Política de Privacidade

Última atualização: 2026-05-22

Esta página explica, em português simples, quais dados a Sapira coleta de você, por quê, por quanto tempo e com quem compartilhamos. Atende LGPD (Lei 13.709/2018), GDPR (Regulamento UE 2016/679) e CCPA/CPRA (California Consumer Privacy Act).

Quem é a Sapira

A Sapira é operada por entidade jurídica constituída sob as leis da República do Paraguai, com foro contratual em Asunción. Embora a base operacional seja paraguaia, reconhecemos e estendemos os direitos previstos na LGPD para usuários no Brasil, no GDPR para usuários na União Europeia e Reino Unido, e na CCPA/CPRA para residentes da Califórnia e demais estados dos EUA com leis equivalentes (Virgínia, Colorado, Connecticut, Utah, Texas, Oregon, Montana, Iowa, Tennessee, Delaware, New Hampshire, New Jersey, Maryland, Minnesota, Rhode Island).

O que coletamos e por quê

Email e nome completo

Pra criar sua conta, fazer login via magic link e emitir comprovantes de pagamento.

Base legalExecução de contrato (LGPD art. 7º V / GDPR art. 6(1)(b)).
RetençãoEnquanto sua conta existir. Após exclusão é anonimizado imediatamente.
Compartilhado comResend (envio de email), Stripe e Asaas (cobrança).

WhatsApp

Pra receber dicas diárias, notificações do coach IA e suporte (opcional).

Base legalConsentimento (LGPD art. 7º I / GDPR art. 6(1)(a)).
RetençãoEnquanto sua conta existir. Removível em /painel/configuracoes.
Compartilhado comEvolution API (provedor WhatsApp).

CPF (apenas Brasil)

Exigido pela Receita Federal para emissão de comprovantes via Asaas (PIX).

Base legalObrigação legal (Lei 9.430/96).
Retenção5 anos após a última transação (retenção fiscal obrigatória).
Compartilhado comAsaas (processamento PIX).

Dados de pagamento

Pra processar cobranças e cumprir KYC dos gateways.

Base legalExecução de contrato + obrigação legal.
Retenção5 anos (retenção fiscal). Dados de cartão jamais são armazenados pela Sapira.
Compartilhado comStripe (cartão internacional), Asaas (PIX).

Conteúdo do usuário (briefings, logos, posts, marca, produtos)

Pra processar suas requisições de IA (gerar campanhas, posts, vídeos UGC, criativos) e armazenar o resultado pra você acessar.

Base legalExecução de contrato.
RetençãoEnquanto sua conta existir. Imagens e vídeos gerados ficam no Backblaze B2.
Compartilhado comProvedores de IA (Anthropic, Groq, Google Gemini/Veo, fal.ai, OpenAI) processam o conteúdo no momento da geração. Não treinam modelo com seus dados nem retêm além do necessário.

Áudios enviados via WhatsApp

Pra transcrever a mensagem e o coach IA conseguir responder.

Base legalConsentimento implícito ao enviar áudio.
RetençãoTranscrição persiste no histórico do coach; áudio bruto descartado após processamento.
Compartilhado comOpenAI Whisper (transcrição).

Cookies de sessão

Pra manter você logado entre páginas.

Base legalEstritamente necessários (LGPD art. 7º V).
Retenção30 dias ou até logout.
Compartilhado comNão compartilhamos.

Cookies de analytics (OpenPanel, Microsoft Clarity)

Pra entender onde usuários travam e melhorar o produto. OpenPanel coleta métricas agregadas; Clarity grava sessões anônimas e gera heatmaps.

Base legalConsentimento (banner de cookies).
RetençãoOpenPanel: 365 dias. Clarity: até 1 ano.
Compartilhado comOpenPanel (analytics próprio), Microsoft (provedor Clarity).

Cookies de marketing (Meta Pixel)

Pra mensurar campanhas de aquisição no Instagram/Facebook e mostrar anúncios relevantes.

Base legalConsentimento (banner de cookies).
RetençãoAté 180 dias.
Compartilhado comMeta Platforms (Facebook, Instagram).

Endereço IP + user-agent (visitas anônimas)

Pra contar visitas únicas, detectar fraude e operar rate limit. Hasheado antes de armazenar quando aplicável.

Base legalInteresse legítimo (LGPD art. 7º IX / GDPR art. 6(1)(f)).
RetençãoHash diário; 90 dias.
Compartilhado comCloudflare (proteção de borda).

Posts publicados no Instagram via Sapira

Pra agendar e publicar nas redes do usuário sob credenciais OAuth.

Base legalConsentimento explícito ao conectar a conta.
RetençãoEnquanto a conexão estiver ativa. Removível em /painel.
Compartilhado combundle.social (provedor de publicação cross-platform).

Quem mais vê seus dados

Trabalhamos com operadores que processam dados em nosso nome. Cada um assinou DPA (Data Processing Agreement) conosco e só pode usar os dados pra finalidade descrita.

  • StripeProcessamento de pagamentos em cartão internacionalEstados Unidos / Irlanda
  • AsaasProcessamento de PIX (Brasil)Brasil
  • ResendEnvio de emails transacionaisEstados Unidos
  • Backblaze B2Armazenamento de imagens, vídeos e uploads do usuárioEstados Unidos
  • CloudflareCDN, proteção contra ataques e detecção de país de origemEstados Unidos
  • Anthropic (Claude)Geração de campanhas, captions, briefings, respostas do coachEstados Unidos
  • GroqGeração rápida de paletas e sugestõesEstados Unidos
  • Google GeminiGeração de logos, product shots, dicas diáriasEstados Unidos
  • Google VeoGeração de vídeos UGCEstados Unidos
  • fal.aiGeração de imagens (Nano Banana Pro) e vídeos UGC (Seedance, Kling)Estados Unidos
  • OpenAI WhisperTranscrição de áudios do WhatsAppEstados Unidos
  • Evolution APIEnvio e recebimento de mensagens WhatsApp do coachBrasil
  • bundle.socialPublicação e agendamento em redes sociaisEstados Unidos
  • OpenPanelAnalytics de produto (autohospedado, opt-in)Alemanha
  • Microsoft ClarityGravação de sessão e heatmaps (opt-in)Estados Unidos
  • Meta PlatformsPixel de conversão e Conversions API (opt-in)Estados Unidos / Irlanda

Seus direitos

Sob LGPD, GDPR e CCPA você pode, a qualquer momento, exercer os direitos abaixo. A maioria está disponível direto em /painel/configuracoes; o restante por email ao DPO.

  • Confirmar que processamos seus dados
  • Acessar uma cópia de tudo que temos sobre você (exportação em JSON)
  • Corrigir dados imprecisos
  • Anonimizar, bloquear ou eliminar dados (com exceção do que retemos por obrigação legal)
  • Solicitar portabilidade
  • Revogar consentimento (banner de cookies + exclusão de conta)
  • Saber com quem compartilhamos (lista acima)
  • Califórnia/EUA: optar por não 'venda' ou 'compartilhamento' (link 'Não compartilhar meus dados' no rodapé)
  • Apresentar queixa à ANPD (Brasil), à autoridade de proteção de dados do seu país, ou à Procuradoria-Geral do Estado da Califórnia (EUA)

Por quanto tempo guardamos

Cada categoria de dado tem seu prazo (veja a tabela acima). Em geral: dados de conta enquanto ela existir; dados fiscais 5 anos; logs de segurança 90 dias; cookies de analytics até 1 ano; cookies de marketing até 180 dias. Quando você apaga a conta, seus dados pessoais são anonimizados imediatamente; registros vinculados (vendas, pagamentos) permanecem em forma anonimizada pelo prazo fiscal obrigatório.

Como protegemos

TLS 1.2+ em todo tráfego. Senhas e tokens são hasheados (não armazenados em texto plano). Tokens OAuth de terceiros (Instagram, etc.) são encriptados em repouso. Acesso a dados sensíveis (CPF, endereço) é restrito a operadores específicos com auditoria. Não armazenamos dados de cartão — Stripe e Asaas fazem isso, ambos PCI-DSS certificados. Honramos o sinal Global Privacy Control (sec-gpc) como opt-out automático.

Crianças e adolescentes

A Sapira não é destinada a menores de 18 anos. Se descobrirmos que coletamos dados de menor sem consentimento dos pais, deletamos imediatamente.

Mudanças nesta política

Quando mudarmos, atualizamos a 'última atualização' no topo e — pra mudanças relevantes — pedimos que você reaceite via banner antes de continuar usando.

Como falar com a gente

Encarregado de Proteção de Dados (DPO):

[email protected]

Política de Cookies · Termos de Uso