Votiq

Política de Privacidade

Data de vigência: 11 de abril de 2026

Esta Política de Privacidade explica como a Votiq (“nós”, “nos” ou “nosso”) coleta, utiliza, divulga e protege informações pessoais quando você usa o Votiq.io e serviços relacionados (coletivamente, o “Serviço”). Comprometemo-nos a tratar seus dados de forma responsável e em conformidade com as leis de privacidade aplicáveis, incluindo o Regulamento Geral de Proteção de Dados da UE (GDPR), o UK GDPR e a Lei Geral de Proteção de Dados (LGPD) do Brasil.

1. Informações que Coletamos

Coletamos as seguintes categorias de informações pessoais:

Dados de Conta & Perfil — Quando você se cadastra, coletamos seu nome, endereço de e-mail, senha (criptografada), nome da organização, endereço de cobrança e número de identificação fiscal/CNPJ, quando aplicável.

Dados de Feedback & Engajamento — Solicitações de funcionalidades, títulos e descrições de publicações, comentários, registros de votos, dados de reações e inscrições em changelogs enviados por Fornecedores e Usuários finais.

Dados de Financiamento Coletivo & Compromissos — Valores de compromisso, seleções de campanha, status do compromisso (pendente, capturado, reembolsado) e confirmações de prazo de entrega. Os detalhes do instrumento de pagamento são mantidos pela Stripe, não pela Votiq.

Dados de Uso & Técnicos — Endereços IP, tipo e versão do navegador, sistema operacional, URLs de referência, páginas visitadas, tempo gasto, interações com funcionalidades e registros de requisições de API. Esses dados são coletados por meio de logs de servidor e análises de primeira parte.

Dados de Comunicação — E-mails que você nos envia, tickets de suporte e suas preferências de comunicação.

Dados de Login por Terceiros — Se você se cadastrar usando um provedor terceiro (ex.: Google OAuth), recebemos seu nome e endereço de e-mail desse provedor.

2. Como Utilizamos Suas Informações

Utilizamos as informações coletadas para:

  • Fornecer, operar e manter o Serviço.
  • Autenticar usuários, gerenciar sessões e aplicar controles de segurança.
  • Processar pagamentos de assinaturas e transações de financiamento coletivo via Stripe.
  • Enviar e-mails transacionais (confirmação de conta, redefinição de senha, recibos de compromisso, atualizações de status de campanha e notificações de resumo).
  • Executar funcionalidades com inteligência artificial: detecção de publicações duplicadas, análise de sentimentos em feedbacks e busca semântica utilizando embeddings vetoriais.
  • Gerar análises agregadas e insights de uso do produto para Fornecedores.
  • Detectar e prevenir fraudes, abusos e incidentes de segurança.
  • Cumprir obrigações legais e fazer cumprir nossos Termos de Serviço.
  • Aprimorar e desenvolver novas funcionalidades (utilizando dados agregados e anonimizados).

3. Base Legal para o Tratamento (GDPR & LGPD)

Para pessoas localizadas na UE/EEE, no Reino Unido e no Brasil, tratamos dados pessoais com base nas seguintes hipóteses legais:

  • Execução de contrato — Tratamento necessário para prestar o Serviço ao qual você se inscreveu (gestão de conta, faturamento, funcionalidades essenciais).
  • Legítimo interesse — Monitoramento de segurança, prevenção de fraudes, análises de produto e aprimoramento do Serviço, desde que nossos interesses não se sobreponham aos seus direitos.
  • Obrigação legal — Retenção de registros financeiros e resposta a requisições legítimas de autoridades.
  • Consentimento — Comunicações de marketing, funcionalidades de análise opcionais. Você pode retirar o consentimento a qualquer momento.

4. Armazenamento & Segurança de Dados

Todos os dados são armazenados no Supabase, que opera sobre a infraestrutura da Amazon Web Services (AWS) na UE (eu-west-1 por padrão). Os dados são criptografados em repouso (AES-256) e em trânsito (TLS 1.2+). O acesso ao banco de dados é protegido por políticas de Segurança em Nível de Linha (RLS) com escopo por organização.

Implementamos as seguintes medidas de segurança: senhas com hash bcrypt, chaves de API com hash SHA-256, tokens de sessão JWT de curta duração, revisões periódicas de segurança e controles de acesso com princípio de menor privilégio para nossa equipe. Realizamos backups automatizados regulares.

Nenhum método de transmissão ou armazenamento eletrônico é 100% seguro. Caso tomemos conhecimento de uma violação de dados que afete seus direitos, notificaremos você e as autoridades supervisoras competentes conforme exigido por lei.

5. Dados de Pagamento

O processamento de pagamentos é realizado pela Stripe, Inc., um processador de pagamentos certificado PCI DSS Nível 1. A Votiq não armazena, transmite nem tem acesso a números completos de cartão de crédito, códigos CVV ou dados bancários brutos. A Stripe armazena tokens de método de pagamento e gerencia todos os dados de cartão.

Para o financiamento coletivo, os Fornecedores conectam suas contas Stripe via Stripe Connect. A Stripe atua como controladora de dados independente para os dados de pagamento processados em conexão com os repasses. Consulte a Política de Privacidade da Stripe para mais detalhes.

6. Processamento por IA

A Votiq utiliza serviços de inteligência artificial para aprimorar a qualidade da gestão de feedback:

  • Anthropic Claude (Análise de Sentimentos) — Títulos e descrições de publicações são enviados à API da Anthropic para classificar o sentimento (positivo, neutro, negativo) e identificar o tom. Apenas o conteúdo textual das publicações é transmitido; nenhuma informação pessoal identificável da conta é incluída nessas requisições. Os dados são tratados em conformidade com a Política de Privacidade da Anthropic.
  • VoyageAI (Embeddings Semânticos) — O texto das publicações é convertido em embeddings vetoriais pela VoyageAI para possibilitar busca por similaridade semântica e detecção de duplicatas. Apenas o texto da publicação é transmitido. Os embeddings são armazenados no Supabase e utilizados exclusivamente dentro do escopo da sua organização. Os dados são tratados em conformidade com a política de privacidade da VoyageAI.

O processamento por IA é habilitado por padrão para Fornecedores em planos pagos, mas pode ser desabilitado nas configurações do espaço de trabalho. Não utilizamos seus dados para treinar modelos de IA de terceiros; os dados enviados a essas APIs são usados exclusivamente para inferência sobre seu conteúdo.

7. Serviços de Terceiros

Compartilhamos dados com os seguintes terceiros apenas na medida necessária para prestar o Serviço:

  • Stripe — Processamento de pagamentos e repasses via Stripe Connect.
  • Supabase — Banco de dados, autenticação, tempo real e armazenamento de arquivos (hospedado na AWS).
  • Vercel — Hospedagem de aplicação e rede de borda (CDN). A Vercel processa logs de requisição que podem incluir endereços IP.
  • Resend — Entrega de e-mails transacionais (e-mails de conta, recibos de compromisso, resumos).
  • Anthropic — Análise de sentimentos por IA (apenas texto de publicações).
  • VoyageAI — Embeddings vetoriais semânticos (apenas texto de publicações).
  • Inngest — Orquestração de jobs em segundo plano para processamento assíncrono (ex.: capturas de pagamento, gatilhos de e-mail). Os payloads dos jobs podem conter referências a IDs de usuários e de publicações.

Não vendemos seus dados pessoais a terceiros. Não compartilhamos seus dados com anunciantes. O compartilhamento de dados com subprocessadores é regido por Acordos de Processamento de Dados quando exigido pelo GDPR e pela LGPD.

8. Cookies & Armazenamento Local

A Votiq utiliza apenas cookies essenciais. Não utilizamos cookies de rastreamento ou publicidade de terceiros.

  • Cookies de sessão — Definidos pelo Supabase Auth para manter sua sessão autenticada. São excluídos quando você fecha o navegador ou encerra a sessão.
  • Cookies de preferência — Armazenam preferências de interface, como tema (modo escuro/claro) e seleção de idioma.
  • Tokens CSRF — Tokens de curta duração utilizados para proteger envios de formulários.

Utilizamos o armazenamento local do navegador para armazenar em cache estados de interface não sensíveis (ex.: seleções de filtro abertas). Nenhum dado pessoal é armazenado no armazenamento local. Você pode limpar o armazenamento local a qualquer momento pelas configurações do seu navegador.

Por utilizarmos apenas cookies essenciais, não exibimos um banner de consentimento de cookies. Se você desabilitar os cookies, as funcionalidades de autenticação não funcionarão.

9. Retenção de Dados

Retemos dados pessoais pelos seguintes períodos:

  • Dados de conta — Retidos pelo período da assinatura mais 30 dias após a exclusão da conta, para permitir a exportação de dados. Após 30 dias, os dados da conta são permanentemente excluídos.
  • Dados de feedback & publicações — Retidos enquanto a conta da organização estiver ativa. Excluídos em até 30 dias após a exclusão da conta.
  • Registros financeiros — Histórico de faturamento e registros de transações são retidos por 7 anos para cumprir obrigações legais contábeis e tributárias.
  • Logs de servidor — Os logs de requisição são retidos por 90 dias para fins de segurança e depuração.
  • Embeddings de IA — Excluídos em até 30 dias após a exclusão da conta.

10. Seus Direitos (GDPR, LGPD & Direitos de Privacidade)

Dependendo da sua localização, você pode ter os seguintes direitos em relação aos seus dados pessoais:

  • Direito de acesso — Solicitar uma cópia dos dados pessoais que mantemos sobre você.
  • Direito de retificação — Solicitar a correção de dados imprecisos ou incompletos.
  • Direito ao apagamento (“direito ao esquecimento”) — Solicitar a exclusão de seus dados pessoais, sujeito a obrigações legais de retenção.
  • Direito à portabilidade de dados — Receber seus dados em formato legível por máquina (JSON/CSV).
  • Direito à restrição — Solicitar que restrinjamos o tratamento de seus dados em determinadas circunstâncias.
  • Direito de oposição — Opor-se ao tratamento baseado em legítimo interesse ou para fins de marketing direto.
  • Direito de retirar o consentimento — Quando o tratamento é baseado em consentimento, retirá-lo a qualquer momento.

Responderemos a requisições verificadas em até 30 dias (prorrogável por mais 60 dias para requisições complexas, com aviso prévio). Podemos precisar verificar sua identidade antes de atender uma requisição.

11. Exportação de Dados & Exclusão de Conta (GDPR & LGPD)

A Votiq disponibiliza ferramentas de autoatendimento para o exercício dos seus direitos sobre dados:

  • Exportação de dados — Disponível nas configurações do seu espaço de trabalho, em “Dados & Privacidade”. Você pode baixar uma exportação completa em JSON das publicações, votos, comentários, changelogs e dados de membros da sua organização.
  • Exclusão de conta — Disponível nas configurações do espaço de trabalho. A exclusão da conta inicia um período de carência de 30 dias durante o qual os dados são retidos e exportáveis. Após 30 dias, todos os dados pessoais são permanente e irreversivelmente excluídos, exceto os registros financeiros retidos por obrigação legal.

Para enviar uma requisição manual de dados ou se precisar de assistência, entre em contato com privacy@votiq.io.

12. Transferências Internacionais de Dados

A Votiq armazena e processa dados principalmente na UE (AWS eu-west-1). No entanto, alguns de nossos subprocessadores operam nos Estados Unidos (Stripe, Anthropic, VoyageAI, Inngest, Vercel, Resend). Quando dados pessoais são transferidos para fora da UE/EEE ou do Brasil, garantimos a existência de salvaguardas adequadas, incluindo:

  • Cláusulas Contratuais Padrão da UE (SCCs) incorporadas aos Acordos de Processamento de Dados.
  • Decisões de adequação da Comissão Europeia, quando aplicável.

Você pode solicitar informações sobre as salvaguardas específicas adotadas para transferências internacionais entrando em contato com privacy@votiq.io.

13. Privacidade de Menores

O Serviço não é direcionado a nem destinado ao uso por pessoas menores de 16 anos. Não coletamos conscientemente dados pessoais de crianças menores de 16 anos. Caso descobramos que uma criança menor de 16 anos nos forneceu dados pessoais, tomaremos providências para excluí-los prontamente. Se você acredita que uma criança nos forneceu seus dados, entre em contato com privacy@votiq.io.

14. Alterações nesta Política

Podemos atualizar esta Política de Privacidade periodicamente. Caso as alterações sejam materiais, notificaremos você por e-mail ou aviso em destaque no Serviço com pelo menos 14 dias de antecedência da entrada em vigor das alterações. Incentivamos você a revisar esta política periodicamente. O uso continuado do Serviço após a data de vigência constitui aceitação da política revisada.

15. Encarregado de Proteção de Dados (DPO)

Designamos um Encarregado de Proteção de Dados (DPO) responsável por supervisionar nossas práticas de proteção de dados. Se você tiver dúvidas ou preocupações sobre como tratamos seus dados pessoais, pode entrar em contato com nosso DPO:

Encarregado de Proteção de Dados, Votiq
privacy@votiq.io

Você também tem o direito de registrar uma reclamação junto à autoridade supervisora de proteção de dados competente. No Brasil, a autoridade competente é a Autoridade Nacional de Proteção de Dados (ANPD). Na UE, você pode encontrar a autoridade nacional em edpb.europa.eu.

16. Contato

Para todas as consultas relacionadas à privacidade, requisições de titulares de dados ou dúvidas sobre esta política, entre em contato com:

Equipe de Privacidade da Votiq
privacy@votiq.io

Política de Privacidade — Votiq