Política de Privacidade

Nossos papéis (Controlador e Operador)

A Studybuddy atua como Controladora em relação aos dados de cadastro e uso dos seus próprios usuários (quando decidimos as finalidades do tratamento). Quando um professor ou instituição cria turmas e insere dados de alunos, a Studybuddy atua como Operadora, tratando esses dados em nome e sob as instruções da instituição, que é a Controladora nesse contexto.

1. Dados que coletamos

Coletamos apenas os dados estritamente necessários à prestação dos serviços:

• Cadastro: nome, e-mail, tipo de usuário (estudante ou professor) e, opcionalmente, telefone e foto de perfil.
• Conteúdo produzido: questões, avaliações, turmas, materiais, gabaritos digitalizados e respostas.
• Uso da plataforma: logs de acesso, métricas de desempenho e eventos relevantes para operação e melhoria do serviço.
• Pagamento: dados de cobrança processados por parceiro especializado (não armazenamos dados de cartão).

2. Como usamos seus dados

Seus dados são utilizados exclusivamente para:

• Operar a plataforma e prestar os serviços contratados;
• Comunicações relacionadas ao serviço (e-mails transacionais, avisos de cobrança, notificações de turma);
• Análise interna para melhoria da plataforma e detecção de uso indevido;
• Cumprimento de obrigações legais e regulatórias.

Base legal de cada finalidade (art. 7º da LGPD)

• Cadastro e operação do serviço: execução de contrato (art. 7º, V).
• Cobrança e emissão fiscal: execução de contrato e cumprimento de obrigação legal (art. 7º, V e II).
• Comunicações transacionais e suporte: execução de contrato (art. 7º, V).
• Análise interna, segurança e prevenção a fraudes: legítimo interesse (art. 7º, IX).
• Marketing e newsletter: consentimento (art. 7º, I) — opt-in separado e revogável; não enviado a menores de 18 anos.
• Cookies de análise/desempenho: consentimento (art. 7º, I), coletado pelo banner de cookies.
• Dados de alunos inseridos por instituições: tratados como Operadora, conforme a base legal definida pela instituição Controladora (tipicamente execução de contrato).

3. Compartilhamento com terceiros

Não vendemos seus dados. O compartilhamento ocorre apenas com parceiros operacionais necessários à prestação do serviço, mediante contrato de confidencialidade e em conformidade com a LGPD:

• Provedores de infraestrutura (hospedagem, banco de dados, e-mail transacional);
• Processadores de pagamento (Stripe e similares);
• Modelos de inteligência artificial — apenas o conteúdo que você submete explicitamente para geração de questões;
• Autoridades — apenas mediante ordem judicial ou obrigação legal.

4. Seus direitos (Titular dos Dados)

Nos termos da LGPD, você tem direito de, a qualquer momento, solicitar:

• Confirmar a existência de tratamento de seus dados;
• Acessar os dados que mantemos sobre você;
• Corrigir dados incompletos, inexatos ou desatualizados;
• Anonimizar, bloquear ou eliminar dados desnecessários ou tratados em desconformidade com a LGPD;
• Solicitar a portabilidade dos seus dados;
• Revogar consentimento previamente concedido.

Para exercer qualquer desses direitos, envie um e-mail para privacidade@studybuddy.com.br. Respondemos em até 15 (quinze) dias.

5. Retenção e eliminação de dados

Mantemos cada categoria de dado apenas pelo tempo necessário à sua finalidade. Ao excluir sua conta, os dados de identificação são anonimizados imediatamente e eliminados em definitivo após o período de retenção. Prazos de referência:

• Dados de cadastro: enquanto a conta estiver ativa e por até 90 dias após a exclusão.
• Registros financeiros e fiscais: 5 a 6 anos, por obrigação legal.
• Logs de acesso e auditoria: de 6 a 24 meses, por segurança.
• Dados de análise (analytics): de 12 a 24 meses.
• Registros de consentimento: mantidos como prova enquanto necessário para demonstrar conformidade (accountability).

6. Segurança

Adotamos medidas técnicas e organizacionais razoáveis para proteger seus dados contra acesso não autorizado, alteração, divulgação ou destruição: criptografia em trânsito (TLS), controle de acesso por perfil, monitoramento contínuo e backups periódicos. Em caso de incidente de segurança que possa gerar risco relevante aos titulares, comunicaremos os afetados e a Autoridade Nacional de Proteção de Dados (ANPD) nos prazos legais.

7. Cookies

Utilizamos cookies essenciais para autenticação e funcionamento da plataforma (não dependem de consentimento) e, mediante seu consentimento, cookies de análise e desempenho (ex.: Vercel Analytics e ferramentas de observabilidade) para entender o uso e melhorar a experiência. Você pode aceitar, recusar ou ajustar essas escolhas a qualquer momento pelo banner de cookies ou pelo link “Configurar cookies” no rodapé. Não utilizamos cookies de publicidade direcionada de terceiros.

8. Transferência internacional de dados

Nosso banco de dados primário é hospedado no Brasil (Neon, região sa-east-1). Alguns suboperadores processam dados nos Estados Unidos, entre eles Stytch (autenticação), Stripe (pagamentos), OpenAI (IA), Amazon Web Services (arquivos) e Vercel (hospedagem do frontend e analytics). Outros provedores de observabilidade e e-mail podem operar em diferentes regiões.

Como os Estados Unidos não possuem decisão de adequação da ANPD, essas transferências internacionais se apoiam nas hipóteses do art. 33 da LGPD — principalmente cláusulas-padrão contratuais (conforme a Resolução CD/ANPD nº 3/2025) e, quando aplicável, no seu consentimento — sempre com salvaguardas adequadas de proteção.

9. Decisões automatizadas e inteligência artificial

Utilizamos inteligência artificial para gerar e corrigir questões e avaliações. Essas funcionalidades podem envolver tratamento automatizado de dados. Você tem direito a solicitar informações sobre os critérios utilizados e a revisão humana de decisões automatizadas que afetem seus interesses, nos termos do art. 20 da LGPD, pelo canal do Encarregado.

10. Suboperadores

Para operar a plataforma, contamos com prestadores que tratam dados em nosso nome, entre eles: Stytch (autenticação), Stripe (pagamentos), OpenAI (geração/correção por IA), Amazon Web Services (armazenamento de arquivos), Neon (banco de dados), além de provedores de e-mail transacional e de observabilidade (Grafana, Langfuse, Vercel). A lista é mantida atualizada e os suboperadores estão sujeitos a obrigações de proteção de dados.

11. Menores de idade

Nossa plataforma é educacional e grande parte dos estudantes são menores de 18 anos. Todo tratamento de dados de menores observa o seu melhor interesse (art. 14 da LGPD): coletamos o mínimo necessário, não enviamos marketing a menores e não fazemos profiling para publicidade.

Quando o acesso ocorre por meio de uma turma criada por professor ou instituição, esta atua como Controladora dos dados escolares do aluno, com base no contrato educacional. No cadastro individual de um menor, podemos solicitar o e-mail do responsável legal para registrar o consentimento parental quando aplicável. A data de nascimento, se informada, é usada apenas para adequar o tratamento à faixa etária.

12. Alterações nesta Política

Esta Política pode ser atualizada periodicamente. Mudanças substanciais serão comunicadas por e-mail ou aviso na plataforma com antecedência mínima de 15 (quinze) dias.

13. Contato

• Encarregado / DPO: privacidade@studybuddy.com.br
• Suporte: suporte@studybuddy.com.br
• Termos de Uso: /termos