PT
Política de privacidade
Introdução
A Y4 Works Oy ("Suunta.ai", "nós" ou "nosso") opera a plataforma Suunta.ai, um serviço de planeamento estratégico baseado em IA para empresas. Esta Política de privacidade explica como recolhemos, utilizamos, divulgamos e protegemos as informações pessoais quando utiliza os nossos Serviços.
A Suunta.ai é um serviço business-to-business (B2B). Esta Política de privacidade aplica-se aos representantes de nossos clientes empresariais e seus Usuários autorizados.
Controlador de dados: Y4 Works Oy, Business ID: 2978296-6, Finlândia, Email: privacy@suunta.ai
1. Informações que coletamos
1.1 Informações fornecidas pelo utilizador
Informações da conta
| Dados | Obrigatório | Finalidade |
|---|---|---|
| Endereço de e-mail | Sim | Login e comunicações |
| Nome e sobrenome | Não | Personalização |
| Número de telefone | Não | Contato opcional |
| Senha | Sim* | Autenticação |
| Foto de perfil | Não | Personalização |
| Preferência de idioma | Sim (padrão: finlandês) | Localização |
| Fuso horário | Sim (padrão: Europa/Helsinque) | Exibição de horário |
| Detalhes adicionais do perfil | Não | Personalização |
Usuários SSO autenticam via Google ou Microsoft e não têm senha Suunta.ai.
Informações da organização
| Dados | Obrigatório | Finalidade |
|---|---|---|
| Nome da organização | Sim | Identificação da conta |
| País | Sim (padrão: Finlândia) | Localização, conformidade |
| Cidade | Não | Localização |
| Setor | Não | Personalização do serviço |
| Tamanho da organização | Não | Personalização do serviço |
| Website | Não | Perfil da organização |
| Logotipo | Não | Branding |
| Detalhes do perfil da organização | Não | Personalização do serviço |
Dados empresariais
- Documentos e planos estratégicos
- OKRs (Objetivos e Resultados-Chave)
- KPIs (Indicadores-Chave de Desempenho) e métricas
- Projetos e tarefas
- Documentos para análise de IA (fontes RAG)
- Conversas de chat com nosso assistente de IA
- Outros dados empresariais enviados pelo utilizador
Esses dados empresariais são processados para fornecer nossos Serviços.
1.2 Informações coletadas automaticamente
Dados técnicos
| Dados | Finalidade | Retenção |
|---|---|---|
| Endereço IP | Segurança, prevenção de fraude | Sobrescrito em novo login |
| User agent (navegador/dispositivo) | Segurança, gestão de sessão | Duração da sessão |
| Carimbos de data/hora de login | Auditoria de segurança | Sobrescrito |
| Dados de sessão | Estado de autenticação | 14-30 dias |
| Tentativas de login falhadas | Proteção contra força bruta | Redefinido após login bem-sucedido |
Dados de uso
| Dados | Finalidade | Retenção |
|---|---|---|
| Uso de recursos de IA (tokens, modelo, latência) | Faturamento, analytics | 365 dias |
| Logs de atividade (ações realizadas) | Trilha de auditoria | 12-36 meses |
Importante: NÃO armazenamos seus prompts de IA nem respostas geradas por IA. Apenas metadados sobre uso de IA (como contagem de tokens e tempos de resposta) são registrados.
1.3 Informações de terceiros
Single Sign-On (SSO) Se iniciar sessão via Google ou Microsoft, recebemos o nome, e-mail e foto de perfil do fornecedor SSO.
Informações de pagamento Usamos a Stripe para processamento de pagamentos. A Stripe coleta e processa diretamente informações do cartão. Recebemos apenas seu Stripe Customer ID e status da assinatura — nunca os dados do cartão.
Integrações Se ligar serviços de terceiros (Slack, Google Workspace, etc.), recebemos os dados necessários para a integração conforme configurado pelo utilizador.
2. Como usamos suas informações
| Finalidade | Base legal (GDPR) |
|---|---|
| Prestação dos Serviços (gestão de contas, recursos de IA, armazenamento de dados) | Execução de contrato (Artigo 6(1)(b)) |
| Processamento de pagamentos e gestão de assinaturas | Execução de contrato |
| Envio de e-mails transacionais (códigos OTP, notificações) | Execução de contrato |
| Garantir segurança e prevenir fraude | Interesse legítimo (Artigo 6(1)(f)) |
| Manter logs de auditoria para conformidade | Interesse legítimo / Obrigação legal |
| Melhorar os Serviços (analytics agregados) | Interesse legítimo |
| Responder a solicitações de suporte | Execução de contrato |
| Cumprir obrigações legais | Obrigação legal (Artigo 6(1)(c)) |
NÃO fazemos:
- Vender suas informações pessoais
- Usar seus dados para publicidade
- Compartilhar seus dados com corretores de dados
- Usar seus dados empresariais para treinar modelos de IA (sem consentimento explícito)
3. Processamento de dados de IA
3.1 Como funcionam os recursos de IA
- Seus prompts e contexto são enviados aos nossos provedores de IA (Anthropic, OpenAI, Google, Mistral)
- O provedor de IA processa sua solicitação e retorna uma resposta
- A resposta é apresentada ao utilizador
- Registramos apenas metadados (tokens usados, tempo de processamento, custo)
3.2 O que armazenamos
| Armazenado | Não armazenado |
|---|---|
| Histórico de conversas de chat (para continuidade) | Prompts de IA enviados aos provedores |
| Metadados de uso de IA (tokens, latência, custo) | Respostas dos provedores de IA |
| Embeddings de documentos (para busca) | Texto original do documento após indexação |
3.3 Tratamento de dados pelos provedores de IA
- OpenAI: flag store=False para desativar armazenamento
- Anthropic: API padrão sem treinamento em entradas
- Google Vertex AI: região UE quando disponível
- Mistral: provedor baseado na UE
Não permitimos que nossos provedores de IA usem seus dados para treinamento de modelos.
3.4 RAG (Análise de documentos)
- O texto é extraído do documento
- O texto é convertido em embeddings vetoriais
- O texto original é removido em 24 horas
- Embeddings e trechos de texto são retidos para funcionalidade de busca
- Excluir uma fonte remove todos os dados associados
4. Compartilhamento de informações
4.1 Prestadores de serviço (Subcontratantes)
| Fornecedor | Finalidade | Localização |
|---|---|---|
| AWS | Hospedagem de infraestrutura | UE (Estocolmo) |
| Anthropic | Processamento de IA | EUA |
| OpenAI | Processamento de IA | EUA |
| Processamento de IA | UE/EUA | |
| Mistral | Processamento de IA | UE (França) |
| Stripe | Processamento de pagamentos | EUA/UE |
| Resend | Entrega de e-mails | UE |
Para a lista completa, consulte nossa Lista de subcontratantes em https://suunta.ai/legal/subprocessors.
4.2 Integrações iniciadas pelo Cliente
- Slack: mensagens, notificações conforme configurado
- Google Workspace: eventos de calendário, dados de planilhas conforme configurado
- Zapier/Make: payloads de webhooks conforme configurado
O utilizador controla quais integrações estão ativadas e quais dados são partilhados.
4.3 Requisitos legais
- Para cumprir leis aplicáveis ou processos legais
- Para responder a solicitações legais de autoridades públicas
- Para proteger nossos direitos, privacidade, segurança ou propriedade
- Em conexão com fusão, aquisição ou venda de ativos
4.4 Com seu consentimento
Podemos partilhar informações com terceiros quando tenha sido dado consentimento explícito.
5. Transferências internacionais
5.1 Onde processamos dados. O processamento principal ocorre na UE (AWS Estocolmo, eu-north-1). O processamento de IA pode ocorrer nos EUA por meio de provedores de IA.
5.2 Salvaguardas de transferência. Para transferências fora do EEE, usamos as Standard Contractual Clauses (SCCs) aprovadas pela Comissão Europeia, medidas suplementares como criptografia e controles de acesso, e certificações de provedores (por exemplo, SOC 2, ISO 27001).
6. Retenção de dados
6.1 Períodos de retenção
| Tipo de dado | Período de retenção |
|---|---|
| Contas de usuários ativas | Duração do uso |
| Contas de usuários excluídas | Anonimizadas imediatamente |
| Dados da organização | Até exclusão da organização + 90 dias (backups) |
| Metadados de uso de IA | 365 dias |
| Logs de auditoria (padrão) | 24 meses |
| Logs de auditoria (críticos) | 36 meses |
| Registros de faturamento | 6 anos (lei finlandesa) |
| Backups | 30 dias |
6.2 Exclusão de conta
- Suas informações pessoais são anonimizadas
- Seu e-mail é substituído por um placeholder
- Suas associações à organização são removidas
- Suas sessões são revogadas
- Logs de auditoria são retidos para conformidade (com ID do ator anonimizado)
6.3 Exclusão da organização
- Período de carência de 30 dias (cancelável)
- Todos os dados da organização são excluídos permanentemente
- Contas de usuário permanecem, mas perdem acesso à organização
- É criado um registro de auditoria de conformidade imutável
7. Seus direitos
Nos termos do RGPD, o utilizador tem os seguintes direitos e pode exercê-los nas Definições ou contactando privacy@suunta.ai:
- Direito de acesso (Artigo 15): Configurações → Exportar dados
- Direito de retificação (Artigo 16): Configurações → Perfil
- Direito de apagamento (Artigo 17): Configurações → Excluir conta / Excluir organização
- Direito de restrição (Artigo 18): Email privacy@suunta.ai
- Direito à portabilidade de dados (Artigo 20): Configurações → Exportar dados
- Direito de objeção (Artigo 21): Email privacy@suunta.ai
- Direito de retirar o consentimento: Configurações → Preferências de marketing
O utilizador tem igualmente o direito de apresentar reclamação a uma autoridade de controlo. Em Portugal, esta é:
CNPD
Av. D. Carlos I, 134, 1200-651 Lisboa
geral@cnpd.pt
8. Cookies e tecnologias semelhantes
8.1 Cookies que usamos
| Cookie | Tipo | Finalidade | Duração |
|---|---|---|---|
| session | Essencial | Autenticação | 14-30 dias |
8.2 O que não usamos
- Google Analytics
- Facebook Pixel
- Cookies de marketing
- Cookies de rastreamento de terceiros
8.3 Local storage
| Chave | Finalidade |
|---|---|
| sidebarCollapsed | Preferência de UI |
| theme | Tema de exibição |
| userTimezone | Exibição de horário |
8.4 Scripts de terceiros
- Stripe (js.stripe.com): processamento de pagamentos
- Google Fonts: tipografia
- Font Awesome: ícones
Esses serviços podem definir seus próprios cookies. Consulte suas respectivas políticas de privacidade.
9. Segurança
9.1 Medidas técnicas
- Criptografia: TLS 1.2+ em trânsito, AES-256 em repouso
- Segurança de senha: hashing PBKDF2-SHA256
- Segurança de sessão: cookies HttpOnly, Secure, SameSite
- Controle de acesso: baseado em função, isolamento por organização
9.2 Medidas organizacionais
- Obrigações de confidencialidade para o pessoal
- Treinamento de conscientização em segurança
- Procedimentos de resposta a incidentes
- Avaliações de segurança regulares
9.3 Suas responsabilidades
- Mantenha sua senha segura
- Use uma senha forte e única
- Relate atividades suspeitas imediatamente
- Saia da conta em dispositivos compartilhados
10. Privacidade de crianças
A Suunta.ai é um serviço B2B destinado a profissionais. Os Serviços não são direcionados a menores de 18 anos. Não coletamos conscientemente informações pessoais de crianças.
11. Alterações nesta política
Podemos atualizar esta Política de privacidade periodicamente. Será notificado sobre alterações materiais por e-mail, com pelo menos 30 dias de antecedência, e com aviso destacado no nosso site. A utilização contínua dos Serviços após tais alterações constitui aceitação.
12. Contato
Para questões relacionadas à privacidade ou para exercer seus direitos: Y4 Works Oy (Suunta.ai), Email: privacy@suunta.ai. Para dúvidas gerais: team@suunta.ai.
13. Informações adicionais para usuários do EEE
13.1 Resumo da base legal
| Atividade de processamento | Base legal |
|---|---|
| Gestão de conta | Contrato |
| Prestação do serviço | Contrato |
| Processamento de pagamentos | Contrato |
| E-mails transacionais | Contrato |
| Medidas de segurança | Interesse legítimo |
| Registro de auditoria | Interesse legítimo / Obrigação legal |
| Marketing (se opt-in) | Consentimento |
13.2 Encarregado de proteção de dados
Como uma pequena empresa, não nomeamos um DPO formal. Para questões de proteção de dados, contate: privacy@suunta.ai.
13.3 Tomada de decisão automatizada
Não tomamos decisões automatizadas que produzam efeitos legais ou igualmente significativos. Os recursos de IA fornecem recomendações e análises, mas as decisões finais são tomadas pelo utilizador.