Política de Privacidade e LGPD

Última atualização: 03 de maio de 2026.

Esta Política descreve, em linguagem clara, como o Redflags trata dados pessoais para entregar a análise de conversas. Seguimos os princípios da Lei nº 13.709/2018 (LGPD): finalidade, adequação, necessidade, livre acesso, qualidade dos dados, transparência, segurança, prevenção, não discriminação e responsabilização.

1. Quem somos e papéis

• Redflags opera por meio do site redflags.ia.br, hospedado em servidor no Brasil.
• O Redflags é controlador dos dados estritamente necessários à entrega do Serviço (email do solicitante, identificadores de pagamento, logs técnicos).
• O Redflags é operador em relação ao conteúdo das conversas enviadas: trata esses dados por conta e ordem do Usuário, que é o controlador desses dados perante os demais participantes.

2. Encarregado pelo Tratamento de Dados (DPO)

Para exercício de direitos do titular, dúvidas ou reclamações sobre privacidade, o Encarregado pode ser contatado pelo email contato@redflags.ia.br, com a palavra LGPD no assunto. O atendimento ocorre em até 15 dias úteis.

3. Dados coletados

• Email, fornecido no formulário, para envio do link do relatório e exercício de direitos.
• Tipo de relacionamento indicado (casal, amizade, família) — usado apenas para contextualizar a análise.
• Conteúdo da conversa exportada do WhatsApp ou similar, conforme decisão exclusiva do Usuário.
• Dados de pagamento: por padrão, o Redflags recebe apenas identificadores de transação e status; chave PIX, conta e demais dados sensíveis são tratados diretamente pelo provedor Woovi.
• Nome, CPF/CNPJ e celular: solicitados somente em uma situação específica — quando a tentativa primária de cobrança via Woovi falha e o sistema oferece a alternativa via AbacatePay, que exige esses dados por imposição do provedor para emissão da cobrança PIX. Quando coletados, são repassados ao AbacatePay e armazenados no Redflags apenas pelo tempo necessário à execução do pagamento e ao cumprimento de obrigações fiscais.
• Metadados técnicos: endereço IP, timestamps, identificadores de requisição, logs de erro — usados para segurança, prevenção a fraude e diagnóstico.
• Eventos de marketing: caso autorizado, identificadores hasheados (SHA-256 do email) são enviados ao TikTok via Pixel/Events API para mensuração de campanhas. Você pode bloquear esse envio recusando cookies ou usando navegador com proteção de rastreamento.

4. Finalidades

• Executar o serviço contratado e entregar o relatório.
• Notificar o Usuário (por status na página e, quando aplicável, por email) sobre o andamento.
• Prevenir fraude, abuso e uso indevido (rate limiting, detecção de prompt injection).
• Cumprir obrigações legais, regulatórias ou ordens judiciais.
• Mensurar a eficácia de ações de marketing, sem decisão automatizada que afete o titular.

5. Bases legais (LGPD Art. 7º e 11)

• Execução de contrato e procedimentos preliminares para os dados necessários à análise (Art. 7º, V).
• Consentimento específico para transferência internacional, marketing por email e cookies de mensuração (Art. 7º, I).
• Legítimo interesse para segurança, prevenção a fraude e melhoria do Serviço (Art. 7º, IX), sempre limitado e proporcional.
• Cumprimento de obrigação legal ou regulatória, quando aplicável (Art. 7º, II).

6. Operadores e sub-operadores envolvidos

Para entregar o Serviço, o Redflags compartilha o estritamente necessário com os seguintes prestadores. Cada um possui sua própria política de privacidade e responsabilidade:

• Hostinger (Brasil) — hospedagem do servidor de aplicação e banco de dados.
• Woovi (Brasil) — processamento PIX (provedor primário).
• AbacatePay (Brasil) — processamento PIX (provedor alternativo).
• Resend (Estados Unidos) — entrega transacional de emails (notificações sobre o relatório).
• Google (Gemini) (Estados Unidos / global) — análise por IA, provedor primário. Conteúdo enviado é anonimizado.
• OpenRouter (Estados Unidos) — análise por IA, provedor secundário/fallback.
• DeepSeek (China) — análise por IA, provedor de fallback eventual; não é utilizado por padrão.
• TikTok (Estados Unidos / China) — mensuração de campanhas via Pixel e Events API, recebendo apenas identificadores hasheados. Apenas se você não bloquear cookies de marketing.

7. Transferência internacional de dados

• Os provedores de IA (Google, OpenRouter, DeepSeek) e de email (Resend) operam em servidores fora do Brasil. A transferência ocorre com base em consentimento específico do Usuário (LGPD Art. 33, VIII) e, quando o destino for país com nível de proteção adequado reconhecido pela ANPD (como a União Europeia, conforme Resolução ANPD nº 32/2026), também sob essa base.
• O conteúdo das conversas é submetido aos provedores de IA após anonimização dos nomes dos participantes (substituição por identificadores P01, P02, ...). Os nomes reais só voltam ao relatório no momento da renderização do PDF, no servidor do Redflags.
• O Redflags não vende, não cede e não compartilha dados pessoais para fins não declarados nesta Política.

8. Decisões automatizadas (LGPD Art. 20)

O relatório é gerado por sistema automatizado de inteligência artificial, sem revisão humana. O Usuário tem o direito de solicitar a revisão das informações por pessoa natural. Pedidos de revisão devem ser enviados a contato@redflags.ia.br; serão respondidos em até 15 dias úteis, com explicação dos critérios e procedimentos utilizados na análise, observados os segredos comercial e industrial.

9. Retenção e descarte

• Arquivo original da conversa: excluído automaticamente em até 24 horas após a geração do relatório.
• Relatório PDF: disponível por 24 horas; depois disso é excluído automaticamente.
• Email do solicitante: anonimizado automaticamente 30 dias após a expiração do relatório.
• Exclusão antecipada sob demanda: o titular pode disparar a eliminação imediata de todos os dados da análise pelo botão "Excluir análise" incluído no email de confirmação ou pelo link /excluir/<token>.
• Identificadores de pagamento: mantidos pelo prazo necessário para escrituração contábil/fiscal e atendimento a obrigações legais.
• Logs técnicos sem conteúdo de conversa: mantidos pelo prazo legal aplicável (Marco Civil da Internet — Lei 12.965/2014, art. 15, prevê guarda de até 6 meses para registros de aplicação).

10. Segurança

• Criptografia em trânsito (HTTPS/TLS) em todas as comunicações.
• Anonimização dos participantes antes do envio à IA.
• Defesa contra prompt injection e validação rígida de entrada.
• Controles de acesso administrativo com autenticação reforçada e segregação de ambientes.
• Exclusão automática dos dados nos prazos definidos.
• Rate limiting por IP para prevenção de abuso.

Apesar de adotarmos medidas técnicas e organizacionais razoáveis, nenhum sistema é absolutamente seguro. Em caso de incidente de segurança que envolva risco ou dano relevante a titulares, comunicaremos a ANPD e os titulares afetados nos termos da LGPD (Art. 48).

11. Direitos do titular (LGPD Art. 18)

O titular pode, gratuitamente, solicitar:

• Confirmação da existência de tratamento;
• Acesso aos dados;
• Correção de dados incompletos, inexatos ou desatualizados;
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
• Portabilidade a outro fornecedor;
• Eliminação dos dados pessoais tratados com base no consentimento;
• Informação sobre as entidades públicas e privadas com as quais houve uso compartilhado;
• Informação sobre a possibilidade de não fornecer consentimento e suas consequências;
• Revogação do consentimento;
• Revisão de decisões automatizadas (Art. 20).

Solicitações: contato@redflags.ia.br.

Exclusão imediata sem necessidade de contato: o email de confirmação enviado quando o relatório fica pronto contém um botão "Excluir análise" e um link direto no formato https://redflags.ia.br/excluir/<token>. Ao clicar, todos os dados associados àquela análise (relatório PDF, arquivo original e registros vinculados) são apagados imediatamente, sem intervenção humana e sem necessidade de comprovação adicional. O endpoint correspondente é DELETE /api/delete?token=<token>.

12. Cookies e tecnologias semelhantes

• Essenciais: necessários ao funcionamento do site (sessão, segurança, preferências). Sempre ativos.
• Mensuração e marketing (TikTok Pixel): usados apenas com consentimento. Você pode bloqueá-los nas configurações do navegador ou por extensões de privacidade. Bloquear não impede o uso do serviço.

13. Crianças e adolescentes

O Serviço não é destinado a menores de 18 anos. Não tratamos conscientemente dados de crianças e adolescentes. Caso identifique conteúdo dessa natureza, notifique-nos para remoção imediata.

14. Reclamação à ANPD

Você tem o direito de apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) caso entenda que o tratamento dos seus dados não está em conformidade com a LGPD: www.gov.br/anpd.

15. Alterações desta Política

Esta Política pode ser atualizada para refletir mudanças legais, técnicas ou operacionais. A versão vigente está sempre publicada nesta página, com a data da última atualização no topo.