Política de Privacidade

Versão 2.0 · Vigente desde 16 de maio de 2026

1. Identificação do Operador

Esta Política aplica-se à plataforma de Learning Experience denominada IntelliCreate (“Plataforma”), disponibilizada por FRUTO.IA INOVA SIMPLES (I.S.) ME, sociedade limitada empresarial simples de inovação, inscrita no CNPJ/MF sob nº 57.755.714/0001-27, com sede em Rua Coronel José Eusébio, nº 95, Casa 13, Bairro Higienópolis, Município de São Paulo, Estado de São Paulo, CEP 01239-030 (“Fruto.IA”, “nós” ou “Operador”).

Para fins desta Política, observe-se que a Fruto.IA atua como OPERADOR dos dados pessoais (art. 5º, VII da Lei 13.709/2018 — “LGPD”), processando-os exclusivamente conforme instruções da empresa contratante (“Cliente” ou “Controlador”) que disponibilizou o acesso ao Usuário. A relação jurídica direta com o titular dos dados é mantida pelo Controlador.

2. Definições

  • Dado pessoal: informação relacionada a pessoa natural identificada ou identificável (art. 5º, I).
  • Dado pessoal sensível: dado sobre origem racial, convicção religiosa, opinião política, filiação sindical, saúde, vida sexual, dado genético ou biométrico (art. 5º, II).
  • Titular: pessoa natural a quem se referem os dados pessoais objeto de tratamento (art. 5º, V).
  • Controlador: pessoa natural ou jurídica a quem competem as decisões referentes ao tratamento de dados pessoais (art. 5º, VI). Aqui, o Cliente contratante.
  • Operador: pessoa natural ou jurídica que realiza o tratamento em nome do Controlador (art. 5º, VII). Aqui, a Fruto.IA.
  • Encarregado (DPO): pessoa indicada pelo Operador para atuar como canal de comunicação entre Controlador, Titulares e a ANPD (art. 5º, VIII).
  • Tratamento: toda operação realizada com dados pessoais — coleta, classificação, utilização, acesso, processamento, armazenamento, eliminação etc. (art. 5º, X).

3. Categorias de Dados Tratados

Para a prestação do serviço, tratamos as seguintes categorias de dados:

  • Identificação e contato profissional: nome completo, e-mail corporativo, foto de perfil (avatar), cargo (jobTitle), departamento, unidade de negócio.
  • Dados de progresso educacional: histórico de matrícula, percentual de conclusão, notas obtidas em avaliações, pontuação de gamificação (XP), nível, conquistas, certificados emitidos, registro de presença em sessões síncronas.
  • Conteúdo gerado pelo titular: respostas a quizzes e atividades, transcrições de áudio em atividades de voz (voice_decision, voice_debate, roleplay), anotações em cursos, posts no fórum.
  • Dados técnicos e de uso: endereço IP, user-agent (navegador e dispositivo), data e hora de login, registro de ações sensíveis (audit log).
  • Dados opcionais: CPF e telefone podem ser solicitados pelo Controlador no momento do cadastro. Sua coleta ocorre exclusivamente se o Controlador a tiver marcado como obrigatória no fluxo de matrícula.

A Fruto.IA não trata dados pessoais sensíveis nos termos do art. 5º, II da LGPD por padrão. Eventuais informações sensíveis que venham a ser inseridas pelo Titular em campos de texto livre (respostas a atividades, fórum) ficam sob responsabilidade do Controlador, que deve dimensionar a coleta conforme a finalidade pactuada.

4. Finalidades e Bases Legais

O tratamento se baseia nas seguintes hipóteses legais (art. 7º da LGPD):

FinalidadeBase legalInciso
Operação da plataforma educacionalExecução de contratoArt. 7º, V
Segurança, prevenção a fraude, auditoriaLegítimo interesseArt. 7º, IX
Registros de treinamento exigidos por norma (NR-12 etc.)Obrigação legal/regulatóriaArt. 7º, II
Comunicações transacionais (reset de senha, confirmação)Execução de contratoArt. 7º, V
Comunicações de marketing pelo ControladorConsentimento do TitularArt. 7º, I
Tutela de direito em processo judicialExercício regular de direitoArt. 7º, VI

5. Compartilhamento e Sub-operadores (art. 39)

Para entregar o serviço, parte dos dados é transmitida aos sub-operadores listados abaixo. Cada um foi avaliado quanto à conformidade com a LGPD e regimes equivalentes (GDPR), e há cláusulas contratuais para transferência internacional nos termos do art. 33 da LGPD.

Sub-operadorFinalidadeLocalizaçãoSalvaguarda
Vercel Inc.Hospedagem do frontendEUA / edge globalSCC + DPA
Railway Corp.Hospedagem do backend e banco de dadosEUADPA contratual
OpenAI, L.L.C.Geração de conteúdo, transcrição/TTSEUASCC + DPA
Google LLC (Gemini)Geração de conteúdo, voice roleplay, TTSMulti-regiãoSCC + DPA
Anthropic, PBCGeração de conteúdo (Claude)EUASCC + DPA
Resend, Inc.Envio de e-mails transacionaisEUADPA contratual
Jitsi (8x8, Inc.)Videoconferência em sessões síncronasMulti-regiãoSCC + DPA

Não há venda, cessão ou disponibilização de dados pessoais a terceiros para fins publicitários, de perfilamento comercial ou comercialização de qualquer espécie.

6. Transferência Internacional (art. 33)

A operação dos sub-operadores acima implica transferência internacional de dados. Tal transferência é fundamentada nos seguintes incisos do art. 33 LGPD:

  • Inciso II: quando o Operador oferece garantias do cumprimento dos princípios e dos direitos do titular (cláusulas contratuais específicas).
  • Inciso IX: quando necessária à execução de contrato do qual o titular é parte.

Para clientes corporativos que exigem regime de transferência mais restrito (ex.: permanência de dados em território nacional), está disponível plano dedicado com hospedagem em região br-east-1 mediante contratação específica.

7. Direitos do Titular (art. 18)

Você, na qualidade de Titular, pode exercer os seguintes direitos perante o Controlador (sua empresa empregadora) e, em segunda instância, perante o Operador:

  1. Confirmação da existência de tratamento (inciso I);
  2. Acesso aos dados (inciso II) — disponível na área /learner/profile;
  3. Correção de dados incompletos, inexatos ou desatualizados (inciso III);
  4. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade (inciso IV);
  5. Portabilidade dos dados a outro fornecedor de serviço (inciso V) — disponível via endpoint GET /api/users/me/data-export;
  6. Eliminação dos dados tratados com base em consentimento (inciso VI), ressalvadas as hipóteses do art. 16;
  7. Informação das entidades públicas e privadas com as quais houve uso compartilhado (inciso VII);
  8. Informação sobre a possibilidade de não fornecer consentimento e suas consequências (inciso VIII);
  9. Revogação do consentimento, quando esta for a base legal aplicável (inciso IX).

O exercício é gratuito e a resposta ocorrerá em até 15 (quinze) dias úteis, prorrogável uma vez por igual período em casos justificados (art. 19, § 1º). O canal preferencial é o seu DPO interno (RH ou jurídico da sua empresa). Em segunda instância, lgpd@intellicreate.online.

8. Retenção e Eliminação (art. 15 e 16)

Aplicamos política de retenção mínima necessária à finalidade:

CategoriaPeríodoApós o período
Logs de acesso e auditoria24 mesesEliminação
Interações com IA (prompt + resposta)12 mesesAnonimização (mantém só agregado)
Transcrições de atividades de voz6 meses após conclusãoAnonimização
Certificados de cursos obrigatórios (NR)Prazo legal aplicável (mín. 5 anos NR-12)Retenção pelo Controlador
Dados de perfil ativoEnquanto a conta estiver ativaEliminação 30 dias após desativação
Tokens de sessão e refreshConforme expiração configuradaRevogação automática

A eliminação pode ser dispensada nas hipóteses do art. 16 (cumprimento de obrigação legal, estudo por órgão de pesquisa, transferência a terceiro com bases legais próprias ou uso exclusivo do Controlador desde que anonimizados).

9. Segurança da Informação (art. 46)

Aplicamos medidas técnicas e administrativas proporcionais ao risco:

  • Comunicação em HTTPS/TLS 1.2+ obrigatório em todas as rotas;
  • Senhas armazenadas com bcrypt rounds=12 (sal aleatório por usuário);
  • Autenticação resistente a phishing (WebAuthn/FIDO2) disponível para Titulares;
  • Chaves de API de provedores de IA criptografadas em repouso (AES-256-GCM);
  • Isolamento multi-tenant validado por middleware em mais de 30 rotas críticas;
  • Rate limiting estratificado para defesa contra força bruta e credential stuffing;
  • Helmet com cabeçalhos endurecidos (HSTS, frameguard, noSniff, referrer policy);
  • CORS com lista explícita de origens — sem wildcard em produção;
  • Audit log granular de operações sensíveis com retenção de 24 meses;
  • Backups diários criptografados, com testes periódicos de restauração;
  • Revisão regular de dependências e patches críticos aplicados em prazo SLA.

10. Cookies e Tecnologias Similares

Utilizamos exclusivamente cookies essenciais ao funcionamento da Plataforma — sessão, autenticação, preferências de tema e idioma. Não há cookies de publicidade, rastreamento cross-site, fingerprinting ou perfilamento comercial.

Métricas de desempenho (Web Vitals e contagem agregada de page-views) podem ser coletadas anonimamente pela infraestrutura Vercel, sem identificação do Titular.

11. Crianças e Adolescentes (art. 14)

A Plataforma é destinada ao uso corporativo por pessoas com idade igual ou superior a 18 anos. O acesso por adolescentes (entre 12 e 18 anos) só pode ocorrer mediante consentimento específico e em destaque dado pelo responsável legal, conforme art. 14, § 1º. Eventual contratação envolvendo aprendizes ou menores deve ser pactuada previamente em contrato com o Cliente.

12. Plano de Resposta a Incidentes (art. 48)

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos Titulares, a Fruto.IA, como Operador, comunicará formalmente o Controlador (sua empresa) em até 24 (vinte e quatro) horas após a detecção, contendo:

  • Descrição da natureza dos dados afetados;
  • Informações sobre os Titulares envolvidos;
  • Indicação de medidas técnicas e de segurança adotadas;
  • Riscos relacionados ao incidente e medidas mitigadoras;
  • Cronograma de comunicação ao Titular e à ANPD pelo Controlador.

A comunicação à Autoridade Nacional de Proteção de Dados (ANPD) e ao Titular é obrigação do Controlador, conforme art. 48, sendo a Fruto.IA responsável pelo suporte técnico e fornecimento das informações necessárias.

13. Encarregado de Proteção de Dados (art. 41)

A Fruto.IA designou Encarregado pelo Tratamento de Dados Pessoais conforme art. 41 da LGPD, com competência para:

  • Aceitar reclamações e comunicações dos Titulares e prestar esclarecimentos;
  • Receber comunicações da ANPD e adotar providências;
  • Orientar funcionários e contratados sobre práticas de proteção de dados;
  • Executar as demais atribuições determinadas pelo Controlador ou em regulamentação.

Canal direto do DPO:

E-mail: lgpd@intellicreate.online

Endereço: R. Coronel José Eusébio, 95, Casa 13, Higienópolis, São Paulo/SP, CEP 01239-030

SLA de resposta: até 15 dias úteis (art. 19)

14. Alterações desta Política

Esta Política pode ser atualizada periodicamente. Versão e data de vigência aparecem no cabeçalho. Mudanças materiais serão comunicadas por e-mail ou por aviso visível na Plataforma com antecedência mínima de 30 dias, ressalvadas alterações exigidas por lei ou determinação de autoridade.

15. Legislação Aplicável e Foro

Esta Política é regida pelas leis da República Federativa do Brasil, especialmente a Lei 13.709/2018 (LGPD), o Marco Civil da Internet (Lei 12.965/2014) e o Código de Defesa do Consumidor quando aplicável.

Fica eleito o foro da Comarca da Capital do Estado de São Paulo para dirimir controvérsias, ressalvado o direito do Titular consumidor de demandar em seu próprio domicílio (art. 101 CDC).

Este documento foi elaborado em consonância com as melhores práticas da advocacia especializada em proteção de dados. Para questões específicas a um contrato corporativo, consulte seu jurídico interno e nosso comercial: comercial@intellicreate.online.