Política de Privacidade
Política de Privacidade da Thetawave AI
Última atualização: 9 de maio de 2026
Esta Política de Privacidade explica como a Thetawave AI, Inc., uma sociedade do estado de Delaware ("Thetawave", "nós", "nos" ou "nosso(a)"), coleta, usa, divulga e protege informações quando você utiliza nosso site (https://thetawave.ai), nossos aplicativos móveis e serviços relacionados (os "Serviços").
Ao utilizar os Serviços, você concorda com as práticas descritas nesta Política. Se você não concordar, por favor, não utilize os Serviços. Esta Política é incorporada aos nossos Termos de Serviço.
Avisos Importantes
- Não treinamos modelos de IA com seu Conteúdo de Usuário. As notas, documentos, áudios, imagens e outros materiais que você carrega não são utilizados para treinar os modelos da Thetawave, e exigimos contratualmente que nossos provedores terceirizados de IA e transcrição também não treinem seus modelos com suas entradas. Consulte a Seção 5.
- Não exibimos publicidade de terceiros nos Serviços e não "vendemos" suas informações pessoais por contraprestação monetária, conforme esse termo é definido pela California Consumer Privacy Act.
- Usuários globais. Os Serviços são operados a partir dos Estados Unidos. Cumprimos as leis aplicáveis de proteção de dados na UE/UK/Suíça (GDPR, Regulamento Geral sobre a Proteção de Dados), Japão (APPI), Coreia do Sul (PIPA), Hong Kong (PDPO), Taiwan (PDPA), Canadá (PIPEDA) e EUA (CCPA/CPRA e leis estaduais). Consulte as Seções 7 e 12 para os direitos específicos por região.
Sumário
- Informações que Coletamos
- Como Utilizamos as Informações
- Bases Legais para o Tratamento (EEA / UK / Suíça)
- Como Compartilhamos as Informações
- Tratamento por IA do Conteúdo de Usuário
- Cookies, Tecnologias de Rastreamento e Notificações Push
- Transferências Internacionais de Dados
- Retenção de Dados
- Segurança dos Dados
- Privacidade de Crianças
- Seus Direitos de Privacidade — Visão Global
- Direitos e Avisos Específicos por Região
- 12.1 Espaço Econômico Europeu, UK e Suíça (GDPR)
- 12.2 Califórnia (CCPA/CPRA)
- 12.3 Outros Estados dos EUA
- 12.4 Japão (APPI)
- 12.5 Coreia do Sul (PIPA)
- 12.6 Hong Kong (PDPO)
- 12.7 Taiwan (Personal Data Protection Act)
- 12.8 Canadá (PIPEDA)
- 12.9 Outras Jurisdições
- Como Exercer seus Direitos
- Sinais Do-Not-Track
- Avisos de Privacidade do Aplicativo Móvel (App Store / Google Play)
- Links e Serviços de Terceiros
- Alterações nesta Política
- Fale Conosco
1. Informações que Coletamos
Coletamos três categorias de informações:
1.1 Informações que Você Fornece
- Informações de conta: nome, endereço de e-mail, senha (armazenada em formato hash), preferências de perfil e — caso você faça login com um provedor de identidade terceirizado (por exemplo, Google, Apple) — os dados básicos de perfil que esse provedor compartilha conosco.
- Informações de assinatura e pagamento: para compras pela web, dados de cobrança tratados pela Stripe (recebemos confirmações de transação e os quatro últimos dígitos do seu cartão; não armazenamos números completos de cartões de pagamento); para compras dentro do aplicativo móvel, confirmações de transação da Apple ou do Google.
- Comunicações: mensagens que você envia ao suporte (por e-mail), feedback e respostas a pesquisas.
- Conteúdo de Usuário: notas, documentos, gravações de áudio, imagens, vídeos e outros materiais que você carrega, cria ou gera por meio dos Serviços. Seu Conteúdo de Usuário pode ser considerado "sensível" (por exemplo, registros acadêmicos de estudantes, gravações de voz) e é tratado como tal — consulte as Seções 5 e 12.
Informações pessoais de terceiros dentro do Conteúdo de Usuário. Se o seu Conteúdo de Usuário incluir informações pessoais sobre terceiros (por exemplo, o nome de um colega de classe nas suas notas ou a voz de um professor em uma gravação de aula), você atua como o controlador dessas informações e declara que possui os consentimentos necessários ou outra base legal para compartilhá-las conosco. Tratamos tais informações de terceiros exclusivamente em seu nome para entregar os Serviços a você, em conformidade com esta Política e com nossos Termos de Serviço, Seções 6.4 e 9.
1.2 Informações Coletadas Automaticamente
Quando você utiliza os Serviços, nós e nossos provedores de análise coletamos automaticamente:
- Dados do dispositivo e técnicos: endereço IP, tipo e versão do navegador, sistema operacional, identificadores de dispositivo (incluindo identificadores de publicidade móvel se não estiverem desativados no nível do sistema operacional), tamanho da tela, idioma, fuso horário.
- Dados de uso: páginas visitadas, recursos utilizados, cliques, tempo gasto, URLs de origem, consultas de busca dentro dos Serviços e localização aproximada derivada do endereço IP.
- Dados de diagnóstico: relatórios de falhas, registros de erros, métricas de desempenho.
1.3 Informações de Terceiros
- Provedores de identidade: se você utilizar Google Sign-In, Apple Sign-In ou similar, recebemos as informações básicas de perfil que você autoriza.
- Processadores de pagamento: Stripe, Apple e Google podem compartilhar dados de transação conosco conforme necessário para concluir as compras.
- Provedores de serviços: nossas ferramentas de análise, rastreamento de erros e suporte ao cliente compartilham dados agregados e em nível de evento sobre como você utiliza os Serviços (consulte a Seção 4).
Não adquirimos informações pessoais de corretores de dados (data brokers) e não recebemos informações pessoais de redes de publicidade.
2. Como Utilizamos as Informações
Utilizamos as informações descritas acima para:
- Fornecer, operar, manter e proteger os Serviços, incluindo autenticar sua conta, sincronizar seu conteúdo entre dispositivos e processar suas transações;
- Gerar saídas de IA em resposta às suas entradas (consulte a Seção 5);
- Comunicar-nos com você sobre sua conta, transações, alterações importantes na política e (com seu consentimento ou quando permitido por lei) atualizações de produto;
- Fornecer suporte ao cliente e responder às suas consultas;
- Detectar, investigar e prevenir fraudes, abusos, incidentes de segurança e violações dos nossos Termos;
- Analisar e aprimorar os Serviços, incluindo análises de uso agregadas;
- Cumprir obrigações legais e fazer cumprir nossos Termos;
- Com o seu consentimento, para qualquer outra finalidade divulgada no momento da coleta.
Não utilizamos suas informações para tomada de decisão automatizada que produza efeitos jurídicos ou similarmente significativos sobre você sem revisão humana.
Comunicações de marketing e opção de não receber. Quando enviamos comunicações de marketing ou promocionais (com seu consentimento ou quando permitido por lei), você pode optar por não recebê-las a qualquer momento por meio de:
- Clicar no link "unsubscribe" em qualquer e-mail de marketing;
- Alternar as preferências de notificação nas configurações da sua conta; ou
- Enviar um e-mail para contact@thetawave.ai.
Comunicações transacionais e relacionadas à conta (por exemplo, alertas de segurança, avisos de cobrança de assinatura, alterações importantes na política) não podem ser desativadas enquanto sua conta estiver ativa, pois são necessárias para entregar os Serviços e cumprir nossas obrigações legais.
3. Bases Legais para o Tratamento (EEA, UK, Suíça)
Se você estiver no Espaço Econômico Europeu, no Reino Unido ou na Suíça, tratamos seus dados pessoais com base nas seguintes bases legais:
| Finalidade | Base Legal |
|---|---|
| Fornecer os Serviços a você, incluindo inferência de IA sobre suas entradas | Execução de contrato (Art. 6(1)(b) GDPR) |
| Processar pagamentos e prevenir fraudes | Execução de contrato; obrigação legal; legítimo interesse |
| Segurança do Serviço e prevenção de abusos | Legítimo interesse na proteção dos usuários e dos Serviços |
| Análise e aprimoramento do produto | Legítimo interesse; consentimento para cookies não essenciais |
| Comunicações de marketing | Consentimento (que você pode retirar a qualquer momento) |
| Cumprimento de solicitações legais | Obrigação legal |
| Tratamento de dados de "categoria especial" dentro do Conteúdo de Usuário (se houver) | Seu consentimento explícito (Art. 9(2)(a)) |
Você tem o direito de se opor ao tratamento baseado em legítimo interesse — consulte a Seção 12.1.
4. Como Compartilhamos as Informações
Compartilhamos suas informações apenas com as seguintes categorias de destinatários, todos vinculados por obrigações contratuais de confidencialidade e proteção de dados.
4.1 Provedores de Serviços (Suboperadores)
Contratamos provedores de serviços terceirizados para operar os Serviços em nosso nome. Eles podem usar suas informações apenas para nos prestar seus serviços e devem cumprir obrigações apropriadas de confidencialidade e segurança. As categorias abaixo refletem nossa atual cadeia de suboperadores; esta lista pode evoluir conforme alteramos nossos fornecedores.
| Categoria | Finalidade | Fornecedor(es) Principal(is) Atual(is) |
|---|---|---|
| Hospedagem em nuvem e banco de dados | Operar nosso backend e armazenar dados de conta e Conteúdo de Usuário | Supabase (PostgreSQL, autenticação, armazenamento); provedores de infraestrutura em nuvem |
| Inferência de IA (LLM) | Gerar saídas de IA (notas, resumos, flashcards, quizzes, chats de estudo) a partir das suas entradas | OpenAI, Anthropic, Google (consulte a Seção 5) |
| Transcrição de áudio | Converter Conteúdo de Usuário em áudio (por exemplo, gravações de aulas) em texto para tratamento posterior por IA | Soniox, Inc., Deepgram, Inc. |
| Processamento de pagamentos pela web | Processar assinaturas adquiridas pelo site | Stripe, Inc. (https://stripe.com/privacy) |
| Compras dentro do aplicativo móvel e gestão de assinaturas | Processar e conciliar compras na App Store / Google Play | Apple Inc., Google LLC, RevenueCat, Inc. |
| Análise de produto | Compreender como os Serviços são utilizados | Mixpanel, Inc. |
| Rastreamento de erros e diagnósticos | Detectar e depurar problemas | Sentry (Functional Software, Inc.) |
| Suporte ao cliente | Responder a consultas baseadas em e-mail | Infraestrutura de e-mail (sem ferramenta de ticketing de terceiros no momento) |
Notificação de alteração de suboperador. Quando adicionarmos ou substituirmos um suboperador material, atualizaremos esta Política com pelo menos 14 dias de antecedência da entrada em vigor da alteração. Para usuários com assinatura paga ativa, forneceremos adicionalmente o aviso por e-mail ou mensagem dentro do aplicativo. Se você se opuser a um novo suboperador, poderá encerrar sua conta antes da entrada em vigor da alteração e solicitar um reembolso proporcional, quando exigido pela lei aplicável.
4.2 Outras Divulgações
- Cumprimento legal e segurança. Podemos divulgar informações quando acreditarmos, de boa-fé, que a divulgação é necessária para (a) cumprir a lei aplicável, processo legal ou solicitação governamental; (b) fazer cumprir nossos Termos; (c) proteger os direitos, a segurança ou a propriedade da Thetawave, dos nossos usuários ou do público; ou (d) detectar, prevenir ou tratar fraudes, problemas de segurança ou questões técnicas.
- Transferências empresariais. Se a Thetawave estiver envolvida em uma fusão, aquisição, financiamento, reorganização ou venda de ativos, suas informações poderão ser transferidas como parte dessa transação. Nós o notificaremos (por exemplo, por e-mail e/ou um aviso visível nos Serviços) sobre qualquer alteração de propriedade ou uso das suas informações pessoais.
- Com seu consentimento. Podemos compartilhar informações com outras partes quando você nos instruir a fazê-lo.
4.3 O que NÃO Fazemos
- Não vendemos suas informações pessoais por contraprestação monetária.
- Não compartilhamos suas informações pessoais com terceiros para publicidade comportamental entre contextos (não veiculamos nenhuma).
- Não permitimos que nossos provedores de IA ou de transcrição treinem com seu Conteúdo de Usuário (Seção 5).
Nota defensiva sobre "venda" / "compartilhamento" da CCPA. A CCPA da Califórnia define "venda" e "compartilhamento" de forma ampla. Na medida em que qualquer divulgação aos nossos suboperadores de análise, IA, transcrição ou rastreamento de erros possa ser interpretada como uma "venda" ou "compartilhamento" sob CCPA/CPRA, tratamos tal atividade como passível de opt-out e honramos sinais de opt-out (incluindo o Global Privacy Control / GPC) sempre que tecnicamente viável. Consulte a Seção 12.2 para outros direitos da Califórnia.
5. Tratamento por IA do Conteúdo de Usuário
Esta seção explica como suas entradas e seu Conteúdo de Usuário interagem com modelos de IA. Isso é central ao funcionamento dos Serviços — leia atentamente.
5.1 Como Funcionam a Inferência de IA e a Transcrição
Quando você utiliza um recurso de IA (por exemplo, gerar notas, resumir um PDF, criar flashcards), sua entrada — que pode incluir seu Conteúdo de Usuário ou trechos dele — é transmitida para um dos nossos provedores terceirizados de IA (atualmente OpenAI, Anthropic e Google) para gerar a resposta. Quando você carrega áudio (por exemplo, uma gravação de aula), ele é primeiro transmitido para um dos nossos provedores de transcrição (Soniox, Deepgram) para ser convertido em texto, que é então tratado por um provedor de IA conforme descrito acima.
A resposta é retornada a você e armazenada na sua conta Thetawave, em associação ao seu Conteúdo de Usuário. Os provedores de IA e de transcrição podem reter brevemente entradas e saídas durante o tratamento, conforme descrito na Seção 5.3, mas o registro durável do seu Conteúdo de Usuário e das Saídas geradas por IA reside na sua conta Thetawave, não com os provedores.
5.2 Sem Treinamento com seu Conteúdo
A Thetawave não treina nenhum modelo de IA ou de aprendizado de máquina com seu Conteúdo de Usuário. Nós contamos com compromissos contratuais de não treinamento e retenção limitada de cada um dos nossos provedores de IA e de transcrição. Especificamente:
- OpenAI: Utilizamos a API da OpenAI. Conforme a política de uso de dados da API da OpenAI, a OpenAI não utiliza entradas ou saídas da API para treinar seus modelos.
- Anthropic: Utilizamos a API da Anthropic. Conforme os termos comerciais da Anthropic, a Anthropic não treina seus modelos com entradas ou saídas enviadas via API.
- Google: Utilizamos a API Google AI / Gemini sob termos que não permitem ao Google treinar seus modelos com nosso conteúdo de API paga.
- Soniox: Utilizamos a API comercial da Soniox sob termos que não permitem à Soniox treinar seus modelos com o conteúdo de áudio que transmitimos.
- Deepgram: Utilizamos a API comercial da Deepgram sob termos que não permitem à Deepgram treinar seus modelos com o conteúdo de áudio que transmitimos.
Se trocarmos de provedores de IA ou de transcrição, ou se os termos que regem esses provedores mudarem materialmente, atualizaremos esta Política. Você não deve carregar nos Serviços informações que não queira que sejam transmitidas a um desses provedores para tratamento.
5.3 Sem Armazenamento Persistente nos Provedores de IA / Transcrição (Além dos Limites Definidos pelo Provedor)
Os provedores de IA e de transcrição podem reter brevemente entradas e saídas para fins de segurança, monitoramento de abusos e operações, conforme seus próprios avisos de privacidade. Utilizamos configurações de nível enterprise / API que minimizam tal retenção quando disponíveis (por exemplo, modos de zero retenção de dados ou de retenção curta).
5.4 Dados Agregados e Desidentificados
Podemos utilizar dados desidentificados ou agregados (que não possam ser razoavelmente vinculados a você) para análise de produto, segurança e aprimoramento dos serviços. Utilizamos técnicas de desidentificação padrão do setor (por exemplo, remoção de identificadores diretos, agregação e outras medidas técnicas destinadas a garantir que as informações não possam ser razoavelmente associadas a um indivíduo), e proibimos contratualmente qualquer parte que receba dados desidentificados de nós de tentar reidentificá-los.
6. Cookies, Tecnologias de Rastreamento e Notificações Push
6.1 Cookies e Tecnologias Similares
Nós e nossos provedores de serviços utilizamos cookies, pixels, armazenamento local, software development kits (SDKs) e tecnologias similares para operar os Serviços. Não utilizamos cookies para publicidade comportamental entre sites. Quando exigido por lei (incluindo no EEA, UK, Suíça, Japão e Coreia para cookies não essenciais), solicitaremos seu consentimento por meio de um banner de cookies antes de instalar cookies não essenciais. Você pode gerenciar suas preferências de cookies por meio do banner de cookies ou das configurações do seu navegador.
Os principais cookies e tecnologias similares que utilizamos são:
| Nome / Padrão | Tipo | Finalidade | Provedor | Retenção Aproximada |
|---|---|---|---|---|
sb-* (tokens de autenticação) | Estritamente necessário | Autenticar sua sessão e mantê-lo conectado | Supabase | Sessão / até 1 ano |
| Tokens CSRF / antifalsificação | Estritamente necessário | Prevenir falsificação de solicitação entre sites | Thetawave | Sessão |
cookie_consent | Estritamente necessário | Memorizar suas escolhas no banner de cookies | Thetawave | 1 ano |
theme, locale | Funcional | Memorizar suas preferências de UI (por exemplo, modo escuro, idioma) | Thetawave | 1 ano |
mp_* | Análise (opt-in quando exigido) | Análise de produto — medir o uso de recursos e aprimorar os Serviços | Mixpanel | Até 1 ano |
| Tags de sessão do Sentry | Estritamente necessário | Associar relatórios de erros a sessões para depuração | Sentry | Até 30 dias |
Se adicionarmos ou alterarmos categorias materiais de cookies, atualizaremos esta tabela.
6.2 Notificações Push
Se você optar por receber notificações push em nossos aplicativos móveis, coletamos e utilizamos um token push específico do dispositivo (fornecido pelo Apple Push Notification service ("APNs") para iOS ou Firebase Cloud Messaging ("FCM") para Android) exclusivamente para entregar:
- Notificações relacionadas ao Serviço (por exemplo, transcrição concluída, lembrete de estudo definido por você);
- Notificações relacionadas à conta (por exemplo, alertas de segurança);
- Com seu consentimento adicional, notificações ocasionais de atualização do produto.
Você pode desabilitar notificações push a qualquer momento por meio das configurações de notificação do seu dispositivo. Desabilitar notificações push não afeta outras partes dos Serviços.
7. Transferências Internacionais de Dados
A Thetawave está sediada nos Estados Unidos, e nossos servidores e diversos dos nossos provedores de serviços estão localizados nos EUA e em outros países. Quando você utiliza os Serviços, suas informações pessoais serão transferidas, armazenadas e tratadas nos Estados Unidos e potencialmente em outros países, que podem ter leis de proteção de dados diferentes daquelas do seu país de residência.
Contamos com as seguintes salvaguardas para proteger transferências internacionais:
- EEA / UK / Suíça: Standard Contractual Clauses ("SCCs") aprovadas pela Comissão Europeia (e o UK Addendum / equivalentes suíços) com nossos suboperadores, complementadas por criptografia em trânsito e em repouso, controles de acesso e (quando aplicável) avaliações de impacto de transferência. Atualmente, não somos certificados pelo EU-US Data Privacy Framework ("DPF"); contamos com SCCs como mecanismo principal de transferência.
- Japão: Quando exigido pela APPI para transferência transfronteiriça, obtemos seu consentimento ou contamos com salvaguardas equivalentes (incluindo cláusulas contratuais equivalentes às SCCs com o destinatário).
- Coreia do Sul: Quando exigido pela PIPA para transferência de informações pessoais ao exterior, fornecemos as divulgações exigidas pelo Artigo 28-8 da PIPA e obtemos seu consentimento quando aplicável.
- Hong Kong, Taiwan, Canadá: Garantimos que os destinatários estejam vinculados a obrigações contratuais consistentes com a PDPO, a PDPA e a PIPEDA, respectivamente.
Ao utilizar os Serviços, você compreende que suas informações serão transferidas internacionalmente conforme descrito acima.
8. Retenção de Dados
Retemos informações pessoais pelo tempo necessário para fornecer os Serviços e para as finalidades descritas nesta Política, salvo se um período de retenção mais longo for exigido por lei.
| Categoria de Dados | Retenção |
|---|---|
| Informações de conta | Enquanto sua conta estiver ativa; excluídas em até 30 dias após a exclusão da conta (excluindo backups) |
| Conteúdo de Usuário | Enquanto sua conta estiver ativa; excluído em até 30 dias após você excluir o conteúdo ou sua conta |
| Backups | Retidos por até 90 dias após a exclusão, depois excluídos permanentemente |
| Registros de pagamento e cobrança | Retidos por 7 anos para cumprir obrigações fiscais, contábeis e de auditoria |
| Comunicações de suporte ao cliente | Até 3 anos após a resolução |
| Dados de diagnóstico / log | Até 12 meses |
| Dados desidentificados ou agregados | Podem ser retidos indefinidamente (não podem ser vinculados a você) |
Você pode solicitar exclusão antecipada a qualquer momento conforme descrito na Seção 13, sujeito a exceções limitadas (por exemplo, quando a retenção for exigida por lei).
9. Segurança dos Dados
Implementamos salvaguardas administrativas, técnicas e físicas projetadas para proteger suas informações, incluindo:
- Criptografia em trânsito (TLS) e em repouso;
- Controles de acesso e princípios de menor privilégio para nossa equipe;
- Práticas seguras de desenvolvimento de software e revisão de código;
- Análise de segurança de fornecedores para suboperadores;
- Registro e monitoramento; e
- Procedimentos de resposta a incidentes.
Nenhuma medida de segurança é perfeita, e não podemos garantir segurança absoluta.
Notificação de violação. Se tomarmos conhecimento de uma violação de dados pessoais que afete suas informações, notificaremos você e as autoridades supervisoras competentes conforme exigido pela lei aplicável, incluindo:
- GDPR / UK GDPR / FADP: notificação à autoridade supervisora em até 72 horas após o conhecimento (quando viável), e aos indivíduos afetados sem atraso indevido quando houver alto risco aos seus direitos e liberdades;
- APPI do Japão (Artigo 26): notificação à Personal Information Protection Commission (PPC) e aos indivíduos afetados prontamente, na forma e no cronograma exigidos pela APPI;
- PIPA da Coreia do Sul (Artigo 34): notificação aos indivíduos afetados sem demora e — para violações envolvendo 1.000 ou mais indivíduos ou informações sensíveis — notificação à PIPC em até 24 horas;
- Leis estaduais dos EUA: notificação dentro dos prazos e conforme os procedimentos exigidos por cada estatuto estadual aplicável de notificação de violação;
- Outras jurisdições: conforme exigido pela lei aplicável.
10. Privacidade de Crianças
Os Serviços não são direcionados a crianças menores de 13 anos, e não coletamos conscientemente informações pessoais de crianças menores de 13 anos nos Estados Unidos ou abaixo da idade mínima de consentimento digital em seu país de residência (por exemplo, 14 na Espanha, 15 na França, 16 na Alemanha).
Se você tiver entre 13 e 17 anos (ou a idade da maioridade na sua jurisdição), poderá utilizar os Serviços somente com o envolvimento e o consentimento de um pai/mãe ou responsável legal.
Para detalhes sobre como pais podem fornecer consentimento parental verificável sob a COPPA e leis equivalentes (e como revogá-lo), consulte os Termos de Serviço, Seção 2.2.
Se descobrirmos que coletamos informações pessoais de uma criança abaixo da idade aplicável sem consentimento parental verificado, as excluiremos o mais rápido possível. Pais que acreditem que uma criança forneceu informações pessoais sem consentimento podem nos contatar em contact@thetawave.ai.
Para escolas e educadores que utilizam os Serviços com estudantes: vocês são responsáveis por obter quaisquer consentimentos exigidos pela COPPA, FERPA, GDPR, APPI, PIPA e leis equivalentes, e por atuar como a autoridade apropriada sob essas leis.
11. Seus Direitos de Privacidade — Visão Global
Dependendo de onde você reside, você pode ter direitos incluindo:
- Acesso: o direito de saber quais informações pessoais mantemos sobre você e de receber uma cópia;
- Correção: o direito de corrigir informações imprecisas ou incompletas;
- Exclusão ("direito ao esquecimento"): o direito de solicitar a exclusão das suas informações;
- Portabilidade: o direito de receber certas informações em formato portável;
- Restrição / oposição: o direito de restringir ou se opor a determinados tratamentos;
- Retirada do consentimento: o direito de retirar qualquer consentimento que você tenha dado;
- Opt-out de "venda" / "compartilhamento" / publicidade direcionada: o direito de opt-out, quando aplicável;
- Apresentar reclamação a uma autoridade supervisora.
Honramos esses direitos independentemente do local em que você resida, na medida razoavelmente possível. Consulte a Seção 12 para detalhes específicos por região e a Seção 13 para saber como exercer seus direitos.
12. Direitos e Avisos Específicos por Região
12.1 Espaço Econômico Europeu, Reino Unido e Suíça (GDPR / UK GDPR / FADP)
Se você estiver no EEA, UK ou Suíça, você possui os direitos descritos na Seção 11 sob o General Data Protection Regulation (GDPR), o UK GDPR e o Swiss Federal Act on Data Protection (FADP), respectivamente. Você também tem o direito de:
- Apresentar reclamação à sua autoridade supervisora local de proteção de dados (uma lista está disponível em https://edpb.europa.eu/about-edpb/about-edpb/members_en para o EEA; o ICO em https://ico.org.uk/ para o UK; e o FDPIC em https://www.edoeb.admin.ch para a Suíça).
As bases legais para o nosso tratamento estão listadas na Seção 3.
Representante na UE (Artigo 27 GDPR). Com base na nossa avaliação da natureza, do escopo, do contexto e das finalidades do nosso tratamento — e porque nosso tratamento de dados pessoais do EEA não é "em larga escala" no que se refere a categorias especiais de dados sob o Artigo 9 do GDPR ou a dados de condenações criminais sob o Artigo 10 do GDPR — não nomeamos um representante na UE sob o Artigo 27 do GDPR. Os usuários do EEA podem contatar contact@thetawave.ai diretamente com qualquer consulta relacionada ao GDPR; responderemos de forma consistente com a lei aplicável. Reavaliaremos esta determinação à medida que nossa base de usuários e atividades de tratamento evoluírem.
12.2 Califórnia (CCPA / CPRA)
Se você for residente da Califórnia, você tem os direitos descritos sob a California Consumer Privacy Act, conforme alterada pela California Privacy Rights Act ("CCPA/CPRA").
Categorias de Informações Pessoais que Coletamos
Nos últimos 12 meses, coletamos as seguintes categorias de informações pessoais (conforme definidas no Cal. Civ. Code § 1798.140):
| Categoria | Exemplos | Coletado? | Vendido? | Compartilhado (publicidade comportamental entre contextos)? |
|---|---|---|---|---|
| A. Identificadores | Nome, e-mail, endereço IP, IDs de dispositivo, nome de conta | Sim | Não | Não |
| B. Registros de Cliente | Endereço de cobrança, informações de pagamento | Sim | Não | Não |
| C. Classificações protegidas | Idade (quando fornecida), país | Limitado | Não | Não |
| D. Informações comerciais | Histórico de assinatura, registros de transação | Sim | Não | Não |
| E. Informações biométricas | (Características de voz dentro do Conteúdo de Usuário em áudio, se carregado) | Se você carregar | Não | Não |
| F. Atividade na Internet | Dados de uso, interações com os Serviços | Sim | Não | Não |
| G. Geolocalização | Localização aproximada por IP | Sim | Não | Não |
| H. Dados sensoriais | Áudio, imagem, vídeo dentro do Conteúdo de Usuário (se você carregar) | Se você carregar | Não | Não |
| I. Profissional/emprego | Não coletado | Não | — | — |
| J. Informações educacionais | Conteúdo acadêmico dentro do Conteúdo de Usuário (notas, materiais de estudo) | Sim | Não | Não |
| K. Inferências | Preferências e padrões de estudo derivados do uso | Sim | Não | Não |
| L. PI sensível | Credenciais de conta; conteúdo preciso de comunicações dentro dos Serviços | Sim | Não | Não |
Seus Direitos como Residente da Califórnia
- Direito de saber quais informações pessoais coletamos e como as utilizamos e compartilhamos;
- Direito de solicitar exclusão, sujeito a exceções legais;
- Direito de corrigir informações pessoais imprecisas;
- Direito de opt-out de "venda" ou "compartilhamento" — não "vendemos" nem "compartilhamos" suas informações pessoais para publicidade comportamental entre contextos, conforme esses termos são definidos sob CCPA/CPRA, mas honramos sinais de opt-out (incluindo o Global Privacy Control / GPC) sempre que tecnicamente viável;
- Direito de limitar o uso de informações pessoais sensíveis ao que for necessário para executar os Serviços;
- Direito à não-discriminação por exercer seus direitos.
"Shine the Light" (Cal. Civ. Code § 1798.83)
Residentes da Califórnia podem solicitar informações sobre divulgação de informações pessoais a terceiros para fins de marketing direto. Não nos engajamos em tal divulgação.
12.3 Outros Estados dos EUA
Se você reside em Virgínia (VCDPA), Colorado (CPA), Connecticut (CTDPA), Utah (UCPA), Texas (TDPSA), Oregon (OCPA), Montana (MTCDPA), Iowa (ICDPA), Tennessee (TIPA), Delaware (DPDPA), New Jersey (NJDPA), New Hampshire (NHPA), Maryland (MODPA), Minnesota (MCDPA), Indiana (INCDPA), Nebraska (NDPA), Rhode Island (RIDPA) ou Kentucky (KCDPA), você possui direitos similares aos descritos acima, incluindo (dependendo do seu estado) os direitos de acesso, correção, exclusão, portabilidade e opt-out de publicidade direcionada, "venda" e certos tipos de profiling. Quando exigido, você tem o direito de recorrer da nossa negativa de uma solicitação — consulte a Seção 13.
Você também pode ter o direito de designar um agente autorizado para fazer uma solicitação em seu nome. Exigiremos verificação antes de honrar solicitações de agentes autorizados.
12.4 Japão (個人情報保護法 / APPI)
Se você estiver no Japão, tratamos suas informações pessoais em conformidade com o Act on the Protection of Personal Information (APPI).
- A finalidade de uso está descrita na Seção 2. Não utilizaremos suas informações pessoais para finalidades além daquelas sem o seu consentimento, exceto conforme permitido pela APPI.
- Transferência transfronteiriça: Conforme descrito na Seção 7, suas informações serão transferidas para os Estados Unidos e outros países. Ao utilizar os Serviços, você consente com esta transferência em conformidade com o Artigo 28 da APPI. Disponibilizamos, mediante solicitação, informações sobre os sistemas de proteção de dados dos países destinatários e as salvaguardas que implementamos.
- Seus direitos: Você tem o direito de solicitar divulgação, correção, adição, exclusão, suspensão de uso, suspensão de fornecimento a terceiros e de receber uma cópia das suas informações pessoais que mantemos.
- Personal Information Handling Business Operator: A Thetawave AI, Inc. é o operador comercial que trata suas informações pessoais. Contato: contact@thetawave.ai.
- Notificação de violação: Conforme exigido pelo Artigo 26 da APPI, notificaremos a Personal Information Protection Commission (PPC) e os indivíduos afetados de violações qualificadas.
- Reclamações: Se não pudermos resolver sua preocupação, você pode consultar a Personal Information Protection Commission (PPC) do Japão.
12.5 Coreia do Sul (개인정보 보호법 / PIPA)
Se você estiver na Coreia do Sul, tratamos suas informações pessoais em conformidade com o Personal Information Protection Act (PIPA) e leis correlatas.
- Finalidade da coleta e uso: conforme descrito na Seção 2.
- Itens coletados: conforme descrito na Seção 1.
- Período de retenção: conforme descrito na Seção 8.
- Transferência transfronteiriça (Art. 28-8 da PIPA): Suas informações pessoais podem ser transferidas para os Estados Unidos e outros países para os provedores de IA, provedores de transcrição, provedores de hospedagem e outros suboperadores listados na Seção 4. Obtemos seu consentimento para tal transferência quando exigido e fornecemos as divulgações exigidas pela PIPA.
- Seus direitos: acesso, correção, exclusão, suspensão do tratamento e retirada do consentimento. Sob o Artigo 35 da PIPA, responderemos a solicitações de acesso e correção em até 10 dias (prorrogáveis por mais 10 dias quando razoavelmente necessário).
- Privacy Officer / 개인정보 보호책임자: Contato contact@thetawave.ai.
- Notificação de violação (Art. 34 da PIPA): Notificaremos os indivíduos afetados sem demora e — para violações envolvendo 1.000 ou mais indivíduos ou informações sensíveis — notificaremos a PIPC em até 24 horas.
- Reclamações: Você pode apresentar uma reclamação à Personal Information Protection Commission (PIPC, 개인정보보호위원회) ou à Korea Internet & Security Agency (KISA), incluindo o Privacy Complaint Center (privacy.go.kr / 118).
12.6 Hong Kong (個人資料(私隱)條例 / PDPO)
Se você estiver em Hong Kong, tratamos seus dados pessoais em conformidade com a Personal Data (Privacy) Ordinance (PDPO) e os Six Data Protection Principles. Você tem o direito de solicitar acesso e correção dos seus dados pessoais. As solicitações podem ser feitas em contact@thetawave.ai. Reclamações podem ser feitas ao Office of the Privacy Commissioner for Personal Data (PCPD).
12.7 Taiwan (個人資料保護法 / PDPA)
Se você estiver em Taiwan, tratamos suas informações pessoais em conformidade com a Personal Data Protection Act (PDPA). Você tem o direito de consultar, solicitar uma cópia, complementar ou corrigir, solicitar que cessemos a coleta/tratamento/uso e solicitar exclusão das suas informações pessoais. As solicitações podem ser feitas em contact@thetawave.ai. Quando exigido, obtemos seu consentimento antes da transferência internacional das suas informações pessoais.
12.8 Canadá (PIPEDA)
Se você estiver no Canadá, tratamos suas informações pessoais em conformidade com a Personal Information Protection and Electronic Documents Act (PIPEDA) e leis provinciais aplicáveis (por exemplo, a Lei 25 de Quebec). Você tem direitos de acesso, correção e retirada do consentimento. Reclamações podem ser apresentadas ao Office of the Privacy Commissioner of Canada em https://www.priv.gc.ca/.
12.9 Outras Jurisdições
Respeitamos as leis de proteção de dados aplicáveis à sua residência, mesmo que não estejam especificamente listadas acima. Se você reside em uma jurisdição com leis aplicáveis (por exemplo, LGPD do Brasil (Lei Geral de Proteção de Dados), Privacy Act da Austrália, DPDP Act da Índia, PDPL dos Emirados Árabes Unidos, ou outras), por favor contate contact@thetawave.ai com quaisquer solicitações de direitos; responderemos de forma consistente com a lei aplicável.
13. Como Exercer seus Direitos
Para exercer qualquer direito descrito acima:
- Envie um e-mail para contact@thetawave.ai com a linha de assunto "Privacy Request"; ou
- Utilize qualquer controle de privacidade dentro do aplicativo que disponibilizemos.
Para proteger suas informações, podemos precisar verificar sua identidade (geralmente confirmando o controle do endereço de e-mail associado à sua conta). Se você estiver utilizando um agente autorizado, podemos exigir prova de autorização.
Responderemos a solicitações verificáveis dentro do prazo exigido pela lei aplicável, incluindo:
| Lei | Prazo de Resposta |
|---|---|
| GDPR / UK GDPR | Um mês, prorrogável por até dois meses adicionais para solicitações complexas ou numerosas |
| CCPA / CPRA | 45 dias, prorrogáveis por mais 45 dias quando razoavelmente necessário |
| Outras leis estaduais de privacidade dos EUA | Conforme exigido por cada estatuto (geralmente 45 ou 60 dias) |
| PIPA da Coreia | 10 dias, prorrogáveis por mais 10 dias |
| APPI do Japão | Sem atraso indevido; pretendemos responder em até 30 dias |
| Outras jurisdições | Conforme exigido pela lei aplicável |
Não discriminaremos você por exercer seus direitos.
Se recusarmos uma solicitação, explicaremos o motivo e — quando aplicável — você terá o direito de recorrer da nossa decisão. Para recorrer, responda ao nosso e-mail de resposta em até 60 dias. Se seu recurso for negado, você pode reclamar à sua autoridade supervisora de proteção de dados ou ao procurador-geral.
14. Sinais Do-Not-Track
A maioria dos navegadores oferece um sinal "Do Not Track" (DNT). Como não há interpretação padrão da indústria para sinais DNT, os Serviços atualmente não respondem a sinais DNT. Honramos, no entanto, sinais de opt-out exigidos por lei (por exemplo, o Global Privacy Control / GPC quando aplicável).
15. Avisos de Privacidade do Aplicativo Móvel (App Store / Google Play)
Além desta Política, fazemos divulgações de privacidade por meio dos mecanismos de plataforma exigidos pela Apple e pelo Google:
- Apple App Store privacy nutrition labels e o iOS Privacy Manifest (
PrivacyInfo.xcprivacy) descrevem as categorias de dados que o aplicativo iOS coleta e como ele os utiliza, no formato exigido pela Apple. - Google Play Data Safety form descreve as categorias de dados que o aplicativo Android coleta, compartilha e as práticas de segurança que seguimos, no formato exigido pelo Google.
As divulgações nesses formulários pretendem ser consistentes com esta Política. Em caso de discrepância não intencional entre as divulgações da plataforma e esta Política, esta Política prevalece, e trabalharemos para atualizar as divulgações da plataforma para alinhamento.
16. Links e Serviços de Terceiros
Os Serviços podem conter links para sites ou integrações de terceiros (por exemplo, provedores de identidade, processadores de pagamento, provedores de IA). Esta Política não se aplica a esses terceiros. Recomendamos que você revise as políticas de privacidade deles antes de fornecer suas informações.
17. Alterações nesta Política
Podemos atualizar esta Política de Privacidade periodicamente. A data de "Última atualização" no topo reflete a versão mais recente. Se fizermos alterações materiais, notificaremos você por e-mail ou por meio de aviso visível nos Serviços com pelo menos 14 dias de antecedência da entrada em vigor das alterações (ou antes, quando exigido pela lei aplicável). Alterações materiais que afetem um suboperador também estão sujeitas aos requisitos de aviso da Seção 4.1. O uso continuado dos Serviços após a data de vigência constitui aceitação.
18. Fale Conosco
Para perguntas, solicitações ou reclamações sobre privacidade:
Thetawave AI, Inc. Attn: Privacy E-mail: contact@thetawave.ai Site: https://thetawave.ai
A Thetawave AI tem o compromisso de proteger sua privacidade e ser transparente sobre como tratamos seus dados. Se algo nesta Política não estiver claro, por favor entre em contato — teremos prazer em ajudar.