Política de Privacidade
1. Âmbito
Esta Política de Privacidade descreve como tratamos os dados pessoais quando você cria
uma conta, compra créditos, envia conteúdo para análise, recebe relatórios gerados ou
interage de outra forma com o serviço em dickpicpro.com (o «Serviço»). Aplica-se
a todas as variantes do nosso produto — o Model Tool (B2C), o Agency Tool (B2B) e
a API (B2B).
Esta Política não abrange sites, serviços ou plataformas de terceiros que criem links para o nosso Serviço ou se integrem a ele. Suas interações com esses terceiros são regidas pelas políticas de privacidade próprias deles.
2. Jurisdição
O Serviço é operado a partir de the Republic of Cyprus e a Sociedade está sujeita às leis da República de Chipre e à legislação aplicável da União Europeia, incluindo o Regulamento Geral sobre a Proteção de Dados (Regulamento (UE) 2016/679, «RGPD»). Para questões relativas ao tratamento de dados pessoais, o RGPD se aplica a todos os titulares dos dados, independentemente de sua localização.
O uso do Serviço está sujeito à legislação local aplicável na jurisdição do usuário. Os usuários são responsáveis pelo cumprimento das leis do seu próprio país, incluindo, quando aplicável, as restrições ao tipo de conteúdo que pode ser tratado por meio do Serviço.
3. Nossa função — divisão entre operação do Serviço e tratamento de conteúdo
Operamos sob um modelo de «função dividida» que reflete como o Serviço realmente funciona:
3.1 Operação do Serviço — somos o responsável pelo tratamento
Para os dados de que precisamos para operar o próprio Serviço, somos o responsável pelo tratamento. Nós decidimos as finalidades e os meios de tratamento desses dados:
- Dados de conta (e-mail, hash da senha, nome de exibição, identificadores de conta);
- Registros de faturamento e de saldo de créditos;
- Dados de autenticação e segurança (sessões, tentativas de login, logs de auditoria);
- Registros de aceitação das Condições Gerais do Serviço.
3.2 Tratamento de conteúdo — somos o subcontratante
Para o conteúdo que você envia e os relatórios que geramos a partir dele, atuamos como subcontratante em seu nome. Você determina o que enviar, qual prompt aplicar, qual modelo usar e (para clientes Agency / API) em nome de quem a análise é realizada. Tratamos esse conteúdo estritamente conforme suas instruções, expressas por meio do seu uso da interface do Serviço ou da API.
Isso se aplica de maneira uniforme a todos os produtos:
- Model Tool — você nos instrui por meio do formulário de upload, do seletor de prompt e do seletor de modelo.
- Agency Tool — a agência nos instrui pela mesma interface, além da seleção de model. A agência, e não nós, tem a relação com a pessoa retratada e é responsável por obter o consentimento.
- API — o cliente da API nos instrui por meio de parâmetros da API e é responsável por obter o consentimento das pessoas retratadas em seu próprio produto.
A aceitação das Condições Gerais do Serviço incorpora o nosso Acordo de Tratamento de Dados, que formaliza a relação de subcontratação e suas responsabilidades como responsável pelo tratamento do conteúdo enviado.
4. O que NÃO fazemos com seu conteúdo
Estes são compromissos firmes — são um elemento central do nosso funcionamento, não opções de exclusão facultativas:
- Não treinamos modelos de IA com o conteúdo que você envia. Nosso pipeline de análise é de inferência sem estado; as imagens enviadas não são adicionadas a nenhum conjunto de dados de treinamento.
- Não criamos perfis de usuários. Não construímos perfis de comportamento ou de interesses a partir do seu uso. Não executamos análises que vinculem sua atividade a categorias de publicidade ou marketing.
- Não vendemos informações pessoais. Não compartilhamos dados pessoais para publicidade comportamental de contexto cruzado.
- Não combinamos dados entre usuários. Sua conta e suas análises são isoladas; não há agregação entre contas que vincule seus dados aos dados de outros usuários.
- Não identificamos as pessoas retratadas. A análise descreve o conteúdo visível das imagens enviadas; não realiza reconhecimento facial, correspondência biométrica ou qualquer outra identificação das pessoas retratadas. O PDF gerado não contém características biométricas nem identificadores persistentes dos indivíduos.
- Não exibimos publicidade. O Serviço não integra nenhuma rede de anúncios.
5. Quais dados tratamos e por quanto tempo os mantemos
5.1 Dados de conta — âmbito de responsável pelo tratamento
- Endereço de e-mail (obrigatório para login)
- Senha — armazenada apenas como um hash bcrypt com salt; nunca armazenamos texto simples
- Nome de exibição (opcional, escolhido pelo usuário)
- Identificadores de conta, sinalizadores de status, marcações de data e hora
- Registros de aceitação das Condições Gerais do Serviço (marcação de data e hora, versão, IP)
- Instantâneo de aquisição de marketing (opcional) — se você chegou por meio de um link de marketing com parâmetros UTM, ou de um site externo, capturamos as tags de campanha e o site de referência na primeira visita. Esse instantâneo é congelado no momento do registro e é usado exclusivamente para medir quais canais de marketing trazem usuários ao serviço. Consulte o § 5.1.1 abaixo.
Conservados durante a vida útil da sua conta; excluídos de forma reversível no encerramento da conta, com um período de carência de 30 dias durante o qual a exclusão pode ser revertida; depois excluídos definitivamente, com os registros de faturamento conservados conforme exigido por lei (ver § 5.4).
5.1.1 Instantâneo de aquisição de marketing
Quando você chega ao serviço pela primeira vez, podemos capturar um pequeno conjunto de sinais técnicos relacionados à sua origem:
-
Parâmetros UTM da query string da URL
(
utm_source,utm_medium,utm_campaign,utm_term,utm_content) — são tags que anexamos aos nossos próprios links de marketing para medir o desempenho das campanhas. - Cabeçalho HTTP Referer enviado pelo seu navegador, mas apenas se apontar para um site externo (a navegação interna dentro do nosso próprio serviço não é armazenada).
- A página em que você chegou primeiro dentro do nosso serviço (apenas o caminho, sem query string).
- A marcação de data e hora da primeira captura.
Se você registrar uma conta, esse instantâneo é anexado à sua conta como um único registro congelado — nunca é atualizado por visitas ou ações posteriores. Se você não se registrar, o instantâneo permanece apenas na sessão do seu navegador e é descartado automaticamente quando a sessão expira (após 7 dias).
Finalidade: análise de atribuição — entender quais canais de marketing levam a registros. Não usamos esses dados para publicidade direcionada, criação de perfis ou qualquer decisão que afete você como usuário.
Conservação: durante a vida útil da conta; excluídos junto com a conta na purga definitiva.
Exclusão (opt-out): não capturamos isso se não houver parâmetros UTM
presentes e o site de referência estiver vazio ou corresponder ao nosso próprio
domínio. Você também pode impedir totalmente a captura configurando seu
navegador para não enviar o cabeçalho Referer, ou visitando
o serviço diretamente sem clicar em um link de marketing.
5.2 Conteúdo enviado (imagens) — âmbito de subcontratante
As imagens que você envia para análise são tratadas de forma transitória:
- Encaminhadas ao nosso serviço de análise para processamento por IA
- Analisadas e o resultado devolvido ao pipeline de geração
- Excluídas do pipeline de processamento imediatamente após a análise — não conservamos as imagens brutas enviadas em repouso
5.3 Conteúdo gerado (relatórios PDF) — âmbito de subcontratante
O relatório PDF que geramos a partir da sua análise é armazenado em armazenamento de objetos na nuvem por um período de conservação que depende do seu pacote ativo:
| Produto / pacote | Conservação do PDF |
|---|---|
| Model Tool — pacote One-time | 7 dias |
| Model Tool — Starter Branding Pack | 14 dias |
| Agency Tool (todos os pacotes) | 30 dias |
| API | Conforme o contrato do cliente da API; mínimo por padrão |
Após a expiração, o PDF é excluído automaticamente do armazenamento e a linha de metadados de análise correspondente é removida do nosso banco de dados. Você também pode excluir uma análise específica a qualquer momento antes da expiração por meio da visualização «Recent Analyses» no seu painel (o PDF, a miniatura de pré-visualização e todos os dados operacionais relacionados são removidos; os registros financeiros são conservados conforme descrito na seção 5.4).
5.4 Registros de faturamento e operacionais — âmbito de responsável pelo tratamento
| Categoria | Finalidade | Conservação |
|---|---|---|
| Livro-razão de saldo de créditos e registros de transações | Conformidade fiscal e contábil | Até 7 anos; não identificativo após a exclusão definitiva da conta |
| Logs de auditoria (eventos de conta, aceitação dos ToS) | Segurança, prevenção de fraudes, comprovação de consentimento e aceitação | Até 12 meses |
| Logs de chamadas à API (para clientes da API) | Operar a API; faturamento baseado em uso; solução de problemas de integração | Vinculado ao direito do cliente (expiração do lote do Simple Pack ou fim do contrato Production) mais 30 dias de carência |
| Logs de entrega de webhooks | Diagnosticar falhas de entrega; lógica de reenvio | 30 dias |
| Metadados de análise malsucedida | Permitir que o usuário veja e repita a análise malsucedida | 24 horas |
| Dados de orquestração operacional (pareamento de fallback) | Monitoramento interno de qualidade; análise de desempenho dos modelos | Linha completa por 7 dias; apenas contagens agregadas depois (sem dados pessoais) |
| Alertas operacionais | Monitoramento interno | 90 dias |
| Chaves de API (quando não utilizadas) | Segurança da conta — exclusão automática de credenciais inativas | Excluídas automaticamente após 90 dias de inatividade (ver Condições Gerais do Serviço, § 10) |
6. Compartilhamento e subcontratantes ulteriores
Não vendemos informações pessoais. Não compartilhamos seus dados pessoais para publicidade comportamental de contexto cruzado. Compartilhamos dados pessoais apenas nos seguintes casos limitados:
- Subcontratantes ulteriores que fornecem infraestrutura (armazenamento de objetos, processamento de pagamentos, e-mail transacional, assinatura eletrônica) e estão vinculados a termos adequados de confidencialidade e proteção de dados. Nossa lista atual e planejada de subcontratantes ulteriores é publicada em /legal/subprocessors.
- Conformidade legal — quando somos obrigados por processo legal válido a divulgar dados, ou quando acreditamos de boa-fé que a divulgação é necessária para proteger direitos, a segurança, ou para cumprir leis de comunicação obrigatória. Isso inclui a cooperação voluntária na detecção e comunicação de aparente material de abuso sexual infantil no âmbito do Regulamento (UE) 2021/1232, incluindo comunicações a centrais designadas como o National Center for Missing & Exploited Children (NCMEC) e membros da rede INHOPE.
- Transferência empresarial — em caso de fusão, aquisição ou venda de ativos, os dados pessoais podem ser transferidos à entidade sucessora, que ficará vinculada a termos substancialmente equivalentes a esta Política.
7. Transferências internacionais de dados
Tratamos os dados pessoais principalmente dentro da União Europeia. Nossa infraestrutura é operada a partir de the Republic of Cyprus, e nosso subcontratante ulterior de armazenamento de objetos está configurado para armazenar dados em regiões da UE. Alguns serviços operacionais podem ser fornecidos por subcontratantes ulteriores sediados fora do Espaço Econômico Europeu (EEE); as regiões estão listadas em /legal/subprocessors.
Quando dados pessoais são transferidos para subcontratantes ulteriores fora do EEE, as transferências são regidas pelas Cláusulas Contratuais-Tipo da Comissão Europeia (Decisão (UE) 2021/914) ou por outro mecanismo de transferência lícito nos termos do Capítulo V do RGPD. Informações adicionais para Clientes que atuam como responsáveis pelo tratamento estão descritas no nosso Acordo de Tratamento de Dados.
Se você acessar o Serviço de fora da União Europeia, seus dados pessoais serão transferidos para a UE e tratados dentro dela. Ao usar o Serviço de fora da UE, você reconhece que as leis de proteção de dados da União Europeia podem diferir das da sua jurisdição.
8. Seus direitos
Sujeito à verificação de identidade e às exceções aplicáveis nos termos do RGPD, você tem os seguintes direitos em relação aos seus dados pessoais:
- Acesso — solicitar uma cópia dos dados pessoais que mantemos sobre você (art. 15).
- Retificação — solicitar a correção de dados inexatos ou incompletos (art. 16).
- Apagamento — solicitar a exclusão da sua conta ou de análises individuais (art. 17). Exclusão da conta: período de carência de 30 dias seguido da exclusão definitiva dos campos de conta que identificam pessoalmente. Análises individuais: removíveis sob demanda pela visualização «Recent Analyses» no seu painel. Os registros de faturamento não identificativos são conservados conforme exigido por lei.
- Limitação do tratamento (art. 18).
- Portabilidade — solicitar uma cópia dos seus dados em formato portátil, quando aplicável (art. 20).
- Oposição — opor-se ao tratamento baseado em interesses legítimos (art. 21).
- Retirada do consentimento — quando o tratamento se baseia no consentimento, você pode retirá-lo a qualquer momento (art. 7.3).
- Direito de não ficar sujeito a decisões automatizadas que produzam efeitos jurídicos ou similarmente significativos (art. 22) — atualmente não realizamos esse tipo de tomada de decisão.
- Quando atuamos como subcontratante (para o tratamento de conteúdo), as solicitações de direitos devem ser dirigidas principalmente ao seu responsável pelo tratamento (para usuários de Agency — sua agência; para usuários de um integrador de API — esse integrador); nós os auxiliaremos na resposta. Consulte /legal/gdpr para o quadro completo do RGPD.
Para exercer esses direitos, entre em contato conosco pelo canal indicado na seção 12. Podemos precisar verificar sua identidade antes de responder. Responderemos no prazo de 30 dias a contar de uma solicitação verificável, com uma prorrogação de até mais dois meses para solicitações complexas, quando permitido pelo art. 12.3 do RGPD (com aviso dentro do primeiro mês).
9. Segurança
Implementamos medidas organizacionais e técnicas destinadas a proteger seus dados, incluindo criptografia TLS em trânsito, hashing de senhas, controles de acesso, infraestrutura segura e minimização dos dados armazenados por meio do processamento transitório de imagens. Todos os detalhes estão em /legal/security.
Nenhum sistema pode garantir segurança absoluta. Em caso de incidente de segurança que afete seus dados pessoais, responderemos prontamente e notificaremos a autoridade de controle competente e os usuários afetados quando exigido pelos arts. 33 e 34 do RGPD.
10. Privacidade das crianças
O Serviço é oferecido exclusivamente a adultos com 18 anos ou mais. Não permitimos, de forma consciente, que menores usem o Serviço ou apareçam como indivíduos retratados no material enviado. Ao criar uma conta, você declara ter pelo menos 18 anos. Se tomarmos conhecimento de que uma conta foi criada por um menor ou de que o conteúdo enviado retrata um menor, suspenderemos a conta, excluiremos o conteúdo, cooperaremos com as autoridades policiais de Chipre e as autoridades competentes, e comunicaremos aparente material de abuso sexual infantil a centrais designadas (como o NCMEC e membros da rede INHOPE) de forma voluntária, no âmbito do Regulamento (UE) 2021/1232.
Preocupações relativas a suspeita de envolvimento de menores devem ser comunicadas imediatamente pelo canal de contato indicado na seção 12.
11. Alterações a esta Política
Podemos atualizar esta Política de tempos em tempos. Alterações substanciais serão comunicadas por meio do Serviço (notificação em banner ou e-mail aos usuários registrados) e a data «Última atualização» no topo será revisada. O uso continuado do Serviço após a data de entrada em vigor de uma Política atualizada constitui aceitação da Política atualizada.
12. Contato
Para questões de privacidade ou para exercer seus direitos, entre em contato conosco por:
- Formulário web: /contact
- E-mail: [email protected]
- Correio postal: [YOUR CYPRUS LTD LEGAL NAME], A/C: Privacidade, [YOUR MAILING ADDRESS LINE 1], [POSTAL CODE] [CITY], Cyprus.
Você também tem o direito de apresentar reclamação à autoridade de controle nacional de proteção de dados do seu país. A autoridade de controle da Sociedade é a Cyprus Data Protection Commissioner (https://www.dataprotection.gov.cy). Consulte /legal/gdpr, § 8, para detalhes.