Politica de Privacidade

O Controlador dos dados pessoais tratados em razao do uso da Plataforma Consylion ("Plataforma") e a Negocios de Alto Valor LTDA, sociedade empresaria limitada inscrita no CNPJ/MF sob o no 48.680.390/0001-14, sediada na Alameda Rio Negro, 503, Sala 2020, Alphaville Centro Industrial e Empresarial, Barueri/SP, CEP 06.454-000, Brasil ("Consylion", "nos").

Esta Politica aplica-se a todos os Titulares que utilizam a Plataforma em qualquer pais da Europa (incluindo Estados-Membros da UE, Reino Unido, Suica e Noruega), Africa, America do Sul e America do Norte. Quando exigido pela legislacao local, o Consylion atua tambem como controlador conjunto ou independente com seus subprocessadores, conforme detalhado na Secao 9.

Para fins do GDPR e do UK GDPR, o ponto de contato de privacidade e o Encarregado de Dados (DPO), acessivel pelos canais da Secao 18. O Consylion oferece servicos transfronteiricos sem estabelecimento principal na UE; sua representacao perante autoridades europeias e feita por meio do DPO designado.

• Dado pessoal: qualquer informacao relacionada a pessoa natural identificada ou identificavel.
• Dado pessoal sensivel: dado relacionado a origem racial ou etnica, conviccao religiosa, opiniao politica, filiacao sindical, dado referente a saude ou a vida sexual, dado genetico ou biometrico, quando vinculado a uma pessoa natural.
• Titular: pessoa natural a quem se referem os dados pessoais.
• Tratamento: toda operacao realizada com dados pessoais, incluindo coleta, armazenamento, acesso, transmissao, modificacao e eliminacao.
• Controlador / Operador (Processador): a quem competem as decisoes referentes ao tratamento (controlador) e quem realiza o tratamento em nome do controlador (operador / processador).

3.1 Dados fornecidos pelo Titular

• Nome completo, e-mail, telefone e pais de residencia.
• Documento de identificacao quando exigido para faturamento (CPF, CNPJ, VAT ID, EIN, tax ID equivalente).
• Endereco postal de cobranca quando aplicavel a emissao de fatura.
• Profissao, area de atuacao e estagio do negocio.
• Respostas a diagnosticos, configuracoes de perfil e preferencias.
• Dados de pagamento (numero do cartao, validade, CVV) processados diretamente pelos gateways certificados PCI-DSS; o Consylion nao armazena dados completos de cartao.

3.2 Dados coletados automaticamente

• Logs de acesso: endereco IP, user agent, paginas acessadas, data e hora.
• Dispositivo: sistema operacional, navegador, tipo de dispositivo e resolucao.
• Uso da Plataforma: aulas concluidas, progresso em trilhas, XP, badges, streaks e tempo de engajamento.
• Geolocalizacao aproximada: derivada do IP para fins de seguranca e localizacao de moeda.
• Cookies e tecnologias similares: conforme Secao 7.

3.3 Dados obtidos de terceiros

• Confirmacao de pagamento pelos gateways (status, ultimos 4 digitos, bandeira).
• Dados publicos de redes sociais quando o Titular interage com nossos canais (LinkedIn, Instagram, Meta) ou opta por login social, se disponivel.
• Identificadores publicitarios e atribuicao de campanha (UTM, fbclid, gclid), quando o Titular acessa a Plataforma a partir de campanhas de marketing.

3.4 Dados sensiveis

O Consylion nao solicita nem coleta intencionalmente dados pessoais sensiveis. Caso o Titular insira voluntariamente tais dados em respostas livres de diagnostico ou suporte, eles serao tratados com nivel reforcado de protecao e poderao ser excluidos a pedido.

• Criar e manter a conta do Titular e autenticar acessos.
• Disponibilizar Conteudo, gerar planos de acao personalizados e medir progresso.
• Processar pagamentos, emitir faturas e cumprir obrigacoes fiscais.
• Comunicar-se com o Titular sobre o servico (transacionais e operacionais).
• Enviar comunicacoes de marketing, mediante consentimento ou interesse legitimo, com direito de opt-out a qualquer tempo.
• Realizar analises estatisticas e melhorar a Plataforma.
• Prevenir fraudes, abusos e violacoes destes Termos e da seguranca.
• Cumprir obrigacoes legais, regulatorias e atender ordens de autoridades competentes.
• Defender direitos em procedimentos administrativos, judiciais ou arbitrais.

O Consylion fundamenta cada tratamento na base legal apropriada conforme a legislacao aplicavel ao Titular:

5.1 UE, EEE, Reino Unido e Suica (GDPR / UK GDPR / nFADP)

• Execucao de contrato (Art. 6(1)(b)) — entrega da Plataforma, faturamento, suporte.
• Obrigacao legal (Art. 6(1)(c)) — escrituracao fiscal, atendimento a autoridades.
• Interesse legitimo (Art. 6(1)(f)) — seguranca, prevencao a fraude, melhoria do servico e marketing direto para clientes ativos, sempre com ponderacao de impacto.
• Consentimento (Art. 6(1)(a)) — cookies nao essenciais, comunicacoes de marketing para nao-clientes, tratamento eventual de dados sensiveis.

5.2 Brasil (LGPD — Lei 13.709/2018)

• Execucao de contrato (Art. 7, V).
• Cumprimento de obrigacao legal (Art. 7, II).
• Legitimo interesse (Art. 7, IX), com Avaliacao de Legitimo Interesse documentada.
• Consentimento (Art. 7, I) para dados sensiveis e marketing nao essencial.
• Exercicio regular de direitos em processo judicial, administrativo ou arbitral (Art. 7, VI).

5.3 EUA (CCPA/CPRA e leis estaduais analogas)

Atuamos como business nos termos do CCPA/CPRA. Nao vendemos dados pessoais e nao compartilhamos dados pessoais para publicidade comportamental cross-context sem opt-in. Residentes da California, Virginia, Colorado, Connecticut, Utah, Texas e outros estados com legislacao analoga podem exercer direitos conforme Secao 13.

5.4 Canada (PIPEDA e leis provinciais)

O tratamento ocorre com consentimento implicito ou explicito, conforme a sensibilidade do dado e o contexto, em linha com o PIPEDA federal e leis provinciais equivalentes, incluindo a Lei 25 do Quebec.

5.5 Africa do Sul, Nigeria, Quenia e demais paises africanos

Bases legais conforme POPIA (Africa do Sul), NDPA (Nigeria, 2023), Data Protection Act 2019 (Quenia) e legislacoes equivalentes, em especial: execucao de contrato, obrigacao legal, interesse legitimo e consentimento.

5.6 Mexico e demais paises latino-americanos

Conforme a LFPDPPP (Mexico), Lei 25.326 (Argentina), Lei 1581/2012 (Colombia), Lei 19.628 (Chile) e demais normas locais. Em todos os casos, o Titular tem direito de acesso, retificacao, cancelamento e oposicao (ARCO ou equivalentes).

A Plataforma utiliza modelos de IA de terceiros para gerar planos personalizados e recomendacoes de Conteudo. Nenhum dado pessoal, resposta de diagnostico ou conteudo inserido pelo Titular e utilizado para treinar, ajustar ou melhorar modelos de IA, sejam proprios ou de terceiros. Os provedores de IA operam sob contratos empresariais que vedam essa utilizacao (zero-retention APIs sempre que disponivel).

As recomendacoes geradas nao produzem efeitos juridicos ou impactam significativamente o Titular de forma automatizada na acepcao do Art. 22 do GDPR ou do Art. 20 da LGPD. Mesmo assim, o Titular pode solicitar revisao humana das recomendacoes pelo canal do DPO.

7.1 Categorias utilizadas

• Essenciais: autenticacao, sessao, balanceamento de carga, prevencao a fraude. Nao requerem consentimento.
• Funcionais: preferencias de idioma, tema e ultima visualizacao.
• Analiticos: medicao agregada de uso (ex.: Google Analytics 4 com IP anonimizado, Plausible ou equivalente).
• Marketing: Meta Pixel, Google Ads, LinkedIn Insight Tag e similares, utilizados apenas mediante consentimento valido.

7.2 Controle pelo Titular

Em jurisdicoes que exigem consentimento previo (UE, Reino Unido, Brasil, entre outras), exibimos banner de consentimento granular. O Titular pode revogar ou alterar suas escolhas a qualquer momento pelo link "Preferencias de cookies" no rodape, alem de configurar seu navegador para bloqueio total. Sinais "Global Privacy Control" (GPC) sao respeitados como opt-out de venda e compartilhamento para residentes dos EUA.

Comunicacoes transacionais (confirmacoes de compra, alertas de seguranca, atualizacoes de servico) sao enviadas independentemente de consentimento de marketing, por serem necessarias a execucao do contrato.

Comunicacoes promocionais por e-mail, SMS, WhatsApp ou push exigem consentimento ou relacao contratual ativa, conforme a jurisdicao. A frequencia pode variar; podem incidir custos de mensageria conforme o provedor do Titular. O Titular pode optar por nao receber tais comunicacoes a qualquer momento por meio do link de descadastro, respondendo "STOP" em mensagens SMS, ou pelo e-mail dpo@consylion.org.

Compartilhamos dados pessoais apenas com subprocessadores submetidos a contratos de tratamento de dados (DPA), Standard Contractual Clauses (quando aplicavel), e auditoria periodica de seguranca:

• Supabase Inc.: banco de dados e autenticacao (regiao primaria: Brasil/EUA).
• Cloudflare, Inc.: CDN, WAF e protecao contra ataques (rede global).
• Vimeo, Inc.: hospedagem e streaming de videos.
• Stripe, Inc., Hotmart, PagSeguro e equivalentes locais: processamento de pagamentos (PCI-DSS Nivel 1).
• Resend / SendGrid: entrega de e-mails transacionais.
• Google Analytics / Plausible: analise agregada de uso.
• Meta, Google Ads, LinkedIn: atribuicao e remarketing, somente com consentimento.
• Provedores de IA empresariais (ex.: OpenAI, Anthropic, Google) sob contratos zero-retention para geracao de planos personalizados.
• Contadores, advogados e auditores sob dever de sigilo profissional.
• Autoridades competentes em cumprimento a ordem legal, com escopo minimo necessario.
• Sucessores em caso de reorganizacao societaria: mantendo as garantias desta Politica.

Nao vendemos dados pessoais a brokers, redes publicitarias ou terceiros para fins comerciais alheios a entrega da Plataforma. A lista atualizada de subprocessadores pode ser solicitada ao DPO.

A natureza global da Plataforma implica transferencias de dados entre paises. Quando o pais de destino nao oferecer nivel de protecao considerado adequado pela autoridade da jurisdicao do Titular, utilizamos salvaguardas reconhecidas:

• UE / EEE: Clausulas Contratuais Padrao (SCCs) da Comissao Europeia 2021/914 e Avaliacao de Impacto de Transferencia (TIA) quando aplicavel.
• Reino Unido: International Data Transfer Agreement (IDTA) ou Addendum as SCCs da UE.
• Suica: SCCs reconhecidas pelo FDPIC.
• Brasil: base autorizativa do Art. 33 da LGPD, com clausulas-padrao da ANPD e/ou garantias contratuais especificas.
• Outros paises: instrumentos equivalentes previstos na legislacao local.

Em todos os casos, aplicamos medidas suplementares (criptografia em transito e em repouso, pseudonimizacao, controle de acesso por funcao). O Titular pode solicitar copia das salvaguardas aplicaveis ao seu caso pelo canal do DPO.

Mantemos dados pessoais apenas pelo tempo necessario para cumprir as finalidades declaradas, observando os seguintes prazos minimos:

• Conta ativa: enquanto durar a relacao contratual.
• Apos cancelamento: 30 dias para exportacao de dados pelo Titular.
• Registros fiscais e contabeis: prazo legal aplicavel (em regra, 5 anos no Brasil, ate 10 anos em paises da UE).
• Logs de seguranca e auditoria: 6 meses, ampliaveis em caso de investigacao em curso (Art. 15 do Marco Civil da Internet, quando aplicavel).
• Defesa em processos: ate o transito em julgado ou extincao do procedimento, mais o prazo prescricional aplicavel.

Findos os prazos, os dados sao eliminados ou anonimizados de forma irreversivel. Mediante solicitacao, o Consylion fornece certificado de eliminacao.

• Criptografia: TLS 1.3 em transito; AES-256-GCM em repouso para dados sensiveis.
• Isolamento multi-tenant: Row Level Security (RLS) ativa em 100% das tabelas sensiveis; dados de um Aluno sao matematicamente inacessiveis para qualquer outro.
• Controle de acesso: principio do menor privilegio, autenticacao multi-fator obrigatoria para a equipe interna.
• Monitoramento: deteccao de anomalias, alertas em tempo real e revisao periodica de logs.
• Resposta a incidentes: plano formal com notificacao a autoridades em ate 72 horas (GDPR/LGPD) e comunicacao ao Titular sempre que houver risco relevante.

Nenhum sistema e 100% seguro. O Titular deve manter suas credenciais sob sigilo, ativar autenticacao de dois fatores e notificar imediatamente qualquer suspeita de acesso indevido pelo e-mail security@consylion.org.

O Titular pode exercer, conforme a legislacao aplicavel:

• Acesso aos dados tratados e confirmacao da existencia de tratamento.
• Retificacao de dados incompletos, inexatos ou desatualizados.
• Eliminacao (direito ao esquecimento), respeitadas obrigacoes legais de retencao.
• Portabilidade em formato estruturado e interoperavel (JSON, CSV).
• Oposicao ao tratamento fundado em interesse legitimo.
• Restricao do tratamento em hipoteses previstas em lei.
• Revogacao de consentimento, sem efeitos retroativos.
• Revisao de decisoes automatizadas, quando aplicavel.
• Nao discriminacao pelo exercicio de direitos (CCPA/CPRA).
• Opt-out de venda / compartilhamento, incluindo via Global Privacy Control (CCPA/CPRA).
• Reclamacao perante autoridade de controle (Secao 17).

Para exercer seus direitos, envie solicitacao para dpo@consylion.org. Responderemos no prazo de 15 dias (LGPD), 30 dias (GDPR/UK GDPR, prorrogaveis por mais 60 dias em casos complexos), 45 dias (CCPA/CPRA, prorrogaveis por mais 45 dias) ou prazo equivalente em sua jurisdicao. Podemos solicitar comprovacao de identidade para evitar atendimento a terceiros nao autorizados.

A Plataforma nao se destina a menores. Nao coletamos intencionalmente dados de criancas abaixo da idade minima de consentimento digital aplicavel: 13 anos nos EUA (COPPA), 13 a 16 anos na UE conforme o pais, 13 anos no Reino Unido, 18 anos na Africa do Sul (POPIA) e demais limites locais. Caso identifiquemos tratamento involuntario de dados de menor, os dados serao excluidos imediatamente. Pais ou responsaveis que identifiquem esta situacao devem nos contatar.

A Plataforma pode conter links para sites e servicos de terceiros, cujas praticas de privacidade nao sao governadas por esta Politica. Recomendamos a leitura das politicas de privacidade de cada terceiro com quem o Titular interagir.

Podemos atualizar esta Politica periodicamente para refletir mudancas no servico, em subprocessadores ou na legislacao aplicavel. Alteracoes materiais serao notificadas com antecedencia minima de 30 dias por e-mail e pela Plataforma. O uso continuado apos o prazo de notificacao constitui aceitacao da versao atualizada. Versoes anteriores estao disponiveis mediante solicitacao ao DPO.

Se considerar que o tratamento de seus dados pessoais viola a legislacao aplicavel, o Titular tem direito de apresentar reclamacao perante a autoridade competente de sua jurisdicao, em especial:

• Brasil: Autoridade Nacional de Protecao de Dados (ANPD) — anpd.gov.br.
• UE / EEE: autoridade nacional de protecao de dados (CNIL na Franca, BfDI na Alemanha, AEPD na Espanha, Garante na Italia, AP na Holanda, DPC na Irlanda, entre outras).
• Reino Unido: Information Commissioner's Office (ICO) — ico.org.uk.
• Suica: Federal Data Protection and Information Commissioner (FDPIC).
• EUA: California Privacy Protection Agency (CPPA), Federal Trade Commission (FTC) e procuradorias estaduais.
• Canada: Office of the Privacy Commissioner (OPC).
• Mexico: INAI.
• Africa do Sul: Information Regulator.
• Nigeria: Nigeria Data Protection Commission (NDPC).
• Quenia: Office of the Data Protection Commissioner (ODPC).
• Demais paises: autoridade nacional competente.

Antes de recorrer a autoridade, encorajamos o Titular a contatar nosso DPO para tentativa de resolucao amigavel.

Para qualquer questao relacionada a esta Politica ou ao tratamento de seus dados:

• Encarregado de Dados (DPO): dpo@consylion.org
• Seguranca: security@consylion.org
• Juridico: legal@consylion.org
• Suporte: team@consylion.org
• Endereco postal: Negocios de Alto Valor LTDA, Alameda Rio Negro, 503, Sala 2020, Alphaville Centro Industrial e Empresarial, Barueri/SP, CEP 06.454-000, Brasil.