Política de Privacidade

O controlador dos dados pessoais tratados nesta Política é Pacheco Codes LTDA (CNPJ: 61.993.679/0001-51), com sede em Av. Bandeirantes, 354, Sala 1 - Primavera - Guarapuava/PR - CEP 85050-000, operador da plataforma de marketplace de prompts disponível em archprompts.com.br.

Coletamos as seguintes categorias de dados pessoais (art. 5°, I, LGPD):

2.1 Dados fornecidos diretamente pelo Usuário

• Cadastro de conta: nome completo ou nome de exibição, endereço de e-mail e senha (armazenada com hash argon2id — jamais em texto claro).
• Perfil de vendedor: nome de usuário (username), biografia e informações de conta Stripe Connect.
• Dados fiscais (emissão de NFS-e): CPF ou CNPJ, nome/razão social e endereço de cobrança (logradouro, número, complemento, bairro, CEP), informados pelo comprador para emissão da Nota Fiscal de Serviço eletrônica obrigatória.
• Conteúdo publicado: prompts, descrições, prévias, exemplos de uso e tags.
• Avaliações: texto de avaliações e notas atribuídas a prompts.
• Comunicações: mensagens enviadas para nossa equipe de suporte.

2.2 Dados coletados automaticamente

• Dados de uso: páginas acessadas, prompts visualizados, buscas realizadas, tempo de sessão.
• Dados técnicos: endereço IP, tipo de navegador, sistema operacional, idioma preferido e fuso horário.
• Dados de transação: histórico de compras e vendas, datas e valores (sem dados de cartão — processados diretamente pela Stripe).
• Cookies e tecnologias similares: conforme descrito na Seção 9.

2.3 Dados recebidos de terceiros

• Autenticação social (Google/GitHub): quando o Usuário opta por entrar com conta de terceiros, recebemos nome, e-mail e avatar fornecidos pelo provedor de identidade.
• Stripe: recebemos confirmações de pagamento e identificadores de transação; não armazenamos nem acessamos dados de cartão de crédito.

Dados sensíveis: não coletamos intencionalmente dados pessoais sensíveis (art. 5°, II, LGPD), tais como dados de saúde, biométricos, religiosos ou de orientação sexual. Caso o Usuário os forneça voluntariamente em conteúdo publicado na Plataforma, o ArchPrompts tomará medidas para remover esses dados quando identificados. O Usuário que publicar dados sensíveis de terceiros assume integral responsabilidade por isso.

Tratamos seus dados para as seguintes finalidades, com as respectivas bases legais previstas no art. 7° da LGPD. Quando a base legal é o legítimo interesse (inc. IX), garantimos que o interesse é legítimo, necessário e não prevalece injustificadamente sobre os interesses ou direitos fundamentais do titular:

Seus dados podem ser compartilhados com os seguintes operadores e terceiros, todos sujeitos a obrigações contratuais de proteção de dados:

• Stripe, Inc. (EUA): processamento de pagamentos e gestão de contas Stripe Connect dos Vendedores. A Stripe atua como operadora independente dos dados de pagamento e possui certificação PCI-DSS.
• Resend (EUA): envio de e-mails transacionais (confirmação de compra, notificação de venda ao vendedor e redefinição de senha). Recebe o endereço de e-mail do destinatário e o conteúdo da mensagem.
• Prefeitura Municipal de Guarapuava/PR (via sistema IPM AtendeNet): emissão da Nota Fiscal de Serviço eletrônica (NFS-e), por obrigação fiscal. São transmitidos CPF/CNPJ, nome/razão social e endereço do comprador (tomador do serviço).
• Infraestrutura própria (self-hosted): banco de dados (PostgreSQL), cache/filas (Redis), armazenamento de arquivos e execução da Plataforma são operados em servidores sob controle direto do Controlador.
• Google LLC / GitHub, Inc. (EUA): provedores de autenticação social, quando o Usuário opta pelo login via Google ou GitHub.
• Autoridades públicas: quando exigido por lei, ordem judicial ou para proteção de direitos do ArchPrompts ou de terceiros (art. 7°, II e VI, LGPD).

Não vendemos, alugamos nem comercializamos dados pessoais de Usuários a terceiros para fins de marketing.

Transferência internacional de dados (LGPD, art. 33; Resolução ANPD nº 19/2024): os fornecedores localizados no exterior (Stripe e Resend, nos Estados Unidos) recebem dados pessoais transferidos para fora do Brasil — país que, até a data desta Política, não possui declaração formal de nível adequado pela ANPD. A transferência é realizada com amparo em cláusulas-padrão contratuais de proteção de dados (art. 33, II, LGPD), conforme o Regulamento aprovado pela Resolução CD/ANPD nº 19, de 23 de agosto de 2024, cujas cláusulas-padrão passaram a ser de adoção obrigatória após o término do período de adequação, em 23 de agosto de 2025. Cada fornecedor possui Data Processing Agreement (DPA) vigente que formaliza esse compromisso. O compartilhamento com a Prefeitura de Guarapuava/PR (NFS-e) ocorre dentro do território nacional.

Mantemos seus dados pelo período necessário para as finalidades descritas nesta Política:

• Dados de conta ativa: enquanto a conta estiver ativa ou conforme necessário para a prestação dos serviços.
• Dados de transação: mínimo de 5 (cinco) anos, conforme exigências fiscais e contábeis (Lei nº 9.430/96 e Código Tributário Nacional, art. 195).
• Documentos fiscais (NFS-e): as notas fiscais de serviço emitidas — incluindo CPF/CNPJ, nome e endereço do tomador — são guardadas pelo prazo legal de documentos fiscais (mínimo 5 anos; CTN, arts. 173 e 174). Essa obrigação legal prevalece sobre pedidos de eliminação (art. 16, I, LGPD): mesmo após a exclusão da conta, esses dados são conservados até o fim do prazo fiscal e então eliminados.
• Logs de acesso: mínimo de 6 (seis) meses, conforme art. 15 do Marco Civil da Internet (Lei nº 12.965/2014).
• Dados sujeitos a disputa judicial ou administrativa: pelo prazo prescricional aplicável (até 5 anos, conforme art. 27 do CDC e art. 206 do Código Civil).
• Dados tratados com base no consentimento: até a revogação do consentimento pelo titular.

Após o término do período de retenção, os dados são excluídos de forma segura ou anonimizados de modo irreversível, não podendo mais ser associados ao Usuário.

Como titular de dados pessoais, você possui os seguintes direitos, que podem ser exercidos gratuitamente a qualquer momento:

• Confirmação e acesso (art. 18, I e II): confirmar a existência de tratamento e acessar os dados que mantemos sobre você, inclusive por meio de declaração clara e completa.
• Correção (art. 18, III): solicitar a correção de dados incompletos, inexatos ou desatualizados.
• Anonimização, bloqueio ou eliminação (art. 18, IV): de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
• Portabilidade (art. 18, V): solicitar a portabilidade dos seus dados a outro fornecedor de serviço ou produto, mediante requisição expressa, observados os segredos comerciais e industriais e conforme regulamentação da ANPD (art. 18, §3°).
• Eliminação dos dados tratados com consentimento (art. 18, VI): solicitar a exclusão dos dados cujo tratamento é baseado no seu consentimento, ressalvadas as hipóteses de conservação legalmente previstas (art. 16, LGPD).
• Informação sobre compartilhamento (art. 18, VII): obter informações sobre as entidades públicas e privadas com as quais realizamos compartilhamento de dados.
• Informação sobre recusa de consentimento (art. 18, VIII): ser informado sobre a possibilidade de não fornecer consentimento e sobre as consequências dessa recusa.
• Revogação do consentimento (art. 18, IX e art. 8°, §5°): revogar o consentimento dado a qualquer momento, de forma gratuita e por manifestação expressa. A revogação não afeta a licitude do tratamento realizado antes dela.
• Oposição (art. 18, §2°): opor-se ao tratamento realizado com fundamento em outras hipóteses legais (legítimo interesse, por exemplo), em caso de descumprimento da LGPD.
• Reclamação à ANPD (art. 18, §1°): peticionar em relação aos seus dados perante a Autoridade Nacional de Proteção de Dados (ANPD), disponível em https://www.gov.br/anpd.
• Revisão de decisões automatizadas (art. 20): solicitar revisão, por pessoa natural, de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluindo decisões destinadas a definir perfil pessoal, profissional, de consumo ou de crédito.

Adotamos medidas técnicas e organizacionais adequadas para proteger seus dados pessoais contra acesso não autorizado, alteração, divulgação ou destruição acidental ou ilícita:

• Criptografia de senhas com hash argon2id (salt individualizado);
• Comunicações protegidas por TLS 1.2/1.3 (HTTPS);
• Isolamento de rede: banco de dados, cache/filas (Redis) e armazenamento não são expostos à internet pública — apenas o proxy reverso recebe tráfego externo;
• Cache e filas de processamento protegidos por autenticação; dados pessoais nas filas são minimizados e removidos após a conclusão do processamento;
• Identificadores pessoais (e-mail/IP) usados em controles de segurança (limitação de tentativas) são armazenados de forma irreversível (hash);
• Backups periódicos do banco de dados, com retenção controlada;
• Controle de acesso baseado em funções (RBAC) aplicado na camada de aplicação;
• Autenticação por sessões JWT assinadas e tokens de redefinição de senha de uso único;
• Dados de pagamento processados por provedor certificado PCI-DSS (Stripe);
• Controle de acesso administrativo com princípio do menor privilégio;
• Monitoramento contínuo de atividades suspeitas.

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos Usuários, o ArchPrompts comunicará a ocorrência à ANPD e aos titulares afetados em prazo razoável, conforme art. 48 da LGPD e regulamentação da ANPD vigente.

A Plataforma não é direcionada a pessoas menores de 18 (dezoito) anos.

Nos termos do art. 14 da LGPD, o tratamento de dados pessoais de crianças (menores de 12 anos) somente pode ser realizado com consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.

Para adolescentes (12 a 17 anos), o tratamento deve ser realizado no melhor interesse do menor. Caso tomemos conhecimento de que coletamos dados de um menor sem o consentimento de seus responsáveis legais, excluiremos tais dados imediatamente.

Se você acredita que coletamos dados de um menor, entre em contato imediatamente pelo e-mail contact@arch-prompts.com.

Utilizamos cookies e tecnologias similares (localStorage, sessionStorage) para o funcionamento e melhoria da Plataforma. Os cookies são classificados em:

• Cookies essenciais (estritamente necessários): indispensáveis para o funcionamento da Plataforma — manutenção de sessão autenticada, preferências de idioma e tema. Não requerem consentimento e não podem ser desabilitados sem impactar funcionalidades básicas.
• Cookies de funcionalidade: armazenam preferências do Usuário (ex.: idioma, tema claro/escuro, estado do carrinho). Base legal: legítimo interesse ou consentimento, conforme a preferência do Usuário.
• Cookies analíticos/de desempenho: coletam informações sobre como os Usuários interagem com a Plataforma para fins de melhoria. Ativados apenas mediante consentimento prévio e expresso pelo titular (opt-in via banner de cookies).

O Usuário pode gerenciar os cookies pelo painel de preferências da Plataforma ou pelas configurações do navegador. A recusa de cookies não essenciais não compromete o acesso às funcionalidades principais.

A Plataforma pode conter links para sites ou serviços de terceiros (ex.: provedores de IA referenciados nos prompts). Esta Política não se aplica a tais sites. Recomendamos que o Usuário leia as políticas de privacidade de quaisquer serviços de terceiros que acessar.

O art. 41 da LGPD exige a designação de um Encarregado pelo Tratamento de Dados (DPO). A Resolução CD/ANPD nº 2/2022 e a Resolução CD/ANPD nº 18/2024 permitem que agentes de tratamento de pequeno porte — como microempresas e empresas de pequeno porte enquadradas na Lei Complementar nº 123/2006 — sejam dispensados da nomeação formal de um DPO, desde que disponibilizem um canal de comunicação efetivo com os titulares de dados.

A Pacheco Codes LTDA (CNPJ: 61.993.679/0001-51), enquadrada como empresa de pequeno porte, opta por indicar voluntariamente um responsável pelo tratamento de dados (boas práticas — Resolução ANPD 18/2024, considerando 8°) e disponibiliza o seguinte canal oficial de comunicação com titulares, que concentra todas as funções previstas no art. 41, §2°, da LGPD:

• Aceitar reclamações e comunicações dos titulares de dados;
• Prestar esclarecimentos sobre o tratamento de dados pessoais;
• Orientar os colaboradores sobre boas práticas de proteção de dados;
• Servir como canal de relacionamento com a ANPD.

O ArchPrompts pode atualizar esta Política para refletir mudanças em práticas de tratamento de dados ou em exigências legais. A data da última atualização é indicada no topo desta página.

Em caso de alterações materiais que afetem os direitos dos Usuários, notificaremos por e-mail ou aviso em destaque na Plataforma com antecedência mínima de 15 (quinze) dias, salvo quando a mudança for determinada por lei com vigência imediata.

Quando as alterações exigirem novo consentimento (ex.: nova finalidade de tratamento), solicitaremos o consentimento atualizado ao Usuário antes de iniciar o novo tratamento.

Para questões relacionadas a esta Política, exercício de direitos como titular de dados ou para qualquer dúvida sobre privacidade:

Caso não obtenha resposta satisfatória em até 15 dias, você tem o direito de peticionar à Autoridade Nacional de Proteção de Dados (ANPD):

Se você reside no Espaço Econômico Europeu (EEE) ou no Reino Unido, o Regulamento Geral de Proteção de Dados (GDPR — Reg. UE 2016/679) e, quando aplicável, o UK GDPR conferem a você direitos e proteções adicionais. Esta seção complementa as disposições desta Política com as exigências específicas do GDPR.

14.1 Bases Legais de Tratamento (GDPR, art. 6°)

14.2 Seus Direitos (GDPR, arts. 15–22)

Além dos direitos da Seção 6, residentes do EEE têm os seguintes direitos reforçados pelo GDPR:

• Acesso (art. 15): solicitar cópia estruturada dos dados pessoais que mantemos.
• Retificação (art. 16): corrigir dados inexatos ou incompletos.
• Apagamento / "direito ao esquecimento" (art. 17): excluir dados quando não mais necessários, quando o consentimento for revogado ou em caso de tratamento ilícito.
• Limitação do tratamento (art. 18): suspender o tratamento enquanto uma contestação é analisada.
• Portabilidade (art. 20): receber seus dados em formato estruturado e legível por máquina (JSON/CSV).
• Oposição (art. 21): opor-se ao tratamento baseado em interesses legítimos, inclusive para marketing direto.
• Não sujeição a decisões automatizadas (art. 22): não ser submetido a decisões com efeitos jurídicos significativos baseadas exclusivamente em tratamento automatizado.

Solicitações de residentes do EEE serão respondidas em até 30 (trinta) dias corridos (GDPR, art. 12, §3°), prorrogáveis por mais 60 dias em casos complexos, mediante aviso.

14.3 Transferência Internacional de Dados do EEE

Os dados pessoais de residentes do EEE são transferidos para o Brasil (sede do controlador) e para os EUA (Stripe e Resend). O Brasil não possui decisão de adequação da Comissão Europeia até a data desta Política. As transferências são realizadas com amparo em Cláusulas Contratuais Padrão (Standard Contractual Clauses — SCCs) adotadas pela Comissão Europeia (Decisão 2021/914), nos termos do art. 46°, 2, c, do GDPR. Cada fornecedor possui DPA (Data Processing Agreement) vigente.

14.4 Autoridade Supervisora Europeia

Residentes do EEE têm o direito de apresentar reclamação à autoridade de proteção de dados do seu país de residência. Lista completa em: edpb.europa.eu. Residentes do Reino Unido podem contatar o Information Commissioner's Office (ICO).

Para residentes do Canadá, aplicam-se a Personal Information Protection and Electronic Documents Act (PIPEDA — S.C. 2000, c. 5) e, para residentes do Québec, a Lei Relativa à Proteção de Informações Pessoais no Setor Privado (Lei 25 do Québec — LRQ, c. P-39.1, conforme alterada pelo Projet de loi 64/2021).

15.1 Seus Direitos (PIPEDA, Princípio 9; Lei 25 do Québec)

• Acesso: solicitar acesso às suas informações pessoais e saber como são usadas e divulgadas.
• Correção: corrigir informações pessoais inexatas.
• Retirada do consentimento: retirar o consentimento, sujeito a restrições legais ou contratuais e aviso razoável.
• Portabilidade (Lei 25 do Québec): solicitar a transmissão de informações pessoais em formato tecnologicamente estruturado.
• Reclamação: Office of the Privacy Commissioner of Canada (priv.gc.ca) ou, para residentes do Québec, Commission d'accès à l'information (cai.gouv.qc.ca).

15.2 Transferências Transfronteiriças (Lei 25 do Québec, art. 3.3)

Para transferências de dados de residentes do Québec a países sem nível de proteção equivalente (EUA e Brasil), realizamos avaliações de impacto à privacidade (PIAs) e implementamos cláusulas contratuais de proteção compatíveis com os requisitos da Lei 25.

A California Consumer Privacy Act (CCPA — Cal. Civ. Code § 1798.100) e sua emenda, a California Privacy Rights Act (CPRA), conferem direitos adicionais aos residentes da Califórnia. Embora o ArchPrompts possa não atingir os limites de aplicabilidade obrigatória do CCPA/CPRA (receita bruta anual abaixo de US$ 25 milhões; processamento de dados de menos de 100.000 consumidores), honramos voluntariamente seus princípios.

16.1 Não Vendemos seus Dados

O ArchPrompts não vende, aluga nem compartilha dados pessoais para fins de publicidade comportamental cruzada. O link "Não Venda Meus Dados" exigido pelo CCPA para empresas que realizam tais práticas não se aplica ao ArchPrompts.

16.2 Direitos dos Residentes da Califórnia (§ 1798.100 et seq.)

• Direito de saber (§ 1798.110): solicitar informações sobre categorias de dados coletados, finalidades de uso e terceiros com quem compartilhamos.
• Direito de excluir (§ 1798.105): solicitar a exclusão dos dados pessoais que mantemos, sujeito a exceções legais.
• Direito de corrigir (§ 1798.106): corrigir dados pessoais inexatos.
• Direito de não-discriminação (§ 1798.125): não seremos discriminatórios por exercer seus direitos CCPA.

Para exercer direitos CCPA/CPRA, envie solicitação verificável para contact@arch-prompts.com. Resposta em até 45 dias corridos, prorrogável por mais 45 dias mediante aviso (§ 1798.130).

16.3 Outros Estados dos EUA

Residentes de outros estados com leis estaduais de privacidade (Virginia, Colorado, Connecticut, Texas, Utah, entre outros) têm direitos equivalentes de acesso, correção, exclusão, portabilidade e oposição. Entre em contato pelo e-mail indicado nesta Política para exercer quaisquer desses direitos.