Política de Privacidade | TwoBrains Technology

Esta Política de Privacidade descreve como a TwoBrains Technology ("TwoBrains", "nós") coleta, usa, armazena, compartilha e protege dados pessoais de usuários de nossos sites, aplicativos móveis e serviços (em conjunto, os "Serviços"). Esta política observa a Lei Geral de Proteção de Dados (Lei 13.709/2018 — LGPD), o Regulamento Geral sobre a Proteção de Dados europeu (GDPR), o Marco Civil da Internet (Lei 12.965/2014) e as diretrizes de privacidade da Apple App Store e da Google Play Store.

1. Quem é o controlador dos seus dados

O controlador dos dados pessoais tratados nos Serviços é: TwoBrains Technology Endereço: Goiânia/GO, Brasil Site: https://twobrainstechnology.com Encarregado pelo Tratamento de Dados (DPO): [email protected] Você pode entrar em contato com o nosso DPO a qualquer momento pelo e-mail acima para esclarecer dúvidas, exercer direitos ou registrar reclamações sobre o tratamento de seus dados.

2. Quais dados coletamos

Coletamos as categorias de dados pessoais abaixo, sempre na medida estritamente necessária à finalidade indicada: (a) Dados de cadastro fornecidos diretamente por você: nome completo, e-mail, telefone, empresa e cargo (em formulários de contato, propostas e blog). (b) Dados gerados pelo uso dos aplicativos: identificadores do dispositivo (IDFA na iOS / Advertising ID no Android, conforme consentimento), modelo, sistema operacional, versão do app, endereço IP, idioma, fuso horário, eventos de uso, métricas de desempenho e relatórios de falhas (crash logs). (c) Dados de localização: aproximada (derivada do IP) por padrão; precisa (GPS) somente quando o aplicativo solicita expressamente sua autorização e exclusivamente para a funcionalidade que motivou a solicitação. (d) Dados de comunicação: conteúdo das mensagens enviadas pelos canais de atendimento, tickets de suporte e respostas de pesquisas. (e) Dados de pagamento (quando aplicável): processados diretamente por gateways terceirizados (ex.: Stripe, Mercado Pago, Pagar.me). Não armazenamos números completos de cartão em nossos servidores. (f) Dados públicos de redes sociais: somente quando você opta por autenticar-se em nossos Serviços via login social (Google, Apple, LinkedIn). Não coletamos intencionalmente dados pessoais sensíveis (origem racial, opinião política, religião, saúde, dados biométricos, vida sexual). Caso isso ocorra de forma incidental, o tratamento ocorrerá apenas com seu consentimento específico e destacado, conforme art. 11 da LGPD.

3. Para que usamos seus dados (finalidades)

Utilizamos seus dados pessoais para as seguintes finalidades: • Prestar, manter e melhorar nossos Serviços (sites e aplicativos); • Responder a contatos comerciais, propostas e dúvidas; • Autenticar usuários e prevenir fraude, abuso e acessos não autorizados; • Personalizar funcionalidades e conteúdo conforme suas preferências e idioma; • Analisar desempenho, identificar erros e priorizar melhorias técnicas; • Enviar notificações operacionais e, mediante consentimento, comunicações de marketing; • Cumprir obrigações legais, regulatórias e responder a autoridades competentes; • Proteger direitos da TwoBrains, dos usuários e de terceiros em processos judiciais ou administrativos.

4. Bases legais do tratamento

Conforme art. 7º e art. 11 da LGPD (e art. 6º do GDPR, quando aplicável), tratamos seus dados pessoais com fundamento em uma das seguintes bases: • Execução de contrato ou procedimentos preliminares (art. 7º, V): para prestar os Serviços contratados; • Consentimento (art. 7º, I): para envio de marketing, push notifications opcionais, cookies de medição e localização precisa; • Cumprimento de obrigação legal ou regulatória (art. 7º, II): retenção fiscal, contábil, atendimento a autoridades; • Legítimo interesse (art. 7º, IX): segurança da informação, prevenção a fraude, melhoria do produto, sempre balanceado com seus direitos fundamentais; • Exercício regular de direitos (art. 7º, VI): em processos judiciais, administrativos ou arbitrais. Quando o tratamento se basear em consentimento, você poderá revogá-lo a qualquer momento, sem prejuízo da licitude do tratamento já realizado.

5. Permissões solicitadas pelos aplicativos

Nossos aplicativos podem solicitar as permissões abaixo. Cada uma é solicitada apenas quando você usar uma funcionalidade que dependa dela e pode ser revogada a qualquer momento nas configurações do seu sistema operacional: • Câmera: para capturar fotos e documentos quando solicitado pelo usuário; • Microfone: para gravação de notas de voz e chamadas, quando aplicável; • Galeria/Fotos: para anexar imagens em conteúdos do app; • Localização (precisa ou aproximada): apenas para funcionalidades baseadas em localização; • Notificações push: para informá-lo sobre eventos relevantes do app; • Armazenamento: para salvar arquivos gerados ou recebidos no seu dispositivo; • Biometria (Face ID / Touch ID / impressão digital): para autenticação local segura — os dados biométricos NÃO saem do seu dispositivo e NÃO são enviados aos nossos servidores. A negativa de uma permissão não impede o uso geral do app, apenas das funcionalidades específicas que dela dependem.

6. Cookies, SDKs e tecnologias similares

No site utilizamos cookies estritamente necessários (sessão, segurança), cookies de preferências (idioma, tema) e, mediante consentimento, cookies de medição de audiência (Google Analytics) e de mídia (reCAPTCHA do Google para proteção dos formulários). Nos aplicativos, podemos integrar SDKs de terceiros para finalidades específicas: • Firebase / Google Analytics for Firebase — métricas de uso e desempenho; • Firebase Crashlytics — relatórios de falhas; • Firebase Cloud Messaging (FCM) e Apple Push Notification service (APNs) — notificações push; • Google reCAPTCHA — proteção contra bots em formulários; • Sentry (ou equivalente) — monitoramento de erros em runtime. A lista atualizada de SDKs e o objetivo de cada um está disponível na ficha do app na Apple App Store ("Privacy Nutrition Labels") e na Google Play Store ("Data Safety").

7. Compartilhamento de dados com terceiros

Não vendemos, alugamos nem disponibilizamos seus dados pessoais a terceiros para finalidades de marketing alheias às nossas. Compartilhamos dados estritamente nas seguintes hipóteses: • Operadores (processors) que tratam dados em nosso nome: provedores de hospedagem (Amazon Web Services, região São Paulo — sa-east-1), e-mail transacional (Twilio SendGrid), gestão de conteúdo (Strapi), gateways de pagamento, plataformas de analytics e monitoramento; • Autoridades públicas, judiciais ou administrativas, quando exigido por lei ou ordem judicial válida; • Parceiros em operações societárias, fusões, aquisições ou reestruturações, sempre observando a confidencialidade e os direitos dos titulares. Todos os operadores são contratualmente obrigados a tratar seus dados em conformidade com esta Política e a legislação aplicável.

8. Transferência internacional de dados

A TwoBrains hospeda dados majoritariamente em data centers da AWS na região São Paulo, Brasil (sa-east-1). Determinados serviços de apoio (analytics, push notifications, e-mail transacional, monitoramento) podem implicar a transferência de dados para os Estados Unidos ou outros países onde nossos prestadores estejam estabelecidos. Quando isso ocorrer, garantimos que a transferência observe os requisitos do Capítulo V da LGPD: país com nível adequado de proteção, cláusulas contratuais padrão, certificações ou consentimento específico, conforme o caso. Para usuários sujeitos ao GDPR, aplicamos as Cláusulas Contratuais Padrão (SCCs) aprovadas pela Comissão Europeia.

9. Por quanto tempo guardamos seus dados

Retemos dados pessoais pelo tempo necessário ao cumprimento das finalidades para as quais foram coletados, observados os prazos legais e regulatórios: • Dados de cadastro e contato comercial: até 5 (cinco) anos após a última interação, salvo se você solicitar a exclusão antes; • Dados fiscais e contábeis: pelo prazo de guarda exigido pela legislação tributária (em regra, 5 anos); • Logs de acesso a aplicações de internet: 6 (seis) meses, conforme art. 15 do Marco Civil da Internet; • Dados de uso, métricas e crash reports: agregados/anonimizados após 12 (doze) meses; • Backups: ciclo padrão de 7 a 35 dias (PITR), com expurgo automático. Após decorridos os prazos, os dados são eliminados ou anonimizados de forma irreversível, salvo necessidade de conservação para o exercício regular de direitos em processo judicial, administrativo ou arbitral.

10. Como protegemos seus dados

Adotamos medidas técnicas e administrativas adequadas para proteger seus dados pessoais, incluindo: • Criptografia em trânsito (TLS 1.2+) em todas as conexões; • Criptografia em repouso nos bancos de dados e armazenamento de objetos; • Controle de acesso baseado em função (RBAC) com princípio do menor privilégio e autenticação multifator; • Segregação de ambientes (desenvolvimento, homologação, produção); • Backups automatizados com retenção controlada (PITR) e testes periódicos de recuperação; • Monitoramento contínuo, alertas de segurança e revisão periódica de políticas IAM; • Avaliação de impacto à proteção de dados (DPIA) para novos tratamentos de risco elevado. Apesar dessas medidas, nenhum sistema é absolutamente imune a falhas. Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos os afetados e a Autoridade Nacional de Proteção de Dados (ANPD) em prazo razoável, conforme o art. 48 da LGPD.

11. Seus direitos como titular

Conforme o art. 18 da LGPD (e arts. 15-22 do GDPR), você tem direito a, mediante requisição: • Confirmação da existência de tratamento; • Acesso aos seus dados; • Correção de dados incompletos, inexatos ou desatualizados; • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade; • Portabilidade dos dados a outro fornecedor; • Eliminação dos dados tratados com base em consentimento; • Informação sobre entidades públicas e privadas com as quais compartilhamos seus dados; • Informação sobre a possibilidade de não fornecer consentimento e suas consequências; • Revogação do consentimento, a qualquer momento; • Revisão de decisões automatizadas que afetem seus interesses (art. 20 LGPD). Para exercer qualquer direito, escreva para [email protected]. Responderemos em até 15 (quinze) dias, podendo solicitar comprovação razoável de identidade para evitar acesso indevido.

12. Exclusão da conta e dos dados

Você pode solicitar a exclusão da sua conta e dos dados associados: • Diretamente no aplicativo, quando essa funcionalidade estiver disponível ("Excluir minha conta" no menu de configurações), em conformidade com a Diretriz 5.1.1(v) da Apple e a política da Google Play; • Pelo e-mail [email protected], indicando o e-mail cadastrado. A exclusão é processada em até 30 (trinta) dias. Determinados dados podem ser retidos pelo período mínimo legal (registros fiscais, logs de acesso obrigatórios, defesa em processos), mas serão segregados e tratados apenas com a finalidade que justifica a retenção.

13. Crianças e adolescentes

Nossos Serviços não são direcionados a crianças menores de 13 anos. Não coletamos intencionalmente dados pessoais de crianças. Caso identifiquemos coleta indevida, eliminaremos os dados imediatamente. Pais ou responsáveis que verifiquem o uso indevido dos Serviços por crianças podem nos contatar em [email protected] para remoção. O tratamento de dados de adolescentes (entre 13 e 18 anos) ocorre conforme o melhor interesse do titular, com consentimento específico de ao menos um dos pais ou responsável legal, nos termos do art. 14 da LGPD.

14. Marketing, opt-out e do-not-track

Comunicações de marketing são enviadas somente após seu consentimento. Você pode optar por não recebê-las a qualquer momento clicando no link "descadastrar" presente em cada e-mail ou desativando push notifications nas configurações do app. Respeitamos sinais Do-Not-Track ("DNT") quando reconhecíveis pelo navegador. Em alguns casos, ainda assim utilizaremos cookies estritamente necessários ao funcionamento do site.

15. Decisões automatizadas

Eventualmente utilizamos lógica automatizada (incluindo modelos de inteligência artificial) para personalização de conteúdo, prevenção a fraude e suporte. Você tem direito a solicitar a revisão de decisões automatizadas que afetem seus interesses, conforme art. 20 da LGPD. Quando aplicável, indicaremos critérios e procedimentos utilizados, observados os limites de segredo comercial e industrial.

16. Atualizações desta política

Podemos atualizar esta Política de Privacidade para refletir mudanças legais, técnicas ou de negócio. A data da última atualização aparece no topo desta página. Em caso de alteração materialmente relevante, comunicaremos você por e-mail (se houver cadastro) ou por aviso destacado nos Serviços antes que as alterações entrem em vigor. O uso continuado dos Serviços após a atualização significa concordância com a nova versão.

17. Lei aplicável e foro

Esta Política rege-se pelas leis da República Federativa do Brasil. Eventuais conflitos serão dirimidos no foro da Comarca de Goiânia/GO, salvo disposição legal cogente em contrário (em especial, o foro do consumidor em relações de consumo).

18. Como entrar em contato

Para qualquer dúvida, solicitação ou reclamação relacionada a esta Política ou ao tratamento de seus dados pessoais, contate nosso Encarregado pelo Tratamento de Dados: E-mail: [email protected] Site: https://twobrainstechnology.com Você também pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) — https://www.gov.br/anpd/.