Política de Privacidade

v1.1 · 21 de maio de 2026

Seu roteiro nunca treina modelos de IA

O conteúdo que você escreve no Telos — projetos, personagens, cenas, voz autoral, comentários — é seu, e fica seu. Nós NÃO usamos o seu material pra treinar nossos modelos nem repassamos pra terceiros treinarem os deles. Os modelos que o Telos consulta (Anthropic Claude) operam em modo zero-retention contratual: o conteúdo que enviamos pra geração não é armazenado nem usado pra fine-tuning. Se isso mudar, você é avisado por e-mail com antecedência mínima de 30 dias antes da política vigorar — e tem direito de cancelar o serviço com reembolso proporcional.

Você pode exportar tudo que você criou no Telos em qualquer momento (formato JSON estruturado, fácil de migrar pra outras ferramentas) ou excluir sua conta (apaga todos os dados, irrevogável após 30 dias de janela de recuperação).

Esta política descreve com transparência radical quais dados o Telos coleta, por que, com quem compartilhamos e como você controla tudo isso. Linguagem direta — sem juridiquês desnecessário. Conformidade com a LGPD (Brasil, Lei 13.709/2018) e GDPR (União Europeia, Regulamento 2016/679).

1. Quem é o controlador

Telos é operado por Diego Lopes (CNPJ a publicar antes do beta público). Contato: privacidade@telos.guru (encarregado de proteção de dados — DPO).

2. Quais dados coletamos

Cadastro e autenticação:

  • Nome e e-mail (obrigatórios)
  • Senha (hash bcrypt — nunca em texto puro)
  • Se você usa login Google: ID Google, e-mail e nome retornados pela API do Google. Sem acesso à sua agenda, Drive ou qualquer outro serviço.

Conteúdo autoral:

  • Projetos, personagens, cenas, ganchos, comentários, análises, voz autoral compilada — tudo que você escreve ou gera pela IA dentro do Telos.
  • Versões/branches do projeto (histórico de alterações preservado pra auditoria autoral).

Uso e cobrança:

  • Histórico de uso de créditos (qual operação, quando, custo) — necessário pra prevenção de fraude e suporte.
  • Dados de pagamento são processados diretamente pelo Stripe — o Telos só recebe o ID do cliente Stripe e status de assinatura. Não armazenamos número de cartão.

Técnico (mínimo):

  • IP de origem (anonimizado após 30 dias — last octet zerado). Usado pra detectar abuso e geolocalizar serviço.
  • User-agent (browser/OS) — útil pra debugging.
  • Cookie de sessão (necessário pra autenticação) — sem cookies de rastreamento de terceiros.

3. Por que coletamos (bases legais)

  • Execução de contrato (Art. 7º V LGPD / Art. 6(1)(b) GDPR): sem cadastro não conseguimos entregar a ferramenta que você contratou.
  • Cumprimento de obrigação legal (Art. 7º II LGPD / Art. 6(1)(c) GDPR): emissão fiscal, anti-fraude.
  • Legítimo interesse (Art. 7º IX LGPD / Art. 6(1)(f) GDPR): prevenção de fraude e segurança da plataforma.
  • Consentimento (Art. 7º I LGPD / Art. 6(1)(a) GDPR): comunicações de marketing (opt-in explícito — você pode revogar a qualquer momento sem afetar o serviço).

4. Com quem compartilhamos

Apenas com operadores estritamente necessários, todos sob contrato de processamento de dados (DPA) com o Telos:

  • Anthropic (Claude API, EUA): processa prompts e devolve respostas. Modo zero-retention contratual — Anthropic não armazena nem reusa o conteúdo enviado.
  • Stripe Payments Inc. (EUA): processa cobranças. Base legal: LGPD art. 33, IX (transferência internacional pra execução de contrato a pedido do titular — você autoriza ao assinar). Telos recebe apenas customer ID + status de assinatura — número de cartão fica integralmente no domínio do Stripe.
  • Vercel Inc. (EUA): hospedagem da aplicação web. Edge functions distribuídas globalmente.
  • Neon Database Inc. (EUA, região US-East): banco de dados Postgres gerenciado. Criptografia AES-256 em repouso, TLS em trânsito.
  • Upstash Inc. (EUA/Global): rate limiting + cache Redis. Sem dado pessoal — apenas IDs truncados pra controle de abuso.
  • PostHog Inc. (EUA, US Cloud): product analytics. PII desabilitada por design — distinctId é UUID anônimo, IP truncado, sem captura de inputs/email/nome. Ver seção 4-bis abaixo.
  • Sentry Software Inc. (EUA): error monitoring. PII scrubbing habilitado em SDK client + server.

Transferências internacionais (todas pra EUA): amparadas em Cláusulas Contratuais Padrão (SCCs) da Comissão Europeia e cláusulas-tipo da ANPD, exceto quando a base legal específica (ex: Stripe, LGPD art. 33 IX) já cobre a operação.

4-bis. Product analytics (PostHog) — o que coletamos

Coletamos eventos de uso pra entender como Telos é usado (quais features importam, onde autores travam, etc). Tudo via PostHog, com privacidade-default conservadora:

  • distinctId = userId UUID (não-PII). Nunca enviamos email, nome ou conteúdo autoral.
  • Eventos: criação de projeto, escrita de cena, aceite/rejeição de sugestão IA, consumo de créditos, pagamento. Apenas metadados (timestamps, IDs, formato, valores), nunca texto da cena.
  • Cohort: semana ISO de cadastro pra análise de retenção (anônima por cohort).
  • Desabilitado por design: autocapture de cliques, session recording (gravaria texto do roteiro), captura de inputs/forms, cookies de cross-site tracking.
  • Respeito a DNT: navegadores com Do Not Track configurado não enviam eventos.

Pra desativar product analytics completamente na sua conta, mande email pra privacidade@telos.guru (LGPD art. 18 IV — oposição a tratamento por interesse legítimo).

5. Por quanto tempo guardamos

  • Conteúdo autoral: enquanto sua conta estiver ativa. Após exclusão, 30 dias de janela de recuperação e então hard-delete irreversível.
  • Dados fiscais/cobrança: 5 anos após o fim do contrato (obrigação tributária brasileira).
  • Logs técnicos: 90 dias.
  • IPs: anonimização após 30 dias.

6. Seus direitos

Você pode, a qualquer momento e sem justificativa:

  • Acessar e exportar todos os dados que possuímos sobre você (formato JSON estruturado).
  • Corrigir dados incorretos (configurações da conta).
  • Excluir sua conta e todos os dados associados (hard-delete após 30 dias de recuperação).
  • Revogar consentimento de marketing (link em todo e-mail promocional).
  • Reclamar à ANPD (Brasil) ou à autoridade de proteção de dados local (UE).

7. Segurança

  • HTTPS obrigatório (HSTS preload).
  • Senhas com bcrypt (cost 12).
  • Banco de dados criptografado em repouso (AES-256).
  • Backups encriptados, retenção 30 dias.
  • Acesso a dados pessoais restrito (audit log).
  • Em caso de incidente, notificação à ANPD em até 48h e aos titulares afetados em até 72h.

8. Cookies

Usamos cookies estritamente necessários (sessão de autenticação, preferência de tema, estado de colapso da sidebar). Não usamos cookies de marketing ou rastreamento de terceiros. Não há trackers externos.

9. Crianças e adolescentes

O Telos não é direcionado a menores de 18 anos. Se identificarmos cadastro de menor sem consentimento expresso e qualificado do responsável legal, removemos a conta.

10. Mudanças nesta política

Esta política tem versionamento explícito (canto superior direito). Mudanças substanciais geram notificação por e-mail com 30 dias de antecedência. Você pode contestar e/ou cancelar antes da vigência sem custo.

Contato e DPO

Dúvidas, solicitações ou reclamações: privacidade@telos.guru. Respondemos em até 15 dias corridos (LGPD Art. 19 §1º).

Histórico de versões

v1.1
21/mai/2026 — Lista expandida de sub-operadores com base legal individual (Stripe — LGPD art. 33 IX explicitado; Neon, Upstash, PostHog, Sentry adicionados). Nova seção 4-bis sobre product analytics (PostHog, privacy-default conservadora, opt-out por email).
v1.0
18/mai/2026 — Versão inicial LGPD/GDPR (Sprint F1.11).