Política de Privacidade

1. Identificação do Controlador

Controlador dos dados pessoais (art. 5º, VI, LGPD):

• Razão social: JONATAS DIAS ROMERO CIA LTDA
• CNPJ: 66.740.977/0001-53
• Endereço: Rua Pais Leme, 215, Conj. 1713 — Pinheiros — São Paulo/SP — CEP 05.424-150
• Contato geral: contato@iterlex.com.br

2. Encarregado de Proteção de Dados (DPO)

Em atendimento ao art. 41 da LGPD, o canal único de comunicação com o Encarregado de Proteção de Dados é o mesmo canal de contato geral da plataforma:

• Email: contato@iterlex.com.br
• Endereço postal: o mesmo da sede da Controladora

Por esse canal, o titular pode solicitar acesso a seus dados, correção, eliminação, portabilidade, revogação de consentimento e tirar dúvidas sobre o tratamento. Para agilizar o atendimento, use o assunto "LGPD" no email.

3. Dados pessoais que coletamos

3.1 Cadastro

• Email (obrigatório) — autenticação e comunicação;
• Senha — armazenada apenas em formato hasheado;
• Nome de exibição — fornecido no onboarding (opcional usar nome real);
• Telefone/celular (obrigatório) — coletado no cadastro; usado para suporte e contato sobre o acesso.

3.2 Pagamento e nota fiscal

• CPF — obrigatório para emissão de Nota Fiscal de Serviço Eletrônica (NFS-e);
• Nome completo — obrigatório para NFS-e;
• Endereço — coletado no pagamento para emissão da NFS-e;
• Dados de cartão de crédito — não armazenamos. São tokenizados e processados diretamente pelo nosso processador de pagamentos (PCI-DSS).

3.3 Dados de uso e pedagógicos

• Carreira-alvo, banca, edital, fase de estudo;
• Histórico de respostas a questões objetivas e discursivas;
• Estado de flashcards (algoritmo FSRS);
• Métricas de progresso, tempo de sessão, sequência de estudo (streak);
• Reportes de conteúdo enviados pelo Usuário;
• Conversas com o assistente Lex (mantidas em memória apenas durante a sessão; não persistidas em banco de dados de longo prazo).

3.4 Dados técnicos

• Endereço IP, agente de usuário do navegador;
• Identificadores de sessão (cookies estritamente necessários);
• Logs de erro e auditoria.

4. Finalidades e bases legais

Tratamos dados pessoais com fundamento nas bases legais previstas no art. 7º da LGPD:

5. Compartilhamento com terceiros

Compartilhamos dados estritamente necessários com operadores que apoiam a operação da Plataforma. Todos atuam como operadores nos termos do art. 5º, VII da LGPD:

• Processador de pagamentos — cobrança no cartão de crédito. Recebe dados de cobrança e CPF quando aplicável. Conformidade PCI-DSS; não armazenamos dados completos de cartão.
• Provedores de infraestrutura, banco de dados e hospedagem — armazenam perfil, progresso e respostas, e registram logs de acesso. Servidores em região sul-americana sempre que possível.
• Provedores de inteligência artificial — geração de conteúdo (comentários, flashcards, correção de discursivas). Trechos de questões e respostas do Usuário são enviados para geração; não compartilhamos dados de identificação direta (email, CPF) com esses provedores.
• Provedor de verificação anti-robô (captcha) — em login e cadastro. IP e características do navegador.
• Provedor de emissão de NFS-e — emissão da nota fiscal de serviço. CPF e nome completo do tomador.
• Provedor de envio de emails — emails transacionais. Endereço de email do Usuário.
• Plataforma de publicidade e medição (Meta Platforms, Inc.) — por meio do Pixel do Meta e da API de Conversões, recebe dados de navegação, identificadores de cookie (_fbp/_fbc), IP, agente de usuário e dados de eventos (início de teste e assinatura), com o email criptografado por hash antes do envio. Utilizado somente mediante o seu consentimento, para medição e otimização das nossas próprias campanhas (ver Seção 10).

Não vendemos dados pessoais. O compartilhamento com a plataforma de publicidade (Meta) ocorre apenas para medir e otimizar as nossas próprias campanhas, mediante o seu consentimento, e nunca para marketing de terceiros.

6. Transferência internacional de dados

Alguns operadores podem processar dados em servidores fora do Brasil, sobretudo nos Estados Unidos. Tais transferências ocorrem com base em cláusulas contratuais padrão (art. 33, II, LGPD) e medidas de segurança equivalentes às exigidas pela legislação brasileira.

7. Retenção e eliminação de dados

• Dados de cadastro e uso são mantidos enquanto a conta estiver ativa.
• Após o pedido de exclusão, ativamos soft delete(anonimização e marcação no banco) e, após 30 (trinta) dias, executamos hard delete em cascata, exceto pelos dados que precisamos reter por obrigação legal — notas fiscais (5 anos), registros financeiros (5 anos), logs de auditoria (6 meses).
• Dados anonimizados (sem possibilidade de reidentificação) podem ser mantidos para fins estatísticos e de melhoria do produto.

8. Direitos do titular

Conforme o art. 18 da LGPD, o titular pode, a qualquer momento:

• confirmar a existência de tratamento;
• acessar seus dados;
• corrigir dados incompletos, inexatos ou desatualizados;
• solicitar anonimização, bloqueio ou eliminação de dados desnecessários;
• portabilidade dos dados a outro fornecedor;
• eliminação dos dados tratados com base em consentimento;
• informação sobre compartilhamento;
• revogação do consentimento;
• oposição a tratamento baseado em legítimo interesse.

Para exercer qualquer um desses direitos, envie email para contato@iterlex.com.br com o assunto "LGPD". Responderemos em até 15 (quinze) dias, conforme o art. 19, §1º da LGPD.

9. Segurança da informação

Adotamos medidas técnicas e administrativas razoáveis para proteger os dados pessoais:

• conexões HTTPS/TLS em todas as comunicações;
• Row Level Security (RLS) no banco de dados;
• autenticação multifator opcional;
• captcha invisível contra abuso de cadastro;
• rate limiting em rotas críticas de IA;
• auditoria periódica de credenciais e logs.

Apesar dos esforços, nenhum sistema é absolutamente seguro. Em caso de incidente que possa acarretar risco relevante aos titulares, comunicaremos a ANPD e os titulares afetados conforme art. 48 da LGPD.

10. Cookies e tecnologias de rastreamento

Cookies essenciais. Necessários ao funcionamento da Plataforma (autenticação, preferência de tema, sessão). Não dependem de consentimento.

Cookies de publicidade e medição. Utilizamos o Pixel do Meta e a respectiva API de Conversões para medir e otimizar nossas campanhas. Essas tecnologias gravam cookies (como _fbp e _fbc) e enviam à Meta dados de navegação e de eventos. Elas são acionadas somente após o seu consentimento, coletado pelo banner de cookies exibido no primeiro acesso.

Você pode recusar esses cookies no banner, sem prejuízo ao uso da Plataforma, e revogar o consentimento a qualquer momento limpando os cookies e o armazenamento local do navegador (o banner volta a aparecer) ou pelo canal de contato da Seção 2.

11. Crianças e adolescentes

A Plataforma não é direcionada a menores de 18 (dezoito) anos. Não coletamos intencionalmente dados de menores. Caso tomemos conhecimento de cadastro de menor sem autorização legal, a conta será excluída.

12. Alterações desta Política

Esta Política pode ser atualizada para refletir mudanças legais, funcionais ou de práticas de tratamento. Alterações relevantes serão comunicadas por email com pelo menos 30 (trinta) dias de antecedência. A data de "última atualização" no topo desta página permite ao Usuário identificar a versão vigente.

13. Contato com a ANPD

O titular tem o direito de peticionar à Autoridade Nacional de Proteção de Dados (ANPD) caso entenda que seu pedido não foi adequadamente respondido pelo Controlador. Site oficial: gov.br/anpd.