Esta Política descreve como o Alento (Diego Ciarlarielo, sole trader registrado na Irlanda) trata dados pessoais no contexto da Plataforma. Aplica-se a Profissionais contratantes, Consulentes Finais (clientes diretos do Profissional) e visitantes do site. Foi redigida em conformidade com a Lei nº 13.709/2018 (LGPD) e com o Regulamento (UE) 2016/679 (GDPR), considerada a Decisão de Adequação UE-Brasil reconhecida pela ANPD em 2026.
01Identificação do Controlador e do Encarregado
1.1.Esta Política de Privacidade é mantida e aplicada por DIEGO CIARLARIELO, sole trader registrado na Irlanda, titular do domínio alentoagent.com ("ALENTO"), cujos dados de qualificação completa constam dos Termos de Uso.
1.2.Encarregado de Tratamento de Dados (DPO):
- Nome: Diego Ciarlarielo
- E-mail: dpo@alentoagent.com
- Funções: receber comunicações da ANPD e de titulares, orientar funcionários e contratados quanto às práticas de proteção de dados, executar as demais atribuições do art. 41, §2º, da LGPD.
02Escopo e Públicos Abrangidos
2.1.Esta Política aplica-se ao tratamento de dados pessoais realizado pelo ALENTO no contexto de:
- a) Profissionais — pessoas naturais que contratam a Plataforma. Em relação a esses titulares, o ALENTO atua como CONTROLADOR;
- b) Consulentes Finais — clientes diretos do Profissional, cujos dados são tratados por meio da Plataforma sob instrução do Profissional. Em relação a esses titulares, o ALENTO atua como OPERADOR (LGPD art. 5º, VII), sendo o Profissional o Controlador (LGPD art. 5º, VI);
- c) Visitantes do site — pessoas que acessam alentoagent.com sem cadastro, em relação aos quais o ALENTO trata dados navegacionais limitados (cookies, IP, identificadores de dispositivo).
2.2.A clara distinção entre os papéis de Controlador e Operador é central para esta Política. Quando o ALENTO opera dados de Consulentes Finais, atua exclusivamente conforme instruções documentadas do Profissional, conforme regulado em DPA.
2.3.Atendimento com apoio de IA como objeto contratual. O ALENTO declara, e o PROFISSIONAL reconhece ao contratar, que o objeto do serviço é precisamente o atendimento com apoio de inteligência artificial — i.e., a sumarização automatizada por IA não constitui funcionalidade acessória ou opcional, mas sim o valor central do produto contratado pelo PROFISSIONAL.
03Categorias de Dados Coletados
3.1. Dados do Profissional (ALENTO como Controlador)
- Dados de identificação civil — nome completo, CPF, data de nascimento;
- Dados de contato — endereço de e-mail, número de telefone celular com WhatsApp ativo;
- Dados profissionais — área de atuação declarada, cidade de operação;
- Dados de pagamento — número de cartão de crédito (em forma tokenizada via Stripe; o ALENTO não armazena PAN em seus próprios sistemas), bandeira, validade truncada. O ALENTO não trata dados financeiros do Consulente Final como Operador: o Pix de Sessão é realizado diretamente pelo Consulente em sua conta bancária, à chave de titularidade do Profissional, sem trânsito por sistemas do ALENTO;
- Dados de uso da Plataforma — métricas de sessão, contagem de Sessões processadas, padrões de uso de funcionalidades, mensagens trocadas com canal de suporte;
- Dados técnicos e de segurança — endereço IP, identificador de dispositivo, versão de aplicativo, logs de acesso e operação.
3.2. Dados do Consulente Final (ALENTO como Operador)
Sob instrução do Profissional, podem ser tratados pela Plataforma:
- Dados de identificação inicial — número de WhatsApp e nome (informados na primeira interação);
- Dados de identificação complementares (após primeira sessão paga) — nome civil completo e data de nascimento, em alguns casos obrigatórios (astrologia, numerologia) e, em outros, opcionais;
- Áudio da Sessão — registro sonoro descritivo da consulta gravado pelo Profissional, com retenção de 48 (quarenta e oito) horas;
- Transcrição — texto resultante do processamento do áudio por modelo Whisper (OpenAI), com retenção durante a vigência da assinatura do Profissional + 60 (sessenta) dias após cancelamento;
- Resumo aprovado — versão estruturada do conteúdo da Sessão, validada manualmente pelo Profissional, com mesma retenção da transcrição;
- Histórico de agendamentos e pagamentos — dados operacionais sobre as Sessões realizadas;
- Comprovantes de Pix de Sessão — imagem ou PDF de comprovante encaminhado pelo Consulente Final ao bot, processado por sub-operador (OpenAI Vision) estritamente para extração de campos auxiliares (valor, chave destino, identificador de transação, data, banco origem, nome do pagador). O arquivo bruto é descartado após extração bem-sucedida e confirmação humana do Profissional.
3.3. Categorias de dados sensíveis
A natureza do serviço implica tratamento, por parte do Profissional como Controlador, de dados pessoais sensíveis (LGPD art. 5º, II), em especial:
- Convicção religiosa — frequentemente revelada no conteúdo da Sessão por Consulentes que recorrem a serviços espirituais ou holísticos;
- Dado referente à saúde física ou mental — eventualmente mencionado em Sessões de terapia holística ou aconselhamento.
O tratamento de tais dados sensíveis depende, obrigatoriamente, de consentimento específico e destacado do Consulente Final, nos termos do art. 11, §1º, I, da LGPD.
04Como os Dados São Coletados
4.1.Coletamos dados a partir das seguintes fontes:
- a) diretamente do Profissional, mediante formulário de cadastro e ações no curso de uso da Plataforma;
- b) automaticamente, mediante registros gerados pelo uso (logs, métricas, identificadores técnicos);
- c) por intermédio do Profissional, quando este encaminha ao ALENTO áudios e mensagens recebidas de seus Consulentes Finais via WhatsApp Business API oficial, intermediada pelo BSP 360dialog;
- d) por meio de cookies e tecnologias similares, no acesso ao site alentoagent.com — conforme Política de Cookies.
05Finalidades do Tratamento
Tratamos dados pessoais para finalidades específicas, sempre vinculadas ao princípio da minimização (LGPD art. 6º, III). Cada categoria de dado é tratada apenas para as finalidades a seguir indicadas:
| Categoria de Dado | Finalidade Específica |
|---|---|
| Identificação civil + contato (Profissional) | Cadastro, gestão de conta, autenticação, comunicações operacionais e de suporte. |
| Dados profissionais (Profissional) | Personalização da experiência por nicho, segmentação anônima para melhoria do produto. |
| Dados de pagamento (Profissional) | Processamento de cobrança recorrente, prevenção a fraude, emissão fiscal. |
| Dados de uso (Profissional) | Aprimoramento do serviço, métricas operacionais, suporte personalizado, segurança. |
| Dados técnicos / logs (ambos) | Segurança da informação, prevenção a fraude, cumprimento do Marco Civil da Internet. |
| Áudio (Consulente Final) | Submissão a transcrição automatizada por IA — finalidade exclusiva, com eliminação em 48h. |
| Transcrição e resumo (Consulente Final) | Composição de histórico de Sessões para uso do Profissional na continuidade do atendimento. |
06Bases Legais do Tratamento
| Categoria / Finalidade | Base Legal (LGPD) | GDPR |
|---|---|---|
| Cadastro, autenticação, cobrança | Art. 7º, V — execução de contrato | Art. 6(1)(b) |
| Suporte, aprimoramento de produto | Art. 7º, V — execução de contrato | Art. 6(1)(b) |
| Logs de segurança, prevenção a fraude | Art. 7º, IX — legítimo interesse | Art. 6(1)(f) |
| Cumprimento de Marco Civil (logs 6 meses) | Art. 7º, II — obrigação legal | Art. 6(1)(c) |
| Áudio, transcrição e resumo do Consulente Final | Art. 11, I — consentimento específico (operador, sob instrução do controlador-Profissional) | Art. 9(2)(a) |
| Dados financeiros (NF, recibos) — guarda 5 anos | Art. 7º, II — obrigação legal/fiscal | Art. 6(1)(c) |
Quando o tratamento for fundado em legítimo interesse, foi conduzido teste de balanceamento documentado no RIPD, no qual concluiu-se pela prevalência do interesse legítimo do Controlador, considerados os direitos dos titulares e a expectativa razoável.
07Prazos de Retenção
Os prazos detalhados estão na Política de Retenção e Eliminação. Em síntese:
- Áudio do Consulente Final — 48 horas, podendo estender-se a 7 dias em caso de erro técnico ou disputa pendente;
- Transcrição e resumo — durante a vigência da assinatura, mais 60 dias após cancelamento;
- Dados cadastrais do Profissional — durante a vigência, mais 5 anos para cumprimento de obrigação fiscal e prazo prescricional;
- Logs de segurança — 6 meses (Marco Civil da Internet, art. 15);
- Dados financeiros (NF, recibos) — 5 anos, em cumprimento de obrigação legal.
08Compartilhamento e Sub-Operadores
Para viabilizar a operação da Plataforma, compartilhamos dados pessoais com os seguintes sub-operadores, todos vinculados a contratos próprios de proteção de dados (DPAs):
| Sub-operador | Função | Localização |
|---|---|---|
| 360dialog GmbH | WhatsApp Business API oficial (BSP credenciado pela Meta) | Alemanha (UE) |
| Hetzner Online GmbH | Hospedagem do n8n e infraestrutura computacional | Frankfurt, Alemanha |
| Supabase Inc. | Banco de dados, storage de arquivos, autenticação | Frankfurt, Alemanha |
| OpenAI, L.L.C. | Transcrição (Whisper), resumo (GPT-4o-mini), OCR de comprovantes (Vision) | Estados Unidos |
| Stripe Payments Europe Ltd. | Processamento de pagamento internacional (BRL via cartão) | Irlanda |
| Wise Payments Limited | Transferência intercontas BR-IE | Brasil / Reino Unido |
| Revolut Bank UAB | Conta bancária empresarial em euro | Lituânia / Irlanda |
| Resend / Postmark | E-mail transacional fallback (notificações críticas) | Estados Unidos / UE |
| Google LLC (Workspace) | E-mail administrativo, domínio | Global |
| Telegram FZ-LLC | Alertas operacionais internos hierarquizados (sem dados de titulares) | Global |
Adições futuras de sub-operadores serão notificadas ao Profissional com antecedência mínima de 30 (trinta) dias, conforme regulado no DPA.
Compartilhamentos pontuais em razão de ordem judicial, requerimento de autoridade competente, ou cumprimento de obrigação legal serão realizados na estrita medida do exigido, sempre com registro interno do fato, base legal e dado compartilhado.
09Transferências Internacionais
9.1.Em razão da arquitetura de infraestrutura, dados pessoais são objeto de transferências internacionais nos seguintes fluxos:
- a) Brasil → União Europeia — armazenamento primário em Frankfurt (Hetzner e Supabase). Esta transferência é permitida sob o regime de adequação mútua estabelecido entre Brasil e União Europeia em 2026, formalmente reconhecida pela ANPD por meio da Decisão de Adequação publicada em 2026, fundamentando-se no art. 33, I, da LGPD c/c Resolução CD/ANPD nº 19/2024 (Regulamento de Transferência Internacional de Dados);
- b) Brasil/UE → Estados Unidos — processamento de transcrição e geração de resumo por modelos da OpenAI, e processamento de OCR de comprovantes de pagamento por OpenAI Vision. Esta transferência é realizada sob Cláusulas Contratuais Padrão (Standard Contractual Clauses — SCC) Modelo Controller-to-Processor da Decisão de Execução (UE) 2021/914 da Comissão Europeia, celebradas com a OpenAI nos termos do DPA específico vigente, fundamentando-se no art. 33, II, da LGPD c/c Resolução CD/ANPD nº 19/2024, com avaliação de impacto à transferência (Transfer Impact Assessment — TIA) interna documentada no RIPD (Documento 6, Subseção 5), revisada semestralmente.
9.2.O ALENTO conduziu Transfer Impact Assessment (TIA) para a transferência aos Estados Unidos, consideradas as legislações de vigilância FISA 702 e Executive Order 12333, bem como medidas técnicas e contratuais suplementares.
9.3.O titular tem direito de obter informação sobre o uso compartilhado de seus dados e a localização exata do tratamento, mediante requerimento ao DPO (LGPD art. 9º, V).
10Não Uso de Dados para Treinamento de IA
10.1.O ALENTO declara, sem ressalvas, que dados pessoais tratados na Plataforma — incluindo áudios, transcrições, resumos e mensagens — NÃO são utilizados para:
- a) treinamento de modelos de inteligência artificial proprietários do ALENTO;
- b) compartilhamento, com terceiros, para treinamento de seus modelos;
- c) desenvolvimento de funcionalidades a partir de dados identificáveis.
10.2.O processamento por meio das APIs da OpenAI ocorre sob configuração contratual de não compartilhamento para treinamento, conforme termos vigentes da OpenAI API que preveem, por padrão desde março de 2023, que inputs e outputs submetidos via API não são utilizados para treinar ou aprimorar modelos.
10.3.Análise estatística agregada e anonimizada — i.e., métricas que não permitam identificar titular específico — pode ser realizada para fins de melhoria do serviço, observados os critérios do art. 12 da LGPD.
11Direitos dos Titulares (LGPD Art. 18)
Você, titular dos dados, pode exercer os seguintes direitos previstos no art. 18 da LGPD:
- Confirmação da existência de tratamento;
- Acesso aos dados;
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
- Portabilidade dos dados a outro fornecedor de serviço, observados segredos comercial e industrial, em formato estruturado e interoperável;
- Eliminação dos dados pessoais tratados com base em consentimento, observadas as exceções legais;
- Informação sobre as entidades públicas e privadas com as quais o ALENTO realizou uso compartilhado de dados;
- Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
- Revogação do consentimento, nos termos do art. 8º, §5º, da LGPD.
Como exercer seus direitos
Envie e-mail para dpo@alentoagent.com com identificação do titular, descrição do direito a ser exercido e, quando pertinente, justificativa. O ALENTO responderá em prazo máximo de 15 (quinze) dias.
Quando o pedido se referir a dados de Consulente Final (em relação aos quais o ALENTO atua como Operador), o pedido será encaminhado ao Profissional-Controlador para resposta primária, dando-se ciência ao requerente do encaminhamento e do prazo aplicável.
12Direitos Adicionais sob o GDPR
Para titulares residentes na União Europeia ou em outros territórios sob escopo do Regulamento (UE) 2016/679 (GDPR), aplicam-se também os direitos previstos no Capítulo III do Regulamento, em particular:
- Direito de oposição ao tratamento fundado em legítimo interesse (art. 21);
- Direito de não ser submetido a decisão automatizada com efeitos jurídicos relevantes (art. 22) — não aplicável dado que toda decisão na Plataforma é validada por humano (Profissional);
- Direito de apresentar reclamação à autoridade de controle competente (art. 77) — Data Protection Commission da Irlanda (dpc.ie) ou autoridade do Estado-membro de residência.
13Medidas de Segurança
O ALENTO adota medidas técnicas e organizacionais compatíveis com o estado da arte e proporcionais ao risco do tratamento, incluindo:
- Criptografia em trânsito (TLS 1.3) em todas as comunicações entre componentes;
- Criptografia em repouso (AES-256) para áudios e bancos de dados;
- Isolamento lógico (Row-Level Security) entre dados de Profissionais distintos no banco de dados Supabase;
- Idempotência por hash SHA-256 de áudios recebidos, evitando processamento duplicado;
- Princípio do menor privilégio para credenciais administrativas;
- Autenticação multifator (MFA) obrigatória em todas as contas de administração;
- Registro auditável de operações com retenção mínima de 6 (seis) meses;
- Monitoramento operacional contínuo com alertas hierarquizados (P1, P2, P3);
- Backups regulares com testes periódicos de restauração;
- Plano de Resposta a Incidentes documentado.
Não obstante o emprego dessas medidas, o ALENTO não pode garantir segurança absoluta, dado que sistemas conectados à internet estão sujeitos a riscos. Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, o ALENTO comunicará a ANPD e os titulares afetados conforme procedimento documentado.
14Crianças e Adolescentes
14.1.A Plataforma não é destinada a menores de 18 anos. O ALENTO não coleta intencionalmente dados pessoais de crianças e adolescentes, observados os parâmetros do art. 14 da LGPD.
14.2.É vedado ao Profissional submeter à Plataforma dados pessoais de Consulentes menores de 18 anos. A Plataforma Alento não suporta o atendimento de menores em qualquer hipótese, conforme Cláusula 7.8 dos Termos de Uso e protocolo automatizado descrito na Cláusula 7.8.1. Qualquer dado de menor eventualmente identificado será objeto de eliminação prioritária.
16Atualização desta Política
16.1.Esta Política poderá ser atualizada periodicamente, em razão de evolução do serviço, alterações regulatórias ou aprimoramento de práticas. Toda alteração relevante será comunicada ao Profissional com antecedência mínima de 30 (trinta) dias por meio do e-mail cadastrado, sendo facultada a rescisão sem penalidade caso não concorde com as novas condições. [fundamento: LGPD art. 9º; art. 8º §6º]
16.2.O ALENTO mantém histórico de versões anteriores desta Política, indicando, para cada versão, sua data de vigência. Versões anteriores podem ser solicitadas ao DPO para fins de comprovação ou auditoria.
17Canal de Exercício de Direitos
Encarregado de Tratamento de Dados (DPO)
Diego Ciarlarielo
E-mail: dpo@alentoagent.com
Prazo de resposta: 15 (quinze) dias, contados do recebimento de requerimento adequadamente identificado.