Política de Privacidade

Esta Política de Privacidade explica como o Neuroninx coleta, usa, compartilha e protege os seus dados pessoais. Ela cobre simultaneamente a Lei Geral de Proteção de Dados brasileira (Lei nº 13.709/2018 — “LGPD”), o Regulamento Geral sobre a Proteção de Dados da União Europeia (Regulamento (UE) 2016/679 — “GDPR”), o UK GDPR/Data Protection Act 2018 do Reino Unido e as leis equivalentes aplicáveis aos demais países onde a Plataforma opera (Argentina, México, Chile, Colombia e outros). Aplica-se ao uso de neuroninx.com (“Plataforma”).

O controlador (controller) responsável pelo tratamento dos seus dados pessoais é Lincoln Basilio Alves, inscrito no CPF sob o nº 001.770.172-44, com endereço de contato em São Paulo/SP, Brasil.

O encarregado pelo tratamento de dados pessoais (Data Protection Officer), responsável por receber comunicações dos titulares e das autoridades supervisoras, pode ser contatado pelo e-mail lincolncbd.01@gmail.com.

Para usuários residentes na União Europeia ou no Espaço Econômico Europeu, o nosso representante na UE, designado nos termos do art. 27 do GDPR, será informado nesta seção tão logo a sua designação seja concluída. Enquanto isso, os titulares podem contatar diretamente o encarregado pelo e-mail acima.

Para usuários residentes no Reino Unido, o nosso representante no UK, designado nos termos do art. 27 do UK GDPR, será informado nesta seção tão logo a sua designação seja concluída. Enquanto isso, os titulares podem contatar diretamente o encarregado pelo e-mail acima.

Coletamos os seguintes dados pessoais:

• Dados de cadastro: ao entrar com sua conta Google, recebemos seu nome, endereço de e-mail e foto de perfil (avatar).
• Dados de uso e progresso: respostas a questões e flashcards, desempenho, blocos de conhecimento ativados, histórico de simulados, preferências de estudo e configurações de notificações push.
• Dados de pagamento: quando houver assinatura, os dados de pagamento são coletados e processados diretamente pelo provedor de pagamentos (Stripe). Não armazenamos os dados completos do seu cartão.
• Dados técnicos e registros de acesso: endereço IP, data e hora de acesso, tipo de dispositivo, navegador, idioma e país inferido pelo IP, conforme exigido pelo Marco Civil da Internet (Lei nº 12.965/2014) e pelo princípio de responsabilidade do GDPR (Art. 5.2).
• Histórico de consentimento: registramos quando você aceitou Termos, Política e cookies, com versão dos documentos, data, IP e user-agent — necessário para defesa em auditoria regulatória.

Tratamos seus dados com as seguintes finalidades e bases legais, combinando os regimes aplicáveis (LGPD / GDPR / UK GDPR):

• Criar e manter sua conta e fornecer os recursos da Plataforma — base: execução de contrato (LGPD art. 7º V; GDPR art. 6.1.b).
• Registrar seu progresso de estudo e personalizar a trilha — base: execução de contrato + legítimo interesse (LGPD art. 7º IX; GDPR art. 6.1.f).
• Processar pagamentos e gerir assinaturas — base: execução de contrato.
• Enviar comunicações sobre a Plataforma (boas-vindas, avisos de lançamento, lista de espera) — base: legítimo interesse (LGPD art. 7º IX; GDPR art. 6.1.f), com direito de oposição a qualquer momento.
• Garantir a segurança, prevenir fraudes e cumprir obrigações legais — base: cumprimento de obrigação legal + legítimo interesse (LGPD art. 7º II e IX; GDPR art. 6.1.c e f).
• Notificações push e métricas de uso (analytics) — base: consentimento expresso (LGPD art. 7º I; GDPR art. 6.1.a), com possibilidade de revogação a qualquer momento via Centro de Privacidade ou Configurar cookies.

Não vendemos os seus dados pessoais. Compartilhamos dados apenas com operadores (processors) que prestam serviços essenciais ao funcionamento da Plataforma, sob contratos de processamento (DPAs) com cláusulas contratuais-padrão (SCCs) da Comissão Europeia quando aplicável:

• Supabase Inc. (EUA) — autenticação, banco de dados Postgres, infraestrutura.
• Google LLC (EUA/Irlanda) — autenticação de login (Google OAuth).
• Stripe Payments Europe Ltd. (Irlanda) — processamento de pagamentos e gestão de assinaturas.
• Resend Inc. (EUA) — envio de e-mails transacionais.
• Vercel Inc. (EUA) — hospedagem da aplicação, distribuição via CDN e métricas de performance/uso.

Também poderemos compartilhar dados para cumprir obrigação legal, regulatória ou ordem de autoridade competente.

Vários operadores acima processam dados em servidores localizados fora do Brasil, da UE e do Reino Unido. Para essas transferências:

• Para transferências saindo do Brasil, observam-se as hipóteses dos arts. 33 a 36 da LGPD.
• Para transferências saindo da UE/EEE para países sem decisão de adequação, utilizam-se as Standard Contractual Clauses (SCCs) da Comissão Europeia (Decisão 2021/914) com Transfer Impact Assessment quando aplicável.
• Para transferências saindo do Reino Unido, utilizam-se as UK International Data Transfer Addendum ou SCCs equivalentes aprovadas pelo ICO.

A Plataforma usa cookies estritamente necessários (autenticação, preferência de idioma, escolha de consentimento) e cookies opcionais para análise de uso. Para detalhes completos e para gerenciar seu consentimento granular, consulte a Política de Cookies.

Tratamos seus dados enquanto sua conta estiver ativa e pelo período necessário ao cumprimento das finalidades desta Política. Após o encerramento da conta, os dados podem ser mantidos pelo prazo exigido por obrigação legal — por exemplo, os registros de acesso, guardados por 6 (seis) meses nos termos do Marco Civil da Internet, e os registros fiscais/financeiros pelos prazos legais aplicáveis. Os registros de consentimento podem ser mantidos por prazo indeterminado para defesa em ação judicial (LGPD art. 16 II; GDPR art. 17.3.e).

Adotamos medidas técnicas e organizacionais para proteger os seus dados contra acessos não autorizados, perda, alteração ou divulgação indevida, incluindo controle de acesso (Row Level Security do Postgres), criptografia em trânsito (TLS) e uso de provedores de infraestrutura reconhecidos. Nenhum sistema é totalmente imune a riscos, mas trabalhamos para mitigá-los continuamente.

A Plataforma é destinada a pessoas com 16 anos ou mais — limite conservador que atende o GDPR (art. 8º), a LGPD (art. 14º com assistência parental para 12-17 anos é compatível) e a UK GDPR. O cadastro exige confirmação explícita dessa idade.

Você tem os seguintes direitos sobre seus dados pessoais, conforme o regime aplicável à sua jurisdição:

• Confirmação da existência de tratamento (LGPD art. 18 I; GDPR art. 15).
• Acesso aos dados (LGPD art. 18 II; GDPR art. 15) — exercível diretamente pelo Centro de Privacidade /lgpd.
• Correção de dados incompletos, inexatos ou desatualizados (LGPD art. 18 III; GDPR art. 16).
• Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade com a lei (LGPD art. 18 IV; GDPR art. 17 — direito ao esquecimento).
• Portabilidade dos dados em formato estruturado e interoperável (LGPD art. 18 V; GDPR art. 20) — disponível como download JSON em /lgpd.
• Eliminação dos dados tratados com base no consentimento (LGPD art. 18 VI; GDPR art. 17) — exercível diretamente pelo Centro de Privacidade /lgpd.
• Informação sobre o compartilhamento dos seus dados (LGPD art. 18 VII; GDPR art. 13-14).
• Revogação do consentimento (LGPD art. 18 IX; GDPR art. 7.3).
• Oposição a tratamento realizado com base em legítimo interesse (LGPD art. 18; GDPR art. 21).
• Direito de não ser submetido a decisões automatizadas (GDPR art. 22; LGPD art. 20) — atualmente não realizamos decisões totalmente automatizadas com impacto significativo.
• Direito de apresentar reclamação à autoridade supervisora competente (LGPD art. 18 §1º; GDPR art. 77).

A maneira mais rápida de exercer os direitos de acesso, exportação e exclusão é pelo Centro de Privacidade — disponível diretamente na sua conta. Para correção de dados ou outros pedidos, envie a sua solicitação para lincolncbd.01@gmail.com. Poderemos solicitar informações para confirmar a sua identidade antes de atender ao pedido. Responderemos no menor prazo possível, observados os prazos legais (15 dias úteis na LGPD; até 30 dias prorrogáveis no GDPR).

Caso ocorra um incidente de segurança que possa acarretar risco ou dano relevante aos titulares, notificaremos a autoridade supervisora competente (ANPD no Brasil; supervisão líder na UE; ICO no Reino Unido) e os titulares afetados nos prazos legais — 72 horas no GDPR (art. 33), prazo razoável na LGPD (art. 48).

Você tem o direito de apresentar reclamação à autoridade supervisora competente da sua jurisdição:

• Brasil — Autoridade Nacional de Proteção de Dados (ANPD) — anpd.gov.br
• Portugal — Comissão Nacional de Proteção de Dados (CNPD) — cnpd.pt
• Espanha — Agencia Española de Protección de Datos (AEPD) — aepd.es
• Reino Unido — Information Commissioner's Office (ICO) — ico.org.uk
• Demais países da UE/EEE — lista completa no European Data Protection Board: edpb.europa.eu
• México — Instituto Nacional de Transparencia (INAI) — home.inai.org.mx
• Argentina — Agencia de Acceso a la Información Pública (AAIP) — argentina.gob.ar/aaip
• Chile — Consejo para la Transparencia — consejotransparencia.cl
• Colombia — Superintendencia de Industria y Comercio (SIC) — sic.gov.co

Esta Política pode ser atualizada a qualquer momento. A versão vigente estará sempre disponível nesta página, com a data da última atualização. Alterações relevantes poderão ser comunicadas pelos canais da Plataforma.

Em caso de dúvidas sobre esta Política ou sobre o tratamento dos seus dados, entre em contato pelo e-mail lincolncbd.01@gmail.com.