Política de Privacidade — StênioBOT

Voltar à Home

Intro Sobre este documento

Esta Política de Privacidade descreve como a Sumænimá coleta, usa, armazena e protege os dados pessoais dos usuários do StênioBOT, em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD — Lei nº 13.709/2018).

Ao utilizar o StênioBOT, você concorda com os termos desta política. Caso não concorde, não utilize o serviço.

1 Controlador dos dados

Razão social: Sumænimá (ΣÆ)

Produto: StênioBOT — Sistema de relatoria técnica com transcrição de áudio

Contato DPO: ceduardorodrig@gmail.com

2 Quais dados coletamos

E-mail Google: coletado via OAuth 2.0 para identificação e controle de acesso.
Token de acesso OAuth: armazenado de forma criptografada para permitir a escrita no Google Docs.
Projetos criados: nome da reunião, ID do Google Doc e glossário técnico informados por você.
Cookie de sessão: token opaco (session_token) armazenado como cookie HttpOnly para autenticação.

        ✅ Não coletamos: áudio das gravações, transcrições geradas, conteúdo das reuniões, dados de localização, dados de navegação ou qualquer informação além do estritamente necessário para o funcionamento do serviço.
      

3 Como usamos os dados e como o sistema funciona

Autenticar e identificar o usuário no sistema.
Associar projetos e configurações à conta do usuário.
Escrever transcrições no Google Doc indicado pelo próprio usuário.
Manter a sessão ativa durante o uso do produto.

Nenhum dato é utilizado para fins publicitários, análise de comportamento ou compartilhado com terceiros além do Google (para autenticação OAuth e escrita no Docs).

        🖥️ Processamento 100% local, no Brasil. O StênioBOT roda em um servidor físico localizado no Brasil, operado pela Sumænimá. O áudio capturado pelo seu microfone é transmitido de forma criptografada (HTTPS/WSS) diretamente para esse servidor, onde é processado por um modelo de inteligência artificial (Whisper, da OpenAI) executado localmente em GPU dedicada. O áudio jamais é enviado para servidores externos, nuvens públicas ou terceiros. Todo o processamento — da captura à transcrição — acontece dentro do território brasileiro, em infraestrutura privada.
      

4 Base legal (LGPD)

Execução de contrato (Art. 7º, V): processamento necessário para prestar o serviço contratado.
Legítimo interesse (Art. 7º, IX): manutenção de sessão autenticada e segurança do sistema.
Consentimento (Art. 7º, I): coletado explicitamente na primeira utilização para cookies e termos de uso.

5 Cookies

Utilizamos apenas um cookie:

session_token — cookie de sessão HttpOnly, SameSite=Lax, válido por 7 dias de inatividade. Não é um cookie de rastreamento. É estritamente necessário para o funcionamento do sistema.

Não utilizamos cookies de terceiros, analytics, publicidade ou rastreamento.

6 Compartilhamento de dados

Os dados são compartilhados apenas com o Google, nas seguintes situações:

Autenticação via Google OAuth 2.0 (identificação do usuário).
Escrita de transcrições no Google Docs indicado pelo usuário (mediante autorização explícita via OAuth).

Não vendemos, alugamos ou compartilhamos dados com qualquer outra entidade.

7 Retenção e exclusão

Tokens OAuth: mantidos enquanto a conta estiver ativa. Revogáveis a qualquer momento em myaccount.google.com/permissions.
Projetos: mantidos até exclusão pelo próprio usuário (botão de exclusão disponível na interface).
Cookie de sessão: expira em 7 dias de inatividade ou ao clicar em "Sair".
Exclusão total da conta: solicitável via ceduardorodrig@gmail.com. Todos os dados são removidos em até 15 dias úteis.

8 Seus direitos (LGPD)

Nos termos da LGPD, você tem direito a:

Acesso: saber quais dados temos sobre você.
Correção: corrigir dados incompletos ou desatualizados.
Exclusão: solicitar a remoção dos seus dados.
Portabilidade: receber seus dados em formato estruturado.
Revogação do consentimento: a qualquer momento, sem prejuízo ao tratamento realizado anteriormente.
Oposição: opor-se ao tratamento em caso de descumprimento da LGPD.

Para exercer qualquer direito: ceduardorodrig@gmail.com

9 Segurança e infraestrutura

Tokens armazenados em banco de dados PostgreSQL com acesso restrito, em container isolado.
Toda comunicação entre o navegador e o servidor é criptografada via HTTPS/TLS, incluindo o canal de áudio em tempo real (WebSocket Seguro — WSS).
Cookie de sessão com flags HttpOnly, SameSite=Lax e Secure — inacessível via JavaScript e protegido contra CSRF.
O áudio é processado exclusivamente no servidor físico da Sumænimá, localizado no Brasil, por uma GPU dedicada. Nenhum pacote de áudio trafega para fora dessa infraestrutura.
Acesso externo ao servidor protegido por VPN privada (Tailscale), sem exposição direta à internet pública.
Aplicação executada como usuário não-root em container Docker isolado, seguindo o princípio do menor privilégio.

10 Alterações nesta política

Esta política pode ser atualizada periodicamente. Alterações relevantes serão comunicadas via interface do produto. A data de vigência está indicada no topo deste documento.