Legal
Esta política explica como o Pictro coleta, usa, armazena e protege dados pessoais em conformidade com a LGPD (Lei Geral de Proteção de Dados — Lei 13.709/2018) e, quando aplicável, com o RGPD (Regulamento (UE) 2016/679) para titulares no Espaço Econômico Europeu.
Última atualização 19 de maio de 2026
Versão 2, efetiva em 19 de maio de 2026. A versão 1 (efetiva 1 de outubro de 2025) fica preservada como histórico para usuários que a aceitaram antes desta data.
Esta é a versão 2 (v2) da Política de Privacidade, com efeitos a partir de 19 de maio de 2026.
Principais mudanças em relação à v1: (a) detalhamento das bases legais por atividade conforme o ROPA público do controlador; (b) descrição da migração da hospedagem para a região GCP southamerica-east1 (São Paulo) e do recorte explícito das transferências internacionais para chamadas a provedores de IA; (c) alvo interno de até 48 horas para a notificação prévia de incidente de segurança, sem prejuízo do prazo regulatório definido pela ANPD (LGPD Art. 48); (d) janelas de retenção por classe de dado, alinhadas ao ROPA; (e) seção dedicada a titulares no Espaço Econômico Europeu; (f) reafirmação verificada do controle "MFA obrigatório em mutações sensíveis de administrador", agora aplicado por gate `require_fresh_totp` no servidor.
A versão histórica permanece acessível mediante solicitação ao Encarregado pelo canal cvoalliance@cvoalliance.com.br.
O Pictro é uma plataforma de ensaios fotográficos e restaurações de imagem geradas por IA, operada pela CVO Alliance Ltda. (CNPJ 57.782.960/0001-78). Tratamos dados pessoais para entregar essas experiências, gerenciar contas, processar pagamentos e cumprir leis aplicáveis.
Esta política se aplica a todas as pessoas que interagem com o serviço, incluindo clientes, especialistas, administradores, participantes de beta e visitantes do site.
Controlador: CVO Alliance Ltda., CNPJ 57.782.960/0001-78, situação cadastral ativa desde 22/10/2024, CNAE principal 6319-4/00, sede em Quadra CRS 516, Bloco B, Sala 66/69, Pavimento 1, Anexo Parte C0267 — Asa Sul — Brasília — DF.
Encarregado pelo Tratamento de Dados Pessoais (DPO interno do controlador, nos termos do art. 41 da LGPD e da Resolução ANPD nº 18/2024): a própria CVO Alliance Ltda. atuando como Encarregado interno. Canal oficial: cvoalliance@cvoalliance.com.br. Esse canal aceita requisições de titulares, comunicações formais da ANPD e contato do titular do tratamento.
Coletamos apenas dados necessários para entregar o serviço com segurança e eficácia.
Informações de conta: e-mail, nome (opcional), hash da senha (Argon2id), idioma preferido, papel (cliente, especialista, administrador), status de verificação e de aprovação.
Ativos do ensaio ou restauração: imagens de referência enviadas pelo próprio titular, prompts e parâmetros de estilo, imagens geradas pela IA, metadados técnicos do trabalho.
Dados de pagamento: e-mail e identificadores Stripe (sessão, intent, cliente). Números completos de cartão (PAN) e CVV nunca chegam ao Pictro — são processados diretamente pela Stripe.
Dados de uso: informações de dispositivo, logs de acesso (rotas e timestamps), métricas de engajamento sob consentimento de analytics.
Dados de suporte: comunicações com a equipe de suporte e com especialistas.
Características biométricas: traços faciais extraídos das fotos enviadas pelo titular, usadas exclusivamente para condicionar a geração da imagem do próprio titular. Não realizamos identificação 1:N, autenticação por face, verificação de identidade, vigilância ou cruzamento entre titulares.
Cada atividade tem uma base legal específica. O detalhamento completo está no Registro de Operações de Tratamento (ROPA), disponível mediante solicitação ao Encarregado.
Geração de ensaios e restaurações por IA — Execução de contrato (LGPD Art. 7º, V) para a entrega do serviço, combinada com Consentimento específico, informado e inequívoco (Art. 11, I) para o tratamento das características faciais extraídas das fotos. O consentimento é registrado em hash chain SHA-256 append-only e exigido novamente em cada nova versão de política.
Cadastro e autenticação (criação de conta, login, recuperação) — Execução de contrato (Art. 7º, V).
Pagamentos e cobrança — Execução de contrato (Art. 7º, V) e Obrigação legal fiscal (Art. 7º, II); webhooks Stripe são preservados por 10 anos como evidência fiscal/regulatória.
Comunicações transacionais (confirmação de cadastro, redefinição de senha, conclusão de ensaio, alerta de fraude) — Execução de contrato (Art. 7º, V).
Telemetria e logs operacionais — Legítimo interesse do controlador (Art. 7º, IX), com teste de ponderação documentado; IPs são anonimizados após 90 dias para uso de longo prazo.
Conjunto pseudonimizado para aprimoramento de modelos (somente beta) — Consentimento específico, informado e revogável (Art. 7º, I). Tratamento estritamente opcional, jamais condiciona o uso do serviço (LGPD Art. 8º §6º).
Marketing e pesquisa de produto — Consentimento (Art. 7º, I), com opt-out a qualquer momento.
Operar a geração de ensaios e restaurações com IA, incluindo extração de características faciais para condicionar a geração e revisão por especialistas quando aplicável.
Cobrar pelos créditos consumidos e cumprir obrigações fiscais.
Oferecer suporte ao cliente, onboarding, resposta a incidentes e recuperação de conta.
Detectar fraude e abuso, aplicar limites de uso e proteger a integridade da plataforma.
Realizar analytics agregado e pesquisa de produto, somente após consentimento explícito de cookies não essenciais.
O uso de cópias pseudonimizadas das suas fotos para treinamento dos modelos é uma autorização opcional e separada (LGPD Art. 8º §6º). Você pode usar o serviço normalmente sem concedê-la.
Durante o seu período beta gratuito (7 dias por conta), você pode autorizar separadamente que cópias pseudonimizadas das fotos enviadas e dos ensaios/restaurações gerados sejam utilizadas para aprimorar os modelos de IA do Pictro.
Pseudonimizado significa que, antes de qualquer uso para treinamento, removemos nome, e-mail, identificadores diretos e metadados que possam vincular a cópia à sua conta. A cópia é mantida em bucket separado destinado exclusivamente a treinamento, com IAM próprio.
A autorização para treinamento NÃO é exigida para usar o Pictro. Se você não conceder essa autorização, o serviço funciona da mesma forma e nenhuma cópia para treinamento é guardada.
Ao fim do seu beta, se você não revogou a autorização, criamos a cópia pseudonimizada e em seguida apagamos as fotos e os resultados associados à sua conta. Se você não autorizou, apenas apagamos as fotos e os resultados associados à sua conta.
Você pode revogar a autorização a qualquer momento nas configurações de privacidade. Após a revogação, todas as cópias pseudonimizadas existentes vinculadas a você entram em quarentena por 30 dias e são apagadas definitivamente ao fim desse período.
A base legal para o tratamento de treinamento é exclusivamente o seu consentimento (LGPD Art. 7º, I), revogável a qualquer momento. O conjunto pseudonimizado NÃO é usado para identificação 1:N, autenticação biométrica, verificação de identidade, vigilância, perfilhamento de terceiros ou comparações cross-titular.
A infraestrutura de produção do Pictro é hospedada no Brasil, na região GCP southamerica-east1 (São Paulo). Os dados de conta, fotos enviadas e imagens geradas são armazenados no Brasil. As transferências internacionais limitam-se a chamadas a provedores de IA, pagamento e e-mail transacional.
Seus dados pessoais — incluindo e-mail, fotos enviadas, características faciais extraídas e imagens geradas — são armazenados em servidores do Google Cloud Platform na região southamerica-east1 (São Paulo, Brasil). Os logs operacionais e os rastros de observabilidade gerados pela aplicação são, por padrão, mantidos na mesma região.
Exceção conhecida (a ser fechada antes do cutover de produção): o bucket usado para o conjunto pseudonimizado de treinamento (apenas beta, sob consentimento opcional) permanece em região fora do Brasil durante a transição inicial; o ROPA registra essa exceção e a meta de migração para southamerica-east1 antes do cutover. Detalhes vivem em `docs/BRAZIL_DATA_RESIDENCY.md`.
Para gerar suas imagens, nós enviamos seus prompts e fotos de referência para modelos de inteligência artificial. Sempre que o modelo solicitado está disponível no Brasil, processamos sua requisição no Vertex AI em southamerica-east1, sem transferência internacional. Quando o modelo solicitado ainda não está disponível no Brasil, processamos a requisição no Vertex AI em região do Google Cloud nos Estados Unidos, e registramos esse fato no nosso log de auditoria.
Adicionalmente, utilizamos a OpenAI (Estados Unidos) como provedora de geração de imagens (modelo gpt-image-2) e de moderação de conteúdo. A OpenAI ainda não oferece processamento de dados no Brasil; portanto, toda chamada à OpenAI constitui uma transferência internacional de dados. Trabalhamos para inscrever nossa conta de produção no programa Zero Data Retention (ZDR) da OpenAI antes do cutover de produção; o ZDR, quando ativo, garante que os seus prompts e respostas não são utilizados para treinar modelos da OpenAI e não são retidos pelo período padrão de até 30 dias para auditoria interna da OpenAI, sujeito a exceções documentadas pela OpenAI. Até a verificação da ativação do ZDR no console da OpenAI, devem ser consideradas vigentes as condições padrão de retenção do provedor.
Essas transferências internacionais ocorrem com base no art. 33, inciso V, da LGPD (consentimento específico e em destaque do titular). Você consente com essas transferências ao continuar usando o Pictro após esta tela. Você pode revogar seu consentimento a qualquer momento entrando em contato com o Encarregado de Dados: cvoalliance@cvoalliance.com.br.
Não vendemos dados pessoais. Transferências internacionais existem apenas para chamadas a provedores de IA, pagamento e e-mail transacional, com salvaguardas específicas.
Operadores que tratam dados em nome do Pictro:
• Google Cloud Platform (Brasil — southamerica-east1) — hospedagem, banco, armazenamento. Operador, com DPA do Google.
• Stripe Inc. (EUA) — processamento de pagamento. Operador. PAN/CVV nunca tocam o Pictro. DPA do Stripe.
• Resend (EUA) — envio de e-mail transacional. Operador. DPA do Resend.
• OpenAI (EUA) — geração de imagens por IA e moderação de conteúdo. Operador. Conta enrolled em Zero Data Retention (ZDR): prompts e completions não são retidos pela OpenAI. Sem treinamento de modelos sobre dados da API do Pictro por padrão.
• Google Gemini / Vertex AI — preferimos chamar a Vertex AI na região southamerica-east1 (Brasil). Quando um modelo necessário ainda não estiver disponível na região BR, ocorre fallback para a Gemini API externa (EUA); cada uso do fallback registra um evento de auditoria interno `gemini_external_api_transfer` para trilha do Art. 33.
Bases legais das transferências internacionais (LGPD Art. 33): cláusulas contratuais padrão e DPAs com cada operador; consentimento específico para o uso dos seus dados em chamadas a provedores de IA (Art. 33, V), prestado durante o aceite destes Termos e da Política de Privacidade.
Não compartilhamos dados pessoais com terceiros para fins de marketing ou venda. Os operadores acima atuam exclusivamente para entregar o serviço.
Cada categoria de dado tem janela de retenção definida; ao final, os dados são eliminados de forma durável ou anonimizados, conforme aplicável.
Dados de conta (e-mail, nome, hash de senha) — retidos enquanto a conta estiver ativa. Após exclusão (DSAR), anonimização ou eliminação em até 30 dias, salvo retenção exigida por lei.
Fotos de referência enviadas pelo titular — vinculadas à conta e entregues por sessão autenticada; eliminadas pelo `erasure_log` durável ao excluir a conta, ao final do beta sem consentimento de treino, ou pelas políticas de ciclo de vida do bucket (configuração atual visível em `docs/BRAZIL_DATA_RESIDENCY.md`; a vigência efetiva da política em produção segue o valor configurado no infra-as-code).
Imagens geradas — vinculadas à conta e entregues por sessão autenticada; eliminadas pelo `erasure_log` durável ao excluir a conta ou pelas políticas de ciclo de vida do bucket de saída (mesma fonte canônica acima).
Características biométricas extraídas — vinculadas à conta; eliminadas junto com a conta em DSAR de eliminação.
Cópias pseudonimizadas para treinamento (somente beta com consentimento) — retidas enquanto o consentimento permanecer ativo; 30 dias de quarentena após revogação; hard-delete imediato em caso de DSAR de eliminação.
Logs de aplicação e telemetria operacional — 90 dias (rotação por sweepers diários).
Audit logs administrativos e de segurança — 12 meses, com rotação anual.
Webhooks Stripe (compliance fiscal) — 10 anos, imutáveis, conforme legislação fiscal/regulatória.
Outbox de e-mail transacional (Resend) — 90 dias por evento de entrega.
Você pode exercer os direitos abaixo pelo canal do Encarregado (cvoalliance@cvoalliance.com.br) ou pela central de privacidade no app. Nosso alvo interno é atender requisições válidas em até 15 dias úteis, prorrogáveis na forma do Art. 19 §3º; o atendimento pode levar mais tempo em casos complexos ou que dependam de operadores externos, e essa extensão será comunicada ao titular.
Confirmação da existência de tratamento e acesso aos dados (Art. 18, I e II) — entregamos um pacote DSAR em formato estruturado (JSON) com o mapeamento das operações que mantemos sobre você.
Correção de dados incompletos, inexatos ou desatualizados (Art. 18, III) — disponível pelo perfil; correções não cobertas pela interface podem ser solicitadas ao Encarregado.
Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD (Art. 18, IV).
Portabilidade dos dados (Art. 18, V) — pacote DSAR em JSON estruturado e interoperável.
Eliminação dos dados tratados com base em consentimento (Art. 18, VI) — processada pelo serviço `ErasureService` com `erasure_log` durável e retries; a conta permanece em estado `erasure_pending` até que todas as entradas concluam.
Informação sobre entidades públicas e privadas com as quais compartilhamos dados (Art. 18, VII) — Seção 7 desta política.
Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências (Art. 18, VIII).
Revogação do consentimento (Art. 18, IX) — disponível diretamente no app para o consentimento de treinamento; demais consentimentos podem ser revogados pelo canal do Encarregado.
Para o exercício de qualquer direito, envie a requisição para cvoalliance@cvoalliance.com.br ou utilize a central de privacidade no app. Em caso de insatisfação com a resposta, você pode peticionar à Autoridade Nacional de Proteção de Dados (ANPD).
Aplicamos controles técnicos e administrativos conforme o ROPA, com fail-closed por padrão.
Autenticação: senhas com Argon2id, TOTP (RFC 6238) com armazenamento Fernet em repouso e rate-limit dedicado, recovery codes HMAC-SHA256 com pepper e uso único.
Sessão: cookies httpOnly + Secure + SameSite=Lax, CSRF por HMAC vinculado à sessão, rotação de refresh tokens com detecção de reuso e revogação de família.
Controle de acesso por papel (RBAC), aplicado no servidor, com checagem em cada rota protegida.
MFA obrigatório para administradores e reautenticação fresca (TOTP) exigida em mutações sensíveis de administrador (concessão e dedução de créditos, alteração de papel ou estado de conta, alterações de preço, mudanças de prompt em produção, fluxo DSAR, kill-switch, entre outras). O gate é aplicado por dependência de servidor `require_fresh_totp` e verificado por um teste de cobertura que percorre toda a árvore de rotas administrativas a cada execução do conjunto. Lista completa de endpoints cobertos: documento interno `docs/ADMIN_REAUTH_COVERAGE.md`.
Criptografia em trânsito (TLS) e em repouso para dados sensíveis e segredos (Fernet, com rotação de chave).
Validação de upload com verificação de magic bytes, re-encoding seguro e remoção de EXIF.
Defesa contra SSRF, sanitização NFKC + strip de caracteres zero-width em todos os endpoints públicos, validação de assinatura de webhooks com proteção contra replay.
Moderação de conteúdo em múltiplas camadas (L1 OpenAI Omni Moderation, L2 classificador LLM com fallback Gemini→OpenAI, L3 prompts contextualizados por papel) com política fail-closed e recurrence trap SHA-256.
Monitoramento contínuo via OpenTelemetry + Cloud Logging/Trace + Managed Prometheus, com alertas para falhas de assinatura Stripe, picos de rate-limit e taxa de retry de workers, conforme `docs/RUNBOOK_MONITORING.md`.
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, notificaremos a ANPD e os titulares afetados em prazo razoável definido pela Autoridade, com posicionamento alvo de até 48 horas a partir da confirmação interna do incidente.
A comunicação ao titular conterá, no mínimo: descrição da natureza dos dados afetados, informações sobre titulares envolvidos, indicação das medidas técnicas e de segurança utilizadas, riscos relacionados ao incidente, motivos da demora se não tiver sido imediata e medidas que foram ou serão adotadas para reverter ou mitigar os efeitos.
Runbook operacional: `docs/INCIDENT_RESPONSE_RUNBOOK.md`.
O Pictro é destinado a adultos. Você confirma, ao aceitar estes Termos, que tem pelo menos 18 anos completos. Não tratamos intencionalmente dados de menores de 18 anos.
Se tomarmos conhecimento de que coletamos dados de um menor de 18 anos, encerraremos a conta e eliminaremos os dados associados.
Para titulares no Espaço Econômico Europeu (EEE), aplicamos o Regulamento (UE) 2016/679 (RGPD) em complemento à LGPD.
Bases legais (RGPD Art. 6) — execução do contrato, consentimento, interesse legítimo e cumprimento de obrigação legal, conforme a atividade descrita na Seção 4.
Categorias especiais (RGPD Art. 9): as características faciais extraídas das fotos do titular são tratadas com base em consentimento explícito.
Direitos do titular RGPD — acesso, retificação, apagamento, restrição, portabilidade, oposição e direito de não ser submetido a decisão automatizada. Exerça pelos mesmos canais da Seção 9.
Restrição de tratamento (RGPD Art. 18) — a LGPD não possui um análogo direto a este direito. Para titulares no EEE (e como cortesia regulatória para titulares no Brasil), o análogo operacional combina três ações: (a) revogar o consentimento de uso de dados para treinamento de modelo no painel de Preferências de Privacidade; (b) revogar o consentimento de e-mail de marketing no mesmo painel ou pelo link de unsubscribe; e (c) solicitar eliminação (DSAR) se desejar terminar o tratamento por completo. Detalhes operacionais em `docs/LGPD_ROPA.md` Seção 11.
Transferências internacionais (RGPD Cap. V) — quando os dados de um titular do EEE são tratados em chamadas a operadores fora do EEE (Stripe, Resend, OpenAI, fallback Gemini externo), aplicamos cláusulas contratuais padrão (SCC), onde executadas, com cada operador. A execução das SCC com cada operador e a avaliação Schrems II permanecem em curso e são pré-requisito para marketing ativo dirigido ao EEE.
Representante na União Europeia (RGPD Art. 27): a nomeação formal do representante na UE para titulares do EEE está em curso. Até a publicação do representante nominal, contatos podem ser direcionados ao Encarregado pelo canal cvoalliance@cvoalliance.com.br.
Autoridade de controle: titulares do EEE podem reclamar à sua autoridade nacional de proteção de dados.
Titulares no Espaço Econômico Europeu ou em outra jurisdição RGPD podem se opor, a qualquer momento, ao tratamento de dados pessoais fundado no interesse legítimo do controlador (RGPD Art. 6(1)(f)).
Se você estiver no Espaço Econômico Europeu ou em outra jurisdição submetida ao RGPD, tem o direito de se opor a qualquer momento ao tratamento dos seus dados pessoais quando esse tratamento estiver baseado nos nossos interesses legítimos (RGPD Art. 6(1)(f)).
Atualmente, recorremos a interesse legítimo apenas para: (a) segurança do serviço e prevenção de fraude — incluindo limitação de taxa (rate-limiting), análise de sinais anômalos de sessão e incentivo à ativação de autenticação multifator; e (b) tratamento preparatório de marketing antes do consentimento explícito — preservado para o cenário em que venhamos a oferecer comunicações de marketing no EEE, hoje desativadas (TASK-36-E1 controla a ativação).
Para exercer o direito de oposição, entre em contato com o Encarregado pelo Tratamento de Dados em cvoalliance@cvoalliance.com.br ou utilize a central de privacidade no app. Após o recebimento da oposição, interromperemos o tratamento dos dados em causa, salvo se comprovarmos motivos legítimos imperiosos que prevaleçam sobre os seus interesses, direitos e liberdades, ou se o tratamento for necessário para o reconhecimento, exercício ou defesa de um direito em processo judicial — caso em que justificaremos por escrito a manutenção do tratamento.
Quando a oposição se referir ao tratamento de dados para fins de marketing direto (incluindo qualquer profilagem associada), o tratamento será interrompido sem necessidade de ponderação adicional (RGPD Art. 21(2)-(3)).
Notificaremos titulares por e-mail e por aviso no app antes que mudanças materiais entrem em vigor.
Quando a versão da política avança, o aplicativo solicita a reaceitação dos termos no próximo acesso autenticado por meio de um diálogo bloqueante; até a aceitação, o usuário pode sair pela opção "Sair" sem registrar o aceite. Detalhes do fluxo de transição vivem em `docs/PRIVACY_POLICY_V2_MIGRATION.md`.
A data de "Última atualização" no topo desta página reflete a revisão mais recente.
Para dúvidas, exercício de direitos ou reclamações, contate o Encarregado: cvoalliance@cvoalliance.com.br.
Você também pode peticionar à Autoridade Nacional de Proteção de Dados (ANPD) se entender que seus direitos foram violados.