Política de Privacidade

Última atualização: 2026-05-11

Aviso: rascunho técnico — será revisado por advogado antes do lançamento público. Reflete fielmente como o sistema funciona hoje.

1. Quem somos

Matraca é operado por [Razão Social, CNPJ XXXXXXXXX]. Controlador dos dados conforme LGPD.

2. Que dados coletamos

• Identificação: número de WhatsApp (obrigatório), nome (opcional), email (opcional).
• Conteúdo das mensagens: tudo que você manda — texto, transcrição de áudio, descrição de imagens. Usado para registrar transações e gerar provocações.
• Dados derivados: categorias, padrões, valor-hora, metas — gerados pela IA a partir do que você manda.
• Logs técnicos: IP, user agent, timestamps de acesso. Sem PII de terceiros.

3. Como protegemos

• Campos sensíveis (valor, descrição, número do WhatsApp, conteúdo das mensagens) ficam cifrados em repouso via Fernet (chave separada do banco).
• Conexão sempre HTTPS com HSTS.
• Backups diários cifrados em armazenamento off-site (Backblaze B2, retenção 30 dias).
• Acesso administrativo restrito e logado (`ConsentLog`, `AccessLog`).

4. Quem mais vê seus dados

• Anthropic (Claude): recebe o conteúdo das suas mensagens pra gerar resposta. Anthropic não treina modelos com dados de API ([política deles](https://www.anthropic.com/legal/privacy)).
• OpenAI (Whisper): recebe seus áudios pra transcrever. Apenas o áudio, não o resto da conversa.
• Meta (WhatsApp Cloud API): entrega as mensagens entre você e nosso servidor. Sujeita à política do WhatsApp.
• Hospedagem: servidor no Brasil (VPS Hostinger).

5. Seus direitos (LGPD art. 18)

• Acessar e portar — exporte tudo em /privacy/export/ (ZIP com JSON+CSV).
• Excluir — apague tudo em /privacy/delete/. Soft delete imediato + hard delete em 30 dias.
• Retificar — peça pra corrigir qualquer informação por email.
• Revogar consentimento — pare de mandar mensagens e peça exclusão.

6. Tempo de retenção

Enquanto a conta estiver ativa. Após pedido de exclusão: 30 dias até a remoção permanente. Logs financeiros podem ser mantidos por até 5 anos quando exigido por lei tributária.

7. Cookies

Usamos apenas cookies essenciais de sessão. Sem rastreio de terceiros, sem analytics invasivos.

8. Encarregado (DPO)

[Nome do DPO] · privacidade@[seu-dominio].com.br