected], que responderemos em até 60 dias.
19. Alterações desta Política
19.1 Mecanismo de alteração
Podemos revisar periodicamente esta Política. As revisões serão publicadas nesta página, com atualização simultânea da "Última atualização" e da "Data de entrada em vigor".
19.2 Notificação de alterações substanciais
Para alterações que afetem materialmente seus direitos (nova finalidade de tratamento, alterações em transferências internacionais, novas categorias de suboperadores), notificaremos com pelo menos 30 dias de antecedência pelos seguintes meios:
- Envio de e-mail ao endereço cadastrado.
- Publicação de aviso em local de destaque no site.
- Notificação dentro do Serviço no próximo login.
19.3 Versões anteriores
As versões anteriores serão arquivadas na futura página /privacy-policy/history; até lá, você pode solicitá-las por [email protected].
19.4 O uso contínuo implica aceitação
Se você continuar utilizando o Serviço após a entrada em vigor da revisão, considerar-se-á que aceitou a Política revisada. Em caso de discordância, interrompa o uso e, se for o caso, exerça o direito de eliminação conforme §11.
20. Fale conosco
20.1 E-mails específicos
| Uso | |
|---|---|
| Privacidade, proteção de dados, direitos do titular | [email protected] |
| Recursos (decisões antifraude, negativa de direitos) | [email protected] |
| Notificações DMCA, denúncias de abuso | [email protected] |
| Dúvidas gerais e solicitações de reembolso | [email protected] |
20.2 Vias de comunicação
AISnapEdit
- Site: https://aisnapedit.com
- Jurisdição da sede operacional: Califórnia, Estados Unidos (operamos no fuso horário do Pacífico, PT).
- Recebemos notificações de usuários, solicitações de direitos e comunicações legais somente por e-mail; utilize os endereços específicos da §20.1.
- As informações cadastrais detalhadas da pessoa jurídica serão divulgadas na versão oficial em vigor.
20.3 Representante na UE / Representante no Reino Unido
Nosso Representante na UE (art. 27.º do RGPD) e nosso Representante no Reino Unido (art. 27.º do RGPD do Reino Unido) são a mesma entidade:
- Razão social: Instant EU GDPR Representative Limited
- Endereço registrado: Office 2, 12a Lower Main Street, Lucan, Dublin, Ireland
- Contato: via [email protected] (encaminharemos as solicitações ao Representante na UE / Reino Unido)
Vide §§ 2.3 e 2.4 para mais detalhes.
20.4 Prazos de resposta
| Jurisdição | Prazo de resposta |
|---|---|
| RGPD (EEE, Reino Unido, Suíça) | 30 dias (prorrogáveis por 60 em casos complexos) |
| CCPA/CPRA (Califórnia) | 45 dias (prorrogáveis por 45 em casos complexos) |
| Demais leis estaduais dos EUA | 45 dias (60 em alguns estados) |
| Demais jurisdições | Conforme a lei aplicável |
O uso da AISnapEdit implica que você declara ter lido, compreendido e aceitado a presente Política de Privacidade.
© 2026 AISnapEdit. Todos os direitos reservados.