Política de Privacidade
Última atualização: 28 de abril de 2026
Esta política descreve como o Anecdotario (o serviço) coleta, usa, compartilha e protege seus dados pessoais. Está redigida em conformidade com a Lei 18.331 de Proteção de Dados Pessoais e Habeas Data da República Oriental do Uruguai e, quando aplicável, com o Regulamento Geral de Proteção de Dados (RGPD/GDPR) da União Europeia e a Lei Geral de Proteção de Dados (LGPD) do Brasil.
1. Quem somos
O Anecdotario é operado pela Orionis SAS (doravante, "nós" ou "o controlador"), com domicílio em Montevidéu, Uruguai. Contato para questões de privacidade e exercício de direitos: privacy@orionis.consulting.
2. Quais dados coletamos
- Dados de conta: e-mail, senha com hash, nome de exibição (opcional), foto de perfil (opcional).
- Seu conteúdo: anedotas em texto, áudio ou foto; marcações de pessoas; comentários; composições derivadas (contos, roteiros, romances).
- Dados de uso: timestamps de criação/edição, capítulos cobertos, sessões de entrevista, pontuação acumulada, conquistas desbloqueadas.
- Dados de pagamento: o processamento do cartão é feito pela Lemon Squeezy ou Mercado Pago. Recebemos a confirmação do pagamento, não o número do seu cartão.
- Perfil narrativo: o sistema constrói um resumo privado a partir das suas entrevistas (pessoas, lugares, momentos-chave) para personalizar as perguntas. Vive apenas na sua conta.
- Dados técnicos: endereço IP, navegador, sistema operacional, idioma. Anonimizados nos logs.
3. Para que os usamos
- Operar o serviço (exibir suas anedotas, gerar perguntas, fazer composições).
- Melhorar a qualidade das perguntas que você recebe (via perfil narrativo).
- Processar pagamentos e gerenciar sua assinatura.
- Enviar notificações que você ativou (lembretes, year recap, etc.).
- Cumprir obrigações legais e resolver disputas.
- Detectar e prevenir abuso ou fraude.
NÃO usamos seus dados para treinar modelos de IA gerais, vender perfis a terceiros nem exibir publicidade de outras empresas.
Você pode visualizar e excluir sua memória narrativa a qualquer momento em Perfil → Memória. Se a excluir, o sistema volta ao banco genérico de perguntas até que a próxima sessão gere uma nova.
4. Base legal
- Execução do contrato (operar o serviço que você contratou): art. 9 lit. b Lei 18.331 / art. 6.1.b GDPR / art. 7 V LGPD.
- Consentimento explícito para dados sensíveis. Quando você envia uma anedota, áudio ou foto que possa conter dados sensíveis (saúde, religião, vida íntima, orientação sexual ou política, dados biométricos derivados da sua voz), o ato de enviá-lo constitui consentimento explícito ao tratamento sob art. 18 Lei 18.331 / art. 9.2.a GDPR / art. 11 LGPD. Você pode retirar o consentimento a qualquer momento (i) excluindo o conteúdo específico, (ii) excluindo a conta, ou (iii) escrevendo para privacy@orionis.consulting para pausar o tratamento por IA sem perder o conteúdo.
- Legítimo interesse para segurança, prevenção de fraude e melhorias técnicas não invasivas (art. 6.1.f GDPR).
- Cumprimento de obrigação legal quando exigido por ordem judicial ou autoridade competente.
5. Suboperadores
Para operar o serviço, contamos com os seguintes fornecedores:
- Supabase, banco de dados, autenticação e armazenamento (Estados Unidos / global).
- Anthropic, modelo de IA para gerar perguntas e estruturar drafts (Estados Unidos).
- OpenAI, Whisper para transcrever seus áudios (Estados Unidos).
- Vercel, hospedagem da aplicação (global).
- Lemon Squeezy, processamento de pagamentos internacionais (Estados Unidos).
- Mercado Pago, processamento de pagamentos no Uruguai e na América Latina.
Cada fornecedor opera sob seus termos de tratamento de dados publicados. Quando enviamos transcrições ou prompts à Anthropic e à OpenAI sob suas APIs padrão, esse conteúdo não é usado para treinar seus modelos por padrão, mas pode ser retido por até 30 dias por esses fornecedores para fins de detecção de abuso, conforme seus termos vigentes. Não contratamos planos "Zero Data Retention" no momento, somos uma startup em estágio inicial e priorizamos os termos padrão. Se um fornecedor alterar essa política, avisamos você antes que entre em vigor.
6. Transferências internacionais
Seus dados podem viajar para fora do Uruguai (principalmente para os Estados Unidos, via nossos suboperadores). Aplicamos:
- Criptografia em trânsito (TLS 1.2+) e em repouso.
- Minimização: enviamos apenas os dados estritamente necessários para cada função.
- Para transferências aos Estados Unidos, as Cláusulas Contratuais Padrão (SCC) que cada fornecedor publica em seu DPA ou termos equivalentes; não transferimos dados identificadores junto com conteúdo sensível quando é possível evitar.
- Para transferências ao Brasil, os fornecedores aplicam cláusulas equivalentes em conformidade com o art. 33 da LGPD.
Ao usar o serviço, você presta consentimento informado a essas transferências. Se não concordar, pode encerrar a conta a qualquer momento.
7. Tempo de conservação
- Conta ativa (login nos últimos 10 meses): conservamos seu conteúdo indefinidamente, é o coração do produto.
- Inatividade prolongada: se você não fizer login durante 10 meses, avisamos por e-mail; salvo se reativar a conta dentro de 60 dias ou nos pedir para conservar o arquivo, eliminamos seu conteúdo ao completar 12 meses sem atividade. Isso cumpre o princípio de minimização de armazenamento (GDPR art. 5(1)(e)).
- Se você excluir a conta: eliminação dentro de 30 dias, salvo registros que devamos conservar por obrigação legal (faturas durante 5 anos, por exemplo).
- Logs técnicos: 90 dias.
- Backups: até 30 dias após a última alteração.
8. Seus direitos
Sob a Lei 18.331 e, quando aplicável, GDPR e LGPD, você pode solicitar:
- Acesso aos dados seus que mantemos.
- Retificação de dados inexatos.
- Eliminação de dados quando não houver obrigação legal de conservá-los.
- Oposição ao tratamento baseado em legítimo interesse.
- Portabilidade: receber seus dados em formato estruturado e legível (JSON ou Markdown).
- Limitação enquanto se resolve uma disputa.
- Não ser objeto de decisões automatizadas com efeitos significativos. As perguntas sugeridas são recomendações que você aceita ou pula, não decisões.
Para exercer qualquer direito, escreva para privacy@orionis.consulting. Respondemos dentro de 30 dias corridos, prorrogáveis por 60 dias em casos de complexidade, avisamos antes se precisarmos estender. O exercício de direitos é gratuito (salvo solicitações manifestamente infundadas ou excessivas). Se você não estiver de acordo, pode reclamar perante a URCDP (Unidad Reguladora y de Control de Datos Personales), perante a AEPD ou outra autoridade da UE se residir lá, ou perante a ANPD se residir no Brasil: gub.uy/unidad-reguladora-control-datos-personales.
9. Pessoas mencionadas em suas anedotas
Quando você conta uma anedota, pode mencionar outras pessoas (familiares, amigos). Esses dados são registrados por você, sob sua responsabilidade. As anedotas são privadas por padrão, apenas você as vê, salvo se as compartilhar explicitamente ou marcá-las com um amigo dentro do app (que verá apenas as anedotas que você escolher compartilhar).
Se uma pessoa mencionada nos contatar e pedir para ser eliminada das suas anedotas, avisamos você. Sem sua intervenção, podemos anonimizar ou retirar a menção se estiver claramente identificada e a solicitação tiver base legal.
10. Maioridade
O Anecdotario é dirigido a pessoas maiores de 18 anos. Ao criar uma conta, você declara sob juramento que cumpre esse requisito. Se você for mãe, pai ou responsável legal e descobrir que um menor sob sua responsabilidade criou uma conta, escreva para privacy@orionis.consulting com prova razoável da relação: desabilitamos a conta e eliminamos os dados associados dentro de 30 dias, sem custo para você.
11. Segurança
- Criptografia TLS em todas as conexões.
- Senhas com hash bcrypt via Supabase Auth.
- Isolamento por usuário no banco de dados (Row Level Security).
- Auditoria de acessos a logs de erro.
- Backups criptografados.
- Acesso a produção restrito a pessoas autorizadas.
Nenhum sistema é 100% seguro. Se detectarmos um incidente de segurança:
- Notificamos a autoridade correspondente sem demora indevida, URCDP (Uruguai, Decreto 64/020), AEPD ou outra DPA da UE (GDPR art. 33, dentro de 72 horas), e ANPD (Brasil, LGPD art. 48, em prazo razoável definido pela autoridade).
- Se o incidente apresentar alto risco para seus direitos, notificamos você diretamente com as informações que a lei exige: natureza do incidente, dados afetados, medidas tomadas, contato para mais informações.
12. Cookies e tecnologias similares
Usamos cookies estritamente necessários para manter sua sessão iniciada. Não usamos cookies de rastreamento publicitário nem de terceiros para traçar o seu perfil de navegação fora do Anecdotario.
13. Atualizações
Se alterarmos esta política, avisamos você por e-mail e/ou no app com antecedência razoável. Para alterações materiais adversas (novos suboperadores com alcance distinto, mudanças em bases legais, transferências para jurisdições novas), pedimos sua aceitação expressa antes que entrem em vigor. Se você não aceitar dentro de 30 dias, pode encerrar a conta e exportar seus dados. Alterações não materiais (correções, esclarecimentos, melhorias de redação) entram em vigor com notificação.
14. Contato
Orionis SAS
Montevidéu, Uruguai
Privacidade e direitos: privacy@orionis.consulting
Consultas gerais: hola@orionis.consulting
URCDP (autoridade de controle no Uruguai): gub.uy/unidad-reguladora-control-datos-personales