Codia

Política de Privacidade

1. Controlador e escopo

Esta Política de Privacidade descreve como a Codia Tech, LLC ("Codia", "nós"), sociedade de responsabilidade limitada do estado de Delaware, com endereço registrado em 1111B S Governors Ave STE 21043, Dover, DE 19904, Estados Unidos, coleta, usa, divulga e protege informações pessoais quando você utiliza codia.ai, Codia Studio, NoteSlide, nossos plug-ins do Figma, nossas APIs e qualquer outro produto ou serviço que disponibilizarmos (coletivamente, os "Serviços").

Para fins do Regulamento Geral de Proteção de Dados da UE/Reino Unido ("GDPR"), da Lei Geral de Proteção de Dados brasileira ("LGPD"), da Lei de Proteção de Informações Pessoais sul-coreana ("PIPA"), da Lei de Proteção de Informações Pessoais japonesa ("APPI"), da CCPA/CPRA da Califórnia e legislações similares, a Codia é a controladora das informações pessoais processadas nos termos desta Política.

Redigimos esta Política em linguagem simples e assumimos compromissos concretos — sobre treinamento de IA, retenção de dados, localização de armazenamento e compartilhamento com terceiros — para que você saiba exatamente o que acontece com seus dados.

2. Informações que coletamos

Informações que você fornece

  • Informações de conta — nome, e-mail, senha (armazenada com hash), imagem de perfil, preferência de idioma.
  • Informações de pagamento — nome e endereço de cobrança, identificador fiscal (CPF/CNPJ, VAT), marca e últimos quatro dígitos do cartão, histórico de transações. Números de cartão completos são tratados por processadores PCI-DSS (Stripe e outros) e não são armazenados pela Codia.
  • Conteúdo do Usuário — arquivos, imagens, PDFs, PSD/AI, documentos Office, exportações do Notion, URLs, prompts e imagens de referência que você envia.
  • Comunicações — mensagens enviadas aos nossos canais de suporte, jurídico, DMCA, DSA, privacidade ou segurança.

Informações coletadas automaticamente

  • Dados de uso — páginas visualizadas, recursos utilizados, cliques, ações, timestamps, duração da sessão, referrer.
  • Dados de dispositivo e rede — tipo de navegador, sistema operacional, tipo de dispositivo, resolução, idioma, endereço IP, geolocalização aproximada derivada do IP, logs de erro.
  • Cookies e tecnologias similares — ver Seção 10.

Informações de terceiros

  • Provedores OAuth — ao entrar com Google ou GitHub, recebemos nome, e-mail e imagem de perfil conforme autorizado.
  • Provedores de SSO / OIDC — para clientes corporativos com login único.
  • Ambiente de plug-in do Figma — dados de permissões limitadas conforme o manifesto do plug-in.

3. Bases legais (EEE / Reino Unido / Suíça / Brasil)

FinalidadeBase GDPRBase LGPD
Prestação dos Serviços e processamento de Conteúdo do UsuárioExecução de contrato (Art. 6(1)(b))Execução de contrato (Art. 7, V)
Cobrança, prevenção a fraude, segurançaObrigação legal + legítimo interesse (Art. 6(1)(c), (f))Obrigação legal + legítimo interesse (Art. 7, II e IX)
Aprimoramento do produto e analyticsLegítimo interesse (Art. 6(1)(f)) — dados agregados/pseudonimizadosLegítimo interesse (Art. 7, IX)
Comunicações de marketingConsentimento (Art. 6(1)(a))Consentimento (Art. 7, I)
Cookies não essenciaisConsentimentoConsentimento
Cumprimento de lei / defesa de direitosObrigação legal (Art. 6(1)(c), 9(2)(f))Obrigação legal (Art. 7, II)

Transferências pontuais a integrações de terceiros que você habilita (Notion, Canva, Figma) baseiam-se no Art. 49(1)(b) do GDPR (necessidade contratual).

4. Como usamos suas informações

Usamos informações pessoais para: (a) fornecer, manter e proteger os Serviços; (b) processar transações, gerir assinaturas, prevenir fraude e cumprir leis tributárias; (c) autenticar usuários e detectar abusos; (d) gerar saídas de IA a partir de seus prompts; (e) enviar e-mails transacionais (verificação, redefinição de senha, cobrança, notificações de incidentes); (f) enviar comunicações de marketing quando você optar ou quando permitido por lei com direito de oposição; (g) analisar tendências em base agregada; (h) cumprir leis e fazer valer nossos Termos.

Não vendemos informações pessoais e não as "compartilhamos" para publicidade comportamental cross-context nos termos da CCPA/CPRA. Respeitamos sinais de Global Privacy Control (GPC).

5. Treinamento de IA e aprimoramento do modelo

Não utilizamos seu Conteúdo do Usuário, prompts, arquivos enviados ou saídas geradas para treinar, ajustar ou aprimorar nenhum modelo de IA — nem os nossos, nem os de provedores de modelos de base terceiros.

  • Entradas são transmitidas de forma criptografada, processadas apenas para gerar a saída solicitada e não incorporadas a qualquer corpus de treinamento.
  • Nossos sub-operadores de IA operam sob compromissos contratuais de não treinamento para entradas e saídas de API (por exemplo, a política padrão da API da OpenAI e os termos comerciais da API Gemini do Google), salvo opt-in explícito.
  • Métricas agregadas e totalmente desidentificadas (contagem de gerações, latência) podem ser usadas para medir e melhorar o desempenho; não contêm seu Conteúdo do Usuário ou informações pessoais.
  • Os Serviços não tomam decisões automatizadas com efeitos jurídicos ou similarmente significativos sobre você sem revisão humana significativa (GDPR Art. 22, LGPD Art. 20).

6. Como compartilhamos suas informações

Não vendemos, alugamos, permutamos ou compartilhamos seus dados pessoais ou Conteúdo do Usuário com qualquer terceiro para finalidades comerciais, de marketing, publicitárias ou de treinamento de IA próprios desse terceiro.

Para operar os Serviços, recorremos a um conjunto limitado de sub-operadores que atuam estritamente em nosso nome, sob DPA escrito incorporando os termos do Art. 28 do GDPR e, quando aplicável, as SCCs da UE de 2021, o UK Addendum/IDTA, SCCs adaptadas para o Brasil e cláusulas de transferência transfronteiriça em conformidade com o Art. 28 da PIPA.

Principais sub-operadores atuais (lista completa em /docs/subprocessors):

Sub-operadorFinalidadeLocal de processamento
Amazon Web Services, Inc.Infraestrutura em nuvem, S3, bancos de dadosEUA (us-west-1)
Stripe, Inc.Processamento de pagamentosEUA / EEE
OpenAI, LLCModelos de base (LLM, imagem)EUA
Google LLC (Gemini / Imagen)Modelos de baseEUA
Anthropic, PBCModelos de base (LLM)EUA
Black Forest Labs GmbHModelos de imagem (FLUX)Alemanha / EUA
Recraft AIModelos de imagemEUA
Ideogram, Inc.Modelos de imagemEUA
ByteDance (SeeDream)Modelos de imagemSingapura (endpoint regional; não há processamento na China para usuários fora da China)
Amazon SESE-mails transacionaisEUA

Forneceremos aviso prévio de pelo menos 30 dias para qualquer alteração material nesta lista. Se você se opuser a um novo sub-operador com fundamento razoável em proteção de dados, poderá cancelar sua assinatura paga e receber reembolso proporcional.

Também podemos divulgar informações: (a) quando exigido por lei, regulação, processo legal válido ou solicitação governamental (contestamos pedidos amplos e, quando permitido, notificamos os afetados); (b) para proteger direitos, propriedade ou segurança; (c) em fusão, aquisição ou venda de ativos, com aviso prévio; (d) com seu consentimento.

7. Retenção de dados

CategoriaRetenção
Dados de processamento — arquivos enviados, prompts, saídasAutomaticamente excluídos em 7 dias após o processamento
Dados de conta e perfilDurante a conta + 30 dias de carência, depois excluídos ou anonimizados
Projetos / Conteúdo do Usuário salvos na contaDurante a conta; excluídos em 30 dias após o encerramento
Registros fiscais / de cobrançaConforme a lei tributária (tipicamente 7–10 anos)
Logs de segurança e abusoAté 90 dias; mais se necessário para incidente ativo
BackupsRoll-off em até 90 dias
Analytics agregadas/anonimizadasPodem ser retidas indefinidamente por não serem dados pessoais

Você pode solicitar exclusão antecipada a qualquer momento — ver Seção 9.

8. Local dos dados e transferências internacionais

Informações pessoais são armazenadas e processadas em infraestrutura AWS nos Estados Unidos (us-west-1) e em outros países onde operam nossos sub-operadores. Estes podem não oferecer o mesmo nível de proteção do seu país.

Mecanismos de transferência:

DeParaMecanismo
EEEEUASCCs UE 2021 com medidas suplementares documentadas (criptografia, isolamento VPC, Transfer Impact Assessment Schrems II). Avaliação em curso de autocertificação no EU–US Data Privacy Framework.
Reino UnidoEUAIDTA ou SCCs + UK Addendum (ICO B.1.0); avaliação de UK Extension ao DPF.
SuíçaEUASCCs reconhecidas pelo FDPIC suíço; avaliação de Swiss–US DPF.
Coreia do SulEUA / outrosConsentimento expresso sob Art. 28 da PIPA no cadastro + contrato escrito com o destinatário compatível com a PIPA
BrasilEUA / outrosLGPD Art. 33 — cláusulas contratuais adaptadas ao Brasil e, quando necessário, consentimento expresso
JapãoEUA / outrosAPPI Art. 28 — divulgação e consentimento quando o destinatário estiver fora de jurisdição "adequada"
SingapuraEUA / outrosPDPA Transfer Limitation Obligation — proteção comparável via contrato
Hong Kong / Taiwan / outrosEUA / outrosSalvaguardas contratuais padrão; direitos do titular preservados

Cópias das SCCs ou IDTA podem ser solicitadas em [email protected].

9. Seus direitos

Onde quer que você more, você tem direito a:

  • Acessar as informações pessoais que temos sobre você;
  • Retificar dados incorretos ou incompletos;
  • Apagar suas informações ("direito ao esquecimento");
  • Restringir ou opor-se ao tratamento;
  • Portabilidade — receber seus dados em formato estruturado, comum e legível por máquina;
  • Revogar consentimento a qualquer momento, sem prejuízo da legalidade dos tratamentos anteriores;
  • Não ser submetido a decisões automatizadas significativas sem revisão humana (ver §5);
  • Apresentar reclamação à autoridade de supervisão.

9.1 Como exercer

Envie e-mail para [email protected] ou use o link de solicitação de privacidade nas configurações da conta. Verificaremos sua identidade e responderemos em:

RegiãoPrazo
EEE / Reino Unido / Suíça (GDPR)30 dias (prorrogável por 60 em casos complexos)
Califórnia (CCPA / CPRA)45 dias (prorrogável por mais 45)
Brasil (LGPD)15 dias
Coreia (PIPA)10 dias
Japão (APPI)Prazo razoável, em regra 30 dias
Demais jurisdições30 dias

Não discriminaremos você pelo exercício desses direitos.

9.2 Autoridades e representantes

  • Encarregado (DPO / LGPD Art. 41), CPO da Coreia (PIPA Art. 31), contato APPI do Japão: Chief Privacy Officer, Codia Tech, LLC — [email protected]
  • Representante da UE (GDPR Art. 27): em processo de nomeação — enviar pedidos a [email protected]
  • Representante do Reino Unido (UK GDPR Art. 27): em processo de nomeação — [email protected]
  • Brasil: ANPD — gov.br/anpd
  • Reino Unido: ICO — ico.org.uk
  • Coreia: PIPC — pipc.go.kr
  • Japão: PPC — ppc.go.jp
  • Taiwan: 國家發展委員會個人資料保護委員會
  • Hong Kong: PCPD — pcpd.org.hk
  • Singapura: PDPC — pdpc.gov.sg

9.3 Observações por região

  • EEE / Reino Unido (GDPR): você pode se opor a tratamentos com base em legítimo interesse. Reclamações à autoridade local.
  • Califórnia (CCPA / CPRA): não "vendemos" nem "compartilhamos" dados. Você pode usar procurador autorizado e limitar o uso de dados sensíveis.
  • Demais estados dos EUA (Nevada, Colorado, Virgínia, Connecticut, Utah, Texas, Oregon, Montana, Iowa, Tennessee etc.): direitos similares sob a lei estadual aplicável.
  • Brasil (LGPD): você tem os 9 direitos do Art. 18, incluindo confirmação, portabilidade e informações sobre compartilhamento.
  • Coreia (PIPA): transferências internacionais com base no seu consentimento explícito no cadastro.
  • Japão (APPI): para transferências internacionais, fornecemos informação sobre práticas de proteção no país de destino mediante solicitação.
  • Singapura (PDPA), Hong Kong (PDPO), Taiwan (個人資料保護法): solicitações de acesso e retificação em [email protected].

10. Cookies

CategoriaFinalidadeExemplos
EssenciaisAutenticação e segurança; não podem ser desativadosCodia.AuthKey, Codia.UserId, CSRF tokens
PreferênciaLembrar idioma, tema, estado de UIlocale, theme
AnalyticsMétricas agregadas (apenas com consentimento no EEE/UK/Suíça/Brasil)Telemetria de produto first-party
MarketingMedir campanhas (apenas com consentimento)Rastreamento de conversão

Usuários do EEE, Reino Unido, Suíça e Brasil veem banner de consentimento na primeira visita. Você pode alterar escolhas em Preferências de Cookies no rodapé. Cookies essenciais ficam sempre ativos.

11. Segurança

Aplicamos medidas técnicas e organizacionais proporcionais ao risco, incluindo TLS 1.2+, AES-256 em repouso, isolamento VPC AWS, controle de acesso com menor privilégio, rotação de segredos, registro de segurança, gestão de vulnerabilidades, pentest anual e monitoramento contínuo. Canal de divulgação responsável em [email protected].

Em caso de incidente envolvendo dados pessoais, notificaremos a autoridade competente em até 72 horas quando exigido (GDPR Art. 33; LGPD Art. 48) e os titulares afetados sem demora.

Nenhum sistema é 100% seguro; não podemos garantir segurança absoluta.

12. Crianças

Os Serviços não são direcionados a crianças abaixo da idade mínima de consentimento digital:

  • sob 13 anos (EUA — COPPA)
  • sob 14 anos (Coreia do Sul — PIPA; Brasil exige consentimento parental abaixo de 12, consentimento autônomo a partir de 18)
  • sob 16 anos (maioria dos países do EEE — GDPR; Reino Unido usa 13; Japão reconhece 18 como maioridade desde 2022)

Exigimos consentimento parental quando a lei local o requerer. Se soubermos que houve coleta sem o consentimento exigido, excluiremos.

Os Serviços podem conter links ou integrações a produtos de terceiros (Figma, Notion, Canva, processadores de pagamento, analytics etc.), regidos por suas próprias políticas, que recomendamos consultar.

14. Alterações

Podemos atualizar esta Política. Alterações materiais serão comunicadas com 30 dias de antecedência por e-mail e/ou banner no produto, e a data de "Última atualização" será modificada.

15. Contato