Política de Privacidade
Última atualização: 11 de dezembro de 2025
Versão: 1.0
Resumo Executivo
A XTUDE coleta dados pessoais para fornecer serviços educacionais, processar pagamentos e personalizar sua experiência de aprendizado. Seus dados são protegidos conforme a Lei Geral de Proteção de Dados (LGPD) e você tem direitos garantidos sobre suas informações pessoais.
1. Informações Gerais
1.1 Controlador de Dados
Website: xtude.com.br
Email: contato@xtude.com.br
1.2 Encarregado de Proteção de Dados (DPO)
Para exercer seus direitos ou esclarecer dúvidas sobre tratamento de dados pessoais, entre em contato com nosso Encarregado através do email: contato@xtude.com.br
1.3 Aplicabilidade
Esta política se aplica a todos os usuários da plataforma XTUDE, incluindo os domínios xtude.com.br e xtude.ai, aplicativos móveis e serviços relacionados.
2. Dados Pessoais Coletados
2.1 Dados de Identificação
| Dado Coletado | Obrigatório | Finalidade | Base Legal |
|---|---|---|---|
| Nome completo | Sim | Identificação, personalização | Execução de contrato |
| Sim | Login, comunicações, segurança | Execução de contrato | |
| Telefone | Não | Verificação, suporte | Consentimento |
| CPF | Não | Emissão de notas fiscais | Obrigação legal |
| Senha criptografada | Sim* | Autenticação e segurança | Execução de contrato |
*Não obrigatório para login social (Google)
2.2 Dados de Login Social (Google)
Quando você utiliza o login do Google, coletamos:
- Nome e sobrenome da sua conta Google
- Endereço de email verificado
- ID único do Google (não sensível)
- URL da foto de perfil (opcional)
Base legal: Consentimento explícito através do OAuth do Google
2.3 Dados de Uso da Plataforma
| Categoria | Dados Coletados | Base Legal |
|---|---|---|
| IA Assistente | Conversas, mensagens, arquivos enviados, flashcards gerados | Execução de contrato |
| Sistema de Créditos | Saldo, transações, histórico de uso | Execução de contrato |
| Perfil Educacional | Área de estudo, nível educacional, objetivos | Consentimento |
| Downloads | Histórico de downloads, tempo de acesso | Legítimo interesse |
2.4 Dados de Pagamento
Importante: Não armazenamos dados completos de cartão de crédito.
Os pagamentos são processados por parceiros certificados (MercadoPago e Stripe). Coletamos apenas:
- Últimos 4 dígitos do cartão (para identificação)
- IDs das transações dos processadores
- Status dos pagamentos e assinaturas
- Histórico de faturas e cobranças
2.5 Dados Técnicos e de Navegação
Cookies Essenciais
customerAccessToken- Token de autenticação (httpOnly)csrf-token- Proteção contra CSRF (httpOnly)admin_session- Sessão administrativa (httpOnly)
Dados de Navegação
- Endereço IP (anonimizado após 90 dias)
- User-agent do navegador
- Páginas acessadas e tempo de permanência
- Referrer (página de origem)
3. Cookies e Tecnologias de Rastreamento
📌 Resumo de Cookies
A XTUDE utiliza cookies funcionais (sempre ativos) e opcionais (requerem consentimento). Cookies funcionais são essenciais para o funcionamento do site, incluindo carrinho de compras e atribuição de comissões a parceiros.
3.1 Cookies Funcionais (Sempre Ativos)
| Cookie | Finalidade | Duração | Base Legal |
|---|---|---|---|
cartId | Manter produtos no carrinho de compras | 7 dias | Execução de contrato (LGPD Art. 7º, V) |
xtude_ref | Atribuir comissões a parceiros afiliados que indicaram o cliente | 30 dias | Legítimo interesse comercial (LGPD Art. 7º, IX) |
csrf-token | Proteção contra ataques CSRF | 4 horas | Proteção de dados (LGPD Art. 46) |
⚠️ Cookies funcionais não podem ser desativados pois são essenciais para o funcionamento do site e do programa de parceiros. A desativação impediria o uso do carrinho de compras e a correta atribuição de comissões.
3.2 Cookies de Analytics (Opcionais - Requerem Consentimento)
| Cookie | Finalidade | Duração | Consentimento |
|---|---|---|---|
_ga | Google Analytics - análise de uso do site | 2 anos | Obrigatório |
_gid | Google Analytics - sessões de usuário | 24 horas | Obrigatório |
3.3 Base Legal para Cookies Funcionais
Cookie de Carrinho (cartId): Baseado no Art. 7º, V da LGPD (execução de contrato). Sem este cookie, não seria possível processar pedidos.
Cookie de Afiliados (xtude_ref): Baseado no Art. 7º, IX da LGPD (legítimo interesse do controlador). Este cookie permite que a XTUDE:
- Atribua corretamente comissões a parceiros que indicaram clientes
- Mantenha um programa de parceiros justo e transparente
- Cumpra obrigações contratuais com afiliados
- Realize auditorias de vendas e comissões
O uso deste cookie é considerado legítimo interesse pois:
- É necessário para operação do programa de parceiros
- Não interfere na navegação ou privacidade do usuário
- Permite cumprimento de obrigações contratuais com terceiros
- É proporcional e minimizado ao necessário (30 dias)
4. Finalidades do Tratamento
3.1 Finalidades Primárias
- Prestação de Serviços: Fornecer acesso aos materiais educacionais e IA assistente
- Personalização: Adaptar conteúdo e recomendações ao seu perfil de estudo
- Processamento de Pagamentos: Gerenciar compras, assinaturas e reembolsos
- Comunicação: Enviar notificações importantes sobre sua conta e serviços
- Suporte ao Cliente: Fornecer assistência técnica e responder dúvidas
3.2 Finalidades Secundárias
- Segurança: Detectar fraudes, prevenir abusos e proteger a plataforma
- Melhoria dos Serviços: Analisar uso para desenvolver novos recursos
- Compliance: Cumprir obrigações legais e regulatórias
- Marketing (opcional): Enviar ofertas e novidades (somente com consentimento)
4. Base Legal para Tratamento (Art. 7º da LGPD)
| Base Legal | Aplicação | Exemplos |
|---|---|---|
| Consentimento | Dados opcionais e marketing | Telefone, newsletters, perfil educacional |
| Execução de Contrato | Prestação de serviços | Nome, email, dados da IA |
| Obrigação Legal | Cumprimento de leis | CPF para nota fiscal, dados fiscais |
| Legítimo Interesse | Segurança e melhoria | Logs de acesso, prevenção de fraude |
Avaliação de Legítimo Interesse: Realizamos teste de balanceamento para garantir que nossos interesses legítimos não prevaleçam sobre seus direitos e liberdades fundamentais.
5. Compartilhamento de Dados
5.1 Processadores de Dados
| Empresa | Finalidade | Localização | Dados Compartilhados |
|---|---|---|---|
| Shopify | E-commerce | Canadá/EUA | Nome, email, pedidos |
| Supabase | Banco de dados | EUA | Dados da IA, créditos |
| MercadoPago | Pagamentos | Brasil/Argentina | Nome, email, dados de pagamento |
| Stripe | Assinaturas | EUA | Nome, email, dados de assinatura |
| Google Cloud | Armazenamento | EUA | Arquivos de materiais |
| Vercel | Hospedagem | EUA | Dados de navegação |
| Sentry | Monitoramento | EUA | Logs de erro (dados anonimizados) |
5.2 Transferência Internacional
Aviso sobre Transferências: Alguns de nossos processadores estão localizados fora do Brasil.
Garantimos que todas as transferências internacionais são realizadas com base em:
- Cláusulas contratuais padrão aprovadas pela ANPD
- Certificações de adequação dos países destinatários
- Garantias específicas de proteção de dados
5.3 Não Compartilhamento
Não vendemos, alugamos ou comercializamos seus dados pessoais com terceiros para fins de marketing. Compartilhamos dados apenas conforme descrito nesta política e sempre com base legal adequada.
6. Seus Direitos (Art. 18 da LGPD)
🔍 Confirmação e Acesso
Confirmar se tratamos seus dados e acessar suas informações pessoais.
✏️ Correção
Corrigir dados incompletos, inexatos ou desatualizados.
🚫 Anonimização/Eliminação
Solicitar anonimização ou eliminação de dados desnecessários.
📤 Portabilidade
Receber seus dados em formato estruturado e interoperável.
❌ Eliminação
Solicitar eliminação quando dados foram tratados com base no consentimento.
ℹ️ Informação
Obter informações sobre entidades com quem compartilhamos dados.
🔒 Revogação do Consentimento
Revogar consentimento quando este for a base legal do tratamento.
⚖️ Oposição
Opor-se ao tratamento quando realizado com base em legítimo interesse.
Como Exercer Seus Direitos
Email: contato@xtude.com.br
Prazo de Resposta: Até 15 dias úteis
Gratuidade: O exercício dos direitos é gratuito
Identificação: Pode ser necessário confirmar sua identidade
7. Segurança dos Dados
7.1 Medidas Técnicas
- Criptografia: Dados em trânsito (TLS 1.3) e em repouso (AES-256)
- Autenticação: Tokens JWT seguros com refresh automático
- Controle de Acesso: Row Level Security (RLS) no banco de dados
- Proteção CSRF: Tokens anti-CSRF em todas as operações
- Rate Limiting: Prevenção contra ataques automatizados
- Logs de Segurança: Monitoramento e auditoria de acessos
7.2 Medidas Organizacionais
- Treinamento regular da equipe sobre proteção de dados
- Controles de acesso baseados em funções (RBAC)
- Avaliações de impacto à proteção de dados (DPIA)
- Planos de resposta a incidentes de segurança
- Auditoria periódica dos sistemas e processos
7.3 Resposta a Incidentes
Em caso de incidente de segurança que possa acarretar risco aos direitos e liberdades dos titulares, notificaremos:
- ANPD: Até 72 horas após tomar conhecimento
- Titulares: Comunicação clara sobre riscos e medidas tomadas
- Medidas Corretivas: Implementação imediata de correções
8. Retenção e Eliminação de Dados
| Categoria de Dados | Período de Retenção | Critério |
|---|---|---|
| Dados de identificação ativos | Enquanto conta ativa | Execução de contrato |
| Conversas da IA | 2 anos após último acesso | Funcionalidade do serviço |
| Dados de pagamento | 5 anos | Obrigação legal (fiscal) |
| Logs de acesso | 90 dias (anonimizados depois) | Segurança |
| Dados de conta excluída | 30 dias (backup) | Recuperação acidental |
| Marketing (consentimento) | Até revogação | Consentimento |
Eliminação Automática: Implementamos rotinas automatizadas para eliminação de dados expirados, garantindo cumprimento dos prazos estabelecidos.
9. Dados de Crianças e Adolescentes
Proteção Especial (Art. 14 da LGPD)
O tratamento de dados pessoais de crianças e adolescentes recebe proteção especial conforme a legislação brasileira.
9.1 Crianças (até 12 anos incompletos)
- Tratamento realizado apenas com consentimento específico dos pais/responsáveis
- Melhor interesse da criança como consideração primária
- Interface adequada à faixa etária
- Não coleta desnecessária ou excessiva de dados
9.2 Adolescentes (12 a 16 anos incompletos)
- Aplicação dos princípios do Estatuto da Criança e do Adolescente
- Consideração da condição peculiar de desenvolvimento
- Informações claras e adequadas sobre tratamento de dados
9.3 Medidas de Proteção
- Verificação de idade durante cadastro
- Mecanismos de validação do consentimento parental
- Política específica de retenção mais restritiva
- Proibição de compartilhamento para fins comerciais
10. Cookies e Tecnologias Similares
10.1 Tipos de Cookies Utilizados
🔒 Cookies Essenciais (Sempre Ativos)
Necessários para funcionamento básico da plataforma. Não requerem consentimento.
- Autenticação de usuário
- Proteção CSRF
- Preferências de segurança
📊 Cookies de Funcionalidade
Melhoram a experiência do usuário lembrando preferências.
- Tema da interface (claro/escuro)
- Configurações da IA
- Preferências de idioma
📈 Cookies Analíticos (Opcional)
Coletam informações sobre uso da plataforma para melhorias.
- Google Analytics (dados anonimizados)
- Métricas de desempenho
- Análise de comportamento agregado
10.2 Gerenciamento de Cookies
Você pode gerenciar suas preferências de cookies através:
- Banner de consentimento na primeira visita
- Configurações do seu navegador
- Central de Privacidade (em desenvolvimento)
11. Alterações nesta Política
Esta política pode ser atualizada periodicamente para refletir mudanças em nossas práticas, serviços ou exigências legais.
11.1 Processo de Alteração
- Alterações Menores: Atualizações imediatas com notificação na plataforma
- Alterações Substanciais: Notificação por email com 30 dias de antecedência
- Controle de Versão: Histórico de versões disponível mediante solicitação
- Data de Entrada: Alterações entram em vigor na data especificada
Seu Direito: Caso não concorde com alterações substanciais, você pode encerrar sua conta antes da data de entrada em vigor das mudanças.
12. Reclamações e Contato
12.1 Canais de Contato
📧 Encarregado (DPO)
contato@xtude.com.br
Para questões específicas sobre dados pessoais
🔒 Privacidade
contato@xtude.com.br
Para exercer direitos e esclarecimentos
💬 Suporte Geral
contato@xtude.com.br
Para dúvidas gerais sobre a plataforma
🌐 Website
xtude.com.br
Portal principal da plataforma
12.2 Autoridade Supervisora
Direito de Reclamação: Caso não fique satisfeito com nossa resposta, você pode apresentar reclamação à autoridade competente:
ANPD - Autoridade Nacional de Proteção de Dados
Website: gov.br/anpd
Canal de atendimento: anpd.gov.br/cidadao
12.3 Tempo de Resposta
- Solicitações Gerais: Até 15 dias úteis
- Exercício de Direitos: Até 15 dias úteis (prorrogáveis por mais 15)
- Incidentes de Segurança: Resposta inicial em até 24 horas
- Emergências: Resposta imediata nos dias úteis
Declaração de Compromisso
A XTUDE se compromete a tratar seus dados pessoais com o mais alto nível de cuidado, transparência e segurança, sempre em conformidade com a Lei Geral de Proteção de Dados (LGPD) e demais normas aplicáveis. Nosso objetivo é construir uma relação de confiança baseada no respeito à sua privacidade e direitos fundamentais.
Esta Política de Privacidade está em vigor desde 11/12/2025e foi elaborada em conformidade com a Lei Federal nº 13.709/2018 (LGPD).
Para acessar nossos Termos de Uso, clique aqui.