Privacidade e cookies

Versão 1.1.0 · Última atualização: maio de 2026

A Trama () trata dados pessoais em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados — LGPD) e com as orientações da Autoridade Nacional de Proteção de Dados (ANPD). Este documento descreve, de forma transparente, quais dados coletamos, com qual base legal, por quanto tempo guardamos e como você pode exercer seus direitos.

1. Controlador e Encarregado (DPO)

Controlador: <RAZAO_SOCIAL_OU_NOME_COMPLETO>, inscrito sob CNPJ <XX.XXX.XXX/0001-XX> (ou CPF <XXX.XXX.XXX-XX> se pessoa física), com sede em <ENDERECO_COMPLETO_RUA_NUMERO_BAIRRO_CIDADE_UF_CEP>, vinculado ao domínio . (Trecho a ser preenchido por Rafael antes de PRD — placeholders entre <...> serão substituídos.)

Encarregado pela proteção de dados (DPO): Rafael Rana Forte. Contato direto: oi@trama.work. Respondemos solicitações em até 15 dias corridos (art. 19, §1º).

2. Dados coletados, finalidades e base legal

Listamos abaixo cada categoria de dado tratado, sua finalidade e a base legal correspondente (art. 7º da LGPD):

• Identificação e contato (nome, e-mail, WhatsApp): para enviar o relatório de diagnóstico e dar suporte. Base legal: execução de contrato e procedimentos preliminares (art. 7º, V) + consentimento (art. 7º, I) registrado no momento do envio do formulário.
• Empresa (razão social, CNPJ, faturamento aproximado, segmento): para gerar o diagnóstico personalizado e benchmark de mercado. Base legal: execução de contrato (art. 7º, V).
• Respostas do questionário (48 perguntas operacionais): para calcular o score de maturidade e gerar plano de ação. Base legal: execução de contrato (art. 7º, V).
• Tokens OAuth Google Analytics 4 / Google Ads (quando autorizados): para coletar métricas reais de campanhas e tráfego. Tokens são armazenados criptografados (AES-256). Base legal: consentimento específico (art. 7º, I) — pode ser revogado a qualquer momento.
• Pagamento (dados de cartão): processados pelo Stripe; não armazenamos número completo de cartão no nosso site. Base legal: execução de contrato.
• Cookies analíticos (Google Tag Manager, GA4): mensuração de uso agregado do site. Base legal: consentimento via banner de cookies (art. 7º, I); cookies estritamente necessários (sessão, segurança) usam legítimo interesse (art. 7º, IX).
• Logs de acesso (IP hasheado, user agent, timestamps): segurança e auditoria. Base legal: cumprimento de obrigação legal e regulatória (art. 7º, II) e legítimo interesse (art. 7º, IX). Não armazenamos IP em texto claro.

3. Tempo de retenção

• Dados ativos (Supabase quente): durante a vigência da relação contratual + 90 dias.
• Backups frios (R2 / arquivamento): até 1 ano após o término do contrato.
• Documentos fiscais e contábeis: 5 anos (obrigação fiscal — Lei 8.137/1990 e Decreto 7.574/2011).
• Logs de auditoria: 1 ano (segurança / forense).
• Após dados anonimizados: estatísticas agregadas anônimas podem ser mantidas indefinidamente para benchmarks de mercado (art. 12, §3º — dados anonimizados não são considerados pessoais).

4. Compartilhamento com terceiros (operadores)

Compartilhamos o mínimo necessário com operadores que tratam dados em nosso nome, todos com contratos de tratamento de dados:

• Anthropic (Claude): geração textual do diagnóstico — recebe apenas dados estruturados das respostas, sem PII direta quando possível.
• Supabase: banco de dados primário (US/EU regions).
• Cloudflare R2: armazenamento de relatórios HTML (Frankfurt).
• Vercel: hospedagem da API (US/EU edge).
• n8n (Fly.io): orquestração da pipeline.
• Resend: envio de e-mails transacionais.
• Stripe: processamento de pagamento.
• Google (GA4 / Ads / GMB): apenas quando você autoriza explicitamente via OAuth.
• DataForSEO: dados de SERP/Labs do mercado (não envia PII).

Não vendemos, alugamos ou cedemos dados pessoais para fins comerciais de terceiros. Transferências internacionais são feitas com cláusulas contratuais padrão e/ou para países com nível adequado de proteção (art. 33).

5. Seus direitos (art. 18 da LGPD)

Você tem direito a:

• Confirmação e acesso aos seus dados (II) — solicite a exportação em trama.work/api/lgpd-export ou pelo Portal Cliente, seção "Privacidade".
• Correção de dados incompletos ou desatualizados (III).
• Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade (IV) — solicite por e-mail; respondemos em até 15 dias.
• Portabilidade a outro fornecedor (V) — fornecemos JSON estruturado.
• Eliminação dos dados tratados com consentimento (VI) — anonimização preserva benchmarks anônimos.
• Informação sobre compartilhamentos (VII).
• Revogação do consentimento (IX) — sem prejuízo dos serviços contratados que dependam de bases legais não consensuais.
• Revisão de decisões automatizadas (art. 20) — você tem direito a solicitar revisão humana de qualquer decisão tomada exclusivamente por sistema automatizado que afete seus interesses (ex.: score de maturidade, plano de ação gerado por IA). Solicite por e-mail; em até 15 dias avaliaremos manualmente e respondemos com a decisão revisada. O score de maturidade é calculado deterministicamente a partir das respostas do questionário (regras documentadas internamente); o plano de ação textual é gerado por modelo de linguagem (Claude/Anthropic) com base nessas mesmas respostas. Você pode solicitar uma explicação dos critérios principais por e-mail (art. 20, §1º).
• Oposição (art. 18, §2º) — quando o tratamento se baseia em legítimo interesse (ex.: logs de segurança, suporte por e-mail), você pode opor-se à finalidade específica. Avaliaremos o pedido sob o teste de proporcionalidade da ANPD; se a oposição for procedente, encerramos o tratamento daquela finalidade.
• Reclamação à ANPD (art. 55-J): gov.br/anpd.

6. Como exercer seus direitos

1. E-mail direto: envie sua solicitação para oi@trama.work com a descrição do pedido.
2. Portal Cliente: se você é cliente ativo, abra o portal e use a seção "Privacidade" para exportar/anonimizar.
3. Identificação: para sua segurança, podemos pedir confirmação de identidade (resposta ao e-mail cadastrado, magic link).
4. Prazo de resposta: até 15 dias corridos. Se não puder atender, justificamos o motivo (art. 18, §6º).

7. Cookies

Usamos os seguintes tipos de cookies:

• Estritamente necessários: sessão, CSRF, preferência de cookies. Não exigem consentimento.
• Analíticos (Google Analytics 4, GTM): apenas após aceite no banner de cookies (Consent Mode v2). Você pode trocar a preferência a qualquer momento.
• Marketing: não usamos cookies de remarketing/publicidade direcionada.

8. Segurança

Aplicamos medidas técnicas e administrativas: HTTPS em todo o domínio, criptografia em trânsito e em repouso para dados sensíveis (tokens OAuth, backups), Row Level Security no banco de dados, audit-log imutável em escritas sensíveis, autenticação JWT com expiração curta e refresh tokens, multi-tenant isolation. Em caso de incidente de segurança que exponha dados pessoais, comunicaremos os titulares e a ANPD em prazo razoável (art. 48).

9. Dados de menores

Nosso serviço destina-se a empresas (B2B). Não coletamos intencionalmente dados de pessoas menores de 18 anos. Se você identificar coleta indevida de dados de menores, comunique-nos para exclusão imediata (art. 14).

10. Alterações desta política

Atualizações materiais serão notificadas por e-mail aos titulares cadastrados e exigirão novo consentimento quando alterarem finalidade ou base legal. O número de versão (atualmente 1.1.0) e a data de atualização ficam visíveis no topo desta página. Você pode consultar versões anteriores solicitando por e-mail.

Histórico: 1.1.0 (maio/2026) — identificação completa do controlador (placeholder pendente preenchimento), direito de revisão de decisões automatizadas (art. 20) e direito de oposição (art. 18, §2º) explicitados. 1.0.0 (maio/2026) — versão inicial.

11. Contato e dúvidas

DPO: Rafael Rana Forte · E-mail: oi@trama.work · Tempo de resposta: 15 dias corridos.

← Voltar ao início