Política de Privacidade
Última atualização: 5 de abril de 2026
1. Quem somos
ReputaAI é um produto da Crux9 (razão social e CNPJ a confirmar) focado em gestão de reputação online para restaurantes. Esta política descreve como tratamos dados pessoais sob a Lei 13.709/2018 (LGPD).
2. Dados que coletamos
- Cadastro: nome, email, senha (armazenada com hash bcrypt rounds 12).
- Workspace: nome do estabelecimento, slug, preferências de marca.
- Integrações: identificadores externos (Google Business Profile, iFood) e tokens OAuth criptografados em repouso.
- Reviews importados: texto e autor dos comentários deixados por clientes do estabelecimento nas plataformas conectadas.
- Telemetria: IP, user-agent e timestamp de ações sensíveis (login, exclusão, mudança de permissão) para auditoria de segurança.
3. Finalidade e base legal
- Execução de contrato (art. 7º, V): prestar o serviço contratado, autenticar usuários, sincronizar reviews, enviar respostas.
- Legítimo interesse (art. 7º, IX): auditoria de segurança, prevenção de fraude, análise de métricas agregadas para melhorar o produto.
- Cumprimento de obrigação legal (art. 7º, II): retenção de logs por prazos mínimos exigidos pelo Marco Civil da Internet.
4. Compartilhamento
Compartilhamos dados apenas com processadores estritamente necessários à operação do serviço. A lista completa está em nossos termos.
- Google LLC — OAuth e sincronização de Google Business Profile
- Sentry Inc. — monitoramento de erros em produção
- Resend Inc. — entrega de emails transacionais
- Anthropic PBC / OpenRouter — geração de sugestões de resposta por IA
- Cloudflare Inc. — CDN e proteção DDoS
5. Retenção
Dados de cadastro são mantidos enquanto a conta estiver ativa e por até 30 dias após a exclusão (período de graça para recuperação). Logs de auditoria são mantidos por 365 dias. Sessions expiradas são deletadas semanalmente. Veja docs/data-retention.md para o cronograma completo.
6. Seus direitos (art. 18 LGPD)
- Confirmação da existência de tratamento
- Acesso aos dados — use o botão "Exportar meus dados" nas configurações da conta
- Correção de dados incompletos ou desatualizados
- Anonimização, bloqueio ou eliminação — botão "Excluir conta" nas configurações
- Portabilidade (formato JSON) — mesmo fluxo de exportação
- Revogação do consentimento
7. Segurança
Aplicamos criptografia em trânsito (TLS 1.2+), criptografia de tokens OAuth em repouso (AES-256-GCM), autenticação de dois fatores opcional, rate limiting por IP, e auditoria de todas as ações sensíveis. Detalhes técnicos em /.well-known/security.txt.
8. Contato do DPO
Encarregado pelo tratamento de dados (DPO): [email protected] (a configurar). Prazo de resposta conforme LGPD: até 15 dias para solicitações de titulares.
9. Alterações
Atualizações materiais a esta política serão comunicadas com 15 dias de antecedência via email cadastrado. A data de "última atualização" no topo indica quando a versão atual entrou em vigor.