1. Introdução
A S. L. Rossi Fernandes Junior LTDA (Pintando Grana), inscrita no CNPJ sob o nº 38.420.828/0001-71, com sede na Av. Paulista, 1483, conj. 1012, CEP 01.311-200, Bela Vista, São Paulo/SP, é a controladora dos dados pessoais tratados pela plataforma Beevia (“Plataforma”).
Esta Política de Privacidade descreve como coletamos, usamos, armazenamos, compartilhamos e protegemos seus dados pessoais, em conformidade com a Lei Geral de Proteção de Dados (Lei 13.709/18, LGPD) e demais legislação aplicável.
Ao utilizar a Plataforma, você declara ter lido e compreendido esta Política. Em caso de dúvidas, entre em contato pelo e-mail contato@beevia.com.br.
2. Dados que Coletamos
Coletamos diferentes categorias de dados dependendo da sua interação com a Plataforma:
2.1. Dados de cadastro (fornecidos via Google OAuth):
- Nome completo
- Endereço de e-mail
- Foto de perfil do Google (se disponível)
2.2. Dados financeiros (fornecidos voluntariamente pelo usuário nas conversas):
- Renda mensal (faixa ou valor exato informado)
- Patrimônio (faixa ou valor exato informado)
- Situação de dívida, reserva de emergência, objetivos financeiros
- Perfil de risco, horizonte de investimento, natureza da renda
- Estado civil, dependentes, situação de seguros
- Quaisquer outros dados financeiros ou pessoais que o usuário opte por compartilhar durante as conversas
2.3. Dados de uso e interação:
- Histórico completo de conversas (mensagens do usuário e respostas da Beevia)
- Perfil financeiro gerado automaticamente a partir das conversas
- Dados exatos de sessão: valores numéricos coletados durante cada conversa
- Avaliações de qualidade (estrelas) fornecidas pelo usuário
- Frequência de uso, categorias de conversa, quantidade de sessões
2.4. Dados técnicos (coletados automaticamente):
- Endereço IP
- Data e hora de acesso
- Tipo de navegador e dispositivo
- Páginas visitadas e tempo de permanência
2.5. Dados de pagamento (planos pagos: Fôlego e Pro):
- Os dados de pagamento (cartão de crédito, débito ou outros meios) são processados exclusivamente pelo Asaas e não são armazenados pela Beevia.
- Armazenamos apenas: identificador da assinatura, plano contratado (Fôlego ou Pro), status do pagamento, data de contratação e cancelamento.
2.6. Dados do programa Fôlego (quando o usuário utiliza esse módulo):
- Mapeamento das dívidas informadas pelo usuário durante o programa: credor (banco/instituição), saldo atual, taxa de juros, valor da parcela, status (ativa, em renegociação, quitada).
- Etapa atual do programa (F, O, L, E, G, O₂), conquistas (badges) e dados financeiros do diagnóstico inicial (renda mensal, gastos essenciais, valor disponível para dívida).
- Esses dados são tratados com a mesma confidencialidade dos demais dados financeiros e usados exclusivamente para apoiar o usuário no programa.
2.7. Dados de contato corporativo (formulário /empresas):
- Nome, e-mail corporativo, telefone, nome da empresa, faixa de colaboradores e mensagem opcional, fornecidos voluntariamente para solicitação de proposta B2B.
- Esses dados são utilizados exclusivamente para retorno comercial e não são cruzados com dados de usuários da Plataforma.
3. Como Usamos seus Dados
Utilizamos seus dados pessoais para as seguintes finalidades, sempre com base legal adequada conforme a LGPD:
| Finalidade | Dados utilizados | Base legal (LGPD) |
|---|
| Prestação do serviço (análises financeiras educacionais) | Cadastro, financeiros, conversas | Execução de contrato (Art. 7º, V) |
| Personalização das análises (perfil persistente, dados da sessão) | Financeiros, uso, sessão | Execução de contrato (Art. 7º, V) |
| Processamento de pagamentos | Cadastro, pagamento (via Asaas) | Execução de contrato (Art. 7º, V) |
| Melhoria do serviço e do protocolo de análise | Uso, conversas (anonimizados) | Legítimo interesse (Art. 7º, IX) |
| Monitoramento de qualidade e segurança | Conversas, técnicos | Legítimo interesse (Art. 7º, IX) |
| Telemetria operacional do chat (latência, modelo, categoria, qualidade) | Metadata do turno com PII mascarada (CPF e valores em R$ redatados antes do envio) | Legítimo interesse (Art. 7º, IX) |
| Detecção de crise emocional | Conteúdo das mensagens | Proteção da vida (Art. 7º, VII) |
| Comunicações sobre o serviço | Nome, e-mail | Execução de contrato (Art. 7º, V) |
| Cumprimento de obrigações legais | Cadastro, pagamento, acesso | Obrigação legal (Art. 7º, II) |
4. Compartilhamento de Dados
A Beevia não vende, não cede e não compartilha seus dados pessoais ou financeiros com terceiros para fins comerciais, publicitários ou de marketing.
Seus dados podem ser compartilhados exclusivamente com:
Sub-processadores (operadores):
- Anthropic (provedor de IA): O conteúdo das conversas é enviado à API da Anthropic para geração das respostas. A Anthropic processa os dados conforme seu Data Processing Agreement e Standard Contractual Clauses publicamente disponíveis, e não utiliza dados de API para treinamento de modelos.
- Voyage AI (provedor de embeddings): Trechos da mensagem do usuário podem ser enviados à API da Voyage AI para gerar vetores semânticos usados em busca de evidências acadêmicas. A Voyage AI não utiliza dados de API para treinamento de modelos. A Beevia está em processo de formalizar Cláusulas-Padrão Contratuais com este fornecedor nos termos da Resolução CD/ANPD nº 19/2024; até a conclusão, aplicamos minimização e pseudonimização dos textos enviados.
- Supabase (infraestrutura de banco de dados): Armazenamento dos dados da Plataforma em servidores seguros, sob Data Processing Agreement assinado.
- Vercel (hospedagem e medição de audiência): Hospedagem da aplicação web e estatísticas agregadas de uso via Vercel Web Analytics, sem cookies e sem identificadores persistentes (vide seção 9), sob Data Processing Agreement.
- LangFuse (observabilidade de IA, região UE): Recebe metadata operacional dos turnos de chat (modelo utilizado, categoria detectada, latência, tokens). Dados pessoais identificáveis são mascarados antes do envio (e-mail do usuário virou hash; CPF e valores em reais são redatados nas mensagens). Hospedado exclusivamente na União Europeia (vide seção 10 sobre a base legal específica desta transferência).
- Upstash (rate limiting): Armazena temporariamente identificadores técnicos (endereço IP e hash de e-mail) por períodos curtos (TTL de segundos a minutos) para evitar abuso e ataques.
- Resend (envio de e-mails): Entrega de magic links de autenticação e notificações relacionadas ao serviço. Processa nome e e-mail destinatários.
- Sentry (monitoramento de erros): Recebe registros técnicos de exceções (stack trace, identificador interno do usuário) para diagnóstico de falhas. Sem envio do conteúdo das conversas.
- Google (autenticação): Autenticação via Google OAuth. Recebemos apenas nome e e-mail. Não acessamos seus dados do Google além disso.
Controladores autônomos (não são sub-processadores):
- Asaas (processador de pagamentos): Atua como instituição de pagamento domiciliada no território nacional, sob fiscalização do Banco Central do Brasil. Para os dados financeiros do momento da transação, o Asaas figura como controlador autônomo, não como operador da Beevia. Compartilhamos apenas dados estritamente necessários para a contratação e identificação da assinatura.
Demais compartilhamentos:
- Autoridades competentes: Quando exigido por lei, decisão judicial ou requisição de autoridade competente.
5. Armazenamento e Segurança
Seus dados são armazenados em servidores da Supabase com as seguintes medidas de segurança:
- Criptografia em trânsito (TLS/HTTPS) e em repouso.
- Controle de acesso baseado em funções (Row Level Security, RLS).
- Autenticação segura via Google OAuth e magic link (sem armazenamento de senhas).
- Separação lógica entre dados de diferentes usuários.
- Backups automáticos com retenção conforme política do provedor.
- Mascaramento de PII antes de telemetria: antes de enviar metadata para o provedor de observabilidade (LangFuse), aplicamos uma camada que redata números de CPF formatados e valores monetários em reais, e substitui o e-mail do usuário por um identificador derivado (hash). O conteúdo bruto das conversas não é replicado para serviços de observabilidade.
- Filtro regulatório de saída: respostas em temas de investimento, decisão patrimonial, previdência e independência financeira passam por um classificador automático antes de chegar ao usuário, para garantir conformidade com a Resolução CVM 20/2021 (ausência de recomendação direta de ativos e de promessa de rentabilidade).
Apesar dos esforços para proteger seus dados, nenhum sistema é 100% seguro. Em caso de incidente de segurança que possa acarretar risco ou dano relevante, notificaremos os usuários afetados e a Autoridade Nacional de Proteção de Dados (ANPD) conforme previsto na LGPD (Art. 48).
6. Retenção de Dados
Mantemos seus dados pelo tempo necessário para a prestação do serviço e cumprimento de obrigações legais:
| Tipo de dado | Período de retenção | Fundamento |
|---|
| Dados de conta e perfil | Enquanto a conta estiver ativa + 30 dias após exclusão | Execução de contrato |
| Histórico de conversas | Enquanto a conta estiver ativa + 30 dias após exclusão | Execução de contrato |
| Registros de acesso (IP, login) | 6 meses | Marco Civil da Internet (Art. 15) |
| Registros de pagamento e notas fiscais | 5 anos | Legislação tributária |
| Registro de aceite dos Termos | 5 anos | Código de Defesa do Consumidor |
| Leads do formulário /empresas (contato corporativo) | Até 24 meses ou até solicitação de exclusão | Legítimo interesse (relacionamento comercial) |
| Registros técnicos de erro (Sentry) | 90 dias para registros de erro; 30 dias para logs detalhados e amostras de execução | Legítimo interesse (segurança e estabilidade) |
| Eventos de envio de e-mail (Resend) | 30 dias | Legítimo interesse (entregabilidade) |
| Dados de rate limiting (Upstash) | Segundos a minutos (TTL automático) | Legítimo interesse (prevenção de abuso) |
| Dados anonimizados (agregados) | Indefinidamente | LGPD Art. 12 (dados anonimizados não são dados pessoais) |
7. Seus Direitos (LGPD)
Nos termos da LGPD (Art. 18), você tem os seguintes direitos em relação aos seus dados pessoais:
- Confirmação e acesso: Saber se tratamos seus dados e obter cópia.
- Correção: Solicitar a atualização de dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação: Solicitar o tratamento de dados desnecessários ou excessivos.
- Portabilidade: Solicitar a transferência de seus dados a outro fornecedor de serviço.
- Eliminação: Solicitar a exclusão dos dados tratados com base no seu consentimento.
- Informação sobre compartilhamento: Saber com quais entidades seus dados foram compartilhados.
- Revogação do consentimento: Revogar o consentimento a qualquer momento, quando aplicável.
- Oposição: Opor-se ao tratamento realizado com base em legítimo interesse, se aplicável.
- Revisão de decisões automatizadas: Conforme o Art. 20 da LGPD, você tem o direito de solicitar a revisão de qualquer análise, perfilamento ou classificação feita pela inteligência artificial da Beevia. Para exercer este direito, entre em contato pelo email contato@beevia.com.br.
Para exercer qualquer desses direitos, envie um e-mail para contato@beevia.com.brcom o assunto “Direitos LGPD”. Responderemos em até 15 (quinze) dias úteis, conforme previsto na legislação.
Caso considere que o tratamento de seus dados viola a LGPD, você pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) pelo site www.gov.br/anpd.
8. Dados de Menores
A Plataforma é destinada exclusivamente a maiores de 18 (dezoito) anos. Não coletamos intencionalmente dados de menores de idade. Caso tomemos conhecimento de que dados de um menor foram coletados, procederemos à exclusão imediata.
9. Cookies e Tecnologias de Rastreamento
A Plataforma utiliza cookies estritamente necessários para o funcionamento do serviço:
- Cookie de sessão (NextAuth): Mantém sua autenticação ativa durante o uso da Plataforma. Essencial para o funcionamento.
- Cookies do Asaas: Utilizados durante o processo de pagamento, conforme política do Asaas.
Para entender o uso da Plataforma, utilizamos o Vercel Web Analytics, ferramenta de medição de audiência operada pela Vercel Inc., a mesma empresa que hospeda a Plataforma (vide seções 4 e 10). Trata-se de estatística agregada e anonimizada: registra visualizações de página e cliques em botões de navegação (por exemplo, o botão “Começar grátis”), sem uso de cookies e sem identificadores persistentes: a ferramenta não permite rastrear um visitante entre sites diferentes nem reconhecê-lo entre visitas distintas. Os dados coletados não incluem o conteúdo das suas conversas nem qualquer dado financeiro.
A Beevia não utiliza cookies de marketing, cookies de rastreamento publicitário, pixels de terceiros ou qualquer tecnologia de rastreamento para fins publicitários.
10. Transferência Internacional de Dados
Para a prestação do serviço, alguns sub-processadores estão localizados fora do Brasil. As bases legais aplicáveis variam conforme o destino:
10.1. Transferências para a União Europeia, decisão de adequação (Art. 33, I da LGPD):
Em 26 de janeiro de 2026, a Autoridade Nacional de Proteção de Dados (ANPD) reconheceu formalmente, por meio da Resolução nº 032/2026, que a União Europeia oferece grau de proteção de dados adequado e equivalente ao ordenamento brasileiro. Esta decisão de adequação dispensa o uso de cláusulas contratuais específicas para os fluxos destinados ao bloco europeu.
- LangFuse (União Europeia): Observabilidade da inteligência artificial com PII mascarada. A escolha pela jurisdição europeia é deliberada: confere o mais alto grau de garantia regulatória atualmente disponível ao fluxo de telemetria conversacional, nos termos do Art. 33, I da LGPD c/c Resolução ANPD nº 032/2026.
10.2. Transferências para os Estados Unidos, cláusulas-padrão contratuais (Art. 33, II, “b” da LGPD):
Para fornecedores localizados nos Estados Unidos, aplicamos as Cláusulas-Padrão Contratuais aprovadas pela Resolução CD/ANPD nº 19/2024 e os Data Processing Agreements publicados por cada fornecedor:
- Anthropic (Estados Unidos): Processamento de conversas pela API de inteligência artificial. DPA público com SCCs incorporadas.
- Supabase (Estados Unidos): Armazenamento de dados. DPA assinado eletronicamente no painel do fornecedor.
- Vercel (Estados Unidos): Hospedagem da aplicação e medição de audiência agregada (Web Analytics, vide seção 9). DPA público.
- Sentry (Estados Unidos): Monitoramento de erros técnicos. DPA assinado no painel.
- Resend (Estados Unidos): Entrega de e-mails transacionais. DPA público com adequação ao Data Privacy Framework.
- Upstash (Estados Unidos): Rate limiting. DPA público no portal de Trust & Compliance.
- Google (Estados Unidos): Autenticação OAuth. Cloud Data Processing Addendum unificado.
- Voyage AI (Estados Unidos): Embeddings para busca semântica. Em processo de formalização de Cláusulas-Padrão Contratuais brasileiras nos termos da Resolução CD/ANPD nº 19/2024; até a conclusão, aplicamos minimização e pseudonimização dos textos enviados.
10.3. Sobre o Asaas:
O Asaas é uma instituição de pagamento brasileira sujeita à regulação do Banco Central do Brasil e atua como controlador autônomo dos dados financeiros da transação. Não há, portanto, transferência internacional nesse caso, e a relação não se configura como sub-processamento sob a LGPD.
11. Dados Sensíveis e Detecção de Crise
A Plataforma possui mecanismos automáticos de detecção de sinais de crise emocional (ideação suicida, violência doméstica, desespero financeiro extremo). Quando ativados, a Plataforma pode:
- Interromper a análise financeira.
- Fornecer informações sobre canais de apoio (CVV: 188, SAMU: 192).
- Registrar o evento internamente para fins de monitoramento de segurança.
Este tratamento é realizado com base na proteção da vida do titular (LGPD, Art. 7º, VII e Art. 11, II, “e”). Os dados de detecção de crise são armazenados de forma restrita e não são utilizados para qualquer outra finalidade.
12. Alterações nesta Política
Esta Política de Privacidade pode ser atualizada periodicamente. Alterações relevantes serão comunicadas por meio de aviso na Plataforma e/ou por e-mail com antecedência mínima de 15 (quinze) dias.
O uso continuado da Plataforma após o período de aviso constitui aceitação da política atualizada. Versões anteriores ficarão disponíveis mediante solicitação.
13. Contato e Encarregado de Dados
Para dúvidas, solicitações ou exercício de direitos relacionados à privacidade e proteção de dados:
E-mail: contato@beevia.com.br
Controlador: S. L. Rossi Fernandes Junior LTDA, CNPJ 38.420.828/0001-71
Endereço: Av. Paulista, 1483, conj. 1012, CEP 01.311-200, Bela Vista, São Paulo/SP
O encarregado pelo tratamento de dados pessoais (DPO) pode ser contatado pelo mesmo e-mail acima, com o assunto “DPO - Proteção de Dados”.