VERSÃO 2026-05-31 · LGPD

Política de Privacidade

1. Quem somos

Bradypus é uma plataforma de estudos adaptativa. Controlador dos dados: Bradypus Ltda. Encarregado (DPO): privacidade@bradypus.com.

2. Dados que coletamos

  • Cadastro: email, senha (hash gerenciado pelo Firebase Authentication), username, foto/avatar (opcional).
  • Perfil de estudo: objetivo (concurso ou tema livre), universo favorito para personalização de exemplos, preferências de duração, retenção e estilo.
  • Uso: respostas a questões, tempo de sessão, tópicos cobertos, métricas de domínio por matéria, sessões preparadas pelo motor adaptativo.
  • Pagamento: identificadores Stripe e Mercado Pago (customer/subscription id). Dados completos do cartão nunca trafegam ou são armazenados em nossa infra — ficam só com Stripe/MP.
  • Interações com o Tutor: os temas e enunciados que você envia ao Tutor são processados por um provedor externo de processamento de linguagem natural sob contrato de sub-operação, para preparar o conteúdo da sessão. O uso é medido por chamada (auditoria + controle de custo) e os textos que você envia não são utilizados para treinar modelos de terceiros, conforme cláusula contratual.
  • Técnico: IP, user-agent, locale, eventos de App Check, logs de erro via Sentry (sem dados sensíveis).

3. Para que usamos

  • Personalizar conteúdo e revisões.
  • Calcular score e ranking (com opt-in).
  • Prevenir fraude (rate limit, audit).
  • Faturamento e suporte.

Não vendemos seus dados. Não compartilhamos com terceiros para marketing.

4. Base legal (LGPD art. 7)

  • Execução do contrato: dados de cadastro, uso e pagamento.
  • Legítimo interesse: prevenção a fraude, audit log.
  • Consentimento: cookies de analytics, opt-in de ranking público.

5. Seus direitos (LGPD art. 18)

  • Acesso: faça download do JSON completo em Configurações → Dados → Exportar (ou use /api/me/export).
  • Correção: edite seu perfil a qualquer momento.
  • Exclusão: Configurações → Dados → Apagar conta. Soft delete imediato + purga física em 30 dias.
  • Portabilidade: mesmo export, JSON estruturado.
  • Oposição/revogação: opt-out de marketing em settings; revoga sessões ativas.

6. Retenção

Dados ativos enquanto sua conta existir. Após delete: 30 dias para soft delete (recuperável por você) e então purga física. Audit log retido 5 anos (obrigação contratual).

7. Cookies

Cookies estritamente necessários (sessão, locale): sem opt-in. Cookies de analytics: precisam de aceite no banner. Pode revogar em Configurações → Privacidade.

8. Segurança

Criptografia em trânsito (TLS 1.3) e em repouso. App Check no cliente. MFA opcional para usuários e obrigatório para administradores. Rate limit e audit log em ações sensíveis. Incidentes seguem a Resolução CD/ANPD nº 15/2024.

9. Transferência internacional + sub-operadores

Operamos com os seguintes sub-operadores sob cláusulas contratuais padrão (LGPD art. 33 V):

  • Firebase Authentication (Google LLC, EUA) — autenticação, gestão de sessão e verificação de email.
  • Supabase (Supabase Inc., EUA — infraestrutura AWS) — banco de dados relacional do perfil, sessões e métricas de estudo.
  • Stripe (Stripe Inc., EUA) — processamento de pagamento internacional/cartão.
  • Mercado Pago (Mercado Pago Brasil) — processamento de pagamento BR (PIX, boleto, cartão local).
  • Provedor externo de processamento de linguagem natural (operador estabelecido nos EUA, sob cláusulas contratuais padrão) — preparação de conteúdo personalizado pelo Tutor. Os textos enviados não são utilizados para treinar modelos do operador, conforme cláusula contratual.
  • Cloudflare R2 (Cloudflare Inc., EUA) — storage de avatares.
  • Sentry (Functional Software Inc., EUA) — logs de erro e observability (sem PII).

10. Decisões automatizadas (LGPD art. 20)

Usamos um motor adaptativo para sugerir quais tópicos estudar em seguida (Forgetting Curve + métricas de domínio). Você pode revisar a recomendação, escolher outro tema/sessão a qualquer momento e pedir revisão humana solicitando em privacidade@bradypus.com. O conteúdo da sessão é preparado de forma automatizada e fica sob sua revisão antes do estudo.

11. Mudanças

Atualizações são notificadas por email e exigem novo aceite no próximo login. Versão atual: 2026-05-31.