Documento legal · Última revisão: 07 de maio de 2026
Política de Privacidade
O Wikify é um serviço de tutoria por IA operado por brotto.io (brotto.io, sediada no Brasil). Esta Política de Privacidade descreve como tratamos os dados pessoais e o conteúdo enviado por você, em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018).
Ao usar o Wikify, você concorda com as práticas descritas aqui. Se não concordar, não use o serviço.
1. Quem somos e como nos contatar
Controlador dos dados: Alexandre Brotto / brotto.io.
Encarregado (DPO): Alexandre Brotto.
Contato para questões de privacidade: privacidade@wikify.studio ou via Telegram @brottotech.
2. Dados pessoais que coletamos
Coletamos apenas o estritamente necessário para operar o serviço:
- Cadastro: email, nome (quando você loga via Google), foto de perfil (do Google ou avatar que você sobe — opcional, encoded como data URI em até 200KB no Firestore), telefone (opcional, só coletado se você preencher voluntariamente em Configurações — usado para recuperação de acesso ou contato direto pra suporte; não é compartilhado com terceiros nem usado para marketing). Senha — apenas em forma de hash, gerenciada pelo Firebase Authentication; nunca temos acesso à senha em texto.
- Pagamento: identificador do cliente Stripe e do plano assinado. Não coletamos nem armazenamos dados de cartão de crédito ou Pix — esses dados ficam exclusivamente com a Stripe.
- Uso: páginas visitadas, contadores de explicações geradas no mês corrente, datas de criação e atualização. Usamos Google Analytics 4 com IP anonimizado.
- Conteúdo enviado: arquivos PDF que você sobe, texto extraído desses arquivos, anotações, flashcards e perguntas feitas à IA.
3. Bases legais
Tratamos seus dados com base nas seguintes hipóteses do art. 7º da LGPD:
- Execução de contrato (art. 7º, V) — para prestar o serviço Wikify que você contratou.
- Consentimento (art. 7º, I) — para análises de uso (GA4), newsletter semanal e Questão do dia. Você ativa em Configurações → Notificações; o opt-in é explícito e revogável a qualquer tempo.
- Legítimo interesse (art. 7º, IX) — para segurança da conta, prevenção de fraudes e melhoria do serviço.
- Cumprimento de obrigação legal (art. 7º, II) — para atender solicitações de autoridades.
4. Como usamos seus dados
- Autenticar seu acesso e manter sua sessão ativa.
- Processar uploads de PDF e gerar embeddings, chunks, flashcards e conexões do vault de conhecimento.
- Enviar trechos selecionados a modelos de linguagem terceiros (Anthropic Claude, Google Gemini) através de gateway (OpenRouter) para gerar explicações e responder perguntas.
- Cobrar assinaturas Pro via Stripe e enviar comprovantes/recibos.
- Comunicar atualizações importantes do serviço (mudanças de preço, incidentes de segurança, manutenção).
5. Com quem compartilhamos seus dados
Compartilhamos apenas com operadores estritamente necessários, sob contrato (DPA) e cláusulas de proteção de dados. A tabela abaixo descreve cada operador, finalidade, dados transferidos e país do processamento:
| Operador | Finalidade | Dados transferidos | País |
|---|---|---|---|
| Google (Firebase Auth + Firestore) | Autenticação e banco de dados | Email, uid, conteúdo de páginas, flashcards, notas | EUA |
| Google Analytics 4 | Análise de uso anônima (IP anonimizado) | Eventos de navegação agregados | EUA |
| Cloudflare (R2) | Armazenamento dos PDFs originais | PDFs uploaded pelo user | Distribuído (incl. EUA, UE) |
| Vercel | Hospedagem da aplicação web | Logs de requisição, cookies de sessão | EUA |
| Stripe | Processamento de pagamentos | Email, dados de cartão/Pix (não armazenamos) | EUA / Irlanda |
| OpenRouter | Gateway para modelos de IA | Trecho selecionado + contexto necessário pra resposta | EUA |
| Anthropic (Claude Sonnet/Haiku) | Gerar explicações e comentários | Prompt do turno (seleção, página, histórico) | EUA |
| Google AI (Gemini Flash) | Extração de texto/matérias de PDFs | PDFs processados durante ingest | EUA |
| Resend | Email transacional (recuperação, contato, newsletter) | Email, nome, conteúdo do email | EUA |
Cada operador acima recebe o mínimo necessário para sua função. Em particular, provedores de IA recebem apenas o trecho da seleção + contexto da página corrente + histórico recente da conversa — nunca o PDF inteiro de uma vez, nem dados de conta como senha ou telefone. O conteúdo enviado ao provedor é descartado por ele após gerar a resposta (não é retido para treinamento — veja item 7).
Não vendemos seus dados. Não compartilhamos com anunciantes nem com qualquer terceiro fora dos operadores listados.
6. Transferência internacional de dados
Alguns operadores acima processam dados fora do Brasil (EUA, Europa). A transferência ocorre sob garantias contratuais (Cláusulas Padrão) e nos países que oferecem grau de proteção adequado, conforme art. 33 da LGPD.
7. Uso de conteúdo enviado
Não usamos seus PDFs, anotações ou conversas para treinar modelos de IA — nem nossos, nem de parceiros.
Seu material é processado apenas para fornecer o serviço que você contratou: extrair texto, gerar embeddings pra busca, e responder suas perguntas via IA. Cada trecho enviado a um provedor de IA (item 5) é descartado pelo provedor após gerar a resposta — não fica retido para treinamento.
Você mantém integralmente os direitos sobre o que envia. Nos concede apenas a licença não-exclusiva, limitada à operação do serviço, descrita nos Termos de Serviço.
Se no futuro precisarmos usar conteúdo para qualquer finalidade secundária (treinamento, agregação, pesquisa), atualizaremos esta política e solicitaremos seu consentimento explícito antes — opt-in, nunca presumido.
8. Por quanto tempo guardamos seus dados
- Dados de cadastro: enquanto sua conta existir, mais até 5 anos para fins fiscais/contratuais.
- Conteúdo enviado: enquanto sua conta existir. Apagado em até 30 dias após exclusão de conta, exceto cópias derivadas em conjuntos de treinamento já consolidados (que seguem o ciclo do modelo correspondente).
- Dados de pagamento: conforme exigido pela legislação fiscal brasileira (até 5 anos).
- Logs e analytics: até 14 meses (padrão GA4).
9. Seus direitos como titular (art. 18 LGPD)
Você pode, a qualquer momento e gratuitamente:
- Confirmar a existência de tratamento dos seus dados.
- Acessar os dados que mantemos sobre você.
- Corrigir dados incompletos, inexatos ou desatualizados.
- Anonimizar, bloquear ou excluir dados desnecessários ou tratados em desconformidade.
- Solicitar a portabilidade dos dados a outro fornecedor.
- Excluir os dados tratados com base em consentimento.
- Obter informação sobre com quem compartilhamos os dados.
- Revogar consentimento a qualquer tempo.
- Opor-se ao tratamento por legítimo interesse.
Para exercer qualquer desses direitos, escreva para privacidade@wikify.studio. Respondemos em até 15 dias.
9.1 Atendimento via Telegram (@WikifyAI_bot)
Oferecemos atendimento por IA pelo Telegram através do bot @WikifyAI_bot. O que você precisa saber:
- Dados coletados: identificador do chat e do usuário Telegram, nome de exibição e @username (se você os tiver públicos no Telegram), e o texto das mensagens trocadas com o bot.
- Processamento por IA: suas mensagens são enviadas a provedor de modelo de linguagem (Anthropic via OpenRouter) para gerar a resposta. Não treinamos modelos com essas mensagens.
- Encaminhamento ao admin: o atendimento é supervisionado — uma cópia da conversa é encaminhada ao chat pessoal do fundador no Telegram para garantia de qualidade e possível intervenção humana. Nenhuma terceira parte além do controlador tem acesso.
- Retenção: o histórico fica armazenado enquanto o canal existir, exceto se você solicitar exclusão escrevendo para privacidade@wikify.studio informando seu chat ID Telegram.
- Identidade Telegram ≠ conta Wikify: a menos que você mesmo informe seu email da Wikify ao bot, esses dois canais não estão vinculados. A exclusão da conta Wikify não apaga automaticamente as conversas Telegram.
10. Segurança
- Conexões em HTTPS (TLS 1.3).
- Senhas armazenadas com hash via Firebase Authentication; sessão por cookie HTTP-only.
- Regras de segurança Firestore: cada coleção com dados pessoais é restrita por
userId == request.auth.uidou via vínculo de propriedade (vault). Bancos públicos (questões, concursos) têm read aberto e write apenas server-side. Coleções sensíveis legacy são bloqueadas (read/write false) até ressuscitação com regras explícitas. - Tokens de acesso a R2/Vectorize com escopo mínimo necessário.
- Em caso de incidente de segurança que possa causar risco relevante, notificamos a ANPD e os titulares afetados conforme art. 48 da LGPD.
11. Cookies e tecnologias similares
Usamos:
- Cookie de sessão (
wikify_session) — essencial para manter você logado. - Google Analytics 4 (
_ga,_ga_*) — análise de uso agregada e anonimizada.
12. Crianças e adolescentes
O Wikify não é destinado a menores de 16 anos. Se descobrirmos que dados de menores de 16 foram coletados sem consentimento parental válido, excluiremos imediatamente.
13. Alterações nesta política
Podemos atualizar esta política a qualquer momento. Quando alterações materiais ocorrerem, avisamos por email e/ou destaque no site. A versão em vigor é sempre a publicada nesta página, com a data de revisão indicada no topo.
14. Foro
Esta política é regida pelas leis brasileiras. Foro eleito: comarca de Foz do Iguaçu/PR, exceto direitos protegidos por foro de domicílio do consumidor (CDC).