Bastidô

Política de Privacidade

O Bastidô é um software de gestão (CRM) para criadoras e agências que mantêm contas na Privacy.com.br. Esta política explica como tratamos dados pessoais de três grupos, com papéis diferentes na LGPD.

1. Quem é controlador e quem é operador

Clientes e equipes (criadoras, agências, gestores, atendentes): somos controladores dos dados de cadastro, acesso e cobrança.
Fãs (usuários da Privacy que interagem com a conta): somos operadores (art. 39 da LGPD) — tratamos em nome e sob instrução da criadora/agência, que é a controladora desses dados.
Visitantes das páginas públicas: somos controladores.

Se você é fã e quer exercer direitos sobre seus dados, o canal primário é a criadora/agência com quem você se relaciona (ela é a controladora). Ainda assim, você pode nos contatar: encaminhamos seu pedido a ela e registramos o fluxo.

2. Quais dados tratamos

De clientes e equipes (somos controladores)

Cadastro: nome, e-mail, telefone, CPF/CNPJ, UF.
Acesso e segurança: logs de autenticação, IP, dispositivo, eventos de MFA e registros de aceite de termos e da autorização (versão, data/hora, IP).
Cobrança: processada por intermediadora; não guardamos número completo de cartão.
Uso: trilha de auditoria imutável (quem fez o quê, quando, em qual conta).

De fãs (somos operadores; a criadora/agência é a controladora)

Identificador do fã, nome de exibição/usuário.
Conversas com a conta da criadora — com retenção limitada do conteúdo (ver item 6).
Transações (assinaturas, compras, gorjetas): valores, datas, tipo.
Metadados de interação (datas, frequência, status de assinatura).

Transparência sobre sensibilidade: pela natureza da plataforma de origem, dados de fãs podem revelar aspectos da vida sexual e são tratados como dados sensíveis (art. 5º, II e art. 11 da LGPD), com salvaguardas reforçadas.

O que NÃO tratamos

Senha da conta Privacy: nunca é digitada, armazenada ou vista por nós — só guardamos a sessão resultante, cifrada.
Dados de menores de 18 anos: serviço e plataforma de origem são restritos a maiores.
Mídia-zero: não re-hospedamos a mídia íntima de fãs/criadora — a interface mostra metadados, não a imagem/vídeo.

3. Finalidades e bases legais

Dados de clientes (nós, controladores): prestar o serviço e cobrar (execução de contrato); segurança e trilha de auditoria (legítimo interesse + obrigação legal do art. 15 do Marco Civil); marketing próprio (consentimento, revogável).

Dados de fãs (controladora é a criadora/agência; nós, operadores): tratamos exclusivamente sob instrução documentada dela — exibir e organizar conversas e vendas, gerar métricas, permitir atendimento da equipe dela e, quando ela habilitar (pós-gate), enviar mensagens em nome dela. Não usamos dados de fãs para finalidades próprias, não vendemos, não compartilhamos entre clientes e não usamos para publicidade.

4. Com quem compartilhamos

Suboperadores contratados para viabilizar o serviço, todos com obrigações de proteção equivalentes às nossas — banco de dados (Supabase, região São Paulo / Brasil), servidores de execução e conectividade no Brasil, intermediadora de pagamento e e-mail transacional. A lista nominal atualizada de suboperadores fica disponível em página pública, e mudanças são comunicadas com aviso prévio e direito de oposição. Autoridades públicas: só mediante obrigação legal/ordem judicial. Jamais vendemos dados, compartilhamos entre clientes, treinamos modelos com dados de fã ou entregamos dados à Privacy.

5. Dados ficam no Brasil

Por desenho, o caminho primário do dado não sai do Brasil: banco em São Paulo (sa-east-1) e execução em território nacional. Transferências residuais (ex.: suporte global de fornecedor) seguem os mecanismos da Resolução CD/ANPD nº 19/2024.

6. Retenção e eliminação

Conteúdo de mensagens de fãs: 90 dias. Depois, o texto é eliminado e ficam só metadados (direção, data/hora, indicador de venda, valor). O histórico íntegro permanece na plataforma de origem.
Transações financeiras: durante o contrato + prazos legais fiscais.
Registros de acesso à aplicação: mínimo de 6 meses (art. 15 do Marco Civil).
Fã que excluiu a própria conta na Privacy: anonimização do identificador.
Ambiente encerrado: eliminação integral (incluindo o envelope de sessão cifrado) em até 30 dias após o término, salvo retenções legais.

7. Segurança

Sessão cifrada em repouso (AES-256-GCM, chave segregada do banco e dos backups).
Isolamento entre clientes por Row Level Security, com bateria de testes.
Trilha de auditoria append-only (sem update/delete, nem por administradores).
Kill-switch por conta em até 60 segundos.
Menor privilégio interno, MFA obrigatória para gestão, revogação no mesmo dia.

Limite honesto: nenhum sistema é invulnerável. Em incidente com risco relevante, atuamos com contenção, registro e comunicação (item 9).

8. Seus direitos (art. 18 da LGPD)

Confirmação, acesso, correção, anonimização/eliminação, portabilidade, informação sobre compartilhamentos, revogação de consentimento e oposição. Canal: e-mail do Encarregado ([e-mail a informar]) ou funções na própria plataforma (clientes têm exportação e exclusão self-service). Reclamações também podem ir à ANPD (gov.br/anpd).

9. Incidentes de segurança

Plano de resposta com contenção imediata (kill-switch), investigação, registro por 5 anos e comunicação à ANPD e aos titulares quando houver risco relevante, e às criadoras/agências controladoras afetadas em prazo que lhes permita cumprir as próprias obrigações.

v1 — 2026-06-16 · Minuta sujeita a revisão por advogado(a). Em caso de dúvida, fale com a gente pelo e-mail de contato. Este texto pode ser atualizado; mudanças relevantes são comunicadas com antecedência e, quando a lei exigir, exigem novo aceite.