Conformidade com a LGPD
Documento único de conformidade da plataforma NAIA com a Lei Geral de Proteção de Dados Pessoais (Lei 13.709/2018). Reúne política, lista de suboperadores, bases legais, transferências internacionais, direitos do titular, canal do Encarregado e materiais para due diligence jurídica de clientes corporativos.
Última atualização: 23 de abril de 2026. Versão 1.0.
1. Resumo executivo
A NAIA é plataforma de Generative Engine Optimization operada pela Imasters For Business LTDA. Para executar seus serviços, realiza tratamento de dados pessoais de clientes contratantes, de seus colaboradores autorizados e, eventualmente, de terceiros citados em respostas de modelos de IA ou em dados públicos de SERP. Este documento descreve cada uma dessas camadas de tratamento, as bases legais aplicáveis, os suboperadores contratados, os mecanismos de transferência internacional em conformidade com a Resolução CD/ANPD nº 19/2024, e os canais para exercício dos direitos do titular.
Clientes corporativos podem solicitar ao Encarregado a assinatura de Acordo de Processamento de Dados (DPA) específico, com as cláusulas-padrão contratuais da ANPD integralmente reproduzidas. A NAIA não utiliza dados de clientes corporativos para treinar modelos próprios e contrata apenas planos enterprise dos provedores de IA que garantem a mesma restrição em seus Termos.
2. Papéis e responsabilidades
Controlador dos dados da plataforma: Imasters For Business LTDA, pessoa jurídica de direito privado inscrita no CNPJ, operadora da plataforma NAIA.
Operador: a NAIA atua como operadora quando o cliente contratante insere na plataforma dados pessoais de seus próprios colaboradores, clientes ou contatos comerciais. Nesse caso, o cliente contratante é o controlador e a NAIA processa os dados sob instruções documentadas no DPA.
Suboperadores: terceiros contratados pela NAIA para prestar serviços de infraestrutura, modelos de IA, pagamento, envio de e-mail e observabilidade. Lista completa na seção 5.
3. Dados tratados
A NAIA trata as seguintes categorias de dados pessoais. Todas as coletas seguem o princípio da minimização (art. 6º, III da LGPD).
3.1. Dados de cadastro
Nome, endereço de e-mail, senha em formato hash (quando aplicável), foto de perfil, idioma preferencial, papel na plataforma, data de criação da conta e preferência de comunicação. Armazenados na tabela de usuários do banco Neon.
3.2. Dados de sessão e acesso
Token de sessão, endereço IP, user agent do navegador, data de criação, data de expiração. Usados para autenticação, prevenção a fraude e auditoria. IP é anonimizado após 90 dias.
3.3. Dados financeiros
Identificador de cliente Stripe, identificadores de pagamento e assinatura, número de inscrição fiscal (CPF ou CNPJ) utilizado para emissão de nota. Dados completos de cartão de crédito não transitam nem são armazenados pela NAIA e são processados integralmente pela Stripe, certificada PCI-DSS nível 1.
3.4. Dados do negócio analisado
Nome da marca, site, categoria, localização, logotipo, nicho detectado, políticas editoriais e contexto de conteúdo informados pelo contratante. Podem incluir, quando o próprio contratante insere, nomes de dirigentes, telefones e e-mails de contato.
3.5. Resultados de análise e conteúdo gerado
Respostas de modelos de IA sobre a marca do cliente, citações, concorrentes identificados, score GEO, recomendações, briefings e rascunhos de conteúdo. Podem conter nomes de terceiros citados publicamente pelos motores de IA.
3.6. Histórico de interação com o assistente Naia
Sessões e mensagens trocadas com o agente conversacional da plataforma. Aplicável retenção de 90 dias. Mensagens podem ser excluídas antecipadamente pelo próprio usuário.
3.7. Formulários de contato e lista de espera
Nome, e-mail, empresa, mensagem e IP. Retenção de 24 meses após a última interação.
3.8. Dados sensíveis
A NAIA não coleta intencionalmente dados pessoais sensíveis (origem racial, convicção religiosa, opinião política, dado de saúde, vida sexual, biométrico ou genético). Se o titular optar por inserir voluntariamente dado sensível em campos de texto livre, tais dados serão higienizados quando identificados e o titular notificado.
4. Bases legais
A NAIA aplica, para cada finalidade de tratamento, uma base legal específica prevista no art. 7º da LGPD.
| Finalidade | Base legal | Dispositivo |
|---|---|---|
| Criação e manutenção de conta | Execução de contrato | Art. 7º, V |
| Autenticação e segurança de sessão | Execução de contrato e legítimo interesse em segurança | Art. 7º, V e IX |
| Processamento de pagamento e emissão de nota fiscal | Execução de contrato e cumprimento de obrigação legal | Art. 7º, V e II |
| Análise de visibilidade do próprio negócio do cliente em motores de IA | Execução de contrato | Art. 7º, V |
| Análise que cita concorrentes e terceiros a partir de dados públicos (respostas de LLMs e SERPs) | Legítimo interesse, com teste de ponderação documentado | Art. 7º, IX |
| Envio de e-mails transacionais (OTP, recuperação de conta, alertas de análise) | Execução de contrato | Art. 7º, V |
| Envio de comunicação de marketing | Consentimento revogável a qualquer momento | Art. 7º, I |
| Cookies analíticos e de marketing | Consentimento no banner de cookies | Art. 7º, I |
| Logging de requisições e prevenção a fraude | Legítimo interesse em segurança da informação | Art. 7º, IX |
Para usos baseados em legítimo interesse, a NAIA mantém teste de ponderação documentado conforme o Guia Orientativo sobre Legítimo Interesse da ANPD, fevereiro de 2024. Cópia disponível mediante solicitação ao Encarregado.
5. Suboperadores
A NAIA utiliza os seguintes suboperadores. Alterações relevantes são comunicadas com antecedência mínima de 30 dias por e-mail aos clientes corporativos inscritos em canal de atualização.
| Suboperador | Finalidade | País | Base da transferência |
|---|---|---|---|
| Neon Inc. | Banco de dados Postgres (armazenamento primário de cadastro, análises, conteúdo) | Estados Unidos | Cláusulas-padrão contratuais da ANPD + DPA Neon |
| Google Cloud Platform | Execução da aplicação (Cloud Run), build (Cloud Build), registro de imagens (Artifact Registry) e CDN de assets estáticos (cdn.naia.today) | Estados Unidos (região us-central1) | Cloud Data Processing Addendum do Google + cláusulas-padrão da ANPD |
| Google Vertex AI (Gemini) | Execução de consultas de análise em modelos de IA e pós-processamento | Estados Unidos | Cloud Data Processing Addendum do Google + cláusulas-padrão da ANPD |
| Microsoft Azure OpenAI | Execução de consultas em modelos GPT | Região configurada no recurso Azure | Microsoft Product Terms + DPA + cláusulas-padrão da ANPD |
| OpenRouter | Roteamento para modelos alternativos (Claude, Perplexity, entre outros) | Estados Unidos | DPA OpenRouter + cláusulas-padrão da ANPD |
| Stripe Payments | Processamento de pagamento e gestão de assinaturas | Estados Unidos e Irlanda | Stripe DPA + cláusulas-padrão da ANPD |
| Provedor de e-mail transacional | Envio de e-mails transacionais, OTP de autenticação e notificações de análise | Estados Unidos | DPA do provedor contratado + cláusulas-padrão da ANPD |
| Sentry | Monitoramento de erros de aplicação | Estados Unidos | Sentry DPA + cláusulas-padrão da ANPD |
| Provedor externo de dados de SEO e SERP | Coleta de dados agregados de busca, SERP e menções em motores generativos. Razão social divulgada sob NDA em processos de due diligence enterprise. | União Europeia | DPA assinado com o provedor + cláusulas-padrão da ANPD (Resolução CD/ANPD 19/2024) |
| Meta (Facebook) CAPI | Atribuição publicitária server-side, quando o titular não opta por recusar cookies de marketing | Estados Unidos | Consentimento do titular via banner de cookies |
| Google OAuth | Autenticação social quando o titular escolhe login com Google | Estados Unidos | Google Workspace DPA |
6. Transferência internacional
Nos termos dos artigos 33 a 36 da LGPD e da Resolução CD/ANPD nº 19/2024, a NAIA declara que transferências internacionais de dados pessoais ocorrem apenas para países com decisão de adequação reconhecida pela ANPD, ou mediante a adoção integral e sem alteração do texto das cláusulas-padrão contratuais publicadas no Anexo II da referida Resolução, em contrato assinado entre a NAIA (exportadora) e cada suboperador (importador).
A União Europeia foi reconhecida como organismo adequado pela Resolução CD/ANPD nº 32/2026. Para suboperadores localizados fora de território adequado, a NAIA aplica cláusulas-padrão e, quando aplicável, medidas técnicas complementares como criptografia em trânsito e em repouso, pseudonimização e segregação de dados por cliente.
O período de graça para adoção das cláusulas-padrão da ANPD encerrou-se em 23 de agosto de 2025. A NAIA assinou ou está em processo de migração contratual com cada um dos suboperadores listados na seção 5 para incorporar as cláusulas-padrão.
7. Retenção e exclusão
| Categoria | Período de retenção |
|---|---|
| Dados de cadastro | Enquanto a conta estiver ativa. 30 dias após exclusão. |
| Sessão e IP | 180 dias. IP anonimizado após 90 dias. |
| Dados financeiros e fiscais | Cinco anos, por obrigação legal tributária e contábil. |
| Prompts e respostas de IA | 90 dias para auditoria, depois apagados ou anonimizados. |
| Histórico do assistente Naia | 90 dias, com exclusão sob demanda. |
| Formulário de contato | 24 meses após a última interação. |
| Links públicos de compartilhamento | Expiração padrão de 90 dias, renovável pelo criador. |
| Logs de segurança | 12 meses. |
| Registro de incidentes | Cinco anos, conforme Resolução CD/ANPD nº 15/2024. |
8. Segurança da informação
Adotamos medidas técnicas e organizacionais compatíveis com o art. 46 da LGPD.
- Criptografia em trânsito via TLS 1.3 e em repouso no banco de dados.
- Senhas armazenadas apenas como hash com algoritmo resistente a colisão.
- Segregação lógica por cliente em todas as tabelas de aplicação.
- Controle de acesso baseado em função (RBAC) para equipe interna, com princípio do menor privilégio.
- Auditoria de acesso a segredos via Google Secret Manager.
- Deploy imutável em Cloud Run com imagens assinadas no Artifact Registry.
- Monitoramento contínuo com alertas automatizados no Sentry.
- Revisão periódica de dependências e rotina de atualização de pacotes.
- Treinamento da equipe em boas práticas de proteção de dados.
9. Resposta a incidentes
A NAIA mantém processo formal de resposta a incidentes em linha com a Resolução CD/ANPD nº 15/2024. Diante de incidente de segurança que possa gerar risco ou dano relevante aos titulares, comunicará a ANPD e os titulares afetados em até três dias úteis contados do conhecimento do incidente, complementando a comunicação em até 20 dias úteis quando necessário. O registro de todos os incidentes, reportados ou não, é mantido por cinco anos.
10. Direitos do titular
Conforme o art. 18 da LGPD, o titular pode exercer, a qualquer momento, os seguintes direitos, com resposta da NAIA em até 15 dias corridos.
Confirmação e acesso
Saber se a NAIA trata seus dados pessoais e obter cópia em formato legível. Prazo de resposta: 15 dias corridos.
Correção
Solicitar correção de dados incompletos, inexatos ou desatualizados.
Anonimização, bloqueio ou eliminação
Solicitar anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
Portabilidade
Solicitar a portabilidade de seus dados a outro fornecedor, quando tecnicamente viável.
Eliminação de dados tratados por consentimento
Solicitar a exclusão de dados cujo tratamento tenha como base o consentimento, resguardadas as hipóteses legais de retenção.
Informação sobre compartilhamento
Saber com quais entidades públicas e privadas a NAIA compartilhou seus dados.
Revogação do consentimento
Revogar consentimento a qualquer momento, sem prejuízo do tratamento baseado em outras hipóteses legais.
Revisão de decisão automatizada
Solicitar revisão de decisão tomada exclusivamente com base em tratamento automatizado de dados pessoais, conforme art. 20 da LGPD.
Para exercer qualquer desses direitos, envie mensagem para privacidade@naia.today. É possível também registrar reclamação diretamente à ANPD, quando houver insatisfação com o tratamento dado pela NAIA.
11. Decisões automatizadas
A plataforma NAIA utiliza modelos de IA para gerar pontuações, recomendações e conteúdo. Nenhuma decisão com efeito jurídico ou impacto significativo sobre o titular é tomada de forma exclusivamente automatizada sem intervenção humana. Os resultados de análise são entregues como insumo informativo, sujeitos à revisão e decisão do cliente. Na forma do art. 20 da LGPD e da Nota Técnica nº 12/2025/CON1/CGN/ANPD, garantimos ao titular o direito de solicitar revisão de qualquer decisão tomada com base em tratamento automatizado por meio do canal do Encarregado.
Dados de clientes corporativos da NAIA não são utilizados para treinar modelos de IA próprios nem de terceiros. Todos os provedores listados na seção 5 operam sob planos comerciais ou enterprise que vedam contratualmente o uso de dados de input e output para treinamento.
12. Encarregado (DPO)
Em atendimento ao art. 41 da LGPD e à Resolução CD/ANPD nº 18/2024, a NAIA designou formalmente Encarregado pelo Tratamento de Dados Pessoais.
E-mail: encarregado@naia.today
Canal para titulares: privacidade@naia.today
O nome do Encarregado atualmente designado pode ser consultado mediante solicitação, conforme o item 4.1 do Guia Orientativo sobre a Atuação do Encarregado publicado pela ANPD.
13. Materiais de due diligence
Clientes corporativos podem solicitar, mediante NDA, os seguintes materiais.
- Acordo de Processamento de Dados (DPA) com cláusulas-padrão contratuais da ANPD embutidas.
- Relatório de Impacto à Proteção de Dados Pessoais (RIPD) resumido.
- Política interna de gestão de incidentes e runbook de notificação.
- Política de retenção e exclusão de dados.
- Resumo de controles de segurança e arquitetura.
- Cópia dos DPAs assinados com suboperadores estratégicos.
Solicitações via encarregado@naia.today.
14. Histórico de atualizações
- 23 de abril de 2026, v1.0: publicação inicial da Central de Privacidade e LGPD consolidada, com lista de suboperadores, bases legais, transferência internacional sob Resolução CD/ANPD nº 19/2024, canal do Encarregado e seção de decisões automatizadas.