1. Controlador e encarregado
O controlador dos dados pessoais tratados pelo BriefingNews Bot, nos termos do art. 5º, VI da LGPD, é:
O encarregado pelo tratamento de dados pessoais (DPO, art. 41 da LGPD) é o canal para exercer seus direitos, tirar dúvidas e reportar incidentes. Respondemos em até 15 dias contados do recebimento do pedido.
2. Escopo do serviço
O BriefingNews Bot é um serviço de software por assinatura (SaaS) que ingere conteúdo técnico de fontes públicas (feeds RSS e releases do GitHub), classifica-o por linguagem e área — desenvolvimento, DevOps/Infra, IA/ML, dados, produto/UX e QA — e o entrega a você pelos canais de entrega que você mesmo configura:
- Discord — publicação nos canais dos servidores que você cadastra
- E-mail — enviado apenas para o endereço da sua própria conta
- Feed web — histórico consultável dentro do painel
Há um plano gratuito (Starter) e planos pagos (PRO e Enterprise), que ampliam a entrega em tempo real, os canais, o resumo por IA e os recursos administrativos. O uso de qualquer plano implica o tratamento de dados descrito abaixo. Os planos pagos estão em disponibilização gradual.
3. Dados que tratamos
3.1 Conta e autenticação
Você pode criar conta com e-mail e senha ou por login social (GitHub, Google ou Discord). Tratamos:
| Dado | Origem | Observação |
|---|---|---|
| Nome e e-mail | Cadastro ou provedor social | Identificação e comunicações do serviço |
| Senha | Cadastro | Armazenada apenas como hash — nunca em texto puro |
| Nome de usuário e avatar | Provedor social | Exibição no painel |
| ID da conta no provedor social | GitHub / Google / Discord | Vínculo da conta; no Discord solicitamos o escopo guilds apenas para listar os servidores que você administra |
| Código de verificação em duas etapas | Gerado por nós | Enviado por e-mail; opcional |
| Registros de sessão | Automático | Endereço IP, user-agent e data/hora — segurança e detecção de acesso indevido |
3.2 Assinatura e pagamento
Os pagamentos são processados pelo Asaas (gateway brasileiro). No checkout, coletamos seu nome, e-mail e CPF/CNPJ e os transmitimos ao Asaas para emissão da cobrança.
Não armazenamos o seu CPF/CNPJ em nosso banco de dados, e nunca temos contato com dados de cartão: a cobrança é feita por Pix recorrente diretamente no ambiente do Asaas. Guardamos apenas os identificadores devolvidos pelo gateway (customer_id e subscription_id), o plano, o status da assinatura, o método de cobrança e as datas do ciclo.
Registramos também os eventos de cobrança enviados pelo Asaas (webhooks) — incluindo o conteúdo do evento — para garantir que uma notificação repetida não gere cobrança ou liberação duplicada, e para auditoria financeira.
3.3 Canais de entrega e preferências
Para entregar o conteúdo, armazenamos os canais que você configura e os temas que escolhe receber:
- Identificador do canal do Discord e do servidor onde ele está
- Endereço de e-mail de destino (restrito ao e-mail da sua própria conta)
- Temas, linguagens e áreas selecionados por canal — revelam seus interesses técnicos
3.4 Histórico de entregas
Registramos quais itens foram entregues a você, quando e por qual canal. Esse registro tem dupla função: evitar que o mesmo item seja entregue duas vezes e ser o seu feed/histórico no painel. A janela consultável depende do seu plano (seção 8).
3.5 Medição de uso
Contamos o uso mensal de recursos sujeitos a limite de plano (por exemplo, chamadas de IA). São contadores numéricos por métrica e mês — não descrevem o conteúdo do que você fez.
3.6 Conteúdo ingerido e logs
Ingerimos notícias, artigos e releases de fontes públicas (RSS e API do GitHub). Esse conteúdo não contém dados pessoais dos usuários do serviço. Mantemos ainda logs operacionais: execução dos jobs, sucesso/falha por canal e o hash de deduplicação dos itens.
O bot não lê mensagens de usuários no Discord. Ele apenas envia mensagens nos canais configurados. Não coletamos, não armazenamos e não processamos conversas, privadas ou públicas.
4. Bases legais do tratamento
Todo tratamento se apoia em uma hipótese legal do art. 7º da LGPD:
| Tratamento | Base legal |
|---|---|
| Conta, autenticação, entrega do conteúdo e histórico | Execução de contrato (art. 7º, V) |
| Cobrança, faturamento e prevenção a fraude no pagamento | Execução de contrato (art. 7º, V) e obrigação legal/regulatória (art. 7º, II) |
| Guarda de registros de acesso (IP, data/hora) | Obrigação legal (art. 7º, II) — Marco Civil da Internet, art. 15 |
| Segurança, detecção de abuso e estabilidade do serviço | Legítimo interesse (art. 7º, IX) |
| Canais opcionais e recursos que você habilita | Consentimento (art. 7º, I) — você os habilita e pode removê-los quando quiser |
5. Para que usamos os dados
- 01.Autenticar e autorizar seu acesso ao painel e às rotas da API
- 02.Entregar o conteúdo nos canais que você configurou, no ritmo do seu plano (tempo real ou resumo diário)
- 03.Aplicar os limites do plano — canais, fontes e recursos de IA contratados
- 04.Processar a assinatura — cobrança, renovação, cancelamento e recuperação de pagamento
- 05.Manter o serviço no ar — diagnóstico, monitoramento de jobs e segurança
- 06.Comunicar avisos essenciais do serviço (cobrança, segurança, mudanças nestes termos)
Não usamos seus dados para:
- ✕Publicidade comportamental ou venda de anúncios
- ✕Venda, aluguel ou cessão de dados pessoais a terceiros
- ✕Criação de perfis para fins que não a entrega que você pediu
- ✕Treinamento de modelos de IA com seus dados pessoais
6. Com quem compartilhamos
Compartilhamos dados apenas com os operadores necessários para executar o serviço, e somente o mínimo que cada um precisa:
| Operador | Finalidade | Dados compartilhados |
|---|---|---|
| Asaas (Brasil) | Processamento de pagamentos e assinaturas | Nome, e-mail e CPF/CNPJ |
| Discord Inc. (EUA) | Login social e entrega nos canais | ID, nome e e-mail (escopo autorizado) |
| Resend (EUA) | E-mails transacionais e entrega por e-mail | Seu e-mail e o conteúdo enviado |
| Railway (EUA) | Hospedagem da API e do banco de dados | Todos os dados armazenados residem nessa infraestrutura |
| GitHub e fontes RSS | Leitura de conteúdo público | Nenhum dado pessoal é enviado |
| Provedor de IA | Resumo automático dos itens, quando o recurso estiver ativo | Apenas o texto público do artigo — nunca seus dados pessoais ou seu histórico |
Podemos ainda compartilhar dados para cumprir ordem judicial ou requisição de autoridade competente. Não vendemos, não alugamos e não comercializamos informação pessoal.
7. Transferência internacional
Parte da infraestrutura e dos operadores acima está fora do Brasil (Estados Unidos e outros países). Isso configura transferência internacional de dados nos termos do art. 33 da LGPD, realizada para a execução do contrato que você celebra conosco (art. 33, VI) e amparada nas cláusulas contratuais e nas garantias de proteção oferecidas por esses fornecedores. O processamento de pagamentos ocorre no Brasil (Asaas).
8. Retenção e eliminação
Guardamos cada categoria de dado apenas pelo tempo necessário à sua finalidade:
| Tipo de dado | Período de retenção |
|---|---|
| Conta e perfil | Enquanto a conta existir; eliminados em até 30 dias após o pedido de exclusão |
| Histórico de entregas (seu feed) | Conforme o plano — o teto da plataforma é de 90 dias, e nenhum plano promete mais do que o sistema realmente guarda |
| Itens de conteúdo já entregues a algum assinante | 90 dias |
| Itens de conteúdo publicados no Discord | 30 dias |
| Itens não publicados | 7 dias |
| Logs de execução dos jobs | 30 dias |
| Registros de sessão (IP, user-agent) | No mínimo 6 meses (Marco Civil, art. 15) |
| Dados de assinatura e eventos de cobrança | Durante a relação contratual e por até 5 anos após o término, para fins fiscais e de defesa em eventual demanda (CC, art. 206; CDC, art. 27) |
Após o prazo, os dados são eliminados ou anonimizados. Cópias em backup podem persistir por até 30 dias adicionais até a rotação natural das cópias de segurança.
9. Automação e inteligência artificial
O roteamento e a entrega do conteúdo são automatizados: um item é entregue a você porque casa com os temas e canais que você escolheu, não porque analisamos seu comportamento. Quando o recurso de resumo por IA estiver ativo, o resumo é gerado uma vez por artigo e servido a todos os assinantes — o modelo recebe o texto público do artigo, e não os seus dados.
Não tomamos decisões automatizadas que afetem seus interesses de forma significativa(art. 20 da LGPD). Se alguma vier a existir, você poderá pedir revisão pelo canal do encarregado.
11. Segurança e incidentes
Adotamos medidas técnicas e administrativas compatíveis com o risco (art. 46 da LGPD):
- Comunicação exclusivamente por HTTPS
- Sessões com cookies
HttpOnly/SameSitee verificação em duas etapas opcional - Senhas armazenadas apenas como hash
- Controle de acesso por papéis (RBAC) e princípio do menor privilégio
- Rate limiting e cabeçalhos de segurança na API
- Segredos e tokens em variáveis de ambiente, nunca expostos ao navegador
- Proxy same-origin no front — a URL da API não é exposta ao cliente
- Dados de cartão nunca trafegam por nossos servidores
Nenhum sistema é invulnerável. Em caso de incidente com risco relevante aos titulares, comunicaremos a ANPD e os titulares afetados em prazo razoável, observado o limite de 3 dias úteis a contar do conhecimento do incidente (art. 48 da LGPD e Resolução CD/ANPD nº 15/2024), descrevendo os dados envolvidos, os riscos e as medidas adotadas.
12. Seus direitos como titular
O art. 18 da LGPD garante a você, gratuitamente e mediante requisição:
- Confirmação e acesso — saber se tratamos seus dados e obter cópia deles
- Correção de dados incompletos, inexatos ou desatualizados
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade
- Portabilidade — receber seus dados em formato estruturado e interoperável (JSON)
- Eliminação dos dados tratados com consentimento — salvo as hipóteses de guarda obrigatória do art. 16
- Informação sobre compartilhamento — com quais entidades compartilhamos seus dados
- Informação sobre a possibilidade de não consentir e as consequências da negativa
- Revogação do consentimento a qualquer momento
- Revisão de decisões automatizadas que afetem seus interesses
- Petição à ANPD — você pode reclamar diretamente à Autoridade Nacional de Proteção de Dados
Para exercer qualquer deles, escreva para contato@cardosofiles.com.br. Respondemos em até 15 dias. Você também pode, a qualquer momento e sem nos contatar: remover canais de entrega no painel, editar ou limpar seu perfil, e revogar o acesso OAuth em Configurações → Aplicativos autorizados do provedor (Discord, GitHub ou Google).
13. Crianças e adolescentes
O serviço observa os Termos do Discord, que exigem idade mínima de 13 anos. A contratação de planos pagos é restrita a maiores de 18 anos ou a menores devidamente assistidos por seus responsáveis legais, conforme a legislação civil.
Não coletamos intencionalmente dados de crianças. Eventual tratamento de dados de adolescentes ocorre sempre em seu melhor interesse (art. 14 da LGPD). Identificado tratamento indevido de dados de criança, a informação é eliminada imediatamente — comunique-nos pelo e-mail do encarregado.
14. Alterações nesta política
Podemos atualizar esta política. A data de Última atualização no topo indica a versão vigente. Mudanças relevantes — nova finalidade, novo operador com acesso a dados pessoais ou alteração de retenção — serão comunicadas por e-mail e aviso no painel com pelo menos 15 dias de antecedência. Se a mudança depender de consentimento, pediremos o seu antes de aplicá-la.
15. Contato
Dúvidas, exercício de direitos, incidentes de privacidade ou pedidos de exclusão:
#suporte no servidor do bot