Ferramenta de Autoria

Política de Privacidade

Versão 1.0 · Vigente desde 16 de maio de 2026

1. Quem somos

A FRUTO.IA INOVA SIMPLES (I.S.) ME (CNPJ 57.755.714/0001-27), operadora da plataforma IntelliCreate, é a controladora dos dados tratados nos serviços de Ferramenta de Autoria. Encarregado de Dados (DPO): dpo@intellicreate.online.

2. Que dados tratamos

A Ferramenta de Autoria trata duas categorias distintas, dependendo do modelo contratado:

A. Dados do Cliente (autor)

  • Identificação: nome, email corporativo, cargo;
  • Conteúdo criado: cursos, scripts de atividade, prompts enviados à IA;
  • Operacionais: logs de uso, IP, browser, timestamps;
  • Cobrança: razão social, CNPJ, endereço fiscal (via Cliente Contratante).

B. Dados do Aluno Final

Modelo Offline (SCORM): Nenhum dado do Aluno Final é tratado pela Fruto.IA. O pacote SCORM exportado roda exclusivamente no LMS do Cliente, e os dados de execução (score, completion, áudio) ficam no domínio do Cliente.

Modelo Live API: A Fruto.IA recebe, processa e descarta:

  • Transcrição da fala do Aluno (gerada pelo Web Speech API no browser do Aluno — o áudio bruto nunca trafega para a Fruto.IA);
  • Contexto da atividade (cenário, rubrica, keypoints — vindos do curso exportado);
  • Metadados de sessão: session_token (JWT), tenantId, activityId, duração em segundos.

3. Bases legais (LGPD Art. 7º e 11)

  • Execução de contrato (Art. 7º V): tratamento dos dados do Cliente para fornecer a Ferramenta de Autoria;
  • Legítimo interesse (Art. 7º IX): logs operacionais de segurança, anti-fraude, auditoria;
  • Cumprimento de obrigação legal (Art. 7º II): retenção fiscal e previdenciária quando aplicável;
  • Tratamento por Operador (Art. 39): no Modelo Live API, a Fruto.IA atua como Operador dos dados do Aluno Final — o Controlador é o Cliente.

4. Compartilhamento com sub-operadores

A Fruto.IA compartilha dados estritamente operacionais com:

  • Provedores de IA (OpenAI, Google Gemini, Anthropic) — para geração de conteúdo na autoria e avaliação no Live API. Sujeitos a SCC (Standard Contractual Clauses) e DPA das respectivas plataformas;
  • Vercel Inc. (hospedagem frontend) — dados de browsing/CDN;
  • Railway Corp. (hospedagem backend) — execução do servidor e banco PostgreSQL em região controlada;
  • Hugging Face Inc. (CDN de modelos WASM) — apenas no Modelo Offline, quando o browser do Aluno baixa o modelo Whisper-tiny. Nenhum dado pessoal é enviado a esse CDN — só request HTTP GET pelo modelo.

Lista atualizada de sub-operadores em intellicreate.online/legal/sub-processors.

5. Retenção

  • Cursos do Cliente: durante vigência do contrato + 90 dias após rescisão para data portability;
  • Logs operacionais Live API: 7 dias (purga automática);
  • Transcrições enviadas ao LLM: descartadas imediatamente após gerar a resposta. NÃO ficam em base de dados Fruto.IA;
  • Métricas agregadas anônimas: até 5 anos para fins analíticos;
  • Logs fiscais: conforme legislação tributária (mínimo 5 anos).

6. Direitos do titular (LGPD Art. 18)

O Cliente e o Aluno Final podem exercer os seguintes direitos via dpo@intellicreate.online, SLA 15 dias úteis:

  • Confirmação da existência de tratamento;
  • Acesso aos dados tratados;
  • Correção de dados incompletos, inexatos ou desatualizados;
  • Anonimização, bloqueio ou eliminação;
  • Portabilidade (export de cursos em formato aberto);
  • Informação sobre compartilhamento;
  • Revogação do consentimento (quando aplicável).

7. Segurança

  • HTTPS/TLS 1.2+ em todas as comunicações;
  • Bcrypt (rounds 12) para senhas;
  • AES-256-GCM para chaves de IA armazenadas;
  • Rate limiting estratificado em todos os endpoints públicos;
  • Tenant isolation — middleware tenantGuard em 30+ rotas;
  • Audit log granular de operações administrativas;
  • JWT efêmero com rotation em refresh tokens.

8. Crianças e adolescentes

A Ferramenta de Autoria é destinada a uso corporativo por pessoas naturais maiores de 18 anos. Cursos exportados podem ser usados para treinar adolescentes pelo Cliente, mas a Fruto.IA não tem visibilidade nesse uso pós-export.

9. Incidentes (LGPD Art. 48)

Em caso de incidente de segurança envolvendo dados pessoais, a Fruto.IA comunicará o Cliente em até 24 horas corridas via email do Account Manager e DPO, com detalhes técnicos e plano de remediação. ANPD é notificada em prazo razoável conforme orientação do DPO.

10. Atualizações desta política

Mudanças materiais são comunicadas com antecedência mínima de 30 diasvia email do Account Manager + banner no app. Versões anteriores ficam arquivadas em /legal/autoria/privacidade/historico.