Política de Privacidade

1. INTRODUÇÃO

A NOTYPED TECNOLOGIA E SERVIÇOS LTDA, pessoa jurídica de direito privado, inscrita no CNPJ sob o nº 52.197.828/0001-85, com sede à Avenida Prefeito Osmar Cunha, Nº 416, Sala 1108, Edifício Koerich Empresarial, Centro, CEP 88.015-100, na cidade de Florianópolis – SC, doravante denominada simplesmente "RETRATOU" ou "nós", apresenta esta Política de Privacidade para informar como coletamos, utilizamos, armazenamos, compartilhamos e protegemos os dados pessoais dos usuários da plataforma Retratou ("Plataforma"), acessível em retratou.com.

O Retratou é uma plataforma de geração de ensaios fotográficos profissionais utilizando inteligência artificial. O usuário envia uma foto frontal (com opção de fotos extras), seleciona um estilo de referência e recebe um pack de imagens profissionais geradas por IA. O serviço opera no modelo de pagamento por uso, com preview gratuito (com marca d'água) e imagens finais em alta resolução liberadas após pagamento.

Esta Política foi elaborada em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 – LGPD), o Marco Civil da Internet (Lei nº 12.965/2014), o Código de Defesa do Consumidor (Lei nº 8.078/90), o Estatuto da Criança e do Adolescente (Lei nº 8.069/90) e demais normas aplicáveis à proteção de dados no Brasil.

Ao utilizar o Retratou, você declara estar ciente e de acordo com as práticas descritas nesta Política de Privacidade.

2. DEFINIÇÕES

Para fins desta Política, considera-se:

• Dados Pessoais: informação relacionada a pessoa natural identificada ou identificável, conforme art. 5º, I, da LGPD.
• Dados Pessoais Sensíveis: dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico.
• Dados Biométricos: fotografias faciais enviadas pelo Usuário para geração de ensaios fotográficos com IA, consideradas dados sensíveis nos termos da LGPD.
• Titular: pessoa natural a quem se referem os dados pessoais.
• Controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais. No caso, a NOTYPED TECNOLOGIA E SERVIÇOS LTDA.
• Operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador.
• Tratamento: toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração.
• Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
• Anonimização: utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo.

3. DADOS PESSOAIS COLETADOS

3.1. Dados Fornecidos pelo Usuário

Coletamos os seguintes dados pessoais quando você se cadastra ou utiliza nossos serviços:

• Dados de Cadastro: nome, sobrenome, endereço de e-mail, senha (armazenada de forma criptografada).
• Fotografias do Usuário: foto frontal obrigatória e fotos adicionais opcionais, enviadas para geração do ensaio fotográfico com IA. Estas fotografias são consideradas dados biométricos sensíveis nos termos da LGPD.
• Dados de Feedback: avaliações (positivas/negativas) sobre imagens geradas, mensagens de suporte, sugestões de estilo.
• Dados de Depoimento: quando o usuário autoriza a publicação de depoimento na Plataforma (veja seção 3.4).

3.2. Dados Coletados Automaticamente

Ao acessar nossa plataforma, coletamos automaticamente:

• Dados de Acesso: endereço IP, tipo e versão do navegador (user agent), sistema operacional, páginas visitadas, horário e duração das visitas.
• Dados de Dispositivo: tipo de dispositivo, identificadores únicos, configurações de idioma, resolução de tela.
• Cookies e Tecnologias Similares: cookies de sessão, cookies persistentes, pixels de rastreamento (Meta Pixel, Google Tag Manager quando configurados) para funcionamento da plataforma e análise de uso.
• Dados de Rastreamento (UTM): parâmetros de campanhas de marketing (utm_source, utm_medium, utm_campaign) para análise de origem de tráfego.
• Dados de Referência: código de indicação, quando o usuário acessa a plataforma por meio de um link de indicação de outro usuário.

3.3. Dados de Pagamento

Os dados de pagamento (número de cartão de crédito, dados bancários, CPF para PIX) são processados diretamente pela Asaas, nossa processadora de pagamentos terceirizada, e NÃO são armazenados em nossos servidores. A Asaas está sujeita às suas próprias políticas de privacidade e segurança. Armazenamos apenas o identificador da transação, o status do pagamento e o valor pago para controle interno e emissão de comprovantes.

3.4. Dados de Depoimentos e Imagens Públicas

Estes dados são armazenados como prova legal da autorização concedida pelo usuário. A qualquer momento, o usuário pode solicitar a remoção de seu depoimento e imagens públicas através do formulário de suporte em retratou.com/contato ou pelo e-mail suporte@retratou.com. A remoção será processada em até 5 (cinco) dias úteis.

4. PROTEÇÃO DAS FOTOGRAFIAS E IMAGENS DO USUÁRIO

• NÃO divulgaremos as fotos enviadas pelos usuários para qualquer terceiro, parceiro, rede social ou meio de comunicação;
• NÃO venderemos as imagens dos usuários para nenhuma pessoa física ou jurídica, sob nenhuma circunstância;
• NÃO cederemos as fotografias ou imagens geradas a terceiros, seja de forma gratuita ou onerosa;
• NÃO utilizaremos as fotos dos usuários para treinamento de modelos de inteligência artificial, publicidade, marketing ou qualquer finalidade que não seja a prestação direta do serviço contratado (geração do ensaio fotográfico);
• NÃO compartilharemos as imagens com outros usuários da Plataforma ou qualquer pessoa que não o próprio titular.

As fotografias enviadas e imagens geradas são tratadas com o mais alto grau de confidencialidade e são acessíveis exclusivamente pelo próprio usuário autenticado em sua conta. O processamento pela IA ocorre de forma automatizada e as imagens são armazenadas de forma segura em infraestrutura cloud com acesso restrito.

5. RESTRIÇÕES SOBRE IMAGENS E USO DA IA

5.1. Fotos Exclusivamente do Próprio Usuário

O Retratou aceita exclusivamente fotos do próprio usuário cadastrado. É estritamente proibido o envio de fotos de terceiros sem autorização expressa e documentada do titular da imagem. O Retratou utiliza validação por inteligência artificial para verificar a adequação das fotos enviadas, porém a responsabilidade pelo conteúdo enviado é integralmente do usuário.

5.2. Proibição Absoluta de Imagens de Menores

É terminantemente proibido o envio de fotos de crianças e adolescentes (menores de 18 anos) para geração de ensaios fotográficos. Em conformidade com o Estatuto da Criança e do Adolescente (ECA – Lei nº 8.069/90) e a LGPD, o Retratou não processa, armazena ou gera imagens de menores de idade. A violação resultará no cancelamento imediato da conta e comunicação às autoridades competentes.

5.3. Proibição de Deepfakes e Uso Malicioso

É proibido utilizar a Plataforma para gerar imagens falsas (deepfakes) de terceiros, celebridades, figuras públicas ou qualquer pessoa sem autorização. O serviço destina-se exclusivamente à geração de ensaios fotográficos profissionais do próprio usuário. Qualquer tentativa de uso para fraude, difamação, assédio, extorsão ou atividade ilícita resultará na suspensão imediata da conta e comunicação às autoridades.

5.4. Natureza das Imagens Geradas

As imagens geradas pela inteligência artificial são representações artísticas baseadas na foto fornecida e no estilo de referência selecionado. Os resultados podem variar em semelhança e qualidade, e não há garantia de resultados específicos de fidelidade ou adequação para fins particulares.

6. FINALIDADES DO TRATAMENTO

Utilizamos seus dados pessoais para as seguintes finalidades:

• Prestação de Serviços: criar sua conta, processar suas fotos, gerar o ensaio fotográfico, armazenar suas imagens e fornecer suporte técnico.
• Processamento de Pagamentos: registrar transações, emitir comprovantes e processar reembolsos quando solicitados.
• Comunicação: enviar notificações sobre sua conta, status de geração de imagens, atualizações de serviço e, com seu consentimento, comunicações promocionais.
• Segurança: detectar e prevenir fraudes, abusos e atividades ilegais, proteger a integridade da plataforma, limitar tentativas de acesso indevido (rate limiting).
• Análise e Melhoria: analisar padrões de uso para melhorar nossos serviços, desenvolver novos estilos de referência e otimizar a experiência do usuário.
• Validação de Fotos: verificar automaticamente a qualidade, adequação e conformidade das fotos enviadas antes do processamento.
• Cumprimento Legal: cumprir obrigações legais, regulatórias e responder a solicitações de autoridades competentes.

7. BASES LEGAIS PARA O TRATAMENTO (ART. 7º e 11 LGPD)

O tratamento de dados pessoais pelo Retratou está fundamentado nas seguintes bases legais:

• Consentimento (art. 7º, I e art. 11, I): para o tratamento de dados biométricos (fotografias faciais), envio de comunicações promocionais, uso de cookies não essenciais e publicação de depoimentos.
• Execução de Contrato (art. 7º, V): para a prestação dos serviços contratados através dos Termos de Uso.
• Legítimo Interesse (art. 7º, IX): para análise de uso, melhoria de serviços, prevenção de fraudes e segurança da plataforma.
• Cumprimento de Obrigação Legal (art. 7º, II): para atender requisitos legais e regulatórios aplicáveis, incluindo o Marco Civil da Internet.

8. COMPARTILHAMENTO DE DADOS

Podemos compartilhar seus dados pessoais com:

• Prestadores de Serviços Essenciais: empresas que nos auxiliam na operação da plataforma, como provedores de hospedagem (infraestrutura cloud), processadores de pagamento (Asaas), serviços de inteligência artificial (Google Vertex AI / Gemini) e serviços de comunicação em tempo real (Pusher). Estes prestadores atuam como operadores e estão vinculados a obrigações de confidencialidade.
• Serviços de Análise: ferramentas de análise de tráfego (Meta Pixel, Google Tag Manager) quando configuradas, para entendimento do comportamento de uso e otimização de campanhas.
• Autoridades Públicas: quando exigido por lei, ordem judicial ou requisição de autoridade competente.
• Reorganização Societária: em caso de fusão, aquisição ou venda de ativos, seus dados poderão ser transferidos, mantendo-se as mesmas garantias de proteção.

9. TRANSFERÊNCIA INTERNACIONAL DE DADOS

Alguns de nossos prestadores de serviços (como Google Vertex AI para processamento de imagens) podem estar localizados fora do Brasil. Nesses casos, a transferência internacional de dados será realizada em conformidade com a LGPD, mediante:

• Transferência para países com grau de proteção adequado, reconhecido pela ANPD;
• Cláusulas contratuais específicas que garantam a proteção dos dados;
• Certificações ou normas corporativas globais reconhecidas.

10. ARMAZENAMENTO E RETENÇÃO DE DADOS

10.1. Período de Retenção

Seus dados pessoais serão mantidos pelo período necessário para cumprir as finalidades para as quais foram coletados, observando os seguintes critérios:

• Dados de Conta: enquanto a conta estiver ativa ou conforme necessário para prestação dos serviços.
• Fotografias e Imagens Geradas: enquanto a conta estiver ativa e por até 30 (trinta) dias após a exclusão da sessão pelo usuário, para possibilitar recuperação em caso de exclusão acidental.
• Dados de Uso e Rastreamento: por até 6 (seis) meses para fins de análise.
• Registros de Acesso (logs): pelo prazo mínimo de 6 (seis) meses, conforme Marco Civil da Internet (art. 15).
• Dados de Depoimentos: enquanto o depoimento estiver publicado e por até 6 (seis) meses após a remoção, como comprovação legal da autorização.
• Dados para Cumprimento Legal: pelo prazo estabelecido em lei ou enquanto necessário para exercício de direitos em processos judiciais, administrativos ou arbitrais.

10.2. Eliminação dos Dados

Após o término do período de retenção ou mediante solicitação do titular (quando aplicável), os dados serão eliminados de forma segura ou anonimizados para uso estatístico. O usuário pode solicitar a exclusão de suas fotos e imagens geradas a qualquer momento através das funcionalidades da Plataforma ou pelo e-mail suporte@retratou.com.

11. SEGURANÇA DOS DADOS

Adotamos medidas técnicas e organizacionais apropriadas para proteger seus dados pessoais contra acessos não autorizados, alterações, divulgação ou destruição, incluindo:

• Criptografia de dados em trânsito (HTTPS/TLS) e senhas armazenadas com hash seguro;
• Cabeçalhos de segurança HTTP (X-Content-Type-Options, X-Frame-Options, HSTS, Referrer-Policy, Permissions-Policy);
• Controles de acesso baseados em funções (administrador/usuário) e princípio do menor privilégio;
• Limitação de taxa de requisições (rate limiting) por IP para prevenção de abusos;
• Proteção contra download não autorizado de imagens (bloqueio de clique direito, arrastar e atalhos de teclado);
• Marca d'água reforçada em previews com padrões irregulares resistentes a remoção por IA;
• Armazenamento seguro em infraestrutura cloud com acesso restrito;
• Validação automática de fotos enviadas por inteligência artificial;
• Backups regulares dos dados em locais seguros.

Apesar de nossos esforços, nenhum sistema é 100% seguro. Em caso de incidente de segurança que possa acarretar risco ou dano relevante, notificaremos os titulares afetados e a Autoridade Nacional de Proteção de Dados (ANPD), conforme art. 48 da LGPD.

12. DIREITOS DO TITULAR DOS DADOS

Conforme a LGPD (art. 18), você possui os seguintes direitos em relação aos seus dados pessoais:

• Confirmação: confirmar a existência de tratamento de seus dados.
• Acesso: acessar seus dados pessoais tratados por nós.
• Correção: corrigir dados incompletos, inexatos ou desatualizados.
• Anonimização, Bloqueio ou Eliminação: solicitar a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
• Portabilidade: solicitar a portabilidade dos dados a outro fornecedor de serviço, mediante requisição expressa.
• Eliminação: solicitar a eliminação dos dados tratados com base no consentimento, incluindo fotografias e imagens geradas.
• Informação: ser informado sobre entidades públicas e privadas com as quais compartilhamos seus dados.
• Revogação do Consentimento: revogar o consentimento a qualquer momento, mediante manifestação expressa, incluindo a autorização para publicação de depoimentos.
• Oposição: opor-se ao tratamento realizado com fundamento em hipótese legal diversa do consentimento, em caso de descumprimento à LGPD.

Para exercer seus direitos, entre em contato conosco pelos canais indicados na seção 16 desta Política ou através do formulário de suporte em retratou.com/contato. Responderemos às solicitações no prazo de até 15 (quinze) dias, conforme art. 18, § 3º da LGPD.

13. COOKIES E TECNOLOGIAS SIMILARES

13.1. O que são Cookies

Cookies são pequenos arquivos de texto armazenados em seu dispositivo quando você acessa nossa plataforma. Eles permitem reconhecer seu dispositivo e armazenar algumas informações sobre suas preferências ou ações anteriores.

13.2. Tipos de Cookies Utilizados

• Cookies Essenciais: necessários para o funcionamento básico da plataforma, como autenticação (NextAuth.js), sessão do usuário e segurança.
• Cookies de Funcionalidade: permitem lembrar suas preferências de idioma e personalizar sua experiência.
• Cookies de Análise: utilizados para análise estatística e melhoria contínua dos serviços (Meta Pixel, Google Tag Manager, quando configurados).

13.3. Gerenciamento de Cookies

Você pode gerenciar suas preferências de cookies através das configurações do seu navegador. Note que desabilitar cookies essenciais pode afetar a funcionalidade da plataforma, como autenticação e acesso às suas imagens.

14. DADOS DE MENORES DE IDADE

O Retratou NÃO é destinado a menores de 18 (dezoito) anos. Não coletamos intencionalmente dados pessoais de crianças e adolescentes. Em conformidade com o Estatuto da Criança e do Adolescente (ECA) e a LGPD, é estritamente proibido o envio de fotos de menores de idade para geração de ensaios fotográficos.

Caso tomemos conhecimento de que dados de menor foram coletados inadvertidamente, tomaremos medidas imediatas para excluí-los. Se você é pai, mãe ou responsável legal e acredita que seu filho(a) forneceu dados pessoais ao Retratou, entre em contato conosco imediatamente pelo e-mail suporte@retratou.com.

15. ALTERAÇÕES NESTA POLÍTICA

Esta Política de Privacidade pode ser atualizada periodicamente para refletir mudanças em nossas práticas ou por exigências legais. As alterações serão publicadas nesta página com a data de "Última atualização" revisada. Alterações substanciais serão comunicadas por e-mail ou notificação na plataforma. Recomendamos revisar esta Política periodicamente. A continuidade do uso da Plataforma após alterações constitui aceitação da Política atualizada.

16. CONTATO E ENCARREGADO DE DADOS

Para exercer seus direitos, esclarecer dúvidas ou fazer reclamações sobre o tratamento de dados pessoais, entre em contato conosco:

Caso não fique satisfeito com nossa resposta, você tem o direito de apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD).

17. LEGISLAÇÃO APLICÁVEL E FORO

Esta Política de Privacidade é regida pelas leis da República Federativa do Brasil, especialmente a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), o Marco Civil da Internet (Lei nº 12.965/2014), o Código de Defesa do Consumidor (Lei nº 8.078/90) e o Estatuto da Criança e do Adolescente (Lei nº 8.069/90).

Fica eleito o foro da Comarca de Florianópolis, Estado de Santa Catarina, para dirimir quaisquer controvérsias decorrentes desta Política, com renúncia a qualquer outro, por mais privilegiado que seja.