Política de Privacidade
Versão interna: v2.0
Última atualização: 9 de maio de 2026
Substitui: v1.x (6 de maio de 2026)
>
Mudanças materiais em relação a v1.x: Incorpora o uso de Google Tag Manager, Google Analytics 4 e Google Ads (incluindo Enhanced Conversions com hash SHA-256 do endereço de email e envio server-side de conversões offline desde o webhook do Stripe), tudo sob consentimento prévio do usuário gerenciado via Google Consent Mode v2 com valor padrão denied. Reescreve os parágrafos que afirmavam não utilizar analítica nem publicidade, pois essa afirmação deixou de ser exata após a ativação do contêiner GTM e das integrações publicitárias.
Índice
- Responsável pelo tratamento e âmbito territorial
- Encarregado de Proteção de Dados
- Quais dados coletamos
- Para que usamos seus dados (finalidades do tratamento)
- Base jurídica do tratamento
- Destinatários dos dados
- Transferências internacionais de dados
- Prazo de conservação dos dados
- Seus direitos
- Dados de menores de idade
- Dados especialmente sensíveis e categorias especiais
- Decisões automatizadas, elaboração de perfis e inteligência artificial
- Publicidade, medição de conversões e analítica web
- Princípios do tratamento e avaliação de impacto
- Medidas de segurança técnicas e organizacionais
- Política de cookies e armazenamento local
- Links a terceiros
- Informação específica por jurisdição
- Modificações desta política
- Legislação aplicável e jurisdição
- Contato
1. Responsável pelo tratamento e âmbito territorial
O responsável pelo tratamento dos seus dados pessoais é:
- Razão social: Bilbao AI S.L.
- CIF: B-13759758
- Sede social: Calle Diputación 8, planta 4.ª, Departamento 5, 48008 Bilbao (Bizkaia), Espanha
- Email: info@afini.ai
- Sites: https://test.afini.ai · https://afini.ai
Bilbao AI S.L. (a seguir, "Afini", "nós" ou "as Plataformas") é titular e responsável pelos serviços de avaliação de personalidade e perfil cognitivo acessíveis por meio destes sites.
Âmbito territorial: A Afini oferece seus serviços a usuários de todo o mundo. Esta Política de Privacidade foi elaborada para cumprir a normativa de proteção de dados aplicável em cada jurisdição em que operamos, incluindo — sem limitação — a União Europeia, o Espaço Econômico Europeu, o Reino Unido, os Estados Unidos da América, o Canadá, o Brasil, a Austrália e o Japão. Em caso de conflito entre disposições de jurisdições diferentes, aplicar-se-á a norma que ofereça o maior nível de proteção ao usuário.2. Encarregado de Proteção de Dados
Dado o tamanho da organização e a natureza dos dados tratados, a Afini não está obrigada a designar um Encarregado de Proteção de Dados (DPD/DPO) conforme o artigo 37 do RGPD. Não obstante, você pode encaminhar qualquer consulta relacionada à proteção dos seus dados pessoais para: info@afini.ai.
3. Quais dados coletamos
Coletamos e tratamos as seguintes categorias de dados pessoais, conforme o serviço utilizado e o momento da interação:
3.1. Dados fornecidos ao comprar ou iniciar um teste (test.afini.ai)
- Nome ou pseudônimo
- Endereço de email
- Idade (opcional)
- Sexo biológico (opcional, para calibração normativa)
- Gênero (opcional)
- País de residência (opcional)
- Preferência de pronomes (opcional)
3.2. Dados fornecidos ao se cadastrar (afini.ai)
- Endereço de email (obrigatório, para autenticação via magic link)
- Nome ou pseudônimo (obrigatório)
- Dados demográficos de calibração (idade, sexo biológico, país — opcionais, para precisão normativa)
3.3. Dados gerados durante a realização das avaliações
- Respostas individuais a cada item dos questionários (escala Likert 1–5)
- Carimbo de tempo de início e conclusão de cada avaliação
- Versão e tipo de avaliação realizada
3.4. Dados do resultado e do perfil cognitivo
- Pontuações dos cinco grandes traços de personalidade (Abertura, Conscienciosidade, Extroversão, Amabilidade, Estabilidade Emocional)
- Pontuações das trinta facetas de personalidade (nas versões Avançado e Completo)
- Pontuações de instrumentos adicionais em afini.ai (escalas de apego, estilos de humor, valores e demais camadas conforme a evolução do serviço)
- Perfil cognitivo compilado (estrutura JSON que integra as pontuações de todas as camadas avaliadas)
- System prompt compilado (versão textual do perfil utilizada para injeção no modelo de IA)
- Relatório narrativo de personalidade gerado por IA
3.5. Dados de interação com a IA (afini.ai)
- Conteúdo das conversas com o modelo de IA (mensagens do usuário e respostas do sistema)
- Contabilização de uso: número de tokens de saída consumidos por mês (dado técnico para controle de cota do plano). Os tokens de entrada não contam para o limite mensal
- Número de requisições diárias ao serviço de IA
3.6. Dados de pagamento
A Afini NÃO armazena, processa nem tem acesso aos dados do seu cartão de crédito ou débito, número de conta bancária nem a qualquer outro dado financeiro.
Os pagamentos são gerenciados integralmente pela Stripe, Inc., que atua como processador de pagamentos independente e é responsável pelo tratamento dos dados financeiros conforme sua própria Política de Privacidade e a normativa PCI-DSS.
A Afini recebe da Stripe apenas uma confirmação de pagamento bem-sucedido (status da transação, identificador de sessão da Stripe e valor pago, em moeda e centavos). Não recebemos os dados do cartão nem do meio de pagamento.
3.7. Dados técnicos e de medição publicitária/analítica (com seu consentimento)
Quando você concede consentimento às categorias "analítica" ou "marketing" no nosso banner de cookies, as ferramentas correspondentes podem tratar adicionalmente:
- Identificadores técnicos de cookie gerados pelo Google (
_ga,_ga_<container_id>,_gcl_au,_gcl_aw,_gcl_dc) que associam eventos ao seu navegador. - Endereço IP, coletado e processado pelo Google para fins de geolocalização aproximada e prevenção de fraude. No Espaço Econômico Europeu, o Google aplica anonimização de IP por padrão antes do armazenamento (truncamento do último octeto em IPv4 ou dos últimos 80 bits em IPv6).
- String de User-Agent do navegador.
- URL de origem e de destino dentro da própria Plataforma (eventos de navegação).
- Identificadores de campanha publicitária (GCLID, *Google Click Identifier*) se você chegou à Plataforma a partir de um anúncio.
- Hash SHA-256 do seu endereço de email transmitido ao Google para Enhanced Conversions (melhoria da atribuição de conversões publicitárias). O hash é um identificador derivado e não permite recuperar seu email em texto plano por inversão direta, mas para fins do RGPD é considerado dado pessoal pseudonimizado.
Se você rejeitar as categorias "analítica" e "marketing" ou não responder ao banner de cookies, nenhum desses dados é transmitido ao Google: o contêiner do Google Tag Manager opera em Consent Mode v2 com valor padrão denied (denied) e os serviços do Google só recebem *cookieless pings* sem identificadores.
3.8. Dados técnicos que NÃO coletamos em nenhum caso
A Afini NÃO coleta —com ou sem consentimento—:
- Impressão digital do navegador (browser fingerprint)
- Dados de geolocalização precisa (GPS, Bluetooth)
- Identificadores de dispositivo (IDFA, AAID)
- Dados biométricos
- Categorias especiais de dados do artigo 9 do RGPD (salvo o derivado dos próprios resultados das avaliações de personalidade, tratados conforme a seção 11)
4. Para que usamos seus dados (finalidades do tratamento)
Tratamos seus dados pessoais exclusivamente para as seguintes finalidades:
| Finalidade | Dados utilizados | Base jurídica |
|---|
| Gerar seu perfil de personalidade Big Five | Respostas ao teste, versão do teste | Execução do contrato |
| Gerar e enviar seu relatório de resultados | Nome, email, pontuações | Execução do contrato |
| Permitir que você acesse seus resultados por meio de link pessoal | Email, token de sessão | Execução do contrato |
| Processar o pagamento do serviço (via Stripe) | Confirmação de pagamento, valor, identificador de sessão | Execução do contrato |
| Resgatar um código de convite (voucher) | Código do voucher, nome, email | Execução do contrato |
| Compilar seu perfil cognitivo multicamadas (afini.ai) | Pontuações de todas as avaliações realizadas | Execução do contrato |
| Injetar seu perfil no modelo de IA para personalizar a interação (afini.ai) | Perfil cognitivo compilado | Execução do contrato + Consentimento |
| Contabilizar o uso do serviço de IA para controle de cota (afini.ai) | Tokens consumidos, requisições diárias | Execução do contrato |
| Gerenciar sua assinatura (afini.ai) | Email, plano, status da assinatura | Execução do contrato |
| Autenticar você via magic link (afini.ai) | Execução do contrato |
| Responder às suas consultas ou solicitações | Email, nome | Interesse legítimo |
| Cumprir obrigações legais e fiscais | Dados de faturamento | Obrigação legal |
| Medir conversões publicitárias e atribuir compras a campanhas (Google Ads, incluindo Enhanced Conversions e Offline Conversions enviadas a partir do nosso backend) | Hash SHA-256 do email, identificador de campanha (GCLID), valor e moeda da transação, identificador da compra | Consentimento |
| Análise estatística agregada do uso do serviço (Plausible Analytics) | Páginas visitadas, país agregado, navegador agregado — sem cookies nem identificadores | Interesse legítimo (analítica web cookie-free conforme as Diretrizes EDPB 03/2023) |
| Análise detalhada de comportamento de navegação (Google Analytics 4) | Identificadores de cookie do Google, IP anonimizado, eventos de navegação | Consentimento |
| Gestão técnica de etiquetas publicitárias e analíticas (Google Tag Manager) | Identificadores técnicos do contêiner; nenhum identificador de usuário próprio | Consentimento (o carregamento do contêiner é diferido até o consentimento ou é executado com todos os Consent Signals em denied) |
- NÃO vendemos seus dados a terceiros. Nunca. Sob nenhuma circunstância.
- NÃO compartilhamos seu perfil de personalidade, suas respostas, seus resultados nem seu perfil cognitivo com terceiros, incluindo o Google.
- NÃO realizamos segmentação publicitária baseada em sua personalidade, em seus traços, em suas facetas nem em qualquer inferência derivada do teste. As audiências de Google Ads que utilizamos —incluindo audiências de *remarketing* baseadas em visitas à Plataforma, *Customer Match* baseadas em listas comerciais de email e *Similar Audiences* derivadas das anteriores— são construídas exclusivamente com eventos de conversão, visitas a páginas concretas e atributos publicitários padrão do Google (palavra-chave, intenção de busca, localização geográfica genérica, dispositivo). Em nenhum caso suas pontuações de personalidade, seu perfil cognitivo ou suas respostas aos questionários são utilizados para construir essas audiências.
- NÃO utilizamos seus dados para enviar newsletters ou comunicações comerciais não solicitadas.
- NÃO criamos perfis de comportamento publicitário próprios baseados na sua navegação dentro ou fora da Plataforma.
- NÃO cedemos seus dados a redes publicitárias adicionais além do Google Ads, nem a *data brokers*, nem a plataformas de marketing.
- NÃO utilizamos seus dados para treinar modelos de inteligência artificial nem para pesquisa sem seu consentimento explícito e independente.
- NÃO compartilhamos o conteúdo das suas conversas com a IA com o fornecedor do modelo nem com nenhum terceiro.
- NÃO transmitimos ao Google (nem a qualquer outro fornecedor publicitário) seu perfil cognitivo, suas pontuações, suas respostas aos questionários nem o conteúdo das conversas com a IA.
5. Base jurídica do tratamento
O tratamento dos seus dados fundamenta-se nas seguintes bases jurídicas conforme o artigo 6.1 do RGPD:
a) Execução de um contrato (art. 6.1.b RGPD): O tratamento é necessário para a prestação do serviço contratado por você: a realização de avaliações de personalidade, a geração de relatórios, a compilação do perfil cognitivo e a interação personalizada com a IA. A compra do teste, o resgate de um código de convite (voucher) ou a contratação de uma assinatura constituem a aceitação do serviço. b) Consentimento (art. 6.1.a RGPD): Para os dados demográficos opcionais (idade, gênero, país), a base jurídica é o seu consentimento livre, específico, informado e inequívoco, manifestado ao fornecê-los voluntariamente. A injeção do perfil cognitivo no modelo de IA exige adicionalmente o seu consentimento explícito, que é solicitado separadamente ao ativar o serviço de interação com a IA. O uso de cookies analíticos (Google Analytics 4) e de cookies publicitários (Google Ads, incluindo Enhanced Conversions e Offline Conversions) exige igualmente o seu consentimento prévio, concedido por meio do banner de cookies. Você pode revogar qualquer um destes consentimentos a qualquer momento, escrevendo para info@afini.ai ou reabrindo o banner de cookies a partir do link "Gerenciar cookies" do rodapé, sem que isso afete a licitude do tratamento baseado no consentimento prévio à sua retirada. c) Interesse legítimo (art. 6.1.f RGPD): Para o atendimento de consultas e solicitações que você nos envia por email, baseado no nosso interesse legítimo em manter uma comunicação adequada com os usuários do nosso serviço. Também para a analítica de uso agregada e *cookie-free* por meio do Plausible Analytics, conforme as Diretrizes EDPB 03/2023 sobre o âmbito técnico do artigo 5.3 da Diretiva ePrivacy: o Plausible não armazena informações no equipamento terminal do usuário, não utiliza identificadores únicos persistentes e fornece apenas métricas agregadas, motivo pelo qual seu uso não exige consentimento prévio no regime de cookies. d) Obrigação legal (art. 6.1.c RGPD): Para o cumprimento de obrigações fiscais e contábeis conforme a legislação espanhola vigente (Lei Geral Tributária, Código Comercial).6. Destinatários dos dados
Seus dados pessoais poderão ser comunicados aos seguintes destinatários, exclusivamente na medida necessária para as finalidades descritas:
| Destinatário | Finalidade | Localização | Garantias |
|---|
| Stripe, Inc. | Processamento de pagamentos | EUA / UE | Data Privacy Framework (DPF), cláusulas contratuais padrão |
| Railway Corp. | Hospedagem da API e do banco de dados PostgreSQL | EUA / UE | Cláusulas contratuais padrão, medidas técnicas complementares |
| Cloudflare, Inc. | Hospedagem e distribuição do *frontend* (Cloudflare Workers) e mitigação de DDoS | EUA / Rede global | Data Privacy Framework (DPF), cláusulas contratuais padrão |
| Anthropic PBC | Fornecedor do modelo de IA (LLM) para geração de relatórios e interação personalizada | EUA | Data Privacy Framework (DPF), cláusulas contratuais padrão, política de não treinamento sobre requisições à API comercial |
| Resend, Inc. | Envio de emails transacionais | EUA | Cláusulas contratuais padrão |
| Holded Technologies, S.L. | Emissão de faturas simplificadas (TicketBAI/BATUZ) sem dados pessoais do comprador | União Europeia (Espanha) | Operador de tratamento conforme o artigo 28 RGPD |
| Plausible Insights OÜ | Analítica web agregada e *cookie-free* | União Europeia (Estônia) | Tratamento dentro do EEE; sem transferência internacional |
| Google LLC | Gestão de etiquetas (Google Tag Manager), analítica web (Google Analytics 4), medição de conversões publicitárias (Google Ads) incluindo Enhanced Conversions e envio server-side de Offline Conversions desde o webhook do Stripe, audiências de *remarketing*, *Customer Match* e *Similar Audiences* | EUA / Rede global | Data Privacy Framework (DPF), cláusulas contratuais padrão, anonimização de IP no EEE, Consent Mode v2 com valor padrão denied, transmissão condicionada ao seu consentimento |
| Sentry (Functional Software, Inc.) | Rastreabilidade de erros técnicos no backend e frontend | EUA | Cláusulas contratuais padrão, *scrubbing* automático de PII em payloads |
7. Transferências internacionais de dados
Alguns dos nossos fornecedores de serviços podem tratar dados fora do Espaço Econômico Europeu (EEE). Em todos os casos, garantimos que essas transferências contam com garantias adequadas conforme o Capítulo V do RGPD:
- Stripe, Inc. (EUA): Aderiu ao EU-U.S. Data Privacy Framework (DPF), decisão de adequação da Comissão Europeia de 10 de julho de 2023. Adicionalmente, a Stripe aplica cláusulas contratuais padrão (SCCs) aprovadas pela Comissão Europeia.
- Railway Corp. (EUA): Transferências amparadas por cláusulas contratuais padrão (SCCs) conforme a Decisão de Execução 2021/914 da Comissão Europeia, complementadas por medidas técnicas adicionais (criptografia em trânsito e em repouso).
- Cloudflare, Inc. (EUA / rede global): Aderiu ao EU-U.S. Data Privacy Framework (DPF). Adicionalmente, a Cloudflare aplica cláusulas contratuais padrão (SCCs) e medidas técnicas complementares.
- Anthropic PBC (EUA): Aderiu ao EU-U.S. Data Privacy Framework (DPF). Os dados enviados à API comercial da Anthropic são processados em tempo real e não são retidos para treinamento. Garantias adicionais: criptografia em trânsito (TLS 1.3), processamento sem persistência de dados das requisições API.
- Resend, Inc. (EUA): Transferências amparadas por cláusulas contratuais padrão (SCCs).
- Google LLC (EUA / rede global): Aderiu ao EU-U.S. Data Privacy Framework (DPF). Adicionalmente, o Google aplica cláusulas contratuais padrão (SCCs). As transferências para o Google ocorrem em dois planos:
1. *Cliente-para-Google*, executadas pelo navegador do usuário ao carregar o contêiner do Google Tag Manager e os pixels do Google Analytics 4 e Google Ads, condicionadas ao seu consentimento via Google Consent Mode v2 com valor padrão denied.
2. *Servidor-para-Google*, executadas pelo nosso backend no Railway ao disparar o webhook checkout.session.completed do Stripe: enviamos ao endpoint da API do Google Ads (ConversionUploadService) os dados descritos na seção 6, exclusivamente quando a categoria "marketing" do banner foi consentida e o evento corresponde a uma compra finalizada.
3. *Servidor-para-Google* para gestão de listas de audiências publicitárias (Customer Match): upload periódico de listas de emails em formato hash SHA-256 para a API do Google Ads (UserDataService) para manter ativas nossas audiências publicitárias. Este upload inclui apenas endereços de email de usuários que tenham consentido a categoria "marketing" em algum momento e a respeito dos quais não haja registro de revogação posterior.
- Sentry (Functional Software, Inc., EUA): Transferências amparadas por cláusulas contratuais padrão (SCCs). Os *payloads* de erro são filtrados para remover PII antes do envio.
A Afini realizou uma Avaliação de Impacto das Transferências (Transfer Impact Assessment — TIA) conforme a doutrina do Tribunal de Justiça da UE (caso C-311/18, *Schrems II*) para cada uma das transferências descritas, concluindo que as garantias contratuais e técnicas implementadas asseguram um nível de proteção substancialmente equivalente ao garantido pelo RGPD. Essas avaliações são revistas periodicamente e estão disponíveis para a autoridade de controle mediante solicitação.
Em nenhum caso são transferidos dados para países que careçam de um nível adequado de proteção sem as garantias exigidas pelo RGPD.
Para usuários do Reino Unido: As transferências de dados para fora do Reino Unido são amparadas pelo UK International Data Transfer Agreement (IDTA) e/ou pelo UK Addendum às SCCs da UE, conforme o disposto pelo Information Commissioner's Office (ICO). O Reino Unido reconhece o EU-U.S. Data Privacy Framework Extension como base para transferências aos EUA. Para usuários do Canadá: As transferências de dados para fora do Canadá são realizadas conforme os princípios da PIPEDA (Seção 4.1.3), assegurando que os fornecedores de serviços ofereçam um nível de proteção comparável por meio de acordos contratuais vinculantes. Para usuários do Brasil: As transferências internacionais são amparadas pelas garantias do artigo 33 da LGPD, incluindo cláusulas contratuais específicas e o cumprimento de padrões de proteção adequados certificados pela ANPD.8. Prazo de conservação dos dados
Conservamos seus dados pelos seguintes prazos:
| Tipo de dado | Prazo de conservação | Motivo |
|---|
| Respostas individuais ao teste (test.afini.ai) | Excluídas do servidor após gerado o relatório de resultados. Não são armazenadas de forma permanente. | Minimização de dados |
| Respostas a avaliações (afini.ai) | Conservadas enquanto a conta de usuário estiver ativa, para permitir recalibração do perfil. Exclusão sob solicitação. | Execução do contrato |
| Pontuações e resultados agregados | Enquanto você mantiver seu link de acesso ativo (test.afini.ai) ou sua conta ativa (afini.ai). Você pode solicitar a exclusão a qualquer momento. | Execução do contrato |
| Perfil cognitivo compilado (afini.ai) | Enquanto a conta de usuário estiver ativa. Excluído 90 dias após o cancelamento da conta. | Execução do contrato |
| System prompt compilado (afini.ai) | Idêntico ao perfil cognitivo. | Execução do contrato |
| Conteúdo das conversas com a IA (afini.ai) | Apenas durante a sessão ativa. Não é armazenado de forma persistente após o encerramento da sessão. | Minimização de dados |
| Contabilização de tokens (afini.ai) | 12 meses a partir do registro, renováveis por período de assinatura. | Execução do contrato |
| Relatório de personalidade | Enquanto você mantiver seu link de acesso ativo ou sua conta ativa. | Execução do contrato |
| Nome e email | Máximo de 12 meses a partir da realização do teste (test.afini.ai) ou do cancelamento da conta (afini.ai), salvo se você solicitar a exclusão antes. | Execução do contrato |
| Dados de faturamento / confirmação de pagamento | 5 anos a partir da data da transação. | Obrigação legal (art. 30 Código Comercial; art. 70 Lei Geral Tributária) |
| Dados de voucher / convite | 12 meses a partir do resgate ou da expiração. | Interesse legítimo (auditoria e controle) |
| Registro do consentimento de cookies | 13 meses a partir da última manifestação de consentimento. | Obrigação legal (art. 22 LSSI-CE; Diretrizes AEPD 2023) |
| Cookies e dados do Google Analytics 4 | Máximo de 14 meses a partir do último evento do usuário (configuração aplicada em GA4 *User and Event Data Retention*). | Configuração mínima razoável; o dado é anonimizado ao expirar |
| Cookies e dados do Google Ads (Enhanced Conversions e atribuição) | 90 dias para identificadores _gcl_*; 30 dias a janela de atribuição de conversão padrão. | Configuração padrão do Google Ads; janela ampliável até 90 dias se você ativar a modelagem de conversões |
| Listas de *remarketing* e *Customer Match* no Google Ads | Até 540 dias a partir da última atividade ou do upload do registro (máximo permitido pelo Google). Excluímos qualquer lista assim que um usuário revoga o consentimento ou exerce o direito de exclusão. | Período máximo permitido pela configuração do Google Ads |
| Dados do Plausible Analytics | Não são armazenados identificadores individuais; os eventos agregados são conservados por até 5 anos para análise histórica de tendências. | Interesse legítimo (analítica agregada) |
| Traces de erro no Sentry | 90 dias. | Interesse legítimo (debugging) |
Transcorridos os prazos indicados, os dados serão excluídos de forma segura ou anonimizados de maneira irreversível.
Princípio de minimização: Conservamos apenas os dados estritamente necessários para cada finalidade e pelo tempo mínimo indispensável. Exclusão antecipada: Independentemente dos prazos acima, você pode solicitar a exclusão de qualquer um dos seus dados a qualquer momento escrevendo para info@afini.ai, sem necessidade de aguardar o cumprimento dos prazos indicados. Atenderemos sua solicitação no prazo máximo de um mês. Exclusão da conta (afini.ai): Ao solicitar a exclusão da sua conta, serão excluídos: seu perfil cognitivo, o system prompt compilado, as pontuações de todas as avaliações e seus dados de identificação. Os dados de faturamento serão conservados durante o período legal obrigatório (5 anos).9. Seus direitos
De acordo com o RGPD (artigos 15 a 22) e a LOPDGDD (artigos 12 a 18), você tem os seguintes direitos:
a) Direito de acesso (art. 15 RGPD): Obter confirmação se tratamos seus dados e, em caso afirmativo, acessá-los e à informação sobre o tratamento. b) Direito de retificação (art. 16 RGPD): Solicitar a correção de dados pessoais inexatos ou incompletos. c) Direito de exclusão ("direito ao esquecimento") (art. 17 RGPD): Solicitar a exclusão dos seus dados quando, entre outras hipóteses, já não sejam necessários para a finalidade para a qual foram coletados, você revogar o consentimento ou os dados tiverem sido tratados ilicitamente. d) Direito à limitação do tratamento (art. 18 RGPD): Solicitar que se limite o tratamento dos seus dados em determinadas circunstâncias (por exemplo, enquanto se verifica a exatidão dos dados ou a licitude do tratamento). e) Direito à portabilidade (art. 20 RGPD): Receber seus dados pessoais em um formato estruturado, de uso comum e leitura mecânica (JSON ou CSV), e transmiti-los a outro responsável pelo tratamento. No caso da afini.ai, este direito inclui a possibilidade de obter seu perfil cognitivo em formato JSON portável. f) Direito de oposição (art. 21 RGPD): Opor-se ao tratamento dos seus dados por motivos relacionados à sua situação particular, quando o tratamento se basear em interesse legítimo. Em particular, você pode opor-se ao tratamento dos seus dados para fins de analítica agregada com o Plausible. g) Direito a não ser objeto de decisões individuais automatizadas (art. 22 RGPD): Não ser objeto de uma decisão baseada unicamente no tratamento automatizado, incluída a elaboração de perfis, que produza efeitos jurídicos ou afete você significativamente. h) Direito de revogar o consentimento para a injeção do perfil na IA (específico da afini.ai): Você pode solicitar a qualquer momento que seu perfil cognitivo deixe de ser injetado no modelo de IA, mantendo o acesso às demais funcionalidades da sua conta. i) Direito de revogar o consentimento para cookies analíticos e publicitários: Você pode revogar seu consentimento para o Google Analytics 4 e o Google Ads a qualquer momento reabrindo o banner de cookies a partir do link "Gerenciar cookies" do rodapé. Sua nova escolha substituirá imediatamente a anterior, desabilitará os identificadores correspondentes no Google Consent Mode e removerá os cookies associados no próximo ciclo de carregamento. Como exercer seus direitos:- Envie um email para info@afini.ai indicando o direito que deseja exercer, juntamente com uma cópia do seu RG, passaporte ou outro documento que comprove sua identidade.
- Responderemos à sua solicitação no prazo máximo de um mês a partir do recebimento (prorrogável por mais dois meses em casos de especial complexidade, conforme o art. 12.3 RGPD).
- O exercício destes direitos é gratuito, salvo se as solicitações forem manifestamente infundadas ou excessivas (art. 12.5 RGPD).
Se você considera que o tratamento dos seus dados viola a normativa de proteção de dados, tem direito a apresentar uma reclamação à autoridade de controle competente do seu país de residência:
- Espanha — AEPD (Agência Espanhola de Proteção de Dados): www.aepd.es · C/ Jorge Juan 6, 28001 Madrid · Tel: 901 100 099 / 912 663 517
- Reino Unido — ICO (Information Commissioner's Office): ico.org.uk
- União Europeia — Outras DPAs: Consulte a autoridade do seu Estado-membro em edpb.europa.eu
- Brasil — ANPD: www.gov.br/anpd
- Canadá — OPC: www.priv.gc.ca
- Austrália — OAIC: www.oaic.gov.au
- Estados Unidos — FTC: www.ftc.gov
- Japão — PPC: www.ppc.go.jp
Para qualquer outra jurisdição, entre em contato pelo info@afini.ai e indicaremos a autoridade competente correspondente.
10. Dados de menores de idade
O serviço da Afini não é dirigido a menores de 16 anos. Não coletamos intencionalmente dados de menores de 16 anos. Se você tem menos de 16 anos, não use este serviço nem nos forneça dados pessoais.
Se você é pai, mãe ou responsável legal e tem conhecimento de que um menor de 16 anos sob sua responsabilidade forneceu dados pessoais à Afini, entre em contato pelo info@afini.ai e procederemos à exclusão imediata desses dados.
O limite de 16 anos é estabelecido conforme o artigo 7 da LOPDGDD, que fixa em 14 anos a idade mínima para prestar consentimento na Espanha. Não obstante, dada a natureza especialmente sensível dos dados de personalidade, a Afini aplica um limiar de proteção reforçada de 16 anos.
Nota sobre limiares internacionais: Diferentes jurisdições estabelecem idades mínimas distintas para o consentimento digital (13 anos nos EUA sob COPPA, 13 anos no Canadá sob PIPEDA, 16 anos nos Países Baixos e na Alemanha, 15 anos na França, 14 anos na Áustria e na Itália etc.). A Afini aplica uniformemente o limiar de 16 anos para todas as jurisdições, garantindo assim o máximo nível de proteção independentemente da localização do usuário.11. Dados especialmente sensíveis e categorias especiais
Os dados derivados das avaliações de personalidade e do perfil cognitivo, em função da sua interpretação e contexto, podem aproximar-se da categoria de dados relativos à saúde psicológica ou ao perfil psicológico, categorias que gozam de proteção reforçada nos termos do artigo 9 do RGPD.
A Afini adota uma abordagem de máxima cautela:
- Tratamos os resultados das avaliações de personalidade e o perfil cognitivo compilado com um nível de proteção equivalente ao das categorias especiais de dados, independentemente de tecnicamente serem qualificados como tais.
- Os resultados das suas avaliações e o seu perfil cognitivo são estritamente privados: somente você tem acesso a eles por meio do seu link pessoal ou da sua conta de usuário.
- Não compartilhamos, vendemos, cedemos nem disponibilizamos a terceiros seus resultados de personalidade ou seu perfil cognitivo sob nenhuma circunstância. Isso inclui expressamente o Google: nem o Google Analytics, nem o Google Ads, nem o Google Tag Manager, nem qualquer outra plataforma publicitária recebem em nenhum momento seu perfil cognitivo, suas pontuações de personalidade ou suas respostas aos questionários.
- Não utilizamos os resultados nem o perfil para tomar decisões que afetem você (trabalhistas, de seguros, de crédito ou de qualquer outra natureza).
- Não agregamos nem anonimizamos dados de personalidade para criar estudos, estatísticas ou produtos derivados sem consentimento explícito e independente do usuário.
- O perfil cognitivo injetado no modelo de IA é utilizado exclusivamente para personalizar a interação do próprio usuário, nunca para classificá-lo, segmentá-lo ou tomar decisões automatizadas que o afetem.
- Não realizamos publicidade personalizada baseada em personalidade. As campanhas do Google Ads que executamos podem incluir audiências de *remarketing* (usuários que já visitaram a Plataforma), audiências de *Customer Match* (construídas a partir de listas comerciais de email) e audiências *Similar* derivadas das anteriores. Em nenhum caso essas audiências são construídas ou enriquecidas com suas pontuações de personalidade, seu perfil cognitivo, suas facetas, suas respostas aos questionários ou qualquer outra inferência derivada das avaliações psicométricas. A linha é absoluta: os dados do artigo 9 do RGPD não saem da Afini, nem mesmo de forma agregada ou pseudonimizada, em direção a qualquer plataforma publicitária.
12. Decisões automatizadas, elaboração de perfis e inteligência artificial
12.1. Elaboração do perfil de personalidade
O serviço da Afini gera perfis de personalidade de forma automatizada a partir das suas respostas a questionários psicométricos. Esses perfis baseiam-se em modelos científicos validados (Big Five, teoria do apego, estilos de humor, valores etc.) e são calculados por meio de algoritmos de pontuação estatística padronizados e publicamente documentados.
12.2. Perfil cognitivo compilado e injeção na IA (afini.ai)
Na plataforma afini.ai, os resultados de todas as avaliações são compilados em um perfil cognitivo estruturado (formato JSON). Este perfil é convertido em um *system prompt* (instruções de contexto) que é injetado em cada conversa com o modelo de IA para personalizar a interação.
Transparência sobre o funcionamento:- O usuário sabe a todo momento quais dimensões compõem seu perfil (traços, facetas, escalas de apego, estilos de humor, valores etc.) e seu nível de completude.
- O perfil é injetado como contexto do sistema no modelo de IA, com técnicas de cache (*prompt caching*) ativadas para otimizar o uso de tokens e reduzir o custo da interação.
- O modelo de IA recebe as instruções de personalização, mas não retém o perfil entre sessões.
- O usuário pode consultar, baixar e solicitar a exclusão do seu perfil a qualquer momento.
12.3. Alcance da decisão automatizada
- Os perfis gerados têm finalidade exclusivamente informativa e de autoconhecimento. Não são utilizados para tomar qualquer decisão que produza efeitos jurídicos sobre você nem que afete você significativamente de modo análogo.
- Os perfis não são utilizados para: seleção de pessoal, avaliação de crédito, determinação de prêmios de seguros, acesso a serviços nem qualquer outro processo de tomada de decisões que possa afetar seus direitos ou interesses.
- Não existe nenhum sistema de *scoring*, classificação, *ranking* ou categorização de usuários além da geração do perfil individual de autoconhecimento.
12.4. Seus direitos quanto a decisões automatizadas e ao uso de IA
Conforme o artigo 22 do RGPD, você tem direito a:
- Obter intervenção humana para a revisão do seu perfil.
- Expressar seu ponto de vista sobre os resultados.
- Contestar os resultados do perfil gerado.
- Solicitar que seu perfil não seja injetado no modelo de IA (mantendo acesso às demais funcionalidades).
- Obter uma explicação do significado de cada dimensão do seu perfil e de como ela influi na interação com a IA.
O resultado que você recebe tem caráter exclusivamente informativo e não tem nenhum valor vinculante, diagnóstico ou clínico. Você é livre para usá-lo, ignorá-lo ou interpretá-lo como considerar oportuno.
Para exercer qualquer um destes direitos, entre em contato pelo info@afini.ai.
13. Publicidade, medição de conversões e analítica web
Esta seção detalha como funcionam as integrações publicitárias e analíticas que ativamos apenas com seu consentimento.
13.1. Google Tag Manager (GTM)
O Google Tag Manager é um *contêiner* (não uma ferramenta de medição em si) que nos permite adicionar, editar e desativar etiquetas de medição e publicidade sem modificar o código-fonte do site. O contêiner é carregado com todos os sinais de consentimento (ad_storage, analytics_storage, ad_user_data, ad_personalization, functionality_storage, personalization_storage, security_storage) no valor padrão denied via Google Consent Mode v2. Nenhuma etiqueta dentro do contêiner é disparada com identificadores até que seu navegador transmita uma atualização de consentimento.
13.2. Google Analytics 4 (GA4)
Quando você concede consentimento à categoria "analítica", os cookies _ga e _ga_<container_id> são ativados para identificar seu navegador entre páginas e sessões. O GA4 permite analisar o comportamento de navegação agregado dentro da Plataforma. Seu endereço IP é anonimizado por padrão no EEE (truncamento IPv4/IPv6) antes do armazenamento pelo Google. A retenção de dados de usuário e eventos no GA4 está configurada em 14 meses.
13.3. Google Ads — Conversion Tracking
Quando você concede consentimento à categoria "marketing", os identificadores _gcl_au, _gcl_aw e _gcl_dc são ativados para associar a compra à campanha publicitária que o trouxe. A conversão é medida quando o pagamento é concluído no Stripe.
13.4. Google Ads — Enhanced Conversions
Além disso, quando você consente com a categoria "marketing", transmitimos ao Google um hash SHA-256 do seu endereço de email (calculado no navegador, normalizado em minúsculas e sem espaços) junto com os dados da transação. O hash é um identificador derivado: não permite recuperar seu email em texto plano, mas tecnicamente continua sendo um dado pessoal pseudonimizado para fins do RGPD. Sua única finalidade é melhorar a atribuição de conversões quando o usuário estiver conectado à sua conta Google com o mesmo email.
13.5. Google Ads — Offline Conversions (Stripe → Google Ads, server-to-server)
Para cobrir os casos em que o navegador do usuário não dispara o pixel de conversão (porque fecha a aba após pagar, porque seu navegador bloqueia o pixel etc.), nosso backend dispara uma chamada server-to-server à API do Google Ads (ConversionUploadService) a partir do handler do webhook checkout.session.completed do Stripe. Esta chamada inclui os mesmos campos descritos na seção anterior (hash SHA-256 do email + GCLID + valor + moeda + identificador opaco da compra). É uma transferência executada exclusivamente quando a categoria "marketing" do banner foi consentida e o evento corresponde a uma compra finalizada. É utilizado um identificador opaco (order_id) para deduplicar contra o evento disparado pelo navegador e evitar conversões contadas duas vezes.
13.6. Plausible Analytics (sem consentimento, *cookie-free*)
O Plausible Analytics é um serviço de analítica web hospedado dentro da União Europeia (Estônia) que não utiliza cookies, não armazena identificadores únicos persistentes e não permite acompanhar usuários individuais entre sessões. Fornece apenas métricas agregadas (visualizações de página, países, navegadores, fontes de tráfego) e, portanto, não requer seu consentimento prévio conforme as Diretrizes EDPB 03/2023 sobre o âmbito técnico do artigo 5.3 da Diretiva ePrivacy. Se você prefere não aparecer nem mesmo nessas métricas agregadas, pode ativar a opção "Do Not Track" do seu navegador (o Plausible respeita o sinal DNT) ou usar extensões como uBlock Origin que bloqueiem plausible.io.
13.7. Audiências publicitárias e *remarketing*
A Afini pode utilizar as seguintes funcionalidades de audiências publicitárias do Google Ads, sempre condicionadas ao seu consentimento prévio à categoria "marketing":
- Audiências de *remarketing* (Remarketing Lists for Search Ads): listas de usuários que visitaram previamente nossas Plataformas, construídas com os cookies
_gcl_*e outros identificadores padrão do Google Ads. Servem para mostrar a você anúncios relevantes quando volta a buscar termos relacionados ao nosso serviço. - Customer Match: listas de endereços de email transmitidas ao Google em formato hash SHA-256, que permitem segmentar campanhas para pessoas que já estão na nossa base de dados comercial (por exemplo, antigos clientes a quem oferecer um novo produto). O uso de Customer Match exige comprovar ao Google que dispomos de base jurídica para isso, o que no nosso caso é seu consentimento explícito à categoria "marketing" do banner de cookies, ou, se você nos forneceu seu email em outro contexto comercial, seu consentimento separado para uso publicitário.
- *Similar Audiences* (audiências similares): audiências geradas automaticamente pelo Google a partir das anteriores, ampliando o alcance para perfis publicitários estatisticamente parecidos. A geração é realizada pelo Google em seus sistemas; nós não transferimos dados adicionais para esta finalidade.
Se ativarmos formatos publicitários adicionais que exijam novos tipos de cookies ou novas transferências (por exemplo, campanhas de Display, YouTube ou demais inventário da rede do Google), atualizaremos esta política e reabriremos o banner de consentimento para os usuários afetados.
13.8. Inibição e revogação
Você pode:
- Inibir na origem: rejeitar as categorias "analítica" e "marketing" no banner de cookies quando ele aparecer pela primeira vez.
- Revogar a qualquer momento: reabrir o banner pelo link "Gerenciar cookies" do rodapé e desmarcar as categorias. Sua nova escolha entrará em vigor no próximo ciclo de carregamento da página.
- Bloquear no nível do navegador: instalar um bloqueador de etiquetas (uBlock Origin, Privacy Badger) ou desativar JavaScript para
googletagmanager.com,google-analytics.comegoogleadservices.com. - Desativar publicidade personalizada na sua conta Google: acesse https://adssettings.google.com/ e desative a opção correspondente.
14. Princípios do tratamento e avaliação de impacto
14.1. Princípios reitores (art. 5 RGPD)
O tratamento dos seus dados rege-se a todo momento pelos seguintes princípios:
- Licitude, lealdade e transparência: Tratamos seus dados de forma lícita, leal e transparente, informando você a todo momento sobre como e para que os utilizamos.
- Limitação da finalidade: Seus dados são coletados apenas para finalidades determinadas, explícitas e legítimas, e não serão tratados de forma incompatível com essas finalidades.
- Minimização de dados: Coletamos apenas os dados adequados, pertinentes e estritamente necessários para as finalidades do tratamento.
- Exatidão: Manteremos seus dados atualizados e adotaremos medidas razoáveis para suprimir ou retificar sem demora os dados inexatos.
- Limitação do prazo de conservação: Conservamos seus dados apenas durante o tempo necessário para os fins do tratamento.
- Integridade e confidencialidade: Tratamos seus dados garantindo segurança adequada, incluindo proteção contra o tratamento não autorizado ou ilícito e contra sua perda, destruição ou dano acidental.
14.2. Avaliação de Impacto à Proteção de Dados (DPIA)
Considerando que o tratamento de dados de personalidade e perfis cognitivos pode acarretar risco elevado para os direitos e liberdades dos titulares, a Afini realizou uma Avaliação de Impacto à Proteção de Dados (DPIA) conforme o artigo 35 do RGPD. Esta avaliação abrange tanto o serviço test.afini.ai quanto o serviço de perfil cognitivo com IA da afini.ai e inclui análise específica das integrações publicitárias descritas na seção 13.
A avaliação concluiu que o risco residual do tratamento é moderado-baixo, graças às seguintes medidas mitigadoras: exclusão de respostas individuais após a geração do relatório (test.afini.ai), acesso exclusivo do usuário aos seus resultados e perfil, ausência de compartilhamento do perfil com terceiros (incluindo o Google), criptografia integral dos dados, não persistência das conversas com IA, política de não treinamento do fornecedor de IA (API comercial da Anthropic), Google Consent Mode v2 com valor padrão denied, segmentação publicitária sem uso de inferências de personalidade e transparência sobre a composição e injeção do perfil.
A DPIA está disponível para consulta em https://afini.ai/legal/dpia.
15. Medidas de segurança técnicas e organizacionais
A Afini implementa medidas técnicas e organizacionais apropriadas conforme o artigo 32 do RGPD para garantir um nível de segurança adequado ao risco:
Medidas técnicas:- Criptografia de todas as comunicações via HTTPS/TLS 1.2+ (criptografia em trânsito).
- Criptografia do banco de dados em repouso (AES-256).
- Acesso ao banco de dados restrito por credenciais seguras e conexões criptografadas.
- Separação lógica dos dados de cada usuário (isolamento de sessões).
- Tokens de acesso únicos e não previsíveis para o acesso aos resultados.
- Ausência de armazenamento de dados financeiros (delegada integralmente à Stripe).
- Auditoria de acessos aos endpoints de administração.
- Autenticação via magic link com *rate limiting* (afini.ai) — sem senhas armazenadas.
- Comunicação com a API da Anthropic criptografada de ponta a ponta (TLS 1.3).
- Comunicação com a API do Google Ads criptografada de ponta a ponta (TLS 1.3) e autenticada via OAuth 2.0 com *refresh token* rotacionado.
- Contabilização de tokens por meio de operações atômicas no banco de dados (prevenção de condições de corrida).
- Política de Segurança de Conteúdos (CSP) restritiva com *whitelist* explícita de origens permitidas.
- Acesso aos sistemas de administração limitado exclusivamente ao pessoal autorizado.
- Princípio de minimização de dados: são coletados e conservados apenas os dados estritamente necessários.
- Princípio de limitação da finalidade: os dados são utilizados apenas para as finalidades declaradas nesta política.
- Revisão periódica das medidas de segurança.
- Protocolo de notificação de violações de segurança conforme os artigos 33 e 34 do RGPD: em caso de violação, notificaremos a AEPD em um prazo máximo de 72 horas e, se for o caso, os usuários afetados sem demora indevida.
16. Política de cookies e armazenamento local
Para informações detalhadas sobre o uso de cookies, consulte nossa Política de Cookies.
Resumo: As Plataformas utilizam:- Cookies necessários para o funcionamento do serviço (sessão, idioma, registro do consentimento, prevenção de fraude via Stripe e Cloudflare).
- Cookies analíticos e publicitários (Google Analytics 4, Google Ads) somente com seu consentimento prévio, gerenciados via Google Consent Mode v2 com valor padrão
denied. - Analítica agregada cookie-free via Plausible Analytics, que não exige consentimento por não instalar identificadores no seu equipamento.
- localStorage do navegador para armazenar tecnicamente: token de sessão, preferência de idioma, perfil ativo na afini.ai e registro local do consentimento.
Você pode revogar o consentimento a cookies analíticos e publicitários a qualquer momento reabrindo o banner pelo link "Gerenciar cookies" do rodapé.
Do Not Track (DNT): O Plausible Analytics respeita o sinal DNT do navegador. O Google Tag Manager e os serviços do Google não respeitam DNT por si só, mas nossa integração com o Consent Mode v2 garante que nenhum identificador do Google seja definido até que você confirme seu consentimento.17. Links a terceiros
As Plataformas podem conter links para sites de terceiros (por exemplo, Stripe para o processamento de pagamentos, Anthropic como fornecedor da tecnologia de IA, Google para seus termos de serviço publicitários). A Afini não é responsável pelas práticas de privacidade nem pelo conteúdo desses sites externos. Recomendamos que você consulte as políticas de privacidade de qualquer site de terceiros que visitar.
18. Informação específica por jurisdição
Esta seção contém informações adicionais exigidas pela legislação de determinadas jurisdições. Se você reside em algum dos países ou regiões indicados a seguir, as disposições desta seção aplicam-se em adição (e não em substituição) às disposições gerais desta Política de Privacidade.
18.1. Reino Unido (UK GDPR + Data Protection Act 2018)
Sob a legislação do Reino Unido (UK GDPR e Data Protection Act 2018), seus direitos de proteção de dados são equivalentes aos previstos no RGPD. A base jurídica, a conservação de dados e os direitos de acesso aplicam-se conforme a lei britânica. Você pode apresentar reclamações ao ICO (Information Commissioner's Office).
18.2. Estados Unidos da América
Para usuários nos Estados Unidos, além desta Política de Privacidade, aplicam-se o Children's Online Privacy Protection Act (COPPA) para menores de 13 anos, bem como as leis estaduais de privacidade da Califórnia (CCPA/CPRA), Virgínia (VCDPA), Colorado (CPA) e Connecticut (CTDPA), entre outras. Você tem direito a acessar, retificar e excluir seus dados, bem como a se opor ao processamento. A Afini não vende informações pessoais de acordo com a definição da CCPA/CPRA e não compartilha informações para fins de publicidade cruzada *contextual* ou comportamental sem o seu consentimento. A transmissão do hash do email ao Google Ads para Enhanced Conversions, condicionada ao seu opt-in no banner, poderia ser considerada "sharing" sob a CPRA — você pode se opor exercendo o direito de rejeitar a categoria "marketing" do banner de cookies.
18.3. Canadá (PIPEDA e legislação provincial)
Para usuários no Canadá, seus dados são tratados conforme a PIPEDA (Personal Information Protection and Electronic Documents Act) e a legislação provincial aplicável (incluindo a Loi 25 do Quebec). Você tem direito a acessar seus dados, solicitar sua correção e saber como são utilizados.
18.4. Brasil (LGPD — Lei Geral de Proteção de Dados)
Para usuários no Brasil, seus dados são tratados conforme a LGPD (Lei Geral de Proteção de Dados — Lei nº 13.709/2018). Você tem direito a acessar seus dados, solicitar sua correção, portabilidade e exclusão. Você pode apresentar reclamações à ANPD (Autoridade Nacional de Proteção de Dados).
18.5. Austrália (Privacy Act 1988 + APPs)
Para usuários na Austrália, seus dados são tratados conforme o Privacy Act 1988 (Cth) e os Australian Privacy Principles (APPs). Você tem direito a acessar seus dados, solicitar sua correção e apresentar reclamações ao OAIC (Office of the Australian Information Commissioner).
18.6. Japão (APPI — Act on the Protection of Personal Information)
Para usuários no Japão, seus dados são tratados conforme a APPI (Act on the Protection of Personal Information). Você tem direito a acessar, retificar, excluir e solicitar a limitação do tratamento dos seus dados. Você pode apresentar reclamações à PPC (Personal Information Protection Commission).
19. Modificações desta política
A Afini reserva-se o direito de modificar esta Política de Privacidade a qualquer momento para adaptá-la a novidades legislativas, jurisprudenciais ou da nossa própria prática empresarial.
Qualquer modificação substancial será comunicada por meio das próprias Plataformas (mediante aviso visível no site) e, se dispusermos do seu endereço de email, por email informativo.
A data da última atualização é sempre indicada no início deste documento. Recomendamos que você consulte esta política periodicamente.
20. Legislação aplicável e jurisdição
Esta Política de Privacidade rege-se pela legislação espanhola e europeia como normativa principal e, adicionalmente, pela legislação de proteção de dados aplicável em cada jurisdição em que residem nossos usuários:
Normativa principal (sede do responsável):- Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 (Regulamento Geral de Proteção de Dados — RGPD).
- Lei Orgânica 3/2018, de 5 de dezembro, de Proteção de Dados Pessoais e Garantia dos Direitos Digitais (LOPDGDD).
- Lei 34/2002, de 11 de julho, de Serviços da Sociedade da Informação e do Comércio Eletrônico (LSSI-CE).
- Regulamento (UE) 2024/1689 do Parlamento Europeu e do Conselho (Regulamento de Inteligência Artificial — AI Act).
- Diretiva 2002/58/CE (Diretiva ePrivacy), conforme transposta para a legislação espanhola pelo artigo 22.2 LSSI-CE.
- Reino Unido: UK General Data Protection Regulation (UK GDPR) e Data Protection Act 2018.
- Estados Unidos: California Consumer Privacy Act / California Privacy Rights Act (CCPA/CPRA); Virginia Consumer Data Protection Act (VCDPA); Colorado Privacy Act (CPA); Connecticut Data Privacy Act (CTDPA); e demais leis estaduais de privacidade aplicáveis. Children's Online Privacy Protection Act (COPPA) em relação a menores.
- Canadá: Personal Information Protection and Electronic Documents Act (PIPEDA); Loi 25 (Quebec); e legislação provincial aplicável.
- Brasil: Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018).
- Austrália: Privacy Act 1988 (Cth) e Australian Privacy Principles (APPs).
- Japão: Act on the Protection of Personal Information (APPI).
Em caso de conflito entre disposições de jurisdições distintas, aplicar-se-á a norma que ofereça maior nível de proteção ao usuário.
Para qualquer controvérsia decorrente desta política, serão competentes os Juízos e Tribunais de Bilbao, com renúncia expressa a qualquer outro foro que pudesse corresponder, sem prejuízo dos direitos que a legislação vigente reconhece aos consumidores e usuários em suas respectivas jurisdições de residência, incluindo o direito irrenunciável de recorrer aos tribunais do seu domicílio nas jurisdições em que a lei assim dispuser.
21. Contato
Para qualquer consulta, solicitação de exercício de direitos ou reclamação relacionada à proteção dos seus dados pessoais:
- Email: info@afini.ai
- Endereço postal: Bilbao AI S.L. — Calle Diputación 8, planta 4.ª, Departamento 5, 48008 Bilbao (Bizkaia), Espanha
*Última atualização: 9 de maio de 2026*
13. Como o Afini aprende
A partir de maio de 2026 o Afini incorpora um sistema de camadas declaradas alimentado por três vias possíveis:
- Formulários manuais: escreves diretamente no dashboard.
- Módulos conversacionais: conversas guiadas com a IA onde o Afini extrai peças relevantes.
- Extração passiva: durante uma conversa livre, o Afini deteta menções que podem ser relevantes para o teu perfil.
As pistas detetadas passam por um sistema de dois eixos — confiança (quão seguros estamos) e sensibilidade (quão delicada é a categoria) — que decide o seu destino: auto-injeção, notificação passiva ou bandeja de descobertas. As pistas de alta sensibilidade ou confiança média vão sempre à bandeja para que tu decidas.
14. As camadas declaradas
O teu perfil cognitivo estendido tem 8 camadas declaradas: Cânone, Espaço negativo, Meta-preferências, Moldura mental, Equipamento operacional, Ritmos e geografia, Contexto vital, Trajetória intelectual. Cada camada tem a sua tabela, política de expiração e nível de sensibilidade. Podes ver, editar e eliminar qualquer item a partir do dashboard.
15. O teu direito de rever e eliminar (RGPD Art. 22 / EU AI Act Art. 50)
- Bandeja de descobertas: todas as pistas detetadas passivamente esperam o teu sinal verde antes de serem injetadas no perfil.
- RGPD Art. 22: não tomamos decisões automatizadas com efeitos jurídicos sobre ti. O sistema injeta contexto a um LLM como prompt — a decisão real continua a ser tua e da IA.
- EU AI Act Art. 50.2: os items de camadas provenientes de extração passiva são marcados aiGenerated=true no teu JSON portátil.
- Direito ao apagamento:
DELETE /v1/account/dataapaga TODAS as tuas tabelas. - Aparté metodológico: publicamos em
/dashboard/methodologya regra operacional exata com limiares numéricos.
16. Dados que nunca capturamos
Nomes concretos de terceiros (filhos, parceiros, chefes, etc.) em vital_context. Um validador anti-PII server-side rejeita qualquer tentativa com HTTP 422. Números de cartão de crédito. Localização GPS exata. Dados de menores de 16 anos.
14. Aprendizagem no chat (Fase 6, maio 2026)
A partir de maio de 2026, usuários do plano Professional podem ativar duas mecânicas adicionais de aprendizagem automática no chat livre:
Micro-botões inline. Enquanto você conversa, a IA pode te oferecer micro-botões discretos (✓ aceitar / ✗ descartar) para adicionar ao seu perfil afirmações que detecta como estáveis e claras. São oferecidos apenas para três camadas específicas: seu cânone estético, seu espaço negativo (rejeições) e suas meta-preferências (como você quer ser tratado). As cinco camadas mais sensíveis (quadro mental, equipamento operacional, contexto vital, ritmos, trajetória) precisam sempre que você as declare — nunca são propostas automaticamente. Extração passiva estendida. A cada cinco turnos de chat, um modelo leve (Haiku) revisa suas mensagens para identificar (a) fatos de vida que podem ir direto para sua Memória, e (b) suposições sobre as três camadas autorizadas que entram na sua bandeja de Descobertas para você aceitar ou rejeitar. Qualquer suposição de alta sensibilidade é descartada silenciosamente. Seu controle. Você pode desativar qualquer mecânica a qualquer momento em Configurações → Extração automática. Se desativar, os dados já salvos permanecem no seu perfil e você os gerencia normalmente em Memória e Descobertas. Confirmação humana sempre. Nenhum micro-botão salva nada até que você aceite. Nenhuma suposição extraída passivamente é injetada no seu perfil sem passar primeiro pela sua bandeja de Descobertas. A autonomia do usuário sobre o que a IA aprende é absoluta: art. 22 GDPR e art. 50 AI Act são respeitados by design.