Política de Privacidade — Arandek
Versão: 1
Resumo Rápido
Se você não quer ler tudo, aqui está o essencial:
- Coletamos: nome, email, documentos que você cria, uso da plataforma e dados de serviços que você conecta
- Por quê: operar o serviço, executar as tarefas que você pede, segurança
- Com quem compartilhamos: apenas serviços técnicos necessários (AWS, OpenAI, Anthropic, Google) e quando lei exigir
- O que NÃO fazemos: não vendemos seus dados, não usamos dados do Google para treinar IA, não fazemos publicidade direcionada
- Seus direitos: acessar, corrigir, deletar e exportar — basta pedir em privacy@arandek.com
- Como você controla: decisão sobre cookies, marketing e integrações fica em Configurações
1. Quem Somos
SACOLAS DE IDEIAS ATIVIDADES DE INFORMÁTICA LTDA CNPJ: 41.725.670/0001-52 Endereço: Praça Garibaldi, nº 74, Azenha, Porto Alegre – RS, CEP 90.050-020, Brasil Aplicação: Arandek (arandek.com) Contato geral: privacy@arandek.com Encarregado de Proteção de Dados (DPO): privacy@arandek.com
A Arandek é controladora dos dados que você nos fornece — significa que decidimos por que e como eles são usados, sempre dentro do que esta Política descreve.
2. O Que Coletamos e Por Quê
2.1 Dados que você nos fornece
| Ação | O que coletamos | Por quê |
|---|---|---|
| Criar conta | Nome, email, senha (criptografada), foto | Identificar você e permitir login |
| Usar a plataforma | Documentos, chats, automações e assistentes que você cria | Guardar seu trabalho e permitir acesso posterior |
| Fazer upload | Planilhas, PDFs, imagens, código | Processar o arquivo que você enviou |
| Conectar serviços externos | Dados que você autoriza explicitamente via OAuth | Integrar o serviço escolhido com o Arandek |
| Pagar | Nome, endereço de cobrança, dados de cartão | Processar pagamentos (dados de cartão ficam no provedor, não em nossos servidores) |
| Enviar mensagem ao suporte | Email, telefone, conteúdo da mensagem | Responder sua dúvida |
2.2 Dados coletados automaticamente
| Dado | O que é | Por quê |
|---|---|---|
| IP | Identificador da sua conexão | Segurança e detecção de fraude |
| Navegador, sistema operacional | Chrome, Safari, Windows, Mac, etc. | Ajustar interface ao seu dispositivo |
| Interações | Páginas visitadas, cliques, tempo de uso | Entender o que funciona e melhorar a plataforma |
| Cookies | Pequenos arquivos no navegador | Manter você logado e lembrar preferências |
2.3 Dados de serviços que você conecta (OAuth)
Quando você autoriza o Arandek a acessar um serviço externo (Google, Slack, Microsoft, Notion etc.) via OAuth:
- Você autoriza explicitamente quais escopos serão acessados
- Acessamos apenas o que você permitiu, nada além
- Tokens OAuth são criptografados em repouso — sua senha do serviço externo nunca passa pelo Arandek
- Você pode revogar o acesso a qualquer momento em Configurações > Integrações ou no painel de permissões do próprio serviço
3. Dados do Google (Gmail, Drive, Calendar, Tasks)
Esta seção descreve, de forma específica e em conformidade com a Google API Services User Data Policy, como o Arandek trata dados recebidos das APIs do Google.
3.1 Escopos solicitados
Quando você conecta sua conta Google ao Arandek, os escopos que podemos solicitar incluem:
| Escopo | Para que serve |
|---|---|
gmail.readonly |
Ler emails que você pediu ao assistente para processar |
gmail.send |
Enviar emails em seu nome, sempre sob sua instrução explícita |
gmail.modify |
Marcar emails como lidos, mover entre rótulos quando você pedir |
drive.file |
Acessar apenas os arquivos que você selecionar ou que o Arandek criar — não temos acesso ao restante do seu Drive |
calendar.events |
Ler e criar eventos quando você pedir |
tasks |
Gerenciar suas tarefas no Google Tasks |
userinfo.email / userinfo.profile |
Identificar sua conta Google após o login |
Você verá a lista exata de escopos solicitados na tela de consentimento do Google antes de autorizar a conexão.
3.2 Como usamos dados do Google
Usamos dados recebidos das APIs do Google exclusivamente para fornecer ou melhorar funcionalidades visíveis ao usuário dentro do Arandek — ou seja, para executar a tarefa que você pediu ao assistente.
3.3 O que NÃO fazemos com dados do Google
O Arandek não usa, transfere nem vende dados recebidos das APIs do Google para:
- Treinar, retreinar ou ajustar modelos de inteligência artificial (próprios ou de terceiros)
- Publicidade direcionada, retargeting, anúncios personalizados ou baseados em interesse
- Venda a data brokers ou revendedores de informação
- Análise de crédito, scoring ou decisões de empréstimo
- Criação de bases de dados de terceiros
- Qualquer finalidade não relacionada a uma funcionalidade que você solicitou explicitamente
3.4 Acesso humano a dados do Google
Dados recebidos das APIs do Google são processados de forma automatizada. Humanos da equipe Arandek só leem esses dados nos seguintes casos:
- Com seu consentimento expresso (ex.: suporte solicitado por você)
- Para fins de segurança (investigar abuso, fraude ou violação dos Termos)
- Para cumprir lei aplicável ou ordem judicial
- De forma agregada e anonimizada, para métricas internas
3.5 Compartilhamento e transferência
Não compartilhamos dados do Google com terceiros, exceto:
- Provedores de infraestrutura essenciais (AWS, Google Cloud) — apenas para hospedar e processar
- Quando exigido por lei
- Com seu consentimento expresso
3.6 Retenção e exclusão
- Dados do Google são processados em tempo real e armazenados apenas pelo tempo necessário para executar a tarefa solicitada
- Tokens OAuth ficam criptografados em repouso
- Você pode revogar o acesso a qualquer momento em:
- Configurações > Integrações no Arandek
- myaccount.google.com/permissions
- Ao revogar, tokens são deletados e qualquer dado do Google armazenado é excluído em até 30 dias
3.7 Limited Use Disclosure
O uso e a transferência pelo Arandek de informações recebidas das APIs do Google para qualquer outro aplicativo aderirão à Google API Services User Data Policy, incluindo os requisitos de Limited Use.
4. Inteligência Artificial — Como Funciona
Parte do Arandek usa modelos de IA (OpenAI, Anthropic, Google) para processar o que você digita.
4.1 Fluxo do que acontece
Você digita um prompt
↓
Arandek envia para o provedor de IA (OpenAI / Anthropic / Google)
↓
Modelo processa
↓
Resposta retorna para você
4.2 O que É enviado ao provedor de IA
- Seu prompt (pergunta/instrução)
- Documentos que você mencionou
- Arquivos que você anexou para análise
4.3 O que NÃO é enviado
- Credenciais e senhas
- Dados de outros usuários
- Dados que você não mencionou no prompt
4.4 Proteção
- Seu conteúdo não treina modelos globais — outros usuários não veem seu trabalho
- Contratos com provedores de IA exigem que dados não sejam retidos após o processamento
- Dados do Google nunca são usados para treinar IA, conforme seção 3.3
- Modo Privado disponível em planos Enterprise (processamento em infraestrutura dedicada)
4.5 Sua responsabilidade
- Não envie senhas, chaves API ou dados extremamente sensíveis nos prompts
- Revise as respostas da IA antes de tomar decisões — modelos podem cometer erros e "alucinar"
- Teste saídas da IA antes de implementar em ambientes críticos
5. Como Usamos Seus Dados
| Finalidade | Base legal | Detalhes |
|---|---|---|
| Operar o serviço | Execução de contrato | Login, armazenamento, execução de automações |
| Melhorar a plataforma | Interesse legítimo | Análise de dados agregados e anonimizados |
| Segurança | Obrigação legal + interesse legítimo | Detectar hacking, fraude, abuso |
| Comunicação operacional | Execução de contrato | Avisos de segurança, manutenção, atualizações |
| Marketing | Consentimento | Newsletter e promoções — você pode descadastrar a qualquer momento |
| Cumprimento legal | Obrigação legal | Responder ordens judiciais e investigações |
Dados do Google são usados exclusivamente para operar o serviço (executar a tarefa que você pediu) — não para nenhuma das demais finalidades.
6. Com Quem Compartilhamos
6.1 Provedores técnicos (subprocessadores)
| Provedor | Função | Contrato de proteção |
|---|---|---|
| AWS, Google Cloud | Hospedam servidores e dados | ✅ DPA assinado |
| OpenAI, Anthropic, Google | Processam prompts de IA | ✅ DPA assinado, sem retenção |
| Stripe, Pagar.me | Processam pagamentos | ✅ PCI-DSS |
| Amazon SES, SendGrid | Enviam emails transacionais | ✅ DPA assinado |
6.2 Integrações que você escolhe
Quando você conecta Gmail, Slack, Drive, etc., os dados trafegam apenas entre você, o Arandek e o serviço escolhido. Nenhum dado é repassado a terceiros não autorizados.
6.3 Autoridades legais
Podemos ser obrigados a compartilhar dados em resposta a ordem judicial. Quando legalmente possível, notificaremos você antes.
6.4 O Arandek NÃO vende seus dados
Não vendemos dados pessoais sob nenhuma circunstância — nem dados do Google, nem dados de outras integrações, nem dados de uso da plataforma.
7. Como Você Controla Seus Dados
| Controle | Onde fica |
|---|---|
| Descadastrar de marketing | Link no rodapé de qualquer email ou Configurações > Preferências |
| Desabilitar analytics | Configurações > Privacidade |
| Gerenciar cookies | Configurações do seu navegador |
| Desconectar integrações | Configurações > Integrações |
| Revogar acesso Google | myaccount.google.com/permissions |
| Deletar conta | Configurações > Perfil > Encerrar Conta |
8. Por Quanto Tempo Guardamos Seus Dados
| Tipo de dado | Período |
|---|---|
| Dados da conta ativa | Enquanto a conta existir |
| Dados após exclusão da conta | 30 dias (período de recuperação), depois excluídos |
| Dados do Google | Apenas durante o processamento da tarefa solicitada |
| Tokens OAuth | Até você revogar o acesso |
| Dados financeiros | 5 anos (exigência legal) |
| Logs de segurança | 6 meses |
| Backups | 90 dias |
9. Segurança
- Comunicação criptografada em trânsito (TLS 1.2+)
- Dados criptografados em repouso (AES-256)
- Tokens OAuth criptografados em repouso
- Controle de acesso baseado em função (RBAC)
- Monitoramento contínuo de segurança e detecção de intrusão
- Auditoria periódica de fornecedores
Nenhum sistema é 100% seguro. Caso ocorra incidente de segurança que afete seus dados, notificaremos você e as autoridades competentes conforme exigido pela LGPD e demais leis aplicáveis.
10. Cookies e Rastreamento
| Tipo | Necessário? | Função |
|---|---|---|
| Essenciais | ✅ Sim | Manter você logado |
| Preferências | ❌ Não | Lembrar idioma e tema |
| Analytics | ❌ Não | Contar visitas e cliques agregados |
Você pode bloquear cookies não essenciais nas configurações do seu navegador.
11. Seus Direitos (LGPD, GDPR e outras leis aplicáveis)
Você tem direito a:
- Acessar os dados que temos sobre você
- Corrigir dados incompletos ou desatualizados
- Deletar seus dados (direito ao esquecimento)
- Exportar seus dados em formato legível por máquina
- Revogar consentimento a qualquer momento
- Opor-se a tratamentos baseados em interesse legítimo
- Solicitar revisão de decisões automatizadas
Para exercer qualquer um destes direitos, escreva para privacy@arandek.com. Respondemos em até 15 dias.
12. Crianças e Adolescentes
O Arandek é destinado a maiores de 18 anos. Não coletamos intencionalmente dados de menores. Se você é responsável por um menor e descobriu que ele forneceu dados, escreva para privacy@arandek.com para que sejam excluídos.
13. Transferência Internacional
Seus dados podem ser processados em servidores fora do Brasil (principalmente Estados Unidos e União Europeia) por meio dos provedores listados na seção 6.1. Todos seguem padrões internacionais de proteção (cláusulas contratuais padrão, certificações reconhecidas).
14. Alterações nesta Política
Podemos atualizar esta Política periodicamente. Mudanças relevantes serão comunicadas por email e exibidas no Arandek. A data de "Última atualização" no topo indica a versão atual.
Mudanças no tratamento de dados do Google que ampliem o uso além do descrito aqui exigirão novo consentimento explícito seu antes de entrar em vigor.
15. Contato
- Email geral: privacy@arandek.com
- DPO (Encarregado): privacy@arandek.com
- Endereço: Praça Garibaldi, nº 74, Azenha, Porto Alegre – RS, CEP 90.050-020, Brasil
- Autoridade reguladora (Brasil): ANPD — Autoridade Nacional de Proteção de Dados
Esta Política está disponível em arandek.com/privacy e seus Termos de Uso correspondentes em arandek.com/terms.