Política de Privacidade

Esta Política de Privacidade descreve como a ARQ|Basecoleta, utiliza, armazena e compartilha dados pessoais dos seus usuários, em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — "LGPD").

1. Quem somos

A ARQ|Base é uma plataforma SaaS que oferece um assistente de inteligência artificial para consulta a normas técnicas, legislação municipal e regulamentação técnica brasileira voltada a escritórios de arquitetura. Operamos sob a responsabilidade de Davi Lara Cançado (DPO), contato: davilcr@gmail.com.

2. Dados que coletamos

• Cadastro: nome do escritório, e-mail e senha (senha armazenada com hash).
• Conteúdo das conversas: perguntas enviadas ao assistente e respostas geradas.
• Documentos enviados: arquivos PDF carregados pelo cliente para indexação.
• Dados técnicos: endereço IP, agente do navegador, registros de erro (via Sentry), métricas de uso (tokens consumidos, número de consultas).
• Cookies: apenas cookies essenciais para autenticação e funcionamento da sessão.

3. Para que usamos seus dados

• Permitir o uso do assistente e a recuperação de respostas baseadas em sua base de conhecimento.
• Faturamento, controle de cota mensal e prevenção de abuso.
• Detecção e correção de erros (logs operacionais).
• Cumprimento de obrigações legais ou regulatórias.

4. Bases legais (LGPD, art. 7º)

O tratamento dos dados pessoais é realizado com base nas seguintes hipóteses legais:

• Execução de contrato — para prestação dos serviços contratados.
• Cumprimento de obrigação legal — quando exigido por lei.
• Legítimo interesse — para segurança, prevenção de fraude e melhoria do serviço.
• Consentimento — apenas quando especificamente solicitado.

5. Onde os dados são armazenados

• Banco de dados: Supabase, região South America (São Paulo). Inclui conversas, documentos indexados e metadados de uso.
• Hospedagem da aplicação: Vercel, com infraestrutura global de borda. Conteúdo dinâmico é processado nos data-centers mais próximos do usuário.
• Geração de respostas: as perguntas são enviadas para a OpenAI (Estados Unidos) sob acordo contratual que impede o uso dos dados para treinamento de modelos.
• Monitoramento de erros: Sentry (Estados Unidos) — recebe stack traces e contexto técnico. Conteúdo de mensagens NÃO é enviado.
• Armazenamento de PDFs: Vercel Blob.

6. Transferência internacional de dados

Algumas operações envolvem transferência de dados pessoais para fora do Brasil — em especial o envio de perguntas para a OpenAI nos Estados Unidos. Tais transferências ocorrem com base em garantias contratuais específicas (cláusulas contratuais padrão e DPA) que asseguram nível de proteção equivalente ao da LGPD. Ao usar o serviço, você reconhece e concorda com essa transferência.

7. Tempo de retenção

• Conversas e mensagens: retidas indefinidamente, até solicitação de exclusão.
• Registros de uso (logs de cobrança): 24 meses.
• Logs de erro (Sentry): 30 dias.
• Backups do banco: 7 dias após a data de criação.

8. Seus direitos como titular

Conforme o art. 18 da LGPD, você pode a qualquer momento:

• Confirmar a existência de tratamento e acessar seus dados.
• Corrigir dados incompletos, inexatos ou desatualizados.
• Solicitar a exclusão de seus dados.
• Solicitar a portabilidade (download do conjunto completo dos seus dados).
• Revogar o consentimento.
• Opor-se a tratamentos realizados com base em legítimo interesse.

Para exercer esses direitos:

• Exportação completa: faça login e acesse /admin → solicite seus dados via GET /api/me/data.
• Exclusão de conta e dados associados: DELETE /api/me/delete.
• Outras solicitações: envie um e-mail para davilcr@gmail.com.

Responderemos em até 15 dias corridos.

9. Segurança

• Conexões criptografadas (HTTPS/TLS) em todas as rotas.
• Senhas armazenadas com hash bcrypt pelo Supabase Auth.
• Chaves de API armazenadas como SHA-256 — nunca em texto puro.
• Row-Level Security ativada em todas as tabelas (isolamento por tenant).
• Acesso à infraestrutura restrito ao DPO via 2FA.

10. Encarregado pelo Tratamento (DPO)

Davi Lara Cançado
E-mail: davilcr@gmail.com

11. Alterações nesta política

Podemos atualizar esta política periodicamente. Mudanças relevantes serão comunicadas por e-mail aos administradores cadastrados. A data de última atualização aparece no topo deste documento.