documento legal

Política de Privacidade

versão 1.0.0vigente desde 2026-05-04LGPDGDPRCCPACOPPAAPPIPIPA

1. Quem somos

EchoVerse é um produto da Vorseum, uma plataforma de roleplay narrativo com personagens de inteligência artificial. Esta política descreve como coletamos, usamos, compartilhamos e protegemos seus dados pessoais.

Para qualquer questão relacionada a privacidade, entre em contato com nosso encarregado de proteção de dados (DPO): dpo@echoverse.app.

2. Quais dados coletamos

  • Dados de cadastro: e-mail, nome de exibição, senha (em hash), data de nascimento (para verificação de idade).
  • Dados de uso: histórico de sessões narrativas, mensagens trocadas com personagens, preferências de conteúdo, memórias geradas pelo sistema, status emocional/relacional dos personagens, créditos consumidos.
  • Dados de pagamento: processados pelo provedor (Polar.sh / Stripe / Asaas) — nunca armazenamos número de cartão.
  • Dados técnicos: endereço IP, tipo de dispositivo, versão do app, identificadores anônimos do PostHog para analytics.

3. Por que coletamos e qual a base legal

Tratamos seus dados com base nas seguintes bases legais (LGPD Art. 7; GDPR Art. 6):

  • Execução de contrato: dados de cadastro e uso — necessários para que você acesse o produto que contratou.
  • Cumprimento de obrigação legal: verificação de idade, registro de consentimento, retenção fiscal mínima.
  • Consentimento: envio de e-mails de marketing, analytics não-essenciais, processamento de conteúdo adulto.
  • Legítimo interesse: segurança da plataforma, prevenção de fraude, melhoria do produto.

4. Com quem compartilhamos

Compartilhamos dados estritamente necessários com os seguintes operadores. Todos atuam como processadores de dados, nunca como controladores independentes:

  • OpenAI e Anthropic — geração de respostas dos personagens. Conteúdo de chat é enviado via API. Esses provedores declaram não treinar em dados via API.[REVISAR COM ADVOGADO: confirmar SCCs assinadas com cada provedor antes de entrar em produção comercial]
  • Stripe / Polar.sh / Asaas — processamento de pagamento. Recebem somente o necessário pra cobrar.
  • Sentry — observabilidade de erros. PII é automaticamente filtrada antes do envio.
  • PostHog — analytics de produto. Eventos são identificados por distinct_id anônimo.
  • Resend — envio de e-mail transacional.

Transferências internacionais (OpenAI, Anthropic, Stripe — EUA) são baseadas em Cláusulas Contratuais Padrão (SCCs) conforme GDPR Art. 46 e LGPD Art. 33.

5. Quanto tempo guardamos

  • Conta ativa: dados mantidos enquanto a conta existir.
  • Sessões narrativas e memórias: mantidas enquanto a conta estiver ativa. Você pode deletar individualmente a qualquer momento.
  • Logs de acesso: 90 dias.
  • Dados fiscais (se houve compra): 5 anos (obrigação legal brasileira).
  • Após exclusão de conta: 30 dias para reversão, depois deleção definitiva (exceto dados sob obrigação legal).

6. Seus direitos

Independente da sua jurisdição, você tem os seguintes direitos sobre seus dados pessoais:

  • Acessar e receber cópia dos seus dados (portabilidade)
  • Corrigir dados incorretos ou desatualizados
  • Excluir sua conta e todos os dados associados
  • Restringir o processamento
  • Opor-se a tratamentos com base em legítimo interesse
  • Revogar consentimento a qualquer momento
  • Apresentar reclamação à autoridade competente

Para exercer qualquer direito, acesse Configurações > Privacidade no app, ou envie e-mail para dpo@echoverse.app. Respondemos em até 15 dias úteis (LGPD Art. 19) ou 30 dias (GDPR Art. 12).

7. Disposições por jurisdição

7.1 LGPD (Brasil)

Você tem direito de apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) (anpd.gov.br) caso entenda que seus direitos foram violados.

7.2 GDPR (UE/EEE/UK)

Você tem direito de apresentar reclamação à autoridade supervisora do seu país de residência. Para residentes da UE/EEE, a autoridade irlandesa (DPC) atua como autoridade líder por via de representante. [REVISAR COM ADVOGADO: definir representante GDPR Art. 27 antes do go-live na UE]

7.3 CCPA (Califórnia, EUA)

Residentes da Califórnia têm direito de saber quais dados foram coletados, vendidos ou compartilhados, solicitar deleção, e fazer opt-out de venda/compartilhamento. EchoVerse não vende seus dados pessoais. Para exercer o opt-out de compartilhamento para fins de publicidade comportamental, acesse este link.

7.4 COPPA (EUA)

EchoVerse é destinado a maiores de 18 anos. Não coletamos intencionalmente dados de crianças menores de 13 anos. Se descobrirmos que coletamos dados de menor de 13, deletamos imediatamente. Pais que suspeitem que filhos menores criaram conta podem solicitar deleção via dpo@echoverse.app.

7.5 APPI (Japão) e PIPA (Coreia do Sul)

Para usuários no Japão e Coreia do Sul, transferências internacionais de dados ocorrem com base em consentimento explícito no momento do cadastro. A finalidade do tratamento (geração de respostas pela IA, operação do produto, faturamento) é registrada e auditável.

8. Conteúdo gerado por inteligência artificial

EchoVerse usa modelos de linguagem da OpenAI e da Anthropic para gerar respostas dos personagens. Isso significa que:

  • O conteúdo das suas mensagens é enviado a esses provedores via API.
  • Esses provedores declararam contratualmente não treinar modelos em dados via API empresarial.
  • Respostas geradas pela IA podem conter imprecisões, viés ou conteúdo não intencionalmente ofensivo. Não nos responsabilizamos por declarações específicas de personagens fictícios.
  • Conforme EU AI Act Art. 50, todo conteúdo gerado por IA é marcado como tal — você sempre sabe quando está conversando com um agente de IA, não com uma pessoa real.

9. Conteúdo adulto e proteção de menores

Algumas funcionalidades do EchoVerse permitem conteúdo narrativo adulto. Esses recursos só são desbloqueados após verificação de idade (18+) e adesão explícita ao plano correspondente. Mantemos hard floors absolutos: nunca permitimos representação de menores em contexto adulto, conteúdo de abuso infantil (CSAM) ou incentivo a violência real contra pessoas reais.

10. Segurança

Implementamos medidas técnicas e organizacionais razoáveis para proteger seus dados, incluindo: criptografia em trânsito (TLS 1.3), criptografia em repouso para dados sensíveis, controle de acesso por função, logs de auditoria, monitoramento de incidentes via Sentry e rotação periódica de credenciais.

11. Mudanças nesta política

Quando alguma seção material desta política mudar, notificaremos você por e-mail e dentro do app, com pelo menos 30 dias de antecedência. Versões anteriores ficam arquivadas e acessíveis sob solicitação.

12. Contato

Encarregado de proteção de dados (DPO): dpo@echoverse.app

Vorseum — endereço completo a ser publicado no go-live comercial. [REVISAR COM ADVOGADO: incluir CNPJ e endereço comercial registrado]