Aviso de Privacidade

privacidade.org.br

Versão 1.0 · Última atualização: 9 de maio de 2026

Aviso preliminar de natureza do serviço (leia antes de prosseguir)

O privacidade.org.br é uma ferramenta tecnológica gratuita que, com auxílio de automação e inteligência artificial, gera um modelo de documento para que o titular de dados pessoais exerça, em nome próprio, os direitos previstos nos arts. 18 e 20 da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018).

Algumas advertências precisam ficar absolutamente claras antes do uso:

  1. Esta ferramenta não constitui aconselhamento, consultoria, parecer ou patrocínio jurídico. O uso da ferramenta não estabelece, em nenhuma hipótese, relação cliente-advogado entre o titular e o controlador desta plataforma, nem entre o titular e qualquer escritório, profissional ou parceiro a ele vinculado.
  2. O documento gerado é um modelo automatizado. Cabe ao próprio titular ler integralmente o documento, conferir seu conteúdo, validar sua adequação ao caso concreto e, se entender necessário, submeter o documento a advogado de sua confiança antes do envio à empresa destinatária.
  3. A decisão de enviar, modificar ou descartar o documento é exclusiva do titular. O envio é executado mediante comando explícito do usuário, e o conteúdo enviado é de sua responsabilidade.
  4. Esta ferramenta não substitui o advogado. Casos que envolvam vazamento de dados de larga escala, decisões automatizadas com efeitos jurídicos ou patrimoniais relevantes, dados sensíveis, conflitos com órgãos públicos, situações litigiosas em curso ou pretensões indenizatórias devem, idealmente, contar com avaliação técnica individualizada por profissional habilitado.
  5. O controlador não se responsabiliza por adequação, completude ou eficácia jurídica do documento gerado em face do caso concreto do titular, observando-se a ressalva de que a ferramenta foi desenhada com base nas normas brasileiras vigentes e na orientação publicada pela Autoridade Nacional de Proteção de Dados (ANPD).

Ao prosseguir com o uso da ferramenta, o titular declara estar ciente das advertências acima.

Por que este aviso existe (e por que ele é diferente)

O privacidade.org.br nasceu para servir a um propósito muito específico: traduzir os direitos previstos na Lei Geral de Proteção de Dados Pessoais em uma carta formal, juridicamente embasada e tecnicamente bem dirigida, que o titular pode enviar à empresa que deseja questionar. É, em síntese, um amplificador da autodeterminação informativa, um conceito que, longe de constituir mera retórica, está ancorado na dignidade da pessoa humana (art. 1º, III, da Constituição Federal) e na proteção dos dados pessoais como direito fundamental autônomo (art. 5º, LXXIX, da Constituição Federal).

Daí decorre uma exigência de coerência que poucos serviços enfrentam: se este projeto serve para que titulares cobrem transparência, minimização e respeito de empresas, ele próprio precisa praticar, sem cosmética, todos os princípios do art. 6º da LGPD. Este aviso, portanto, foi redigido para ser substantivamente verdadeiro, e não apenas formalmente conforme.

Se, ao final da leitura, você identificar qualquer ponto obscuro, contraditório ou insuficiente, escreva para nós. A crítica é, aqui, parte do método.

1. Encarregado pelo tratamento de dados pessoais

Em conformidade com o art. 41 da LGPD, o canal de comunicação com o encarregado pelo tratamento de dados pessoais (Data Protection Officer) é:

E-mail: contato@privacidade.org.br

Esse mesmo canal serve, sem distinção, para:

  • Exercício de direitos do titular (arts. 18 e 20 da LGPD);
  • Esclarecimentos sobre este aviso;
  • Comunicações da ANPD;
  • Reporte de incidentes ou de vulnerabilidades de segurança identificadas por terceiros;
  • Quaisquer outras questões relacionadas ao tratamento.

A resposta a comunicações fundadas em direitos do titular se dá em até 15 dias corridos, conforme art. 19 da LGPD.

2. O serviço, em poucas palavras

O serviço permite que o titular:

  1. Identifique uma empresa pelo CNPJ ou pelo nome comercial, com auxílio de inteligência artificial e de bases públicas de consulta de CNPJ;
  2. Tenha o canal LGPD daquela empresa descoberto automaticamente, quando publicamente disponível;
  3. Selecione direitos previstos nos arts. 18 e 20 da LGPD;
  4. Selecione documentos que deseja receber e cláusulas situacionais aplicáveis ao seu caso (por exemplo, marketing não solicitado, vazamento de dados, decisões automatizadas);
  5. Receba um documento PDF gerado automaticamente, contendo a requisição formal, e tenha esse documento enviado por e-mail à empresa destinatária, com cópia ao titular.

Tudo o que segue neste aviso descreve, com fidelidade, como cada uma dessas etapas trata seus dados pessoais.

3. Glossário breve, para não navegarmos no escuro

Para que este aviso seja útil tanto a leigos quanto a profissionais, alguns conceitos da LGPD devem ser fixados:

  • Titular: a pessoa natural a quem se referem os dados pessoais (art. 5º, V).
  • Controlador: pessoa, natural ou jurídica, a quem competem as decisões sobre o tratamento de dados pessoais (art. 5º, VI).
  • Operador: pessoa, natural ou jurídica, que realiza o tratamento em nome do controlador (art. 5º, VII).
  • Encarregado: pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares e a ANPD (art. 5º, VIII, e art. 41).
  • Tratamento: toda operação realizada com dados pessoais (art. 5º, X), incluindo coleta, uso, transmissão, armazenamento e eliminação.
  • Dado pessoal: informação relacionada a pessoa natural identificada ou identificável (art. 5º, I).
  • Base legal: hipótese autorizativa do tratamento (arts. 7º e 11).

4. Quais dados pessoais coletamos do titular

A coleta foi desenhada à luz do princípio da necessidade (art. 6º, III, da LGPD). Coletamos apenas o estritamente indispensável para gerar o documento e enviá-lo. Os campos coletados durante o uso do serviço são:

Identificação do titular

  • Nome completo;
  • CPF;
  • E-mail de contato.

Dados da requisição

  • Nome ou razão social da empresa destinatária e seu CNPJ (quando informado);
  • Relação narrada entre o titular e a empresa (cliente, ex-cliente, prospect, candidato a vaga, ex-empregado, paciente, dentre outras categorias listadas no formulário);
  • Detalhes adicionais sobre essa relação, em campo livre opcional, com até 200 caracteres;
  • Relato dos fatos, em campo livre opcional, com até 2000 caracteres, destinado a contextualizar a requisição;
  • Canais de coleta de dados pelos quais o titular acredita ter tido seus dados captados pela empresa, escolhidos a partir de uma lista predefinida;
  • Direitos selecionados, dentre os previstos nos arts. 18 e 20 da LGPD;
  • Documentos solicitados, escolhidos a partir de uma lista catalogada (registro de operações, RIPD, logs e outros);
  • Cláusulas situacionais aplicáveis ao caso narrado, escolhidas a partir de uma lista predefinida.

Metadados de execução

  • Data e hora da submissão;
  • Protocolo interno, gerado em formato UUID;
  • Status do envio (pendente, enviado, sem canal identificado, erro);
  • Método de envio (e-mail, postal ou manual);
  • Origem do canal LGPD da empresa destinatária utilizado;
  • Data do envio do e-mail e endereço da destinatária.

5. Quais dados pessoais NÃO coletamos

Esta seção é tão importante quanto a anterior. A omissão deliberada é forma de minimização. Não coletamos:

  • Dados pessoais sensíveis (saúde, biometria, dados raciais, religiosos, filiação a sindicatos, orientação sexual e demais categorias do art. 5º, II, da LGPD), exceto se o próprio titular, por iniciativa própria, narrá-los no campo livre. Nesse caso, o tratamento estará coberto pelo art. 11, II, alínea "d", em razão do exercício regular de direitos;
  • Dados de crianças e adolescentes, pois o serviço é destinado a maiores de 18 anos (vide seção 16);
  • Dados de pagamento, pois o serviço é gratuito;
  • Geolocalização precisa;
  • Identificadores persistentes de dispositivo (cookies de marketing, fingerprinting ou similares).

6. Por que tratamos seus dados (finalidades específicas)

Em estrita observância ao princípio da finalidade (art. 6º, I, da LGPD), os dados acima descritos são tratados unicamente para:

  1. Gerar o documento PDF formal de requisição LGPD;
  2. Enviar o documento por e-mail à empresa destinatária identificada;
  3. Enviar cópia ao próprio titular;
  4. Manter registro mínimo do envio, para fins de auditoria, suporte e prova futura;
  5. Identificar o canal LGPD da empresa destinatária;
  6. Detectar automaticamente cláusulas jurídicas aplicáveis ao caso narrado.

Não há finalidade publicitária, comercial, analítica ou de perfilamento. Não vendemos, não cedemos e não monetizamos dados pessoais por nenhuma forma.

7. Bases legais

A LGPD exige que toda operação de tratamento esteja amparada em ao menos uma das hipóteses dos arts. 7º ou 11. Para este serviço, identificamos com precisão a base legal aplicável a cada conjunto de operações:

OperaçãoBase legalFundamento
Coleta dos dados informados pelo titular no formulárioConsentimentoArt. 7º, I, da LGPD. Manifestação livre, informada e inequívoca, dada ao iniciar e concluir o uso da ferramenta. Pode ser revogada a qualquer tempo (art. 8º, § 5º).
Geração e entrega do PDF, e envio do e-mail à empresa destinatáriaExecução de contrato ou de procedimentos preliminaresArt. 7º, V, da LGPD. O titular contrata gratuitamente o serviço de geração e envio.
Encaminhamento da carta LGPD à empresa destinatáriaExercício regular de direitosArt. 7º, VI, da LGPD. O envio é ato realizado em nome e a pedido do titular para o exercício dos direitos previstos nos arts. 18 e 20.
Cache técnico de empresas públicas consultadas (sem dados pessoais do titular)Legítimo interesseArt. 7º, IX, da LGPD. Reduz custos operacionais e latência. Não envolve dados pessoais do titular.
Eventual coleta de dados sensíveis voluntariamente narrados pelo titular no campo livreExercício regular de direitosArt. 11, II, "d", da LGPD.

A revogação do consentimento e demais direitos podem ser exercidos pelo canal descrito na seção 1.

8. Com quem compartilhamos dados, e por quê

A LGPD trata o compartilhamento como ponto de elevada sensibilidade (arts. 18, VII, e 33). Por isso, descrevemos abaixo, com nome, função e localização, todas as relações de compartilhamento existentes.

9.1 A empresa destinatária da requisição

O conteúdo da requisição, incluindo nome, CPF, e-mail e o relato fornecido pelo titular, é enviado por e-mail à empresa que o próprio titular escolheu notificar.

  • Natureza: compartilhamento essencial à finalidade do serviço.
  • Base legal: solicitação expressa do titular (consentimento e exercício regular de direitos).
  • Formato: e-mail formal, com PDF anexado, dirigido ao canal LGPD divulgado pela empresa destinatária ou a endereço institucional encontrado em fontes públicas.

9.2 Operadores subcontratados

Os operadores abaixo tratam dados pessoais em nome do controlador, sob instruções específicas e com finalidades restritas. Apresentamos a relação completa, com indicação de país, papel, dados acessados e link para a respectiva política de privacidade:

Vercel Inc.(Estados Unidos)

Hospedagem da aplicação e execução de funções serverless. Acesso a dados em trânsito e a logs operacionais técnicos.

https://vercel.com/legal/privacy-policy
Supabase Inc.(Estados Unidos)

Banco de dados PostgreSQL utilizado para registro dos pedidos e cache de empresas. Acesso aos dados pessoais informados pelo titular, conforme campos do banco.

https://supabase.com/privacy
Resend Inc.(Estados Unidos)

Serviço de envio transacional dos e-mails. Acesso ao endereço de e-mail do titular, ao endereço da empresa destinatária, ao conteúdo da mensagem e ao anexo PDF.

https://resend.com/legal/privacy-policy
Anthropic PBC(Estados Unidos)

API de inteligência artificial (Claude Haiku 4.5), utilizada para identificar empresas, descobrir canais LGPD, gerar síntese personalizada da requisição e extrair contatos de páginas públicas. Acesso ao texto do relato do titular, à categoria da relação, aos contextos selecionados e ao nome da empresa. Não enviamos CPF nem e-mail do titular para esta API. A Anthropic, segundo sua política contratual, não treina modelos com inputs de API por padrão.

https://www.anthropic.com/legal/privacy
CNPJá (Brasil, operação independente)(Brasil)

Consulta pública de dados de CNPJ, em API gratuita. Acesso apenas ao número do CNPJ informado. Nenhum dado pessoal do titular é compartilhado.

https://cnpja.com
ReceitaWS(Brasil)

Fallback de consulta pública de CNPJ. Acesso apenas ao número do CNPJ. Nenhum dado pessoal do titular é compartilhado.

https://www.receitaws.com.br
Cloudflare(Estados Unidos, atuação global)

DNS e proxy do domínio principal privacidade.org.br. O subdomínio do aplicativo é configurado sem proxy, de modo que a Cloudflare acessa apenas logs de DNS.

https://www.cloudflare.com/privacypolicy/

Quando contratamos novos operadores, esta lista é atualizada com a publicação da nova versão deste aviso.

9. Transferências internacionais

Sim, o tratamento envolve transferência internacional de dados. A maior parte dos operadores listados na seção anterior está sediada nos Estados Unidos.

A transferência tem fundamento no art. 33, I e II, da LGPD: os fornecedores adotam salvaguardas contratuais e técnicas equivalentes ao padrão exigido pela legislação brasileira, incluindo cláusulas contratuais padrão e certificações reconhecidas pelo mercado internacional de proteção de dados.

Quando a empresa destinatária da requisição for, ela mesma, sediada em outro país, o titular é informado disso na interface do serviço antes do envio. Note-se, porém, que essa transferência decorre da decisão soberana do titular de notificar aquela empresa específica, e não de iniciativa do controlador.

10. Por quanto tempo guardamos seus dados

O princípio da limitação temporal (art. 6º, V e XIV, da LGPD) exige que prazos sejam justificados. Esta é a tabela de retenção:

Registro da requisição (Supabase)

Prazo: indefinido por padrão.

Racional: manter prova documental do envio, caso o titular precise comprovar a notificação perante a ANPD ou em juízo.

Observação: O titular pode solicitar a exclusão a qualquer tempo, conforme seção 13.

Cache técnico de empresas consultadas

Prazo: 30 dias corridos.

Racional: redução de custos e de latência. Esse cache não contém dados pessoais do titular.

E-mails enviados (Resend)

Prazo: conforme política da Resend, tipicamente 30 dias para logs.

Logs de servidor (Vercel)

Prazo: conforme política da Vercel.

A retenção indefinida do registro do pedido decorre da função probatória do documento e converge com a orientação da ANPD quanto ao princípio da prestação de contas (art. 6º, X). Ainda assim, o controle final sobre essa permanência é do titular, que pode requisitar a eliminação dos dados.

11. Cookies, rastreamento e telemetria

Esta seção pode ser surpreendentemente curta, e isso é proposital:

  • Cookies de marketing, analytics ou publicidade: não utilizamos.
  • Cookies essenciais: apenas os de sessão técnica do framework Next.js, quando aplicáveis, sem identificação pessoal persistente.
  • Scripts de terceiros: não utilizamos.
  • Fingerprinting: não realizamos.

Não há banner de cookies porque não há consentimento a ser colhido para finalidades publicitárias ou analíticas, em consonância com a orientação da ANPD no Guia Orientativo sobre Cookies.

12. Decisões automatizadas e uso de inteligência artificial

A LGPD reconhece, no art. 20, o direito do titular à revisão de decisões automatizadas que afetem seus interesses. Por isso, é necessário ser preciso sobre como usamos automação:

  • Não tomamos decisões automatizadas que afetem o titular. Não há scoring, não há categorização, não há rejeição automática de requisição.
  • Não realizamos perfilamento comportamental.
  • A inteligência artificial é utilizada exclusivamente como ferramenta auxiliar para enriquecer o documento gerado a pedido do titular, identificando empresas, descobrindo canais públicos de LGPD e produzindo síntese textual da requisição. A IA não julga, não classifica e não decide sobre o titular.
  • Os fornecedores de IA contratados não treinam modelos com os dados enviados por nossa API.

Reforça-se: o conteúdo gerado pela IA é um modelo, sujeito à revisão integral pelo titular, conforme já advertido no aviso preliminar deste documento. O controle editorial final é, sempre, do titular.

13. Seus direitos como titular

Você possui, perante este controlador, todos os direitos do art. 18 e do art. 20 da LGPD, na medida da sua aplicabilidade:

  1. Confirmação da existência de tratamento;
  2. Acesso aos dados;
  3. Correção de dados incompletos, inexatos ou desatualizados;
  4. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
  5. Portabilidade dos dados;
  6. Eliminação dos dados tratados com base no consentimento;
  7. Informação sobre as entidades públicas e privadas com as quais houve compartilhamento;
  8. Informação sobre a possibilidade de não consentir e suas consequências;
  9. Revogação do consentimento;
  10. Revisão de decisões automatizadas (não aplicável, pelas razões já expostas na seção 12).

Como exercer: envie e-mail para o canal do encarregado, contato@privacidade.org.br, com identificação do titular e descrição do pedido. A resposta será dada em até 15 dias corridos, conforme art. 19 da LGPD.

Caso o titular entenda que sua requisição não foi adequadamente atendida, poderá apresentar petição diretamente à ANPD, no canal disponibilizado em gov.br/anpd.

14. Segurança da informação

Adotamos medidas técnicas e administrativas adequadas ao porte do tratamento e ao risco envolvido, em observância aos arts. 46 a 49 da LGPD:

  • HTTPS obrigatório em todas as conexões;
  • Row Level Security (RLS) ativa no banco Supabase;
  • Chaves de service role mantidas server-side, jamais expostas ao navegador;
  • Variáveis de ambiente segregadas por ambiente (Vercel Environments);
  • Configuração de DKIM, SPF e DMARC no domínio, para autenticidade dos e-mails enviados;
  • Criptografia em repouso fornecida pelos provedores Supabase, Vercel e Resend;
  • Logs de erro escritos sem exposição de dados pessoais;
  • Monitoramento básico de erros pelo provedor de hospedagem.

Nenhum sistema é absolutamente invulnerável. Por isso, o tópico seguinte explica o que ocorrerá caso aconteça o que ninguém quer que aconteça.

15. Incidentes de segurança

Em caso de incidente que possa acarretar risco ou dano relevante aos titulares, o controlador comunicará a ANPD e os titulares afetados em prazo razoável, conforme o art. 48 da LGPD e a Resolução CD/ANPD nº 15, de 24 de abril de 2024, observando as orientações de conteúdo, formato e prazos definidos pela autoridade.

O canal de comunicação, inclusive para reporte de vulnerabilidades por terceiros, é contato@privacidade.org.br.

16. Crianças e adolescentes

O serviço é destinado exclusivamente a pessoas maiores de 18 anos. Não coletamos conscientemente dados de crianças e adolescentes. Caso seja identificada coleta indevida, os dados serão eliminados e o tratamento, encerrado, sem prejuízo das demais providências aplicáveis.

A escolha por esse recorte etário decorre da complexidade jurídica de obter consentimento parental específico e granular para um serviço que, por sua natureza, lida com narrativas factuais sensíveis e com o exercício de direitos perante terceiros. Para o atendimento de menores, recomendamos a participação direta de seus responsáveis legais.

17. Atualizações deste aviso

Este aviso poderá ser revisado sempre que houver alteração funcional do serviço, ingresso ou saída de operadores, mudança regulatória relevante ou recomendação da ANPD que justifique a revisão.

A versão vigente sempre estará publicada em privacidade.org.br/aviso-de-privacidade, com indicação clara da data da última atualização. Alterações materiais serão sinalizadas no topo da página por período razoável.

A versão atual do serviço corresponde à v3, com as seguintes funcionalidades:

  • Identificação de empresas por CNPJ ou por nome, com auxílio de IA;
  • Descoberta automática do canal LGPD via varredura de páginas públicas e IA;
  • Geração de PDF com 9 a 11 seções, conforme o caso;
  • Envio de e-mail formal à empresa, com cópia ao titular;
  • Cache de 30 dias de empresas consultadas;
  • Síntese personalizada do caso por IA.

18. Considerações finais

A proteção de dados pessoais não é apenas matéria de compliance, e tratá-la como tal é diminuir-lhe a estatura jurídica. Trata-se, antes, de um arranjo civil-constitucional voltado à preservação da pessoa em todas as suas projeções relacionais, e, no fundo, à manutenção das condições de possibilidade da vida em sociedade democrática.

Se este serviço presta utilidade ao titular, é porque a transparência praticada por quem o opera é congruente com aquela cobrada de quem o titular notifica. Este aviso é, assim, parte indissociável do produto.

Reitera-se, ao encerrar, o conteúdo do aviso preliminar: a ferramenta não substitui a análise jurídica individualizada. O documento gerado é um modelo, e a decisão de revisá-lo, ajustá-lo, submetê-lo a advogado de confiança ou enviá-lo à empresa destinatária é exclusiva do titular.

Dúvidas, críticas e pedidos podem ser enviados ao canal do encarregado: contato@privacidade.org.br.

Documento elaborado em conformidade com a Lei nº 13.709/2018 (LGPD), com a Resolução CD/ANPD nº 02/2022, com a Resolução CD/ANPD nº 15/2024, com a Resolução CD/ANPD nº 18/2024 e com os Guias Orientativos publicados pela Autoridade Nacional de Proteção de Dados.