Política de Privacidade — Tá Seguro
🌐 Idioma / Language: Português (atual) · English version →
Última atualização: 11 de abril de 2026
Em caso de divergência de interpretação entre as versões desta Política em diferentes idiomas, a versão em português prevalece para todos os fins legais. A versão em inglês é fornecida como tradução de cortesia para facilitar a análise por revisores internacionais de serviços de API (Google API Services, Meta Platform Terms).
1. Identificação do Controlador
1.1. O controlador dos dados pessoais tratados por meio da plataforma Tá Seguro é PAULO EDUARDO MENDES CANDIDO 94470634115, pessoa jurídica inscrita no CNPJ sob o nº 47.661.973/0001-35, com sede na Avenida das Araucárias, 4155, Bloco C, Sala 1507, Sul (Águas Claras), Brasília-DF, CEP 71.936-250 ("Controlador").
1.2. Encarregado de Proteção de Dados (DPO): Paulo Eduardo Mendes Cândido — E-mail: privacidade@taseguro.app.
2. Escopo e Aplicação
2.1. Esta Política de Privacidade aplica-se a todos os dados pessoais coletados, tratados e armazenados pela plataforma Tá Seguro, disponível em https://taseguro.app e em aplicativos móveis derivados.
2.2. Ao utilizar a Plataforma, o Usuário declara ter lido e compreendido esta Política, nos termos da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — "LGPD").
3. Inventário de Dados Coletados
3.1. Dados de Cadastro
| Dado | Finalidade | Base Legal (LGPD Art. 7º) |
|---|---|---|
| Endereço de e-mail | Criação de conta, login, comunicações transacionais | Execução de contrato (Art. 7º, V) |
| Senha (hash bcrypt) | Autenticação do Usuário | Execução de contrato (Art. 7º, V) |
| Nome de exibição | Personalização da interface | Execução de contrato (Art. 7º, V) |
| Nicho de conteúdo (ex.: maternidade/família) | Contextualização da análise e onboarding | Execução de contrato (Art. 7º, V) |
3.2. Dados de Autenticação OAuth (integrações externas — exclusivo plano Pro)
3.2.1. Instagram
| Dado | Finalidade | Base Legal |
|---|---|---|
| ID do usuário no Instagram | Identificação da conta conectada | Consentimento (Art. 7º, I) |
| Token de acesso (criptografado com AES-256-GCM) | Acesso à API do Instagram para listar posts publicados | Consentimento (Art. 7º, I) |
| Data de expiração do token | Controle de validade da autorização | Consentimento (Art. 7º, I) |
3.2.2. YouTube (Google)
| Dado | Finalidade | Base Legal |
|---|---|---|
| ID do canal do YouTube conectado | Identificação do canal autorizado para análise | Consentimento (Art. 7º, I) |
| Token de acesso OAuth Google (criptografado com AES-256-GCM) | Acesso à YouTube Data API v3 com escopo youtube.force-ssl — utilizado exclusivamente para operações de leitura nos vídeos do próprio canal do Usuário (ver seção 16 para o detalhamento do uso restrito) | Consentimento (Art. 7º, I) |
| Token de atualização OAuth Google (criptografado com AES-256-GCM) | Renovação automática do token de acesso (tokens de acesso do Google expiram a cada 1 hora) | Consentimento (Art. 7º, I) |
| Data de expiração do token de acesso | Controle de validade da autorização e disparo da renovação automática | Consentimento (Art. 7º, I) |
| Data da conexão inicial | Informação exibida na interface do Usuário | Consentimento (Art. 7º, I) |
Dados extraídos dos vídeos do YouTube (em trânsito durante a análise, não armazenados após o processamento): título do vídeo, descrição pública, tags, miniatura (thumbnail) e legendas oficiais (manuais ou auto-geradas) — todos obtidos estritamente do canal do próprio Usuário autorizado. A Plataforma não acessa canais de terceiros, não publica, modifica ou exclui qualquer conteúdo, e não coleta dados de espectadores do Usuário.
O Usuário pode revogar o acesso ao YouTube a qualquer momento:
- Dentro da Plataforma: Configurações → Desconectar YouTube, OU
- Diretamente no Google: myaccount.google.com/permissions → localizar "Tá Seguro" → Remover acesso.
3.3. Dados de Pagamento
| Dado | Finalidade | Base Legal |
|---|---|---|
| ID do cliente no Stripe | Vínculo entre conta e assinatura | Execução de contrato (Art. 7º, V) |
| ID da assinatura no Stripe | Gerenciamento do ciclo de cobrança | Execução de contrato (Art. 7º, V) |
Nota: dados financeiros sensíveis (número do cartão de crédito, CVV, dados bancários) são coletados e processados exclusivamente pela Stripe, Inc. e nunca trafegam pelos servidores do Tá Seguro. A Plataforma armazena apenas identificadores de referência fornecidos pela Stripe.
3.4. Dados de Uso
| Dado | Finalidade | Base Legal |
|---|---|---|
| Histórico de análises (tipo de conteúdo, resultado, data) | Entrega do serviço, histórico do Usuário | Execução de contrato (Art. 7º, V) |
| Relatório da análise (resultado geral, critérios, sugestões) | Funcionalidade principal do produto | Execução de contrato (Art. 7º, V) |
| Rótulo do conteúdo (nome do arquivo ou trecho inicial do texto) | Identificação do conteúdo no histórico | Execução de contrato (Art. 7º, V) |
| Contagem de análises no ciclo | Controle de cota do plano | Execução de contrato (Art. 7º, V) |
3.5. Dados Técnicos
| Dado | Finalidade | Base Legal |
|---|---|---|
| Endereço IP | Segurança, prevenção de fraudes, registros de acesso (Marco Civil, Art. 15) | Cumprimento de obrigação legal (Art. 7º, II) |
| User-Agent do navegador | Compatibilidade e diagnóstico de erros | Interesse legítimo (Art. 7º, IX) |
| Data e hora de acesso | Registros de acesso à aplicação (Marco Civil, Art. 15) | Cumprimento de obrigação legal (Art. 7º, II) |
4. Dados NÃO Coletados
4.1. Arquivos de conteúdo do Usuário (vídeo, imagem, texto) são processados exclusivamente em memória volátil e descartados imediatamente após a geração do relatório de análise. Nenhum arquivo original é armazenado em disco, banco de dados ou serviço de armazenamento em nuvem.
4.2. A Plataforma não coleta dados de menores de idade. O serviço é destinado exclusivamente a criadores de conteúdo adultos (maiores de 18 anos). A Plataforma analisa conteúdo que pode envolver imagens ou referências a crianças e adolescentes, mas não coleta, armazena ou processa dados pessoais de menores.
5. Compartilhamento com Terceiros
5.1. O Controlador compartilha dados pessoais com os seguintes terceiros, estritamente na medida necessária para a prestação do serviço:
| Terceiro | País | Dados Compartilhados | Finalidade |
|---|---|---|---|
| Supabase, Inc. | Estados Unidos | Todos os dados de cadastro, uso e técnicos | Infraestrutura de banco de dados e autenticação |
| Vercel, Inc. | Estados Unidos | Dados técnicos (IP, User-Agent, logs de acesso) | Hospedagem da aplicação |
| Stripe, Inc. | Estados Unidos | E-mail, dados de pagamento (coletados diretamente pela Stripe) | Processamento de pagamentos |
| Anthropic, PBC | Estados Unidos | Texto do conteúdo ou transcrição (em trânsito, não armazenado) | Análise educativa de conteúdo via IA |
| OpenAI, Inc. | Estados Unidos | Áudio do vídeo (em trânsito, não armazenado) | Transcrição de vídeo |
| Meta Platforms, Inc. | Estados Unidos | Token OAuth, ID do Instagram (somente plano Pro) | Acesso a posts publicados do Usuário |
| Google LLC | Estados Unidos | Token OAuth Google, ID do canal YouTube, metadados públicos e legendas dos vídeos do próprio canal (somente plano Pro) | Autenticação OAuth e acesso à YouTube Data API v3 (escopo youtube.force-ssl) para análise de vídeos publicados pelo Usuário. Apesar do escopo conceder permissões amplas no nível do protocolo OAuth, o uso pela Plataforma é estritamente limitado a operações de leitura, conforme descrito na seção 16. |
| Resend, Inc. | Estados Unidos | E-mail do Usuário, nome de exibição | Envio de e-mails transacionais |
5.2. Cada terceiro listado acima possui sua própria política de privacidade. O Controlador selecionou fornecedores que oferecem garantias adequadas de proteção de dados, nos termos do Art. 46 da LGPD.
5.3. O Controlador não vende, aluga ou comercializa dados pessoais de Usuários a terceiros para fins publicitários ou de marketing.
6. Transferência Internacional de Dados
6.1. Os serviços de infraestrutura utilizados pela Plataforma (Supabase, Vercel, Stripe, Anthropic, OpenAI, Meta, Google, Resend) processam dados em servidores localizados nos Estados Unidos da América.
6.2. A transferência internacional de dados é realizada com base no Art. 33, inciso IX, da LGPD, sendo necessária para a execução de contrato ou procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados.
6.3. O Controlador adota medidas técnicas e organizacionais para garantir nível adequado de proteção aos dados transferidos, incluindo criptografia em trânsito (TLS/HTTPS) e seleção de fornecedores com certificações de segurança reconhecidas.
7. Proteção de Dados de Crianças e Adolescentes
7.1. A Plataforma não é direcionada a menores de 18 anos e não coleta intencionalmente dados pessoais de crianças ou adolescentes, nos termos do Art. 14 da LGPD.
7.2. A Plataforma analisa conteúdo de criadores adultos que pode conter referências, imagens ou representações de crianças e adolescentes. Essa análise tem finalidade exclusivamente educativa e orientativa, identificando possíveis pontos de atenção à luz da legislação de proteção à criança (ECA Digital — Lei nº 15.211/2025), e os arquivos são descartados após o processamento.
7.3. Caso o Controlador identifique que dados pessoais de menor de 18 anos foram inadvertidamente coletados, esses dados serão excluídos imediatamente.
8. Direitos do Titular (LGPD, Art. 18)
8.1. O Usuário, na qualidade de titular de dados pessoais, poderá exercer, a qualquer momento, os seguintes direitos mediante solicitação ao Encarregado de Proteção de Dados (DPO):
8.1.1. Confirmação da existência de tratamento de seus dados pessoais.
8.1.2. Acesso aos dados pessoais tratados pelo Controlador.
8.1.3. Correção de dados incompletos, inexatos ou desatualizados.
8.1.4. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
8.1.5. Portabilidade dos dados a outro fornecedor de serviço ou produto, em formato interoperável, observados os segredos comerciais e industriais.
8.1.6. Eliminação dos dados pessoais tratados com base no consentimento, exceto nas hipóteses de conservação previstas no Art. 16 da LGPD.
8.1.7. Informação sobre as entidades públicas e privadas com as quais o Controlador realizou uso compartilhado de dados.
8.1.8. Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
8.1.9. Revogação do consentimento, a qualquer tempo, mediante manifestação expressa, nos termos do Art. 8º, §5º, da LGPD.
8.1.10. Oposição ao tratamento realizado com fundamento em hipótese de dispensa de consentimento, quando verificada irregularidade.
8.1.11. Petição à Autoridade Nacional de Proteção de Dados (ANPD), nos termos do Art. 18, §1º, da LGPD.
8.2. As solicitações deverão ser enviadas para o e-mail do DPO indicado na cláusula 1.2 e serão respondidas no prazo de até 15 (quinze) dias úteis, conforme regulamentação da ANPD.
8.3. O Controlador poderá solicitar informações adicionais para verificar a identidade do solicitante, a fim de prevenir fraudes.
9. Períodos de Retenção
| Tipo de Dado | Período de Retenção | Justificativa |
|---|---|---|
| Dados de cadastro (perfil) | Enquanto a conta estiver ativa, ou até solicitação de exclusão | Execução de contrato |
| Histórico de análises — Plano Criador | 30 (trinta) dias corridos | Regra de produto; exclusão automática via job agendado |
| Histórico de análises — Plano Pro | 12 (doze) meses | Regra de produto; exclusão automática via job agendado |
| Dados de pagamento (IDs Stripe) | Enquanto a assinatura estiver ativa + 5 anos após encerramento | Cumprimento de obrigação legal (Código Tributário Nacional, Art. 173) |
| Registros de acesso (IP, data/hora) | 6 (seis) meses | Cumprimento de obrigação legal (Marco Civil da Internet, Art. 15) |
| Token OAuth do Instagram | Enquanto o plano Pro estiver ativo; revogado no downgrade ou cancelamento | Consentimento do Usuário |
| Registros de aceite de Termos e Política de Privacidade | 5 (cinco) anos a contar de cada evento de aceite | Cumprimento de obrigação legal e exercício regular de direitos em processo (LGPD, Art. 16, I e II); prescrição de pretensões de ressarcimento (Código Civil, Art. 206, §3º, V); retenção fiscal (Código Tributário Nacional, Art. 173) |
9.1. Após o término de cada período de retenção, os dados são excluídos automaticamente por rotina agendada (pg_cron) ou mediante solicitação do Usuário.
9.2. A exclusão de conta pelo Usuário resultará na remoção de todos os dados pessoais, exceto aqueles cuja retenção seja obrigatória por disposição legal.
9.3. Os registros de aceite dos Termos de Uso e desta Política de Privacidade contêm o hash (SHA-256) do endereço IP, o identificador do navegador (user-agent), a data e hora do aceite, a versão dos documentos aceitos e o contexto do aceite (cadastro ou pagamento), além de um registro imutável do e-mail e nome do Usuário no momento do aceite. Esses registros são preservados por 5 (cinco) anos independentemente da exclusão da conta, com fundamento na LGPD (Art. 16, I e II), para permitir o exercício regular de direitos em eventual processo judicial ou administrativo. Após o prazo, são excluídos automaticamente pelo sistema.
10. Segurança dos Dados
10.1. O Controlador adota as seguintes medidas técnicas e administrativas para proteger os dados pessoais (LGPD, Art. 46):
10.1.1. Criptografia em trânsito: toda comunicação entre o Usuário e a Plataforma é realizada via HTTPS/TLS.
10.1.2. Criptografia em repouso: tokens OAuth do Instagram são criptografados com AES-256-GCM antes do armazenamento. Senhas são armazenadas como hash (bcrypt), nunca em texto puro.
10.1.3. Controle de acesso por linha (RLS): o banco de dados utiliza Row Level Security para garantir que cada Usuário acesse apenas seus próprios dados.
10.1.4. Limitação de taxa (rate limiting): proteção contra ataques de força bruta e abuso nas rotas de autenticação e API.
10.1.5. Headers de segurança: Content-Security-Policy, Strict-Transport-Security (HSTS), X-Content-Type-Options, X-Frame-Options são aplicados em todas as rotas.
10.1.6. Cookies HttpOnly: tokens de sessão são armazenados em cookies HttpOnly, inacessíveis via JavaScript, protegendo contra ataques XSS.
10.1.7. Validação de entrada: todas as entradas do Usuário são validadas e sanitizadas com Zod antes do processamento.
10.1.8. Autenticação de webhooks: webhooks do Stripe são verificados por assinatura HMAC para prevenir injeção de eventos falsos.
10.1.9. Processamento em memória: arquivos de conteúdo são processados em memória volátil e descartados imediatamente após a análise, sem gravação em disco ou armazenamento persistente.
11. Cookies e Tecnologias de Rastreamento
11.1. A Plataforma utiliza exclusivamente cookies essenciais (estritamente necessários) para o funcionamento do serviço:
| Cookie | Tipo | Finalidade | Duração |
|---|---|---|---|
| Cookie de sessão Supabase (HttpOnly) | Essencial | Manutenção da sessão autenticada do Usuário | Sessão (JWT 1h + refresh token 30 dias) |
11.2. A Plataforma não utiliza cookies de analytics, cookies de marketing, pixels de rastreamento, fingerprinting ou qualquer tecnologia de rastreamento para fins publicitários.
11.3. Por utilizar apenas cookies estritamente necessários, o consentimento específico para cookies não é exigido, nos termos das diretrizes da ANPD.
12. Incidente de Segurança
12.1. Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares de dados, o Controlador comunicará à Autoridade Nacional de Proteção de Dados (ANPD) e aos titulares afetados em prazo razoável, conforme o Art. 48 da LGPD, contendo:
12.1.1. Descrição da natureza dos dados pessoais afetados.
12.1.2. Informações sobre os titulares envolvidos.
12.1.3. Indicação das medidas técnicas e de segurança utilizadas para a proteção dos dados.
12.1.4. Riscos relacionados ao incidente.
12.1.5. Medidas que foram ou serão adotadas para reverter ou mitigar os efeitos do prejuízo.
13. Alterações desta Política
13.1. O Controlador poderá atualizar esta Política a qualquer tempo. As alterações serão comunicadas ao Usuário com antecedência mínima de 15 (quinze) dias por e-mail, indicando as seções modificadas.
13.2. A versão atualizada será publicada em https://taseguro.app/privacidade com a nova data de "Última atualização".
13.3. O uso continuado da Plataforma após o prazo de 15 dias será considerado aceitação da Política atualizada.
14. Contato do Encarregado (DPO)
14.1. Para exercer os direitos previstos na cláusula 8, realizar consultas sobre tratamento de dados ou registrar reclamações, o Usuário poderá contatar o Encarregado de Proteção de Dados (DPO):
- Nome: Paulo Eduardo Mendes Cândido
- E-mail: privacidade@taseguro.app
- Endereço: Avenida das Araucárias, 4155, Bloco C, Sala 1507, Sul (Águas Claras), Brasília-DF, CEP 71.936-250
14.2. Em caso de insatisfação com a resposta do Controlador, o titular poderá apresentar petição à Autoridade Nacional de Proteção de Dados (ANPD) — www.gov.br/anpd.
15. Legislação Aplicável e Foro
15.1. Esta Política é regida pela legislação brasileira, em especial pela LGPD (Lei nº 13.709/2018), pelo Marco Civil da Internet (Lei nº 12.965/2014) e pelo Código de Defesa do Consumidor (Lei nº 8.078/1990).
15.2. Fica eleito o foro do domicílio do Usuário-consumidor como competente para dirimir quaisquer controvérsias, nos termos do Art. 101, inciso I, do CDC.
16. Google API Services — Limited Use Compliance
Esta seção descreve o uso específico de dados obtidos através das APIs do Google (especificamente a YouTube Data API v3) pela Plataforma Tá Seguro, em conformidade com a Google API Services User Data Policy e com os requisitos de Uso Limitado ("Limited Use").
16.1. Adesão aos Limited Use Requirements. O uso de dados do usuário Google pela Plataforma Tá Seguro adere aos Limited Use Requirements da Google API Services User Data Policy, incluindo os requisitos de Uso Limitado.
16.2. Dados acessados. A Plataforma acessa, por meio do escopo https://www.googleapis.com/auth/youtube.force-ssl, apenas os seguintes dados do canal YouTube autorizado pelo próprio Usuário:
- Lista de vídeos publicados no canal do Usuário (ID, título, descrição, tags, duração, data de publicação, miniaturas públicas, contagem de visualizações).
- Legendas oficiais (manuais ou auto-geradas) dos vídeos do próprio Usuário.
- Identificador do canal YouTube conectado (para vinculação à conta Tá Seguro).
16.3. Uso dos dados. Os dados acessados são utilizados exclusivamente para:
- Gerar o relatório de análise de conformidade do conteúdo publicado pelo Usuário à luz da Lei nº 15.211/2025 (ECA Digital) e do Decreto nº 12.880/2026.
- Exibir a grade visual dos vídeos do Usuário na interface da Plataforma para seleção dos conteúdos a analisar.
16.4. O que a Plataforma NÃO faz com dados YouTube:
- Não exibe anúncios com base em dados do YouTube ou os utiliza para qualquer finalidade publicitária.
- Não transfere dados do YouTube a terceiros, exceto: (a) aos provedores de inteligência artificial estritamente necessários para executar a análise (Anthropic/Claude API, com política de não-treinamento em dados de clientes via API), e (b) em cumprimento de ordem judicial ou requisição de autoridade competente.
- Não utiliza dados do YouTube para determinar crédito, para fins de empréstimo ou para qualquer finalidade financeira.
- Não permite leitura humana dos dados do YouTube, exceto: (a) com consentimento explícito e afirmativo do Usuário; (b) para fins de segurança (por exemplo, investigação de abuso); (c) para cumprir lei aplicável; ou (d) quando os dados forem agregados e utilizados para operações internas anonimizadas, em conformidade com as leis de privacidade aplicáveis.
- Não publica, modifica, comenta, avalia ou exclui qualquer vídeo, playlist, comentário ou conteúdo no canal do Usuário. Embora o escopo
youtube.force-sslutilizado conceda, no nível do protocolo OAuth, permissões amplas de escrita, o código-fonte da Plataforma implementa exclusivamente operações de leitura junto à YouTube Data API v3. Nenhuma chamada que modifique, crie ou remova conteúdo está implementada em nenhum ponto do código. Este escopo mais amplo é utilizado por limitação técnica da YouTube Data API v3, que não oferece um escopo granular de apenas leitura para os endpointscaptions.listecaptions.download— essenciais para a análise do conteúdo das legendas do vídeo. - Não acessa canais YouTube de terceiros — apenas do próprio canal conectado pelo Usuário autenticado.
16.5. Armazenamento e retenção. Os tokens OAuth Google (acesso e atualização) são armazenados de forma criptografada (AES-256-GCM) em banco de dados de uso interno, utilizados exclusivamente para execução das análises solicitadas pelo Usuário e removidos imediatamente após a desconexão da conta YouTube ou a exclusão da conta Tá Seguro. Os metadados extraídos dos vídeos (título, descrição, tags, legendas, miniatura) são processados em trânsito durante a geração do relatório e não são armazenados após a análise — apenas o relatório final (avaliação por critério ECA Digital, texto em português) é persistido, e esse relatório não contém cópia integral dos dados originais do vídeo.
16.6. Revogação do acesso. O Usuário pode revogar o acesso da Plataforma Tá Seguro aos seus dados do YouTube a qualquer momento, por dois caminhos independentes:
- Dentro da Plataforma: Configurações → Seção YouTube → botão "Desconectar YouTube". A Plataforma remove imediatamente todos os campos YouTube do perfil (tokens, ID do canal, datas).
- Diretamente no Google: myaccount.google.com/permissions → localizar "Tá Seguro" → Remover acesso.
16.7. Documentação de referência. O uso de dados Google pela Plataforma também está sujeito a:
16.8. Contato para dúvidas específicas sobre uso de dados Google. Utilizar o e-mail do DPO indicado na seção 14 (privacidade@taseguro.app), identificando no assunto "Google API / YouTube".
17. Meta Platform Terms — Instagram Graph API Compliance
Esta seção descreve o uso específico de dados obtidos através das APIs da Meta Platforms, Inc. (especificamente a Instagram Graph API) pela Plataforma Tá Seguro, em conformidade com os Meta Platform Terms e os Meta Developer Policies, incluindo as políticas de Uso Limitado da Plataforma ("Limited Platform Use").
17.1. Adesão aos Meta Platform Terms. O uso de dados do usuário da Meta pela Plataforma Tá Seguro adere aos Meta Platform Terms, Meta Developer Policies, Instagram Platform Policy e à política de Limited Platform Use.
17.2. Dados acessados. A Plataforma acessa, por meio do escopo instagram_business_basic da Instagram Graph API (autorizado pelo próprio Usuário via OAuth), apenas os seguintes dados da conta Instagram autorizada pelo próprio Usuário:
- Identificador do usuário no Instagram (para vinculação à conta Tá Seguro).
- Username público do Instagram conectado.
- Lista de posts publicados no feed do próprio Usuário (últimos 100 mais recentes), contendo: identificador do post, tipo de mídia (IMAGE / VIDEO / CAROUSEL_ALBUM), URLs de miniatura e mídia hospedadas nas CDNs oficiais da Meta, legenda ("caption"), data/hora de publicação ("timestamp") e permalink público.
- Filhos de carrosséis (quando aplicável): identificador, tipo e URLs de mídia dos itens individuais de posts CAROUSEL_ALBUM.
17.3. Uso dos dados. Os dados acessados são utilizados exclusivamente para:
- Gerar o relatório de análise de conformidade do conteúdo publicado pelo Usuário à luz da Lei nº 15.211/2025 (ECA Digital) e do Decreto nº 12.880/2026.
- Exibir a grade visual dos posts do Usuário na interface da Plataforma para seleção dos conteúdos a analisar.
17.4. O que a Plataforma NÃO faz com dados da Meta/Instagram:
- Não exibe anúncios com base em dados do Instagram ou os utiliza para qualquer finalidade publicitária, de segmentação ou de remarketing.
- Não transfere dados do Instagram a terceiros, exceto: (a) aos provedores de inteligência artificial estritamente necessários para executar a análise (Anthropic/Claude API e OpenAI/Whisper API, ambos com políticas de não-treinamento em dados de clientes via API), e (b) em cumprimento de ordem judicial ou requisição de autoridade competente.
- Não utiliza dados do Instagram para determinar crédito, para fins de empréstimo ou para qualquer finalidade financeira.
- Não permite leitura humana dos dados do Instagram, exceto: (a) com consentimento explícito e afirmativo do Usuário; (b) para fins de segurança (por exemplo, investigação de abuso); (c) para cumprir lei aplicável; ou (d) quando os dados forem agregados e utilizados para operações internas anonimizadas, em conformidade com as leis de privacidade aplicáveis.
- Não publica, modifica, comenta, curte, reage ou exclui qualquer post, story, comentário ou conteúdo na conta do Usuário — o escopo
instagram_business_basicconcedido é estritamente de leitura. - Não acessa contas Instagram de terceiros, perfis de seguidores, listas de seguidores/seguindo, mensagens diretas, stories, insights de audiência ou qualquer dado além dos posts publicados no feed do próprio Usuário autenticado.
- Não realiza scraping, crawling ou ingestão em massa de dados além do que a Graph API retorna nas chamadas autorizadas.
17.5. Armazenamento e retenção. Os tokens OAuth da Meta (access token de longa duração do Instagram) são armazenados de forma criptografada (AES-256-GCM) em banco de dados de uso interno, utilizados exclusivamente para execução das análises solicitadas pelo Usuário e removidos imediatamente após a desconexão da conta Instagram ou a exclusão da conta Tá Seguro. Os metadados extraídos dos posts (legenda, thumbnail URL, media URL, tipo de mídia, permalink) são processados em trânsito durante a geração do relatório e não são armazenados após a análise — apenas o relatório final (avaliação por critério ECA Digital, texto em português) é persistido, e esse relatório não contém cópia integral dos dados originais do post. As URLs de thumbnails não são baixadas nem armazenadas pela Plataforma: quando exibidas na grade visual, são carregadas diretamente do navegador do Usuário a partir das CDNs oficiais da Meta (*.cdninstagram.com, *.fbcdn.net).
17.6. Revogação do acesso. O Usuário pode revogar o acesso da Plataforma Tá Seguro aos seus dados do Instagram a qualquer momento, por três caminhos independentes:
- Dentro da Plataforma: Configurações → Seção Instagram → botão "Desconectar Instagram". A Plataforma remove imediatamente todos os campos Instagram do perfil (token, username, ID, data de expiração).
- No Instagram: instagram.com/accounts/manage_access → localizar "Tá Seguro" → Remover.
- Via Meta (Facebook): facebook.com/settings?tab=business_tools → localizar "Tá Seguro" → Remover.
17.7. Documentação de referência. O uso de dados da Meta pela Plataforma também está sujeito a:
- Meta Platform Terms
- Meta Developer Policies
- Instagram Platform Policy
- Meta Data Policy
- Instagram Data Policy
17.8. Contato para dúvidas específicas sobre uso de dados Meta/Instagram. Utilizar o e-mail do DPO indicado na seção 14 (privacidade@taseguro.app), identificando no assunto "Meta API / Instagram".
18. Comunidade do Tá Seguro
Quando o Usuário assina o plano Criador (R$ 29/mês) ou Criador Pro (R$ 79/mês), ganha acesso à comunidade do Tá Seguro. A comunidade é um espaço de discussão peer-to-peer com outros assinantes que estão lidando com as mesmas questões de adequação à Lei nº 15.211/2025 (ECA Digital) e ao Decreto nº 12.880/2026.
18.1 Dados que tratamos na comunidade
Pra que a comunidade funcione, tratamos os seguintes dados:
Dados de identificação: display_name, nicho de conteúdo, e opcionalmente região, foto de perfil, link do Instagram público e link do LinkedIn (todos esses opcionais — o Usuário decide o que preencher).
Conteúdo gerado pelo Usuário: posts e comentários publicados voluntariamente, reações no conteúdo de outros membros, imagens anexadas em posts (até 4 imagens × 5 MB cada).
Análises compartilhadas: quando o Usuário usa o botão "Compartilhar análise com a comunidade" no relatório, geramos uma versão anônima da análise (sem mídia, sem nome do arquivo, sem dados que identifiquem o menor de idade) e publicamos sob o nome de membro do Usuário.
Dados de moderação: denúncias feitas pelo Usuário ficam registradas de forma anônima pra pessoa denunciada (apenas a moderação vê quem denunciou). Alertas de moderação recebidos pelo Usuário são registrados pra fins de auditoria.
Preferências: preferências de notificação ficam registradas pra que o Usuário só receba o que escolheu receber.
18.2 Com quem compartilhamos seus dados na comunidade
Mesmos parceiros operacionais do produto principal, sem novos:
- Anthropic (provedora do modelo Claude que faz moderação automática de posts e imagens antes da publicação)
- Supabase (provedor do banco de dados que armazena seus dados)
- Resend (provedor de email transacional pra notificações)
Não compartilhamos seus dados com anunciantes, parceiros de marketing, ou terceiros sem relação operacional com o serviço.
18.3 Quanto tempo seus dados ficam na comunidade
- Posts e comentários ativos: ficam visíveis enquanto o Usuário for membro ativo da comunidade
- Posts e comentários que o Usuário apaga: ficam em soft delete por 90 dias (pra reversão por engano) e depois são deletados permanentemente
- Imagens anexadas: mesma retenção (90 dias após remoção)
- Notificações: lidas são deletadas após 90 dias; não-lidas após 180 dias
- Logs de moderação: ficam por 24 meses pra fins de auditoria e proteção contra reincidência
18.4 Quando o Usuário sai da comunidade
Cancelamento da assinatura: o Usuário perde acesso à comunidade no fim do ciclo já pago, mas seus posts e comentários permanecem visíveis pra outros membros (a discussão tem valor coletivo). Se voltar a assinar, recupera acesso completo.
Encerramento de acesso por moderação: seus posts e comentários permanecem visíveis pra outros, mas seu nome de membro aparece como "Membro removido" pra preservar privacidade.
Exclusão de conta: o Usuário pode pedir exclusão completa via /app/perfil. Quando exclui a conta, todos os posts, comentários, reações e imagens anexadas são deletados em soft delete imediato e hard delete em 90 dias. Não fica nada com o nome do Usuário.
18.5 Decisões automatizadas na comunidade
Antes de publicar, posts e comentários passam por classificador de moderação automática (Claude IA da Anthropic). O classificador decide se o conteúdo entra direto no feed, se vai pra revisão humana, ou se é rejeitado por violação clara de regras.
O Usuário tem direito a revisão humana de qualquer decisão automatizada (LGPD Art. 20):
- Posts em revisão sempre passam pelo founder antes de qualquer efeito final
- Posts rejeitados automaticamente podem ter revisão humana aberta via apelo de 7 dias
O Usuário é informado claramente quando uma decisão foi tomada por classificador automático.
18.6 Privacidade do menor de idade
A comunidade é desenhada com proteção máxima de menores. O Usuário não pode:
- Compartilhar foto identificável da própria filha ou do próprio filho
- Postar dados como nome completo, escola, endereço, idade específica
- Citar dados que combinados identifiquem o menor
O classificador de IA bloqueia esse tipo de conteúdo automaticamente antes de publicar. Mesmo conteúdo aprovado pode ser denunciado por outros membros e revisado.
A comunidade só está disponível pra assinantes maiores de 18 anos.
18.7 Termo de adesão específico
Quando o Usuário entra na comunidade pela primeira vez, é apresentado a um termo de adesão específico — clique pra aceitar antes do primeiro acesso. Esse termo complementa esta Política de Privacidade pra detalhar comportamento esperado dentro da comunidade (Code of Conduct).
O termo está disponível em Termo de Adesão da Comunidade e pode ser revisitado a qualquer momento.