Política de Privacidade

LUNA App — Última atualização: abril de 2026

1. Dados coletados

O LUNA coleta apenas os dados necessários para o funcionamento do serviço:

• Dados de perfil Google OAuth: nome, e-mail e foto de perfil.
• Eventos do Google Calendar (leitura/escrita) quando o usuário autoriza o escopo correspondente.
• Anotações, tarefas e histórico de conversas criados pelo usuário dentro do app.
• Áudios enviados para transcrição e imagens enviadas ao chat (armazenados em Supabase Storage com URLs privadas).

2. Uso dos dados

Os dados são utilizados exclusivamente para fornecer as funcionalidades do LUNA: assistente conversacional com IA, gerenciamento de agenda, anotações e tarefas pessoais. Não vendemos, não compartilhamos para publicidade e não usamos seus dados para treinar modelos de IA.

3. Uso de Inteligência Artificial (Terceiro)

O LUNA não possui modelo de IA próprio. Utilizamos a Google Gemini API (plano pago, tier pós-pagamento) como provedor de IA para processar mensagens, transcrever áudios, gerar respostas e executar ações no Google Calendar em seu nome.

• Provedor: Google Gemini API (mesmo projeto GCP do LUNA — nexus-app-490423).
• Tipo de processamento: transiente — conteúdo das mensagens é enviado à API, a resposta é devolvida ao usuário, e nada é persistido no lado do provedor de IA.
• Treinamento: conforme os termos da Gemini API paga, dados enviados não são usados para treinar modelos.
• Escopo: a IA só acessa dados do Google Calendar após o usuário conceder consentimento explícito via OAuth.

4. Google User Data & Limited Use

O uso das APIs Google pelo LUNA obedece à Google API Services User Data Policy, inclusive os requisitos de Limited Use:

• Dados do Google Calendar são utilizados somente para prover funcionalidades visíveis ao usuário (listar, criar, atualizar, reagendar e cancelar eventos sob sua solicitação).
• Não transferimos dados Google para terceiros, exceto quando necessário para prover a funcionalidade, conforme regulação legal, ou em caso de fusão/aquisição com consentimento explícito.
• Não usamos dados Google para publicidade, segmentação ou revenda.
• Não permitimos que humanos leiam os dados, exceto: (a) com consentimento específico do usuário; (b) para fins de segurança (ex.: investigar abuso); (c) quando exigido por lei; ou (d) de forma agregada/anonimizada para operação interna.
• Não usamos dados Google para treinar, refinar ou ajustar modelos de IA.

5. Mecanismos de Proteção de Dados Sensíveis

Aplicamos controles técnicos e organizacionais para proteger dados sensíveis (tokens OAuth, conteúdo do Calendar, mensagens do usuário):

• Criptografia em trânsito: todo tráfego entre cliente, servidor e APIs externas (Google, Gemini) usa HTTPS/TLS 1.2+ obrigatório. HSTS habilitado no domínio minha-luna.com.
• Criptografia em repouso: banco de dados Supabase (PostgreSQL) em volume criptografado no servidor; backups automáticos também criptografados.
• Tokens OAuth: refresh tokens do Google são armazenados criptografados no banco; access tokens são mantidos apenas em memória/sessão e renovados automaticamente.
• Controle de acesso: autenticação obrigatória em todas as rotas (Supabase Auth + JWT). Row-Level Security (RLS) no PostgreSQL garante que cada usuário só acessa seus próprios dados.
• Isolamento de chaves: chaves de API (Gemini, Google OAuth, Evolution, ElevenLabs, Mercado Pago) ficam em variáveis de ambiente no servidor — nunca expostas no cliente.
• Auditoria e logs: logs de acesso são mantidos para detectar abuso e são rotacionados/expurgados periodicamente.
• Segregação de ambiente: servidores de produção acessados apenas via SSH com chave, firewall restringindo portas, e sem acesso público ao banco.
• Atualizações de segurança: dependências e infraestrutura revisadas regularmente para aplicar patches de segurança.

6. Armazenamento e Retenção

• Dados de perfil, anotações e histórico permanecem armazenados enquanto a conta estiver ativa.
• O usuário pode solicitar a exclusão integral de todos os seus dados a qualquer momento pelo e-mail de contato, sem custo, com prazo de atendimento de até 30 dias.
• Tokens OAuth são revogados imediatamente ao desconectar a integração Google ou excluir a conta.
• Logs técnicos são retidos por até 90 dias para fins de diagnóstico e segurança.

7. Compartilhamento com Terceiros

Compartilhamos dados apenas com subprocessadores estritamente necessários à operação do serviço:

• Google LLC — OAuth, Calendar API e Gemini API (IA).
• ElevenLabs — síntese de voz (TTS) quando o usuário ativa respostas por áudio.
• Evolution API (Cloudfy) — gateway WhatsApp para usuários que ativam a integração.
• Mercado Pago — processamento de pagamentos (apenas para assinantes pagos).

Nenhum desses subprocessadores recebe dados Google do usuário, exceto o próprio Google.

8. Cookies

Utilizamos apenas cookies essenciais para manter a sessão autenticada. Não utilizamos cookies de rastreamento, analytics de terceiros com fingerprinting, ou publicidade.

9. Seus direitos (LGPD / GDPR)

Você tem direito de acessar, corrigir, portar ou excluir seus dados pessoais a qualquer momento, bem como revogar consentimentos previamente concedidos. Para exercer esses direitos, entre em contato pelo e-mail abaixo.

10. Revogação de Acesso Google

Você pode revogar o acesso do LUNA à sua conta Google a qualquer momento em myaccount.google.com/permissions. A revogação invalida imediatamente todos os tokens armazenados.

11. Incidentes de Segurança

Em caso de incidente de segurança que afete dados pessoais, notificaremos os usuários impactados e a ANPD (Autoridade Nacional de Proteção de Dados) no prazo legal, detalhando natureza do incidente, dados afetados e medidas mitigatórias.

12. Contato

Responsável pelo tratamento: Rafael Apolinário — Gardasz Consultoria.
Para dúvidas, solicitações de exclusão ou exercício de direitos: gardaszconsultoria@gmail.com