Legal
Esta política explica como o Pictro recolhe, utiliza, armazena e protege dados pessoais em conformidade com a LGPD (Lei Geral de Proteção de Dados brasileira, Lei 13.709/2018) e, quando aplicável, com o RGPD (Regulamento (UE) 2016/679) para titulares no Espaço Económico Europeu.
Última atualização 19 de maio de 2026
Versão 2, efetiva a 19 de maio de 2026. A versão 1 (efetiva a 1 de outubro de 2025) fica preservada como registo histórico para os utilizadores que a aceitaram antes desta data.
Esta é a versão 2 (v2) da Política de Privacidade, em vigor a partir de 19 de maio de 2026.
Principais alterações face à v1: (a) detalhe das bases legais por atividade de tratamento alinhado com o Registo de Operações de Tratamento (ROPA) do responsável; (b) descrição da migração da produção para a região GCP southamerica-east1 (São Paulo) e delimitação explícita das transferências internacionais a chamadas a fornecedores de IA; (c) alvo interno de até 48 horas para a notificação preliminar de incidentes de segurança, sem prejuízo do prazo regulatório definido pela ANPD (LGPD Art. 48); (d) janelas de retenção por classe de dado alinhadas com o ROPA; (e) secção dedicada aos titulares no Espaço Económico Europeu; (f) reafirmação verificada do controlo "MFA obrigatório em mutações sensíveis de administrador", agora aplicado por um gate `require_fresh_totp` do lado do servidor.
O texto histórico v1 fica disponível mediante pedido ao Encarregado em cvoalliance@cvoalliance.com.br.
O Pictro é uma plataforma de sessões fotográficas e restauro de imagens gerados por IA, operada pela CVO Alliance Ltda. (NIPC brasileiro 57.782.960/0001-78). Tratamos dados pessoais para entregar essas experiências, gerir contas, processar pagamentos e cumprir leis aplicáveis.
Esta política aplica-se a todas as pessoas que interagem com o serviço, incluindo clientes, especialistas, administradores, participantes de beta e visitantes do site.
Responsável: CVO Alliance Ltda., NIPC brasileiro 57.782.960/0001-78, em atividade desde 22/10/2024, CNAE principal 6319-4/00, com sede em Quadra CRS 516, Bloco B, Sala 66/69, Pavimento 1, Anexo Parte C0267 — Asa Sul — Brasília — DF, Brasil.
Encarregado pelo Tratamento de Dados Pessoais (DPO interno do responsável, nos termos do art. 41 da LGPD e da Resolução ANPD nº 18/2024): a própria CVO Alliance Ltda., a atuar como Encarregado interno. Canal oficial: cvoalliance@cvoalliance.com.br. O canal aceita pedidos de titulares, comunicações formais da Autoridade Nacional de Proteção de Dados do Brasil (ANPD) e contacto do responsável.
Apenas recolhemos os dados necessários para entregar o serviço com eficácia e segurança.
Informações de conta: e-mail, nome (opcional), hash de palavra-passe (Argon2id), idioma preferido, papel (cliente, especialista, administrador), estado de verificação e de aprovação.
Ativos da sessão ou restauro: fotografias de referência enviadas pelo utilizador, prompts e parâmetros de estilo, imagens geradas pela IA, metadados técnicos do trabalho.
Dados de pagamento: e-mail e identificadores Stripe (sessão, intent, cliente). O número completo do cartão (PAN) e o CVV nunca chegam ao Pictro — são tratados diretamente pela Stripe.
Dados de utilização: informações do dispositivo, registos de acesso (rotas e timestamps), métricas de envolvimento sob consentimento de analytics.
Dados de apoio: comunicações com a equipa de apoio e com os especialistas.
Características biométricas: traços faciais extraídos das fotografias enviadas pelo titular, utilizados exclusivamente para condicionar a geração da imagem do próprio titular. NÃO realizamos identificação 1:N, autenticação por rosto, verificação de identidade, vigilância nem cruzamento entre titulares.
Cada atividade tem uma base legal específica. O detalhe completo está no Registo de Operações de Tratamento (ROPA), disponível mediante pedido ao Encarregado.
Geração de sessões e restauros por IA — Execução de contrato (LGPD Art. 7º, V) para a prestação do serviço, combinada com consentimento específico, informado e inequívoco (Art. 11, I) para o tratamento das características faciais extraídas das fotografias. O consentimento fica registado em hash chain SHA-256 append-only e é novamente solicitado em cada nova versão de política.
Registo e autenticação (criação de conta, início de sessão, recuperação de palavra-passe) — Execução de contrato (Art. 7º, V).
Pagamentos e faturação — Execução de contrato (Art. 7º, V) e obrigação legal fiscal (Art. 7º, II); os webhooks Stripe são conservados por 10 anos como evidência fiscal e regulatória.
Comunicações transacionais (confirmação de registo, redefinição de palavra-passe, conclusão de trabalho, alerta de fraude) — Execução de contrato (Art. 7º, V).
Telemetria e registos operacionais — Interesse legítimo do responsável (Art. 7º, IX), com teste de ponderação documentado; os endereços IP são anonimizados após 90 dias para utilização de longo prazo.
Conjunto pseudonimizado para melhoria de modelos (apenas beta) — Consentimento específico, informado e revogável (Art. 7º, I). Estritamente opcional, nunca condiciona a utilização do serviço (LGPD Art. 8º §6).
Marketing e investigação de produto — Consentimento (Art. 7º, I), com opt-out a qualquer momento.
Operar a geração de sessões e restauros com IA, incluindo extração de características faciais para condicionar a geração e revisão por especialistas quando aplicável.
Cobrar pelos créditos consumidos e cumprir obrigações fiscais.
Prestar apoio ao cliente, onboarding, resposta a incidentes e recuperação de conta.
Detetar fraude e abuso, aplicar limites de utilização e proteger a integridade da plataforma.
Executar analytics agregada e investigação de produto, apenas após consentimento explícito para cookies não essenciais.
A utilização de cópias pseudonimizadas das suas fotografias para melhorar os modelos de IA é uma autorização opcional e separada (LGPD Art. 8º §6). Pode utilizar o serviço normalmente sem a conceder.
Durante o seu período beta gratuito (7 dias por conta), pode autorizar separadamente que cópias pseudonimizadas das suas fotografias enviadas e das sessões/restauros gerados sejam utilizadas para melhorar os modelos de IA do Pictro.
Pseudonimizado significa que, antes de qualquer utilização para treino, removemos nome, e-mail, identificadores diretos e qualquer metadado que possa ligar a cópia à sua conta. A cópia é mantida num bucket separado, destinado exclusivamente a treino, com IAM próprio.
A autorização para treino NÃO é necessária para utilizar o Pictro. Se não a conceder, o serviço funciona da mesma forma e não é guardada qualquer cópia para treino.
No final do seu beta, se não revogou a autorização, criamos a cópia pseudonimizada e em seguida apagamos as fotografias e os resultados associados à sua conta. Se não autorizou, apenas apagamos as fotografias e os resultados associados à sua conta.
Pode revogar a autorização a qualquer momento nas definições de privacidade. Após a revogação, todas as cópias pseudonimizadas suas existentes entram em quarentena por 30 dias e são apagadas em definitivo no final desse período.
A base legal para o tratamento de treino é exclusivamente o seu consentimento (LGPD Art. 7º, I), revogável a qualquer momento. O conjunto pseudonimizado NUNCA é utilizado para identificação 1:N, autenticação biométrica, verificação de identidade, vigilância, perfilagem de terceiros ou cruzamento entre titulares.
A infraestrutura de produção do Pictro está alojada no Brasil, na região GCP southamerica-east1 (São Paulo). Os dados de conta, fotografias carregadas e imagens geradas são armazenados no Brasil. As transferências internacionais limitam-se a chamadas a fornecedores de IA, pagamento e correio eletrónico transacional.
Os seus dados pessoais — incluindo o endereço de correio eletrónico, fotografias carregadas, características faciais extraídas e imagens geradas — são armazenados em servidores da Google Cloud Platform na região southamerica-east1 (São Paulo, Brasil). Os registos operacionais e os vestígios de observabilidade gerados pela aplicação são, por defeito, mantidos na mesma região.
Exceção conhecida (a fechar antes do cutover de produção): o bucket usado para o conjunto pseudonimizado de treino (apenas beta, sob consentimento opcional) permanece numa região fora do Brasil durante a transição inicial; o ROPA regista esta exceção e a meta de migração para southamerica-east1 antes do cutover. Detalhe em `docs/BRAZIL_DATA_RESIDENCY.md`.
Para gerar as suas imagens, enviamos os seus pedidos (prompts) e as fotografias de referência para modelos de inteligência artificial. Sempre que o modelo pretendido esteja disponível no Brasil, processamos o seu pedido no Vertex AI em southamerica-east1, sem transferência internacional. Quando o modelo pretendido ainda não está disponível no Brasil, processamos o pedido no Vertex AI numa região da Google Cloud nos Estados Unidos, e registamos esse facto no nosso registo de auditoria.
Adicionalmente, utilizamos a OpenAI (Estados Unidos) como fornecedora de geração de imagens (modelo gpt-image-2) e de moderação de conteúdos. A OpenAI ainda não oferece processamento de dados no Brasil; por conseguinte, cada chamada à OpenAI constitui uma transferência internacional de dados. Estamos a trabalhar para inscrever a nossa conta de produção no programa Zero Data Retention (ZDR) da OpenAI antes do cutover de produção; quando o ZDR está ativo, assegura que os seus pedidos e respostas não são utilizados para treinar modelos da OpenAI e não são retidos pelo período predefinido até 30 dias para auditoria interna da OpenAI, sujeito às exceções documentadas pela OpenAI. Até à verificação da ativação do ZDR na consola da OpenAI, devem ser consideradas em vigor as condições de retenção predefinidas do fornecedor.
Estas transferências internacionais ocorrem com base no art. 33.º, inciso V da LGPD (consentimento específico e em destaque do titular). Para utilizadores no Espaço Económico Europeu, estas transferências assentam adicionalmente nas Cláusulas Contratuais-Tipo (SCC), quando executadas, celebradas com cada fornecedor. Pode revogar o seu consentimento a qualquer momento contactando o Encarregado de Proteção de Dados: cvoalliance@cvoalliance.com.br.
Não vendemos dados pessoais. As transferências internacionais existem apenas para chamadas a fornecedores de IA, processamento de pagamentos e e-mail transacional, cada uma com salvaguardas próprias.
Subcontratantes que tratam dados em nome do Pictro:
• Google Cloud Platform (Brasil — southamerica-east1) — alojamento, base de dados, armazenamento. Subcontratante, com DPA da Google.
• Stripe Inc. (EUA) — processamento de pagamentos. Subcontratante. PAN/CVV nunca chegam ao Pictro. DPA da Stripe.
• Resend (EUA) — envio de e-mail transacional. Subcontratante. DPA da Resend.
• OpenAI (EUA) — geração de imagens por IA e moderação de conteúdo. Subcontratante. Conta inscrita em Zero Data Retention (ZDR): os prompts e completions não são retidos no lado da OpenAI. Sem treino de modelos sobre dados da API do Pictro por defeito.
• Google Gemini / Vertex AI — preferimos chamar a Vertex AI na região southamerica-east1 (Brasil). Quando um modelo necessário ainda não está disponível na região BR, é feito um fallback à Gemini API externa (EUA); cada utilização do fallback emite um evento de auditoria interno `gemini_external_api_transfer` para rasto do Art. 33.
Bases legais das transferências internacionais (LGPD Art. 33): cláusulas contratuais-padrão e DPAs com cada subcontratante; consentimento específico para a utilização dos seus dados em chamadas a fornecedores de IA (Art. 33, V), prestado durante a aceitação destes Termos e desta Política de Privacidade.
Não partilhamos dados pessoais com terceiros para fins de marketing ou venda. Os subcontratantes acima atuam exclusivamente para entregar o serviço.
Cada categoria de dado tem uma janela de retenção definida; no final da janela, os dados são eliminados de forma duradoura ou anonimizados, consoante aplicável.
Dados de conta (e-mail, nome, hash de palavra-passe) — conservados enquanto a conta estiver ativa. Após a eliminação (DSAR), anonimização ou eliminação em até 30 dias, salvo retenção exigida por lei.
Fotografias de referência enviadas — ligadas à conta e entregues por sessão autenticada; eliminadas pelo `erasure_log` duradouro ao eliminar a conta, no final do beta sem consentimento de treino, ou pelas políticas de ciclo de vida do bucket (configuração atual visível em `docs/BRAZIL_DATA_RESIDENCY.md`; a janela efetiva em produção segue o valor configurado na infraestrutura como código).
Imagens geradas — ligadas à conta e entregues por sessão autenticada; eliminadas pelo `erasure_log` duradouro ao eliminar a conta ou pelas políticas de ciclo de vida do bucket de saída (mesma fonte canónica anterior).
Características biométricas extraídas — ligadas à conta; eliminadas em conjunto com a conta numa DSAR de eliminação.
Cópias pseudonimizadas para treino (apenas beta com consentimento) — conservadas enquanto o consentimento permanecer ativo; quarentena de 30 dias após a revogação; hard-delete imediato em caso de DSAR de eliminação.
Registos de aplicação e telemetria operacional — 90 dias (rodados por sweepers diários).
Registos de auditoria administrativos e de segurança — 12 meses, com rotação anual.
Webhooks Stripe (conformidade fiscal) — 10 anos, imutáveis, em conformidade com as regras fiscais e regulatórias brasileiras.
Outbox de e-mail transacional (Resend) — 90 dias por evento de entrega.
Pode exercer os direitos abaixo através do canal do Encarregado (cvoalliance@cvoalliance.com.br) ou da central de privacidade na aplicação. O nosso alvo interno é responder a pedidos válidos no prazo de 15 dias úteis, prorrogáveis nos termos do Art. 19 §3 da LGPD; o processamento pode demorar mais em pedidos complexos ou que dependam de subcontratantes externos, e essa extensão será comunicada ao titular.
Confirmação da existência de tratamento e acesso aos dados (Art. 18, I e II) — entregamos um pacote DSAR em formato estruturado (JSON) com o mapeamento das operações que mantemos sobre si.
Correção de dados incompletos, inexatos ou desatualizados (Art. 18, III) — disponível pelo perfil; as correções não cobertas pela interface podem ser solicitadas ao Encarregado.
Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD (Art. 18, IV).
Portabilidade dos dados (Art. 18, V) — pacote DSAR em JSON estruturado e interoperável.
Eliminação dos dados tratados com base em consentimento (Art. 18, VI) — processada pelo serviço `ErasureService` com `erasure_log` duradouro e retentativas; a conta permanece em estado `erasure_pending` até que todas as entradas concluam.
Informação sobre entidades públicas e privadas com as quais partilhamos dados (Art. 18, VII) — Secção 7 desta política.
Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências (Art. 18, VIII).
Revogação do consentimento (Art. 18, IX) — disponível diretamente na aplicação para o consentimento de treino; os restantes consentimentos podem ser revogados pelo canal do Encarregado.
Para o exercício de qualquer direito, envie o pedido para cvoalliance@cvoalliance.com.br ou utilize a central de privacidade na aplicação. Em caso de insatisfação com a resposta, pode reclamar junto da Autoridade Nacional de Proteção de Dados (ANPD).
Aplicamos controlos técnicos e administrativos alinhados com o ROPA, com postura fail-closed por defeito.
Autenticação: hashing de palavras-passe com Argon2id, TOTP (RFC 6238) com armazenamento Fernet em repouso e rate-limit dedicado, recovery codes HMAC-SHA256 com pepper e utilização única.
Sessão: cookies httpOnly + Secure + SameSite=Lax, CSRF por HMAC ligado à sessão, rotação de refresh tokens com deteção de reutilização e revogação de família.
Controlo de acesso por papel (RBAC), aplicado no servidor em cada rota protegida.
MFA obrigatório para administradores e reautenticação TOTP fresca exigida em mutações sensíveis de administrador (concessão e dedução de créditos, alteração de papel ou estado de conta, edição de preços, alterações de prompt em produção, fluxo DSAR, kill-switch, entre outras). O gate é aplicado pela dependência de servidor `require_fresh_totp` e verificado por um teste de cobertura que percorre toda a árvore de rotas administrativas a cada execução do conjunto. A lista completa de endpoints cobertos vive no documento interno `docs/ADMIN_REAUTH_COVERAGE.md`.
Cifragem em trânsito (TLS) e em repouso para dados sensíveis e segredos (Fernet, com rotação de chave).
Validação de carregamentos com verificação de magic bytes, re-codificação segura e remoção de EXIF.
Defesa contra SSRF; normalização NFKC e remoção de caracteres zero-width em todos os endpoints públicos; validação de webhooks assinados com proteção anti-replay.
Moderação de conteúdo em múltiplas camadas (L1 OpenAI Omni Moderation, L2 classificador LLM com fallback Gemini→OpenAI, L3 prompts contextualizados por papel) com política fail-closed e recurrence trap SHA-256.
Monitorização contínua via OpenTelemetry + Cloud Logging/Trace + Managed Prometheus, com alertas para falhas de assinatura Stripe, picos de rate-limit e taxa de retentativas de workers, conforme `docs/RUNBOOK_MONITORING.md`.
Em caso de incidente de segurança que possa gerar risco ou dano relevante aos titulares, notificaremos a ANPD e os titulares afetados num prazo razoável definido pela Autoridade, com um objetivo interno de até 48 horas a partir da confirmação interna do incidente.
A comunicação ao titular conterá, no mínimo: descrição da natureza dos dados afetados, informação sobre os titulares envolvidos, indicação das medidas técnicas e de segurança utilizadas, riscos relacionados com o incidente, motivos do atraso quando não tiver sido imediato e medidas adotadas ou a adotar para reverter ou mitigar os efeitos.
Runbook operacional: `docs/INCIDENT_RESPONSE_RUNBOOK.md`.
O Pictro destina-se a adultos. Ao aceitar estes Termos confirma que tem pelo menos 18 anos completos. Não tratamos intencionalmente dados de menores de 18 anos.
Se tomarmos conhecimento de que recolhemos dados de um menor de 18 anos, encerraremos a conta e eliminaremos os dados associados.
Para titulares no Espaço Económico Europeu (EEE) aplicamos o Regulamento (UE) 2016/679 (RGPD) em complemento à LGPD.
Bases legais (RGPD Art. 6) — execução do contrato, consentimento, interesse legítimo e cumprimento de obrigação legal, consoante a atividade descrita na Secção 4.
Categorias especiais (RGPD Art. 9): as características faciais extraídas das fotografias do titular são tratadas com base em consentimento explícito.
Direitos RGPD do titular — acesso, retificação, apagamento, limitação, portabilidade, oposição e direito a não ficar sujeito a decisões automatizadas. Exerce-se pelos mesmos canais descritos na Secção 9.
Limitação do tratamento (RGPD Art. 18) — a LGPD não dispõe de análogo direto a este direito. Para titulares no EEE (e como cortesia regulatória para titulares no Brasil), o análogo operacional combina três ações: (a) revogar o consentimento de utilização dos seus dados para treino de modelos no painel de Preferências de Privacidade; (b) revogar o consentimento de e-mail de marketing no mesmo painel ou pelo link de cancelamento da subscrição presente em cada e-mail de marketing; e (c) solicitar a eliminação (DSAR) se pretender terminar por completo o tratamento. Os pormenores operacionais constam de `docs/LGPD_ROPA.md` Secção 11.
Transferências internacionais (RGPD Capítulo V) — quando os dados de um titular do EEE são tratados por subcontratantes fora do EEE (Stripe, Resend, OpenAI, fallback externo Gemini), aplicamos Cláusulas Contratuais-Tipo (SCC), quando executadas, com cada subcontratante. A execução das SCC com cada subcontratante e a avaliação Schrems II permanecem em curso e são pré-requisito para marketing ativo dirigido ao EEE.
Representante na União Europeia (RGPD Art. 27): a designação formal do representante na UE para os titulares do EEE está em curso. Até à publicação do representante nominal, os contactos podem ser dirigidos ao Encarregado em cvoalliance@cvoalliance.com.br.
Autoridade de controlo: os titulares do EEE podem reclamar junto da respetiva autoridade nacional de proteção de dados (em Portugal, a CNPD).
Os titulares no Espaço Económico Europeu ou noutra jurisdição RGPD podem opor-se a qualquer momento ao tratamento de dados pessoais fundado no interesse legítimo do responsável (RGPD Art. 6.º, n.º 1, alínea f)).
Se se encontrar no Espaço Económico Europeu ou noutra jurisdição sujeita ao RGPD, tem o direito de se opor a qualquer momento ao tratamento dos seus dados pessoais quando esse tratamento tiver por base os nossos interesses legítimos (RGPD Art. 6.º, n.º 1, alínea f)).
Atualmente, recorremos ao interesse legítimo apenas para: (a) segurança do serviço e prevenção da fraude — incluindo limitação de débito (rate-limiting), análise de sinais anómalos de sessão e avisos para ativação de autenticação multifator; e (b) tratamento preparatório de marketing antes do consentimento explícito — preservado para o cenário em que venhamos a oferecer comunicações de marketing no EEE, atualmente desativadas (a ativação está condicionada pela TASK-36-E1).
Para exercer o direito de oposição, contacte o Encarregado da Proteção de Dados em cvoalliance@cvoalliance.com.br ou utilize a central de privacidade na aplicação. Após receção da oposição, interromperemos o tratamento em causa, salvo se demonstrarmos motivos legítimos imperiosos que prevaleçam sobre os seus interesses, direitos e liberdades, ou se o tratamento for necessário para a declaração, o exercício ou a defesa de um direito num processo judicial — caso em que justificaremos por escrito a manutenção do tratamento.
Quando a oposição respeitar ao tratamento para fins de comercialização direta (incluindo qualquer definição de perfis a ele associada), o tratamento será interrompido sem necessidade de ponderação adicional (RGPD Art. 21.º, n.os 2 e 3).
Notificaremos os titulares por e-mail e por aviso na aplicação antes de quaisquer alterações materiais entrarem em vigor.
Quando a versão da política avança, a aplicação solicita a re-aceitação dos termos no próximo acesso autenticado através de uma caixa de diálogo bloqueante; até aceitar, pode sair pela opção "Terminar sessão" sem registar a aceitação. Detalhes do fluxo de transição em `docs/PRIVACY_POLICY_V2_MIGRATION.md`.
A data de "Última atualização" no topo desta página reflete a revisão mais recente.
Para dúvidas, exercício de direitos ou reclamações, contacte o Encarregado: cvoalliance@cvoalliance.com.br.
Pode também reclamar junto da Autoridade Nacional de Proteção de Dados do Brasil (ANPD) se entender que os seus direitos foram violados.