1. Introdução
A S. L. Rossi Fernandes Junior LTDA (Pintando Grana), inscrita no CNPJ sob o nº 38.420.828/0001-71, com sede na Av. Paulista, 1483 — conj. 1012, CEP 01.311-200, Bela Vista, São Paulo/SP, é a controladora dos dados pessoais tratados pela plataforma Beevia (“Plataforma”).
Esta Política de Privacidade descreve como coletamos, usamos, armazenamos, compartilhamos e protegemos seus dados pessoais, em conformidade com a Lei Geral de Proteção de Dados (Lei 13.709/18 — LGPD) e demais legislação aplicável.
Ao utilizar a Plataforma, você declara ter lido e compreendido esta Política. Em caso de dúvidas, entre em contato pelo e-mail contato@beevia.com.br.
2. Dados que Coletamos
Coletamos diferentes categorias de dados dependendo da sua interação com a Plataforma:
2.1. Dados de cadastro (fornecidos via Google OAuth):
- Nome completo
- Endereço de e-mail
- Foto de perfil do Google (se disponível)
2.2. Dados financeiros (fornecidos voluntariamente pelo usuário nas conversas):
- Renda mensal (faixa ou valor exato informado)
- Patrimônio (faixa ou valor exato informado)
- Situação de dívida, reserva de emergência, objetivos financeiros
- Perfil de risco, horizonte de investimento, natureza da renda
- Estado civil, dependentes, situação de seguros
- Quaisquer outros dados financeiros ou pessoais que o usuário opte por compartilhar durante as conversas
2.3. Dados de uso e interação:
- Histórico completo de conversas (mensagens do usuário e respostas da Beevia)
- Perfil financeiro gerado automaticamente a partir das conversas
- Dados exatos de sessão — valores numéricos coletados durante cada conversa
- Avaliações de qualidade (estrelas) fornecidas pelo usuário
- Frequência de uso, categorias de conversa, quantidade de sessões
2.4. Dados técnicos (coletados automaticamente):
- Endereço IP
- Data e hora de acesso
- Tipo de navegador e dispositivo
- Páginas visitadas e tempo de permanência
2.5. Dados de pagamento (planos pagos — Fôlego e Pro):
- Os dados de pagamento (cartão de crédito, débito ou outros meios) são processados exclusivamente pelo Mercado Pago e não são armazenados pela Beevia.
- Armazenamos apenas: identificador da assinatura, plano contratado (Fôlego ou Pro), status do pagamento, data de contratação e cancelamento.
2.6. Dados do programa Fôlego (quando o usuário utiliza esse módulo):
- Mapeamento das dívidas informadas pelo usuário durante o programa: credor (banco/instituição), saldo atual, taxa de juros, valor da parcela, status (ativa, em renegociação, quitada).
- Etapa atual do programa (F, O, L, E, G, O₂), conquistas (badges) e dados financeiros do diagnóstico inicial (renda mensal, gastos essenciais, valor disponível para dívida).
- Esses dados são tratados com a mesma confidencialidade dos demais dados financeiros e usados exclusivamente para apoiar o usuário no programa.
2.7. Dados de contato corporativo (formulário /empresas):
- Nome, e-mail corporativo, telefone, nome da empresa, faixa de colaboradores e mensagem opcional, fornecidos voluntariamente para solicitação de proposta B2B.
- Esses dados são utilizados exclusivamente para retorno comercial e não são cruzados com dados de usuários da Plataforma.
3. Como Usamos seus Dados
Utilizamos seus dados pessoais para as seguintes finalidades, sempre com base legal adequada conforme a LGPD:
| Finalidade | Dados utilizados | Base legal (LGPD) |
|---|
| Prestação do serviço (análises financeiras educacionais) | Cadastro, financeiros, conversas | Execução de contrato (Art. 7º, V) |
| Personalização das análises (perfil persistente, dados da sessão) | Financeiros, uso, sessão | Execução de contrato (Art. 7º, V) |
| Processamento de pagamentos | Cadastro, pagamento (via Mercado Pago) | Execução de contrato (Art. 7º, V) |
| Melhoria do serviço e do protocolo de análise | Uso, conversas (anonimizados) | Legítimo interesse (Art. 7º, IX) |
| Monitoramento de qualidade e segurança | Conversas, técnicos | Legítimo interesse (Art. 7º, IX) |
| Telemetria operacional do chat (latência, modelo, categoria, qualidade) | Metadata do turno com PII mascarada (CPF e valores em R$ redatados antes do envio) | Legítimo interesse (Art. 7º, IX) |
| Detecção de crise emocional | Conteúdo das mensagens | Proteção da vida (Art. 7º, VII) |
| Comunicações sobre o serviço | Nome, e-mail | Execução de contrato (Art. 7º, V) |
| Cumprimento de obrigações legais | Cadastro, pagamento, acesso | Obrigação legal (Art. 7º, II) |
4. Compartilhamento de Dados
A Beevia não vende, não cede e não compartilha seus dados pessoais ou financeiros com terceiros para fins comerciais, publicitários ou de marketing.
Seus dados podem ser compartilhados exclusivamente com:
Sub-processadores (operadores):
- Anthropic (provedor de IA): O conteúdo das conversas é enviado à API da Anthropic para geração das respostas. A Anthropic processa os dados conforme seu Data Processing Agreement e Standard Contractual Clauses publicamente disponíveis, e não utiliza dados de API para treinamento de modelos.
- Voyage AI (provedor de embeddings): Trechos da mensagem do usuário podem ser enviados à API da Voyage AI para gerar vetores semânticos usados em busca de evidências acadêmicas. A Voyage AI não utiliza dados de API para treinamento de modelos. A Beevia está em processo de formalizar Cláusulas-Padrão Contratuais com este fornecedor nos termos da Resolução CD/ANPD nº 19/2024; até a conclusão, aplicamos minimização e pseudonimização dos textos enviados.
- Supabase (infraestrutura de banco de dados): Armazenamento dos dados da Plataforma em servidores seguros, sob Data Processing Agreement assinado.
- Vercel (hospedagem): Hospedagem da aplicação web, sob Data Processing Agreement.
- LangFuse (observabilidade de IA, região UE): Recebe metadata operacional dos turnos de chat (modelo utilizado, categoria detectada, latência, tokens). Dados pessoais identificáveis são mascarados antes do envio (e-mail do usuário virou hash; CPF e valores em reais são redatados nas mensagens). Hospedado exclusivamente na União Europeia — vide seção 10 sobre a base legal específica desta transferência.
- Upstash (rate limiting): Armazena temporariamente identificadores técnicos (endereço IP e hash de e-mail) por períodos curtos (TTL de segundos a minutos) para evitar abuso e ataques.
- Resend (envio de e-mails): Entrega de magic links de autenticação e notificações relacionadas ao serviço. Processa nome e e-mail destinatários.
- Sentry (monitoramento de erros): Recebe registros técnicos de exceções (stack trace, identificador interno do usuário) para diagnóstico de falhas. Sem envio do conteúdo das conversas.
- Google (autenticação): Autenticação via Google OAuth. Recebemos apenas nome e e-mail — não acessamos seus dados do Google além disso.
Controladores autônomos (não são sub-processadores):
- Mercado Pago (processador de pagamentos): Atua como instituição de pagamento domiciliada no território nacional, sob fiscalização do Banco Central do Brasil. Para os dados financeiros do momento da transação, o Mercado Pago figura como controlador autônomo, não como operador da Beevia. Compartilhamos apenas dados estritamente necessários para a contratação e identificação da assinatura.
Demais compartilhamentos:
- Autoridades competentes: Quando exigido por lei, decisão judicial ou requisição de autoridade competente.
5. Armazenamento e Segurança
Seus dados são armazenados em servidores da Supabase com as seguintes medidas de segurança:
- Criptografia em trânsito (TLS/HTTPS) e em repouso.
- Controle de acesso baseado em funções (Row Level Security — RLS).
- Autenticação segura via Google OAuth e magic link (sem armazenamento de senhas).
- Separação lógica entre dados de diferentes usuários.
- Backups automáticos com retenção conforme política do provedor.
- Mascaramento de PII antes de telemetria: antes de enviar metadata para o provedor de observabilidade (LangFuse), aplicamos uma camada que redata números de CPF formatados e valores monetários em reais, e substitui o e-mail do usuário por um identificador derivado (hash). O conteúdo bruto das conversas não é replicado para serviços de observabilidade.
- Filtro regulatório de saída: respostas em temas de investimento, decisão patrimonial, previdência e independência financeira passam por um classificador automático antes de chegar ao usuário, para garantir conformidade com a Resolução CVM 20/2021 (ausência de recomendação direta de ativos e de promessa de rentabilidade).
Apesar dos esforços para proteger seus dados, nenhum sistema é 100% seguro. Em caso de incidente de segurança que possa acarretar risco ou dano relevante, notificaremos os usuários afetados e a Autoridade Nacional de Proteção de Dados (ANPD) conforme previsto na LGPD (Art. 48).
6. Retenção de Dados
Mantemos seus dados pelo tempo necessário para a prestação do serviço e cumprimento de obrigações legais:
| Tipo de dado | Período de retenção | Fundamento |
|---|
| Dados de conta e perfil | Enquanto a conta estiver ativa + 30 dias após exclusão | Execução de contrato |
| Histórico de conversas | Enquanto a conta estiver ativa + 30 dias após exclusão | Execução de contrato |
| Registros de acesso (IP, login) | 6 meses | Marco Civil da Internet (Art. 15) |
| Registros de pagamento e notas fiscais | 5 anos | Legislação tributária |
| Registro de aceite dos Termos | 5 anos | Código de Defesa do Consumidor |
| Leads do formulário /empresas (contato corporativo) | Até 24 meses ou até solicitação de exclusão | Legítimo interesse (relacionamento comercial) |
| Registros técnicos de erro (Sentry) | 90 dias para registros de erro; 30 dias para logs detalhados e amostras de execução | Legítimo interesse (segurança e estabilidade) |
| Eventos de envio de e-mail (Resend) | 30 dias | Legítimo interesse (entregabilidade) |
| Dados de rate limiting (Upstash) | Segundos a minutos (TTL automático) | Legítimo interesse (prevenção de abuso) |
| Dados anonimizados (agregados) | Indefinidamente | LGPD Art. 12 (dados anonimizados não são dados pessoais) |
7. Seus Direitos (LGPD)
Nos termos da LGPD (Art. 18), você tem os seguintes direitos em relação aos seus dados pessoais:
- Confirmação e acesso: Saber se tratamos seus dados e obter cópia.
- Correção: Solicitar a atualização de dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação: Solicitar o tratamento de dados desnecessários ou excessivos.
- Portabilidade: Solicitar a transferência de seus dados a outro fornecedor de serviço.
- Eliminação: Solicitar a exclusão dos dados tratados com base no seu consentimento.
- Informação sobre compartilhamento: Saber com quais entidades seus dados foram compartilhados.
- Revogação do consentimento: Revogar o consentimento a qualquer momento, quando aplicável.
- Oposição: Opor-se ao tratamento realizado com base em legítimo interesse, se aplicável.
- Revisão de decisões automatizadas: Conforme o Art. 20 da LGPD, você tem o direito de solicitar a revisão de qualquer análise, perfilamento ou classificação feita pela inteligência artificial da Beevia. Para exercer este direito, entre em contato pelo email contato@beevia.com.br.
Para exercer qualquer desses direitos, envie um e-mail para contato@beevia.com.brcom o assunto “Direitos LGPD”. Responderemos em até 15 (quinze) dias úteis, conforme previsto na legislação.
Caso considere que o tratamento de seus dados viola a LGPD, você pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) pelo site www.gov.br/anpd.
8. Dados de Menores
A Plataforma é destinada exclusivamente a maiores de 18 (dezoito) anos. Não coletamos intencionalmente dados de menores de idade. Caso tomemos conhecimento de que dados de um menor foram coletados, procederemos à exclusão imediata.
9. Cookies e Tecnologias de Rastreamento
A Plataforma utiliza cookies estritamente necessários para o funcionamento do serviço:
- Cookie de sessão (NextAuth): Mantém sua autenticação ativa durante o uso da Plataforma. Essencial para o funcionamento.
- Cookies do Mercado Pago: Utilizados durante o processo de pagamento, conforme política do Mercado Pago.
A Beevia não utiliza cookies de marketing, cookies de rastreamento publicitário, pixels de terceiros, ferramentas de analytics de terceiros (como Google Analytics) ou qualquer tecnologia de rastreamento para fins publicitários.
10. Transferência Internacional de Dados
Para a prestação do serviço, alguns sub-processadores estão localizados fora do Brasil. As bases legais aplicáveis variam conforme o destino:
10.1. Transferências para a União Europeia — decisão de adequação (Art. 33, I da LGPD):
Em 26 de janeiro de 2026, a Autoridade Nacional de Proteção de Dados (ANPD) reconheceu formalmente, por meio da Resolução nº 032/2026, que a União Europeia oferece grau de proteção de dados adequado e equivalente ao ordenamento brasileiro. Esta decisão de adequação dispensa o uso de cláusulas contratuais específicas para os fluxos destinados ao bloco europeu.
- LangFuse (União Europeia): Observabilidade da inteligência artificial com PII mascarada. A escolha pela jurisdição europeia é deliberada — confere o mais alto grau de garantia regulatória atualmente disponível ao fluxo de telemetria conversacional, nos termos do Art. 33, I da LGPD c/c Resolução ANPD nº 032/2026.
10.2. Transferências para os Estados Unidos — cláusulas-padrão contratuais (Art. 33, II, “b” da LGPD):
Para fornecedores localizados nos Estados Unidos, aplicamos as Cláusulas-Padrão Contratuais aprovadas pela Resolução CD/ANPD nº 19/2024 e os Data Processing Agreements publicados por cada fornecedor:
- Anthropic (Estados Unidos): Processamento de conversas pela API de inteligência artificial — DPA público com SCCs incorporadas.
- Supabase (Estados Unidos): Armazenamento de dados — DPA assinado eletronicamente no painel do fornecedor.
- Vercel (Estados Unidos): Hospedagem da aplicação — DPA público.
- Sentry (Estados Unidos): Monitoramento de erros técnicos — DPA assinado no painel.
- Resend (Estados Unidos): Entrega de e-mails transacionais — DPA público com adequação ao Data Privacy Framework.
- Upstash (Estados Unidos): Rate limiting — DPA público no portal de Trust & Compliance.
- Google (Estados Unidos): Autenticação OAuth — Cloud Data Processing Addendum unificado.
- Voyage AI (Estados Unidos): Embeddings para busca semântica. Em processo de formalização de Cláusulas-Padrão Contratuais brasileiras nos termos da Resolução CD/ANPD nº 19/2024; até a conclusão, aplicamos minimização e pseudonimização dos textos enviados.
10.3. Sobre o Mercado Pago:
O Mercado Pago é uma instituição de pagamento brasileira sujeita à regulação do Banco Central do Brasil e atua como controlador autônomo dos dados financeiros da transação. Não há, portanto, transferência internacional nesse caso, e a relação não se configura como sub-processamento sob a LGPD.
11. Dados Sensíveis e Detecção de Crise
A Plataforma possui mecanismos automáticos de detecção de sinais de crise emocional (ideação suicida, violência doméstica, desespero financeiro extremo). Quando ativados, a Plataforma pode:
- Interromper a análise financeira.
- Fornecer informações sobre canais de apoio (CVV — 188, SAMU — 192).
- Registrar o evento internamente para fins de monitoramento de segurança.
Este tratamento é realizado com base na proteção da vida do titular (LGPD, Art. 7º, VII e Art. 11, II, “e”). Os dados de detecção de crise são armazenados de forma restrita e não são utilizados para qualquer outra finalidade.
12. Alterações nesta Política
Esta Política de Privacidade pode ser atualizada periodicamente. Alterações relevantes serão comunicadas por meio de aviso na Plataforma e/ou por e-mail com antecedência mínima de 15 (quinze) dias.
O uso continuado da Plataforma após o período de aviso constitui aceitação da política atualizada. Versões anteriores ficarão disponíveis mediante solicitação.
13. Contato e Encarregado de Dados
Para dúvidas, solicitações ou exercício de direitos relacionados à privacidade e proteção de dados:
E-mail: contato@beevia.com.br
Controlador: S. L. Rossi Fernandes Junior LTDA — CNPJ 38.420.828/0001-71
Endereço: Av. Paulista, 1483 — conj. 1012, CEP 01.311-200, Bela Vista, São Paulo/SP
O encarregado pelo tratamento de dados pessoais (DPO) pode ser contatado pelo mesmo e-mail acima, com o assunto “DPO — Proteção de Dados”.