legal.back

Política de Privacidade

Última atualização: 20 de março de 2026

Índice

  1. Responsável do tratamento e âmbito territorial
  2. Encarregado de Proteção de Dados
  3. Que dados recolhemos
  4. Para que usamos teus dados (finalidades do tratamento)
  5. Base jurídica do tratamento
  6. Destinatários dos dados
  7. Transferências internacionais de dados
  8. Prazo de conservação dos dados
  9. Teus direitos
  10. Dados de menores de idade
  11. Dados especialmente sensíveis e categorias especiais
  12. Decisões automatizadas, elaboração de perfis e inteligência artificial
  13. Princípios do tratamento e avaliação de impacto
  14. Medidas de segurança técnicas e organizativas
  15. Política de cookies e armazenamento local
  16. Links a terceiros
  17. Informação específica por jurisdição
  18. Modificações desta política
  19. Legislação aplicável e jurisdição
  20. Contato

1. Responsável do tratamento e âmbito territorial

O responsável do tratamento de teus dados pessoais é:

  • Denominação social: Bilbao AI S.L.
  • CIF: B-13759758
  • Domicílio social: Calle Diputación 8, planta 4.ª, Departamento 5, 48008 Bilbao (Bizkaia), Espanha
  • Correio eletrônico: info@afini.ai
  • Sites web: https://test.afini.ai · https://afini.ai

Bilbao AI S.L. (a seguir, "Afini", "nós" ou "as Plataformas") é titular e responsável dos serviços de avaliação de personalidade e perfil cognitivo acessíveis através destes sites web.

Âmbito territorial: Afini oferece seus serviços a usuários de todo o mundo. Esta Política de Privacidade foi delineada para cumprir com a normativa de proteção de dados aplicável em cada jurisdição onde operamos, incluindo — sem limitação — a União Europeia, o Espaço Económico Europeu, o Reino Unido, os Estados Unidos da América, Canadá, Brasil, Austrália e Japão. Em caso de conflito entre disposições de distintas jurisdições, será aplicada a norma que ofereça um nível maior de proteção ao usuário.

2. Encarregado de Proteção de Dados

Dado o tamanho da organização e a natureza dos dados tratados, Afini não está obrigada a designar um Encarregado de Proteção de Dados (DPD/DPO) conforme ao artigo 37 do RGPD. Não obstante, podes dirigir qualquer consulta relacionada com a proteção de teus dados pessoais a: info@afini.ai.

3. Que dados recolhemos

Recolhemos e tratamos as seguintes categorias de dados pessoais, segundo o serviço utilizado e o momento da interação:

3.1. Dados proporcionados ao comprar ou iniciar um teste (test.afini.ai)

  • Nome ou pseudônimo
  • Endereço de correio eletrônico
  • Idade (opcional)
  • Sexo biológico (opcional, para calibração normativa)
  • Género (opcional)
  • País de residência (opcional)
  • Preferência de pronomes (opcional)

3.2. Dados proporcionados ao registar-se (afini.ai)

  • Endereço de correio eletrônico (obrigatório, para autenticação via magic link)
  • Nome ou pseudônimo (obrigatório)
  • Dados demográficos de calibração (idade, sexo biológico, país — opcionais, para precisão normativa)

3.3. Dados gerados durante a realização de avaliações

  • Respostas individuais a cada item dos questionários (escala Likert 1-5)
  • Marca temporal de início e finalização de cada avaliação
  • Versão e tipo de avaliação realizada

3.4. Dados do resultado e perfil cognitivo

  • Pontuações dos 5 grandes traços de personalidade (Abertura, Responsabilidade, Extroversão, Amabilidade, Estabilidade Emocional)
  • Pontuações das 30 facetas de personalidade (em versões Avançado e Completo)
  • Pontuações de instrumentos adicionais em afini.ai (escalas de apego, estilos de humor, e outros segundo evolução do serviço)
  • Perfil cognitivo compilado (estrutura JSON que integra as pontuações de todas as camadas avaliadas)
  • System prompt compilado (versão textual do perfil utilizada para a injeção no modelo de IA)
  • Informe de personalidade narrativo gerado por IA

3.5. Dados de interação com IA (afini.ai)

  • Conteúdo das conversações com o modelo de IA (mensagens do usuário e respostas do sistema)
  • Contabilidade de uso: número de tokens de saída consumidos por mês (dado técnico para controle de quota do plano). Os tokens de entrada não computam a efeitos de limite mensal
  • Número de petições diárias ao serviço de IA
Importante: Afini conserva o conteúdo das conversações com IA durante um máximo de 90 dias após a extração do perfil cognitivo, para permitir a recalibração com modelos melhorados. Decorrido esse prazo, as transcrições são automaticamente eliminadas. O usuário pode solicitar a eliminação imediata a qualquer momento. Não são utilizadas as conversações para treinar modelos de IA nem são compartilhadas com o provedor do modelo (Anthropic) para fins de treinamento.

3.6. Dados de pagamento

Afini NÃO armazena, processa nem tem acesso aos dados do teu cartão de crédito ou débito, número de conta bancária nem nenhum outro dado financeiro.

Os pagamentos são gerenciados integralmente por Stripe, Inc., que atua como processador de pagamentos independente e é responsável do tratamento dos dados financeiros conforme à sua própria Política de Privacidade e à normativa PCI-DSS.

Afini unicamente recebe de Stripe uma confirmação de pagamento exitoso (estado da transação e identificador de sessão de Stripe). Não recebemos os dados do cartão nem do meio de pagamento.

3.7. Dados técnicos que NÃO recolhemos

Afini NÃO armazena de forma persistente:

  • Endereço IP do usuário (processado transitoriamente em memória para rate limiting, sem persistência na base de dados)
  • Impressão digital do navegador (browser fingerprint)
  • Dados de geolocalização precisa
  • Identificadores de dispositivo
  • Dados de navegação ou histórico de páginas visitadas dentro ou fora das Plataformas
  • Cookies de rastreamento, analíticas ou publicitárias

4. Para que usamos teus dados (finalidades do tratamento)

Tratamos teus dados pessoais exclusivamente para as seguintes finalidades:

FinalidadeDados utilizadosBase jurídica
-------------------------------------------
Gerar teu perfil de personalidade Big FiveRespostas ao teste, versão do testeExecução do contrato
Gerar e enviar-te teu informe de resultadosNome, email, pontuaçõesExecução do contrato
Permitir-te acessar teus resultados por meio de link pessoalEmail, token de sessãoExecução do contrato
Processar o pagamento do serviço (via Stripe)Confirmação de pagamentoExecução do contrato
Canjear um código de convite (voucher)Código de voucher, nome, emailExecução do contrato
Compilar teu perfil cognitivo multicamadas (afini.ai)Pontuações de todas as avaliações realizadasExecução do contrato
Injetar teu perfil no modelo de IA para personalizar a interação (afini.ai)Perfil cognitivo compiladoExecução do contrato + Consentimento
Contabilizar o uso do serviço de IA para controle de quota (afini.ai)Tokens consumidos, petições diáriasExecução do contrato
Gerenciar tua subscrição (afini.ai)Email, plano, estado da subscriçãoExecução do contrato
Autenticar-te por meio de magic link (afini.ai)EmailExecução do contrato
Responder a tuas consultas ou solicitaçõesEmail, nomeInteresse legítimo
Cumprir obrigações legais e fiscaisDados de faturaçãoObrigação legal

O que NÃO fazemos com teus dados:

  • NÃO vendemos teus dados a terceiros. Nunca. Sob nenhuma circunstância.
  • NÃO compartilhamos teu perfil de personalidade, tuas respostas, teus resultados nem teu perfil cognitivo com terceiros.
  • NÃO realizamos perfilado publicitário nem segmentação comercial baseada em tua personalidade.
  • NÃO utilizamos teus dados para enviar-te publicidade, newsletters ou comunicações comerciais não solicitadas.
  • NÃO criamos perfis de comportamento baseados em tua navegação.
  • NÃO cedemos teus dados a redes publicitárias, data brokers nem plataformas de marketing.
  • NÃO utilizamos teus dados para treinar modelos de inteligência artificial nem para investigação sem teu consentimento explícito e independente.
  • NÃO compartilhamos o conteúdo de tuas conversações com IA com o provedor do modelo nem com nenhum terceiro.

5. Base jurídica do tratamento

O tratamento de teus dados fundamenta-se nas seguintes bases jurídicas conforme ao artigo 6.1 do RGPD:

a) Execução de um contrato (art. 6.1.b RGPD): O tratamento é necessário para a prestação do serviço que contrataste: a realização de avaliações de personalidade, a geração de informes, a compilação do perfil cognitivo e a interação personalizada com IA. A compra do teste, o canje de um código de convite (voucher) ou a contratação de uma subscrição constitui a aceitação do serviço. b) Consentimento (art. 6.1.a RGPD): Para os dados demográficos opcionais (idade, género, país), a base jurídica é teu consentimento livre, específico, informado e inequívoco, manifestado ao proporcioná-los voluntariamente. A injeção do perfil cognitivo no modelo de IA requer adicionalmente teu consentimento explícito, que é solicitado de forma separada ao ativar o serviço de interação com IA. Podes revogar este consentimento em qualquer momento escrevendo a info@afini.ai, sem que isto afecte à licitude do tratamento baseado no consentimento prévio à sua retirada. c) Interesse legítimo (art. 6.1.f RGPD): Para a atenção de consultas e solicitações que nos envies por correio eletrônico, baseado em nosso interesse legítimo em manter uma comunicação adequada com os usuários de nosso serviço. d) Obrigação legal (art. 6.1.c RGPD): Para o cumprimento de obrigações fiscais e contables conforme à legislação espanhola vigente (Lei Geral Tributária, Código de Comércio).

6. Destinatários dos dados

Teus dados pessoais poderão ser comunicados aos seguintes destinatários, exclusivamente na medida necessária para as finalidades descritas:

DestinatárioFinalidadeUbicaçãoGarantias
----------------------------------------------
Stripe, Inc.Processamento de pagamentosEE.UU. / UEData Privacy Framework (DPF), cláusulas contratuais tipo
Railway Corp.Alojamento da API e base de dados PostgreSQLEE.UU. / UECláusulas contratuais tipo, medidas técnicas complementares
Cloudflare, Inc.Alojamento e distribuição do site web frontend (Cloudflare Workers)EE.UU. / Rede globalData Privacy Framework (DPF), cláusulas contratuais tipo
Anthropic PBCProvedor do modelo de IA (LLM) para geração de informes e interação personalizadaEE.UU.Data Privacy Framework (DPF), cláusulas contratuais tipo, Anthropic Usage Policy (dados não utilizados para treinamento)
Resend, Inc.Envio de correios eletrônicos transacionaisEE.UU.Cláusulas contratuais tipo
Tratamento por parte de Anthropic: Quando o modelo de IA processa teu perfil cognitivo ou gera um informe, o conteúdo é enviado aos servidores de Anthropic para seu processamento em tempo real. Anthropic não retém o conteúdo das petições de API para treinamento de seus modelos quando se utiliza a API comercial (conforme à sua Usage Policy). O perfil é enviado com cada petição e é descartado por Anthropic após gerar a resposta. Não compartilhamos teus dados com nenhum outro terceiro. Não empregamos serviços de analítica web (como Google Analytics), não utilizamos redes publicitárias, não integramos SDKs de rastreamento e não cedemos dados a nenhum outro prestador de serviços, empresa do grupo nem sócio comercial.

Em caso de que uma autoridade administrativa ou judiciaria nos requeira a comunicação de dados conforme à legislação vigente, procederemos a isto exclusivamente dentro do marco legal aplicável.

7. Transferências internacionais de dados

Alguns de nossos provedores de serviços podem tratar dados fora do Espaço Económico Europeu (EEE). Em todos os casos, garantimos que tais transferências contam com garantias adequadas conforme ao Capítulo V do RGPD:

  • Stripe, Inc. (EE.UU.): Aderido ao EU-U.S. Data Privacy Framework (DPF), decisão de adequação da Comissão Europeia de 10 de julho de 2023. Adicionalmente, Stripe aplica cláusulas contratuais tipo (SCCs) aprovadas pela Comissão Europeia.
  • Railway Corp. (EE.UU.): Transferências amparadas por cláusulas contratuais tipo (SCCs) conforme à Decisión de Execución 2021/914 da Comissão Europeia, complementadas com medidas técnicas adicionais (cifrado em trânsito e em repouso).
  • Cloudflare, Inc. (EE.UU. / rede global): Aderido ao EU-U.S. Data Privacy Framework (DPF). Adicionalmente, Cloudflare aplica cláusulas contratuais tipo (SCCs) e medidas técnicas complementares.
  • Anthropic PBC (EE.UU.): Aderido ao EU-U.S. Data Privacy Framework (DPF). Os dados enviados à API comercial de Anthropic são processados em tempo real e não são retidos para treinamento. Garantias adicionais: cifrado em trânsito (TLS 1.3), processamento sem persistência de dados de petições API.
  • Resend, Inc. (EE.UU.): Transferências amparadas por cláusulas contratuais tipo (SCCs).

Afini realizou uma Avaliação de Impacto das Transferências (Transfer Impact Assessment — TIA) conforme à doutrina do Tribunal de Justiça da UE (assunto C-311/18, Schrems II) para cada uma das transferências descritas, concluindo que as garantias contratuais e técnicas implementadas asseguram um nível de proteção substantivamente equivalente ao garantido pelo RGPD. Tais avaliações são revisadas periodicamente e estão disponíveis para a autoridade de controle prévia solicitação.

Em nenhum caso são transferidos dados a países que careçam de um nível adequado de proteção sem as garantias exigidas pelo RGPD.

Para usuários do Reino Unido: As transferências de dados fora do Reino Unido são amparadas no UK International Data Transfer Agreement (IDTA) e/ou o UK Addendum às SCCs da UE, conforme ao disposto pelo Information Commissioner's Office (ICO). O Reino Unido reconhece o EU-U.S. Data Privacy Framework Extension como base para transferências a EE.UU. Para usuários do Canadá: As transferências de dados fora do Canadá são realizadas conforme aos princípios de PIPEDA (Seção 4.1.3), assegurando que os provedores de serviços oferecem um nível de proteção comparável por meio de acordos contratuais vinculantes. Para usuários do Brasil: As transferências internacionais são amparadas nas garantias do artigo 33 da LGPD, incluindo cláusulas contratuais específicas e o cumprimento de padrões de proteção adequados certificados pela ANPD.

8. Prazo de conservação dos dados

Conservamos teus dados durante os seguintes prazos:

Tipo de dadoPrazo de conservaçãoMotivo
-------------------------------------------
Respostas individuais ao teste (test.afini.ai)São eliminadas do servidor uma vez gerado o informe de resultados. Não são armazenadas de forma permanente.Minimização de dados
Respostas a avaliações (afini.ai)São conservadas enquanto a conta de usuário esteja ativa, para permitir recalibragem do perfil. Eliminação sob solicitação.Execução do contrato
Pontuações e resultados agregadosEnquanto mantenhas teu link de acesso ativo (test.afini.ai) ou tua conta ativa (afini.ai). Podes solicitar sua eliminação em qualquer momento.Execução do contrato
Perfil cognitivo compilado (afini.ai)Enquanto a conta de usuário esteja ativa. É eliminado após 90 dias desde o cancelamento da conta.Execução do contrato
System prompt compilado (afini.ai)Idêntico ao perfil cognitivo.Execução do contrato
Conteúdo de conversações com IA (afini.ai)Máximo 90 dias após a extração do perfil cognitivo, para recalibração com modelos melhorados. Eliminação imediata disponível sob solicitação do usuário. Eliminação automática após 90 dias.Consentimento + minimização de dados
Contabilidade de tokens (afini.ai)12 meses desde o registro, renováveis por período de subscrição.Execução do contrato
Informe de personalidadeEnquanto mantenhas teu link de acesso ativo ou tua conta ativa.Execução do contrato
Nome e correio eletrônicoMáximo 12 meses desde a realização do teste (test.afini.ai) ou desde o cancelamento da conta (afini.ai), salvo que solicites antes sua eliminação.Execução do contrato
Dados de faturação / confirmação de pagamento5 anos desde a data da transação.Obrigação legal (art. 30 Código de Comércio; art. 70 Lei Geral Tributária)
Dados de voucher / convite12 meses desde seu canje ou expiração.Interesse legítimo (auditoria e controle)

Transcorridos os prazos indicados, os dados serão eliminados de forma segura ou serão anonimizados de maneira irreversível.

Princípio de minimização: Sómente conservamos os dados estritamente necessários para cada finalidade e durante o tempo mínimo imprescindível. Eliminação antecipada: Com independência dos prazos anteriores, podes solicitar a eliminação de qualqueres de teus dados em qualquer momento escrevendo a info@afini.ai, sem necessidade de esperar a que se cumpram os prazos indicados. Atenderemos tua solicitação no prazo máximo de um mês. Eliminação de conta (afini.ai): Ao solicitar a eliminação de tua conta, serão eliminados: teu perfil cognitivo, o system prompt compilado, as pontuações de todas as avaliações e teus dados de identificação. Os dados de faturação serão conservados durante o período legal obrigatório (5 anos).

9. Teus direitos

De conformidade com o RGPD (artigos 15 a 22) e a LOPDGDD (artigos 12 a 18), tens os seguintes direitos:

a) Direito de acesso (art. 15 RGPD): Obter confirmação de se tratamos teus dados e, em seu caso, acessá-los e à informação sobre o tratamento. b) Direito de retificação (art. 16 RGPD): Solicitar a correção de dados pessoais inexatos ou incompletos. c) Direito de supressão ("direito ao olvido") (art. 17 RGPD): Solicitar a eliminação de teus dados quando, entre outros supósitos, já não sejam necessários para a finalidade para a qual foram recolhidos, retire teu consentimento, ou os dados tenham sido tratados ilicitamente. d) Direito à limitação do tratamento (art. 18 RGPD): Solicitar que se limite o tratamento de teus dados em determinadas circunstâncias (por exemplo, enquanto se verifica a exatidão dos dados ou a licitude do tratamento). e) Direito à portabilidade (art. 20 RGPD): Receber teus dados pessoais em um formato estruturado, de uso comum e leitura mecânica (JSON ou CSV), e transmiti-los a outro responsável do tratamento. No caso de afini.ai, este direito inclui a possibilidade de obter teu perfil cognitivo em formato JSON portável. f) Direito de oposição (art. 21 RGPD): Opor-te ao tratamento de teus dados por motivos relacionados com tua situação particular, quando o tratamento se baseie em interesse legítimo. g) Direito a não ser objeto de decisões individuais automatizadas (art. 22 RGPD): Não ser objeto de uma decisão baseada unicamente no tratamento automatizado, incluida a elaboração de perfis, que produza efeitos jurídicos ou te afecte significativamente. h) Direito a retirar o consentimento para a injeção do perfil em IA (específico de afini.ai): Podes solicitar em qualquer momento que teu perfil cognitivo deixe de ser injetado no modelo de IA, mantendo acesso ao resto de funcionalidades de tua conta.

Como exercer teus direitos:

  • Envia um correio eletrônico a info@afini.ai indicando o direito que desjas exercer, junto com uma cópia do teu DNI, passaporte ou outro documento que acredite tua identidade.
  • Responderemos a tua solicitação em um prazo máximo de um mês desde sua receção (ampliável a dois meses em casos de especial complexidade, conforme ao art. 12.3 RGPD).
  • O exercício destes direitos é gratuito, salvo que as solicitações sejam manifestamente infundadas ou excessivas (art. 12.5 RGPD).

Direito a reclamar ante a autoridade de controle:

Se consideras que o tratamento de teus dados vulnera a normativa de proteção de dados, tens direito a apresentar uma reclamação ante a autoridade de controle competente de teu país de residência:

  • Espanha — AEPD (Agência Espanhola de Proteção de Dados): www.aepd.es · C/ Jorge Juan 6, 28001 Madrid · Tel: 901 100 099 / 912 663 517
  • Reino Unido — ICO (Information Commissioner's Office): ico.org.uk
  • União Europeia — Outras DPAs: Consulta a autoridade de teu Estado membro em edpb.europa.eu
  • Brasil — ANPD: www.gov.br/anpd
  • Canadá — OPC: www.priv.gc.ca
  • Austrália — OAIC: www.oaic.gov.au
  • Estados Unidos — FTC: www.ftc.gov
  • Japão — PPC: www.ppc.go.jp

Para qualquer outra jurisdição, contacta connosco em info@afini.ai e te indicaremos a autoridade competente correspondente.

10. Dados de menores de idade

O serviço de Afini não está dirigido a menores de 16 anos. Não recolhemos intencionadamente dados de menores de 16 anos. Se és menor de 16 anos, não utilizes este serviço nem nos proporciones dados pessoais.

Se és pai, mãe ou tutor legal e tens conhecimento de que um menor de 16 anos sob tua responsabilidade proporcionou dados pessoais a Afini, contacta connosco em info@afini.ai e procederemos a eliminar tais dados de forma imediata.

O limite de 16 anos estabelece-se conforme ao artigo 7 da LOPDGDD, que fixa em 14 anos a idade mínima para prestar consentimento em Espanha. Não obstante, dada a natureza especialmente sensível dos dados de personalidade, Afini aplica um umbral de proteção reforçada de 16 anos.

Nota sobre umbrais internacionais: Distintas jurisdições estabelecem idades mínimas diferentes para o consentimento digital (13 anos nos EE.UU. sob COPPA, 13 anos no Canadá sob PIPEDA, 16 anos em Países Baixos e Alemanha, 15 anos em França, 14 anos em Áustria e Itália, etc.). Afini aplica uniformemente o umbral de 16 anos para todas as jurisdições, garantindo assim o máximo nível de proteção com independência da ubicação do usuário.

11. Dados especialmente sensíveis e categorias especiais

Os dados derivados de avaliações de personalidade e do perfil cognitivo, em função de sua interpretação e contexto, poderiam aproximar-se à categoria de dados relativos à saúde psicológica ou ao perfil psicológico, categorias que gozam de proteção reforçada sob o artigo 9 do RGPD.

Afini adopta um enfoque de máxima cautela:

  • Tratamos os resultados das avaliações de personalidade e o perfil cognitivo compilado com um nível de proteção equivalente ao das categorias especiais de dados, com independência de se técnicamente se qualificam como tais.
  • Os resultados de tuas avaliações e teu perfil cognitivo são estritamente privados: sómente tu tens acesso a eles através de teu link pessoal ou tua conta de usuário.
  • Não compartilhamos, vendemos, cedemos nem pomos à disposição de terceiros teus resultados de personalidade nem teu perfil cognitivo sob nenhuma circunstância.
  • Não utilizamos os resultados nem o perfil para tomar decisões que te afectem (laborais, aseguradoras, creditícias ou de qualquer outra natureza).
  • Não agregamos nem anonimizamos dados de personalidade para criar estudos, estadísticas ou produtos derivados sem consentimento explícito e independente do usuário.
  • O perfil cognitivo injetado no modelo de IA é utilizado exclusivamente para personalizar a interação do próprio usuário, nunca para classificá-lo, segmentá-lo nem tomar decisões automatizadas que o afectem.

12. Decisões automatizadas, elaboração de perfis e inteligência artificial

12.1. Elaboração de perfil de personalidade

O serviço de Afini gera perfis de personalidade de forma automatizada a partir de tuas respostas a questionários psicométricos. Estes perfis baseiam-se em modelos científicos validados (Big Five, teoria do apego, estilos de humor, etc.) e são calculados por meio de algoritmos de pontuação estatística padronizados e publicamente documentados.

12.2. Perfil cognitivo compilado e injeção em IA (afini.ai)

Na plataforma afini.ai, os resultados de todas as avaliações são compilados em um perfil cognitivo estruturado (formato JSON). Este perfil converte-se em um system prompt (instruções de contexto) que é injetado em cada conversação com o modelo de IA para personalizar a interação.

Transparência sobre o funcionamento:
  • O usuário conhece em todo o momento que dimensões compõem seu perfil (traços, facetas, escalas de apego, estilos de humor, etc.) e seu nível de completitude.
  • O perfil é injetado como contexto do sistema no modelo de IA, com técnicas de caché (prompt caching) ativadas para otimizar o uso de tokens e reduzir o custo da interação.
  • O modelo de IA recebe as instruções de personalización mas não retém o perfil entre sessões.
  • O usuário pode consultar, descarregar e solicitar a eliminação de seu perfil em qualquer momento.

12.3. Alcance da decisão automatizada

  • Os perfis gerados têm uma finalidade exclusivamente informativa e de autoconhecimento. Não são utilizados para tomar nenhuma decisão que produza efeitos jurídicos sobre ti nem que te afecte significativamente de modo similar.
  • Os perfis não são utilizados para: seleção de pessoal, avaliação creditícia, determinação de primas de seguros, acesso a serviços, nem nenhum outro processo de toma de decisões que possa afectar teus direitos ou interesses.
  • Não existe nenhum sistema de scoring, classificação, ranking nem categorización de usuários além da geração do perfil individual de autoconhecimento.

12.4. Teus direitos respecto a decisões automatizadas e ao uso de IA

Conforme ao artigo 22 do RGPD, tens direito a:

  • Obter intervenção humana para a revisão de teu perfil.
  • Expressar teu ponto de vista sobre os resultados.
  • Impugnar os resultados do perfil gerado.
  • Solicitar que teu perfil não seja injetado no modelo de IA (mantendo acesso ao resto de funcionalidades).
  • Obter uma explicação do significado de cada dimensão de teu perfil e de como influencia na interação com IA.

O resultado que recebes é de carácter exclusivamente informativo e não tem nenhum valor vinculante, diagnóstico nem clínico. és livre de usá-lo, ignorá-lo ou interpretá-lo como consideres oportuno.

Para exercer qualqueres destes direitos, contacta connosco em info@afini.ai.

13. Princípios do tratamento e avaliação de impacto

13.1. Princípios retores (art. 5 RGPD)

O tratamento de teus dados rege-se em todo o momento pelos seguintes princípios:

  • Licitude, lealdade e transparência: Tratamos teus dados de forma lícita, leal e transparente, informando-te em todo o momento de como e para que os utilizamos.
  • Limitação da finalidade: Teus dados sómente são recolhidos para finalidades determinadas, explícitas e legítimas, e não serão tratados de forma incompatível com tais finalidades.
  • Minimização de dados: Sómente recolhemos os dados adequados, pertinentes e estritamente necessários para as finalidades do tratamento.
  • Exatidão: Manteremos teus dados atualizados e adoptaremos as medidas razoáveis para suprimir ou retificar sem demora os dados inexatos.
  • Limitação do prazo de conservação: Conservamos teus dados sómente durante o tempo necessário para os fins do tratamento.
  • Integridade e confidencialidade: Tratamos teus dados garantindo uma segurança adequada, incluida a proteção contra o tratamento não autorizado ou ilícito e contra sua perda, destruição ou dano acidental.

13.2. Avaliação de Impacto na Proteção de Dados (DPIA)

Dado que o tratamento de dados de personalidade e perfis cognitivos pode supor um risco elevado para os direitos e liberdades dos interessados, Afini realizou uma Avaliação de Impacto na Proteção de Dados (DPIA) conforme ao artigo 35 do RGPD. Esta avaliação cobre tanto o serviço de test.afini.ai como o serviço de perfil cognitivo com IA de afini.ai.

A avaliação concluiu que o risco residual do tratamento é moderado-baixo, graças às seguintes medidas mitigadoras: eliminação de respostas individuais após a geração do informe (test.afini.ai), acesso exclusivo do usuário aos seus resultados e perfil, ausência de compartilhação com terceiros, cifrado em trânsito e em repouso fornecido pela infraestrutura, retenção limitada de conversações (máximo 90 dias) com eliminação self-service, política de não treinamento do provedor de IA (Anthropic API comercial), e transparência sobre a composição e injeção do perfil.

14. Medidas de segurança técnicas e organizativas

Afini implementa medidas técnicas e organizativas apropriadas conforme ao artigo 32 do RGPD para garantir um nível de segurança adequado ao risco:

Medidas técnicas:

  • Cifrado de todas as comunicações por meio de HTTPS/TLS 1.2+ (cifrado em trânsito).
  • Cifrado em repouso fornecido pelo provedor de infraestrutura (Railway/PostgreSQL). Afini avalia periodicamente cifrado adicional a nível de coluna.
  • Acesso à base de dados restringido por meio de credenciais seguras e conexões cifradas.
  • Separação lógica dos dados de cada usuário (isolamento de sessões).
  • Tokens de acesso únicos e não predizíveis para o acesso aos resultados.
  • Ausência de armazenamento de dados financeiros (delegado integralmente em Stripe).
  • Eliminação self-service da conta e dos dados (RGPD Art. 17).
  • Autenticação por meio de magic link com rate limiting (afini.ai) — sem senhas armazenadas.
  • Comunicação com a API de Anthropic cifrada extremo a extremo (TLS 1.3).
  • Contabilidade de tokens por meio de operações atômicas em base de dados (prevenção de condições de corrida).

Medidas organizativas:

  • Acesso aos sistemas de administración limitado exclusivamente ao pessoal autorizado.
  • Princípio de minimización de dados: sómente se recolhem e conservam os dados estritamente necessários.
  • Princípio de limitación da finalidade: os dados sómente são utilizados para as finalidades declaradas nesta política.
  • Revisão periódica das medidas de segurança.
  • Protocolo de notificación de brechas de segurança conforme aos artigos 33 e 34 do RGPD: em caso de brecha, notificaremos à AEPD em um prazo máximo de 72 horas e, se procede, aos usuários afectados sem demora indebida.

15. Política de cookies e armazenamento local

Para informação detalhada sobre o uso de cookies nestes sites web, consulta nossa Política de Cookies.

15.1. Cookies

As Plataformas utilizam uma mínima quantidade de cookies, limitada ao estritamente necessário para o funcionamento do serviço e o processamento seguro de pagamentos:

  • Não utilizamos cookies próprias de rastreamento.
  • Não utilizamos cookies analíticas (não há Google Analytics, Hotjar, Mixpanel nem nenhum outro serviço de analítica).
  • Não utilizamos cookies publicitárias nem de retargeting.
  • Não utilizamos cookies de redes sociais.
  • Stripe, nossa pasarela de pagamento, pode estabelecer cookies técnicas durante o processo de pagamento para a prevenção do fraude.

15.2. Armazenamento local do navegador (localStorage)

Utilizamos o armazenamento local do navegador (localStorage) exclusivamente para:

  • Armazenar teu token de sessão que te permite acessar teu teste em curso, teus resultados e tua conta de usuário.
  • Armazenar tua preferência de idioma.
  • Estes tokens são identificadores técnicos necessários para o funcionamento do serviço e não contêm dados pessoais.
  • Não utilizamos localStorage para rastreamento, perfilado nem nenhuma outra finalidade distinta da funcionalidade essencial do serviço.

15.3. Não rastreamento (Do Not Track)

Afini respeita o sinal Do Not Track (DNT) do teu navegador. Não obstante, dado que não realizamos nenhum tipo de rastreamento, este sinal não tem um efeito prático adicional sobre nosso serviço.

16. Links a terceiros

As Plataformas podem conter links para sites web de terceiros (por exemplo, Stripe para o processamento de pagamentos, Anthropic como provedor da tecnologia de IA). Afini não é responsável das práticas de privacidade nem do conteúdo de tais sites web externos. Recomendamos que consultes as políticas de privacidade de qualqueres site web de terceiros que visites.

17. Informação específica por jurisdição

Esta seção contém informação adicional requerida pela legislação de determinadas jurisdições. Se resides em algum dos países ou regiões indicados a seguir, as disposições desta seção aplicam-se além de (e não em substituição de) as disposições gerais desta Política de Privacidade.

17.1. Reino Unido (UK GDPR + Data Protection Act 2018)

Sob a legislação do Reino Unido (UK GDPR e Data Protection Act 2018), teus direitos de proteção de dados são equivalentes aos previstos no RGPD. A base jurídica, conservação de dados e direitos de acesso aplicam-se conforme à lei britânica. Podes apresentar reclamações ante o ICO (Information Commissioner's Office).

17.2. Estados Unidos da América

Para usuários nos Estados Unidos, além desta Política de Privacidade, regem a Children's Online Privacy Protection Act (COPPA) para menores de 13 anos, bem como as leis estaduais de privacidade da Califórnia (CCPA/CPRA), Virgínia (VCDPA), Colorado (CPA) e Connecticut (CTDPA), entre outras. Tens direito a acessar, retificar e suprimir teus dados, bem como a opor-te ao processamento. Afini não vende informação pessoal segundo a definição da CCPA/CPRA.

17.3. Canadá (PIPEDA e legislação provincial)

Para usuários no Canadá, teus dados são tratados conforme a PIPEDA (Personal Information Protection and Electronic Documents Act) e à legislação provincial aplicável (incluindo a Loi 25 de Quebec). Tens direito a acessar teus dados, solicitar sua correção, e conhecer como são utilizados.

17.4. Brasil (LGPD — Lei Geral de Proteção de Dados)

Para usuários no Brasil, teus dados são tratados conforme à LGPD (Lei Geral de Proteção de Dados — Lei nº 13.709/2018). Tens direito a acessar teus dados, solicitar sua correção, portabilidade, e supressão. Podes apresentar reclamações ante a ANPD (Autoridade Nacional de Proteção de Dados).

17.5. Austrália (Privacy Act 1988 + APPs)

Para usuários na Austrália, teus dados são tratados conforme à Privacy Act 1988 (Cth) e os Australian Privacy Principles (APPs). Tens direito a acessar teus dados, solicitar sua correção, e apresentar reclamações ante a OAIC (Office of the Australian Information Commissioner).

17.6. Japão (APPI — Act on the Protection of Personal Information)

Para usuários no Japão, teus dados são tratados conforme à APPI (Act on the Protection of Personal Information). Tens direito a acessar, retificar, suprimir e solicitar a limitación do tratamento de teus dados. Podes apresentar reclamações ante a PPC (Personal Information Protection Commission).

18. Modificações desta política

Afini reserva-se o direito de modificar esta Política de Privacidade em qualquer momento para adaptá-la a novedades legislativas, jurisprudenciais ou de nossa própria prática empresarial.

Qualqueres modificación substantiva será comunicada através das próprias Plataformas (por meio de um aviso visível no site) e, se dispomos do teu endereço de correio eletrônico, por meio de um correio eletrônico informativo.

A data da última atualización indica-se sempre ao início deste documento. Recomendamos que consultes esta política periodicamente.

19. Legislação aplicável e jurisdição

Esta Política de Privacidade rege-se pela legislação espanhola e europeia como normativa principal, e adicionalmente pela legislação de proteção de dados aplicável em cada jurisdição onde residem nossos usuários:

Normativa principal (sede do responsável):

  • Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016 (Regulamento Geral de Proteção de Dados — RGPD).
  • Lei Orgânica 3/2018, de 5 de dezembro, de Proteção de Dados Pessoais e garantia dos direitos digitais (LOPDGDD).
  • Lei 34/2002, de 11 de julho, de Serviços da Sociedade da Informação e de Comércio Eletrônico (LSSI-CE).
  • Regulamento (UE) 2024/1689 do Parlamento Europeu e do Conselho (Regulamento de Inteligência Artificial / AI Act).

Normativa adicional aplicável segundo a jurisdición do usuário:

  • Reino Unido: UK General Data Protection Regulation (UK GDPR) e Data Protection Act 2018.
  • Estados Unidos: California Consumer Privacy Act / California Privacy Rights Act (CCPA/CPRA); Virginia Consumer Data Protection Act (VCDPA); Colorado Privacy Act (CPA); Connecticut Data Privacy Act (CTDPA); e demais leis estaduais de privacidade aplicáveis. Children's Online Privacy Protection Act (COPPA) em relación com menores.
  • Canadá: Personal Information Protection and Electronic Documents Act (PIPEDA); Loi 25 (Quebec); e legislación provincial aplicável.
  • Brasil: Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018).
  • Austrália: Privacy Act 1988 (Cth) e Australian Privacy Principles (APPs).
  • Japão: Act on the Protection of Personal Information (APPI).

Em caso de conflito entre disposições de distintas jurisdições, será aplicada a norma que ofereça um nível maior de proteção ao usuário.

Para qualqueres controversa derivada desta política, serão competentes os Juizados e Tribunals de Bilbao, com renúncia expressa a qualqueres outro fuero que pudesse corresponder, sem prejuízo dos direitos que a legislación vigente reconhece aos consumidores e usuários em suas respetivas jurisdições de residência, incluindo o direito irrenunciável a acudir aos tribunals de seu domicílio nas jurisdições onde assim o disponha a lei.

20. Contato

Para qualqueres consulta, solicitación de exercício de direitos ou reclamación relacionada com a proteção de teus dados pessoais:

  • Correio eletrônico: info@afini.ai
  • Endereço postal: Bilbao AI S.L. — Calle Diputación 8, planta 4.ª, Departamento 5, 48008 Bilbao (Bizkaia), Espanha

*Última atualización: 20 de março de 2026*

legal.lastUpdated: legal.date

privacy.pageTitle