Política de Privacidade
1. Introdução
A Arcton Tecnologia ("Arcton", "nós", "nos" ou "nosso") valoriza a privacidade e a proteção dos dados pessoais de todos os seus usuários, clientes e visitantes. Esta Política de Privacidade descreve como coletamos, usamos, armazenamos, compartilhamos e protegemos seus dados pessoais, em conformidade com a Lei Geral de Proteção de Dados Pessoais — LGPD (Lei nº 13.709/2018), o Marco Civil da Internet (Lei nº 12.965/2014) e demais normas aplicáveis.
Ao acessar nosso site, utilizar nossa plataforma ou contratar nossos serviços, você declara estar ciente dos termos desta Política.
2. Identificação do Controlador
Responsável: Gustavo Henrique Valverde Alves
CPF: 121.244.626-79
Endereço: Rua Flor de Flox, 422B, Bairro Duquesa II, Santa Luzia - MG
E-mail para assuntos de privacidade e dados pessoais: gustavohvalves@gmail.com
Nota: A Arcton Tecnologia encontra-se em processo de constituição formal como pessoa jurídica. Até a conclusão do registro, o responsável acima identificado atua como controlador dos dados pessoais na qualidade de pessoa física prestadora de serviços. Esta Política será atualizada com a razão social e CNPJ tão logo o registro seja concluído.
Nos termos da Resolução CD/ANPD nº 2/2022, a Arcton se enquadra como agente de tratamento de pequeno porte e está dispensada da nomeação de Encarregado de Proteção de Dados (DPO). Para exercer seus direitos como titular de dados ou esclarecer dúvidas sobre esta Política, entre em contato pelo e-mail indicado acima.
3. Definições
Para fins desta Política:
- Dados pessoais: toda informação relacionada a pessoa natural identificada ou identificável, como nome, CPF, telefone, e-mail, endereço IP, entre outros (Art. 5º, I, LGPD).
- Dados pessoais sensíveis: dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico (Art. 5º, II, LGPD).
- Titular: pessoa natural a quem se referem os dados pessoais.
- Controlador: pessoa natural ou jurídica que toma as decisões sobre o tratamento de dados pessoais.
- Operador: pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador.
- Tratamento: toda operação realizada com dados pessoais, como coleta, armazenamento, uso, compartilhamento e eliminação.
- Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
4. Dados pessoais que coletamos
4.1 Dados coletados no site institucional
Nosso site institucional (arcton.tech) coleta dados pessoais por meio dos seguintes mecanismos:
a) Formulário de contato: ao preencher o formulário de contato disponível no site, você nos fornece voluntariamente os seguintes dados pessoais:
- Seu nome
- Nome da sua empresa (quando aplicável)
- Número de WhatsApp
Esses dados são coletados com a finalidade exclusiva de viabilizar o contato comercial solicitado por você, sendo transmitidos para nosso sistema interno de automação (N8N, hospedado em servidor próprio) para que possamos responder à sua solicitação. Uma notificação de recebimento é enviada ao responsável da Arcton via WhatsApp por meio da Evolution API, que opera em servidor próprio conectado à infraestrutura do WhatsApp Business (Meta).
A base legal para esse tratamento é a execução de procedimentos preliminares relacionados a contrato a pedido do próprio titular (Art. 7º, V, LGPD), uma vez que o envio do formulário constitui solicitação ativa de contato comercial.
b) Botões de WhatsApp: o site contém botões que direcionam o visitante para uma conversa no WhatsApp com a Arcton. O clique no botão não implica coleta de dados pelo site — os dados pessoais eventualmente compartilhados na conversa são tratados conforme as políticas do WhatsApp (Meta) e as disposições desta Política aplicáveis ao atendimento via WhatsApp.
c) Cookies e rastreadores: o site institucional não utiliza cookies de analytics, marketing ou rastreadores de terceiros. Cookies estritamente necessários para o funcionamento técnico do site (como cookies de sessão e de segurança da plataforma de hospedagem Vercel) podem ser utilizados com base no legítimo interesse. Esses cookies não coletam dados pessoais identificáveis e não rastreiam a navegação do visitante entre sites.
d) Dados técnicos de acesso: a plataforma de hospedagem (Vercel) pode registrar dados técnicos de acesso como endereço IP, tipo de navegador e horário de acesso em seus logs de servidor, conforme sua própria política de privacidade. A Arcton não acessa esses logs para fins de identificação de visitantes individuais.
4.2 Dados coletados na plataforma SaaS
Ao utilizar nossa plataforma e serviços, podemos coletar os seguintes dados:
Dados de cadastro e conta:
- Nome completo
- Endereço de e-mail
- Número de telefone
- Nome da empresa (quando aplicável)
- Senha (armazenada de forma criptografada)
Dados de uso da plataforma:
- Registros de acesso (endereço IP, data, hora e duração da sessão)
- Ações realizadas na plataforma (logs de navegação e funcionalidades utilizadas)
- Preferências e configurações
Dados decorrentes dos serviços contratados:
- Agentes de IA para atendimento (WhatsApp): mensagens trocadas com o agente, dados fornecidos durante o atendimento (nome, telefone, preferências, solicitações), metadados de conversas
- Automação de processos: dados inseridos nos workflows e automações configuradas pelo cliente
- BPO financeiro: dados financeiros e contábeis fornecidos pelo cliente para categorização e organização, incluindo dados de transações bancárias quando conectados via Open Finance
- Dashboards operacionais: dados inseridos e visualizados pelo cliente nos painéis
- Sites premium: dados de briefing, textos, imagens e informações do negócio fornecidos pelo cliente para construção de sites institucionais ou landing pages
4.3 Dados pessoais sensíveis
Não solicitamos intencionalmente dados pessoais sensíveis. No entanto, reconhecemos que determinadas informações fornecidas voluntariamente durante interações com nossos agentes de IA podem constituir dados sensíveis, como:
- Restrições alimentares por motivos de saúde (ex.: alergias, diabetes, doença celíaca), que podem ser consideradas dados referentes à saúde
- Restrições alimentares por motivos religiosos (ex.: kosher, halal), que podem revelar convicção religiosa
Quando isso ocorrer, o tratamento será realizado com base no consentimento específico e destacado do titular (Art. 11, I, LGPD) ou em outra base legal aplicável prevista no Art. 11, II.
4.4 Dados de menores de idade
Nossos serviços não se destinam a menores de 18 anos. Não coletamos intencionalmente dados de menores. Caso tomemos conhecimento de que coletamos dados de menor sem o consentimento dos pais ou responsáveis, adotaremos medidas para eliminá-los.
5. Finalidades e bases legais do tratamento
Tratamos seus dados pessoais para as seguintes finalidades, com as respectivas bases legais:
| Finalidade | Base legal (Art. 7º, LGPD) |
|---|---|
| Resposta a solicitações de contato enviadas pelo formulário do site | Execução de procedimentos preliminares relacionados a contrato, a pedido do titular (Art. 7º, V) |
| Prestação dos serviços contratados (operação de agentes de IA, automações, dashboards, BPO financeiro, sites premium) | Execução de contrato (Art. 7º, V) |
| Criação e manutenção de conta na plataforma | Execução de contrato (Art. 7º, V) |
| Comunicações operacionais (avisos de manutenção, atualizações de serviço, notificações técnicas) | Execução de contrato (Art. 7º, V) |
| Emissão de notas fiscais e cumprimento de obrigações tributárias | Cumprimento de obrigação legal ou regulatória (Art. 7º, II) |
| Manutenção de registros de acesso à aplicação por 6 meses | Cumprimento de obrigação legal — Marco Civil da Internet, Art. 15 (Art. 7º, II) |
| Envio de comunicações de marketing, newsletters e promoções | Consentimento (Art. 7º, I) |
| Melhoria dos serviços, análise de uso e desenvolvimento de novas funcionalidades | Legítimo interesse (Art. 7º, IX) |
| Prevenção de fraudes e segurança da plataforma | Legítimo interesse (Art. 7º, IX) |
| Defesa em processos judiciais, administrativos ou arbitrais | Exercício regular de direitos (Art. 7º, VI) |
| Tratamento de dados sensíveis fornecidos voluntariamente | Consentimento específico e destacado (Art. 11, I) |
Quando a base legal for o legítimo interesse, realizamos avaliação de proporcionalidade (Legitimate Interest Assessment — LIA) para garantir que nossos interesses não se sobreponham aos direitos fundamentais do titular.
6. Compartilhamento de dados
Podemos compartilhar seus dados pessoais com os seguintes terceiros, na qualidade de operadores ou sub-operadores:
| Terceiro | Finalidade | Localização |
|---|---|---|
| Supabase | Infraestrutura de banco de dados, autenticação e armazenamento | Estados Unidos / Região selecionada |
| Anthropic (Claude API) | Processamento de linguagem natural para agentes de IA | Estados Unidos |
| OpenAI (GPT API) | Processamento de linguagem natural para agentes de IA | Estados Unidos |
| Google (Gemini API) | Processamento de linguagem natural e geração de conteúdo visual | Estados Unidos |
| Asaas | Processamento de pagamentos e cobrança | Brasil |
| Vercel | Hospedagem do site institucional | Estados Unidos |
| Pluggy (quando aplicável) | Conexão de dados financeiros via Open Finance | Brasil |
Infraestrutura própria (self-hosted):
Os seguintes sistemas são operados em servidores próprios da Arcton (VPS dedicada) e não envolvem compartilhamento de dados com terceiros, exceto a infraestrutura de hospedagem do servidor:
- N8N: plataforma de automação de workflows, utilizada para processamento de dados de formulários do site, orquestração de fluxos de trabalho e integração entre sistemas.
- Evolution API: sistema de integração com o WhatsApp Business, utilizado para envio e recebimento de mensagens via WhatsApp. A Evolution API se conecta à infraestrutura do WhatsApp (Meta Platforms, Inc.), o que implica que metadados de conversas (número de telefone, horário de envio/recebimento) são processados pela Meta conforme sua própria política de privacidade.
Observações importantes:
- Todos os terceiros listados possuem contratos ou termos de processamento de dados (DPA) que garantem o tratamento adequado dos dados pessoais.
- Não vendemos, alugamos ou comercializamos seus dados pessoais a terceiros.
- Podemos compartilhar dados quando obrigados por lei, regulamento ou ordem judicial.
- Antes de enviar dados a APIs de Inteligência Artificial, aplicamos técnicas de minimização e pseudonimização (PII stripping) para reduzir a exposição de dados pessoais identificáveis.
7. Transferência internacional de dados
O uso de serviços como Anthropic (Claude), OpenAI (GPT), Google (Gemini), Supabase e Vercel implica a transferência de dados pessoais para servidores localizados nos Estados Unidos e/ou em outros países.
Essa transferência é realizada em conformidade com os Arts. 33 a 36 da LGPD e a Resolução CD/ANPD nº 19/2024, por meio dos seguintes mecanismos:
- Cláusulas-Padrão Contratuais (CPCs) conforme modelo aprovado pela ANPD (Anexo II da Resolução 19/2024)
- Acordos de Processamento de Dados (DPAs) firmados com cada provedor internacional
- Minimização de dados: aplicamos PII stripping antes do envio de dados a APIs de IA, removendo dados pessoais identificáveis sempre que tecnicamente possível
Políticas de dados dos provedores de IA:
- Anthropic (Claude API): dados enviados via API não são utilizados para treinamento de modelos. Retenção de logs: 7 dias.
- OpenAI (GPT API): dados enviados via API não são utilizados para treinamento por padrão. Retenção de logs: 30 dias.
- Google (Gemini API): dados enviados via API paga não são utilizados para treinamento de modelos por padrão, conforme os termos de serviço da Google Cloud.
8. Segurança dos dados
Empregamos medidas técnicas e administrativas proporcionais ao risco para proteger seus dados pessoais contra acessos não autorizados, destruição, perda, alteração ou qualquer forma de tratamento inadequado, incluindo:
- Controle de acesso: Row Level Security (RLS) em banco de dados, autenticação multifator (MFA), políticas de menor privilégio
- Criptografia em trânsito: TLS 1.2+ (HTTPS) em todas as comunicações
- Criptografia em repouso: dados sensíveis e financeiros criptografados no banco de dados
- Segregação de ambientes: redes isoladas para banco de dados e serviços internos
- Monitoramento e auditoria: logs de acesso e modificação, trilhas de auditoria
- Backup e recuperação: backups automáticos com testes periódicos de recuperação
- Webhooks autenticados: verificação de integridade (HMAC) para comunicações entre sistemas
- Minimização: técnicas de PII stripping antes de processamento por APIs de IA
Nenhum sistema é 100% seguro. Em caso de incidente de segurança que envolva dados pessoais, seguiremos nosso Plano de Resposta a Incidentes e notificaremos a ANPD e os titulares afetados nos termos da Resolução CD/ANPD nº 15/2024, no prazo de 3 dias úteis após a confirmação do incidente.
9. Retenção e eliminação de dados
Mantemos seus dados pessoais apenas pelo tempo necessário para cumprir as finalidades para as quais foram coletados, respeitando os seguintes prazos:
| Tipo de dado | Período de retenção | Justificativa |
|---|---|---|
| Dados do formulário de contato do site | 6 meses após o último contato, ou até a contratação | Procedimentos preliminares de contrato (Art. 7º, V) |
| Dados de contrato ativo | Durante a vigência + 5 anos | Execução de contrato + obrigações tributárias (CTN, Art. 173) |
| Registros fiscais (notas fiscais) | 5 anos | Obrigação legal (CTN, Art. 173) |
| Registros de acesso à aplicação | 6 meses (mínimo) | Marco Civil da Internet (Art. 15) |
| Registros de incidentes de segurança | 5 anos | Resolução CD/ANPD nº 15/2024 |
| Dados de marketing (com consentimento) | Até revogação do consentimento | Consentimento (Art. 7º, I) |
| Registros de consentimento | 5 anos após revogação | Comprovação de conformidade (Art. 8º, §5º) |
| Mensagens de WhatsApp | 90 dias | Minimização |
| Dados financeiros (quando regulados pela CVM) | 5 anos | Regulação CVM |
Ao término do prazo de retenção ou quando o tratamento deixar de ser necessário, os dados serão eliminados ou anonimizados, salvo nas hipóteses previstas no Art. 16 da LGPD.
10. Direitos dos titulares
Nos termos do Art. 18 da LGPD, você possui os seguintes direitos em relação aos seus dados pessoais:
- Confirmação e acesso: confirmar a existência de tratamento e obter acesso aos seus dados pessoais
- Correção: solicitar a correção de dados incompletos, inexatos ou desatualizados
- Anonimização, bloqueio ou eliminação: solicitar a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD
- Portabilidade: solicitar a portabilidade dos dados a outro fornecedor de serviço, em formato estruturado (JSON ou CSV)
- Eliminação de dados tratados com consentimento: solicitar a eliminação dos dados pessoais tratados com base no seu consentimento
- Informação sobre compartilhamento: obter informações sobre as entidades públicas e privadas com as quais compartilhamos seus dados
- Informação sobre não consentimento: ser informado sobre a possibilidade de não fornecer consentimento e sobre as consequências dessa negativa
- Revogação do consentimento: revogar o consentimento a qualquer momento, mediante manifestação expressa
- Revisão de decisões automatizadas: solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluindo decisões destinadas a definir seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade (Art. 20, LGPD)
Como exercer seus direitos:
Envie sua solicitação para gustavohvalves@gmail.com, identificando-se e especificando o direito que deseja exercer. Responderemos no prazo de 15 dias, contados da data do requerimento, em formato simplificado ou, mediante solicitação do titular, por meio de declaração clara e completa em até 15 dias.
11. Uso de Inteligência Artificial
Nossos serviços utilizam tecnologias de Inteligência Artificial (IA) para processamento de linguagem natural, categorização de informações e automação de atendimento. Informamos que:
- Ao interagir com nossos agentes de IA (via WhatsApp ou plataforma), você será informado no início da conversa de que está interagindo com um sistema automatizado
- As respostas geradas por IA são informativas e não constituem aconselhamento profissional, financeiro, tributário, jurídico ou médico
- Você tem o direito de solicitar atendimento humano a qualquer momento durante a interação
- Você tem o direito de solicitar a revisão de decisões automatizadas que afetem seus interesses, nos termos do Art. 20 da LGPD
- Aplicamos medidas de minimização (PII stripping) para reduzir a quantidade de dados pessoais processados por APIs de IA
12. Cookies
12.1 Site institucional
Nosso site institucional (arcton.tech) não utiliza cookies de analytics, marketing ou rastreamento de terceiros. Cookies estritamente necessários para o funcionamento técnico do site e da plataforma de hospedagem (Vercel) podem ser utilizados com base no legítimo interesse. Esses cookies não coletam dados pessoais identificáveis e não rastreiam a navegação do visitante entre sites.
Caso venham a ser implementados serviços de analytics (como Vercel Analytics ou Google Analytics), esta Política será atualizada e o consentimento prévio do visitante será solicitado antes da ativação de cookies não essenciais.
12.2 Plataforma SaaS
Nossa plataforma pode utilizar:
- Cookies necessários: essenciais para autenticação, manutenção de sessão e segurança. Base legal: legítimo interesse. Não requerem consentimento.
- Cookies não necessários: caso venham a ser implementados para analytics ou funcionalidades opcionais, serão desativados por padrão e ativados somente mediante seu consentimento expresso (opt-in). O banner de cookies apresentará opções de aceitar, rejeitar e gerenciar, com botões de mesmo tamanho e destaque visual, em conformidade com o Guia Orientativo sobre Cookies e Proteção de Dados Pessoais da ANPD (outubro/2022).
13. Alterações desta Política
Podemos atualizar esta Política de Privacidade periodicamente para refletir alterações em nossas práticas, na legislação ou nas regulamentações aplicáveis. Em caso de alterações relevantes, notificaremos você por e-mail ou por meio de aviso em destaque na plataforma.
A data da última atualização será sempre indicada no topo deste documento. Recomendamos que você revise esta Política periodicamente.
14. Legislação aplicável e foro
Esta Política de Privacidade é regida pelas leis da República Federativa do Brasil, especialmente pela Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) e pelo Marco Civil da Internet (Lei nº 12.965/2014).
Para a resolução de quaisquer controvérsias decorrentes desta Política, fica eleito o foro da Comarca de Belo Horizonte, Estado de Minas Gerais, com renúncia expressa a qualquer outro, por mais privilegiado que seja, ressalvado o direito do consumidor de optar pelo foro de seu domicílio, quando aplicável (Art. 101, I, CDC).
15. Contato
Para dúvidas, solicitações ou reclamações relacionadas a esta Política de Privacidade ou ao tratamento de seus dados pessoais:
E-mail: gustavohvalves@gmail.com
Autoridade Nacional de Proteção de Dados (ANPD):
Caso entenda que o tratamento de seus dados pessoais viola a LGPD, você também pode apresentar petição à Autoridade Nacional de Proteção de Dados (ANPD), por meio do portal www.gov.br/anpd.