Politica de Privacidade
Versao 2.1 — Vigente desde 19/05/2026
Política de Privacidade do Entendo
Versão 2.1 | Vigência: 19 de maio de 2026
Esta Política de Privacidade descreve como a SOZO DATA LTDA. ("Sozo Data", "nós") trata dados pessoais relacionados ao produto Entendo, incluindo o site, a aplicação, integrações, recursos de IA, billing, suporte e rotinas de segurança. Este documento foi estruturado com base na LGPD e em práticas de mercado observadas em provedores SaaS e analytics enterprise, e deve ser lido em conjunto com os Termos de Serviço.
1. Quem somos e quais papéis exercemos
- A Sozo Data é a operadora do produto Entendo e a controladora dos dados de cadastro, autenticação, faturamento, suporte, telemetria, analytics de produto, comunicações de serviço, segurança e compliance relacionados ao uso da plataforma.
- Quando uma organização cliente conecta bancos, planilhas, arquivos, dashboards e demais conteúdos próprios ao Entendo, essa organização normalmente atua como controladora dos dados tratados em seu workspace, e a Sozo Data atua como operadora, processando tais dados conforme as instruções do cliente e a funcionalidade contratada.
- Em situações de prevenção a fraudes, proteção da plataforma, exercício regular de direitos, cumprimento de obrigação legal ou atendimento a autoridades, a Sozo Data pode atuar com autonomia decisória limitada sobre determinados registros técnicos e de segurança.
- Canal de privacidade e exercício de direitos: contato@sozodata.com.
2. Dados pessoais que podemos tratar
2.1 Dados de conta e identidade
- nome, e-mail, senha com hash, foto de perfil, cargo/função quando informado e preferências de idioma;
- papéis globais, vínculos com tenants, projetos, permissões e histórico de aceite de termos e privacidade;
- telefone celular, quando voluntariamente informado pelo titular no perfil — armazenado em formato canônico E.164 e utilizado conforme as finalidades descritas na Seção 4 ("Comunicações ativas e contato comercial"). O titular pode remover o número a qualquer momento, revogando o consentimento de uso para contato.
2.2 Dados de workspace e conteúdo do cliente
- nome da organização, projetos, dashboards, widgets, consultas, mensagens de chat, arquivos enviados, esquemas, dicionários semânticos, links compartilháveis e demais conteúdos inseridos no ambiente;
- metadados de tabelas, colunas, relacionamentos, descrições, embeddings e contexto necessário para gerar respostas analíticas.
2.3 Dados de conexão, integração e infraestrutura
- credenciais de conexão fornecidas pelo cliente, armazenadas de forma criptografada;
- tokens OAuth, status de sync, metadados de conectores e registros técnicos de integração com bancos, Google Sheets e demais fontes suportadas.
2.4 Dados de uso, dispositivo e segurança
- endereço IP, user agent, horários de acesso, sessões, eventos de navegação, cookie técnico de organização selecionada, logs de auditoria, falhas de autenticação e eventos de segurança;
- registros de incidentes, evidências de deleção LGPD, trilhas de aprovação e eventos administrativos.
2.5 Dados relacionados à IA e observabilidade
- prompts, perguntas em linguagem natural, SQL gerado, explicações, validações, alertas, histórico de conversa, consumo estimado de tokens e dados necessários para roteamento entre provedores de IA;
- dados enviados por anexos inline e trechos de contexto selecionados para dar resposta à solicitação do usuário.
2.6 Dados financeiros, fiscais e comerciais
- identificadores de cliente e assinatura em provedor de pagamento, plano ativo, status de cobrança, créditos comprados, elegibilidade de reembolso, datas de renovação e cancelamento;
- dados necessários para emissão fiscal, quando aplicável, nos limites definidos pela legislação e pelas integrações habilitadas.
2.7 Observação importante sobre dados sensíveis
O Entendo não é projetado para incentivar o envio desnecessário de dados pessoais sensíveis. Se a organização cliente optar por tratar dados dessa natureza na plataforma, ela deverá avaliar necessidade, proporcionalidade, base legal, controles de acesso e salvaguardas adicionais.
3. Como coletamos os dados
- diretamente de você, ao criar conta, contratar plano, preencher formulários, enviar prompts, configurar conexões, usar o produto ou acionar suporte;
- de administradores da sua organização, quando eles criam ou gerenciam seu acesso ao workspace;
- de integrações, bancos, planilhas, arquivos e provedores externos conectados ao Entendo sob sua instrução;
- automaticamente, por meio de cookies técnicos, logs, eventos de segurança, analytics de produto e registros operacionais do serviço;
- de parceiros de pagamento, autenticação, IA, hospedagem, analytics, faturamento e comunicação utilizados para operar a plataforma.
4. Finalidades e bases legais
| Finalidade | Exemplos | Base legal principal |
|---|---|---|
| Prestação do serviço | criar conta, autenticar, manter workspace, processar dashboards, consultas, arquivos, conectores e exportações | execução de contrato e procedimentos preliminares |
| Operação de recursos de IA | gerar SQL, narrativas, insights, previsões e respostas contextuais | execução de contrato e interesse legítimo para segurança e melhoria operacional |
| Segurança e prevenção a fraudes | logs, rate limiting, trilhas de auditoria, investigação de abuso, segregação entre tenants | obrigação legal e interesse legítimo |
| Billing, faturamento e fiscal | processar cobranças, emitir notas, gerir cancelamentos e reembolsos | execução de contrato e cumprimento de obrigação legal |
| Suporte e comunicações de serviço | responder chamados, enviar avisos operacionais, reset de senha e notificações administrativas | execução de contrato e interesse legítimo |
| Compliance e direitos do titular | atender pedidos LGPD, exportação, correção, deleção, evidências de retenção | cumprimento de obrigação legal e exercício regular de direitos |
| Analytics e melhoria do produto | medir adoção, performance, funis, estabilidade e uso de funcionalidades | interesse legítimo e, quando exigido, consentimento |
| Comunicações ativas e contato comercial | contato por SMS, WhatsApp ou ligação para suporte ativo, ativação, onboarding, ofertas, conversão e avisos operacionais — apenas quando o titular fornecer voluntariamente o número de celular no perfil | consentimento (LGPD Art. 7º I), específico e revogável a qualquer momento via remoção do telefone no perfil |
5. Como os recursos de IA tratam dados
- Para entregar funcionalidades de analytics conversacional, partes do prompt, do contexto de schema, do histórico recente e da instrução do usuário podem ser enviadas ao provedor de IA selecionado para aquela operação.
- Atualmente, o produto pode operar com OpenAI, Anthropic e Google, em modo gerenciado pela plataforma ou em modo BYOK configurado pelo cliente.
- Quando BYOK estiver habilitado, o uso do provedor externo também se sujeitará aos termos, políticas, limites e práticas desse provedor escolhido pelo cliente.
- A Sozo Data mantém validações de segurança, trilhas de decisão, logs técnicos e controles operacionais para reduzir risco de saída incorreta, uso indevido ou execução insegura.
6. Com quem podemos compartilhar dados
Podemos compartilhar dados pessoais e registros operacionais, na medida do necessário, com:
- provedores de infraestrutura, hospedagem, banco de dados, e-mail, monitoramento e analytics;
- provedores de IA e machine learning usados para responder às solicitações do usuário;
- provedores de pagamento, billing e faturamento fiscal;
- provedores de autenticação, conectores e integrações habilitados pelo cliente;
- consultores, auditores, assessores e parceiros estritamente vinculados à operação, compliance ou defesa de direitos;
- autoridades públicas, reguladores e órgãos competentes, quando houver obrigação legal, ordem válida ou necessidade de proteção jurídica;
- terceiros envolvidos em operação societária legítima, como reorganização, investimento, fusão ou aquisição, com salvaguardas razoáveis.
Não vendemos dados pessoais como modelo de negócio.
7. Transferências internacionais
Alguns operadores e suboperadores utilizados pelo Entendo podem tratar dados fora do Brasil. Nesses casos, adotamos salvaguardas contratuais, técnicas e organizacionais compatíveis com a LGPD e com a criticidade do tratamento, observando a natureza da integração, o país de destino, as cláusulas aplicáveis e os compromissos do fornecedor escolhido.
8. Cookies, sessões e identificadores técnicos
- Cookies e identificadores essenciais: usados para autenticação, segurança da sessão, seleção de organização, prevenção a fraude e operação básica do produto.
- Cookies e eventos de analytics: podem ser utilizados para mensurar performance, adoção de funcionalidades e funis de produto, inclusive com PostHog ou ferramenta equivalente quando configurada. Nesses eventos podemos registrar o texto truncado (primeiros caracteres) das perguntas feitas ao assistente de analytics e metadados operacionais do pedido (tipo de visualização, tempo de resposta, sucesso/erro), exclusivamente para medir qualidade, detectar falhas e evoluir o produto. Esses dados não são usados para treinar modelos de terceiros.
- Você pode bloquear cookies no navegador, mas a desativação de cookies essenciais pode comprometer a autenticação, o acesso ao workspace e funcionalidades relevantes.
9. Retenção, exclusão e anonimização
| Categoria | Regra geral de retenção |
|---|---|
| Dados de conta e contrato | enquanto a conta estiver ativa e, após o encerramento, pelo prazo necessário para obrigações legais, fiscais, antifraude e defesa de direitos |
| Registros de billing e fiscais | pelo prazo exigido pela legislação tributária, contábil e regulatória aplicável |
| Logs de auditoria, segurança e trilhas de IA | pelo prazo necessário para compliance, segurança, prevenção a fraudes e exercício regular de direitos, com pseudonimização sempre que possível |
| Sessões e autenticação operacional | tipicamente até 30 dias, sem prejuízo de retenção adicional estritamente necessária para investigação e segurança |
| Registros mínimos de acesso à aplicação | pelo prazo legal aplicável e conforme obrigações de segurança e conformidade |
| Backups | ciclos temporários de recuperação e continuidade, tipicamente até 90 dias, sujeitos à rotação e descarte seguro |
| Dados do cliente no workspace | enquanto durar a prestação do serviço ou até instrução válida de exclusão, ressalvadas retenções legais e evidências mínimas de segurança/compliance |
Quando um pedido de deleção for executado, podemos excluir, anonimizar, pseudonimizar ou isolar registros conforme a natureza do dado, o papel exercido pela Sozo Data e as obrigações legais que imponham retenção residual.
10. Segurança da informação
Adotamos medidas técnicas e organizacionais compatíveis com o porte e a natureza do serviço, incluindo:
- criptografia em trânsito e controles de armazenamento seguro para credenciais sensíveis;
- hash de senhas, segregação entre tenants, RBAC, trilhas auditáveis e validação de entrada;
- mecanismos de prevenção a abuso, revisão de incidentes e fluxos de resposta a eventos de segurança;
- logs e evidências para governança, billing, LGPD e rastreabilidade de operações críticas.
Nenhuma medida de segurança é absoluta, mas buscamos reduzir risco com abordagem de minimização, monitoramento e melhoria contínua.
11. Seus direitos
Nos termos da LGPD e da legislação aplicável, você pode solicitar, quando cabível:
- confirmação da existência de tratamento e acesso aos seus dados;
- correção de dados incompletos, inexatos ou desatualizados;
- anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
- portabilidade dos dados, observados segredos comercial e industrial e limitações legais;
- informação sobre compartilhamento, revogação de consentimento e oposição quando aplicável;
- revisão humana e esclarecimentos sobre fluxos automatizados, nos limites do produto e da legislação incidente.
Parte dessas solicitações pode ser exercida diretamente na área autenticada /privacy e por rotas de exportação/deleção do produto. Quando a solicitação disser respeito a Dados do Cliente controlados pela sua organização, poderemos direcioná-lo também ao administrador do seu workspace ou ao controlador responsável.
12. Crianças e adolescentes
O Entendo é voltado a uso corporativo e profissional. Não buscamos deliberadamente coletar dados de crianças ou adolescentes para finalidades próprias do produto. Caso identifiquemos tratamento inadequado dessa natureza sob nosso controle direto, adotaremos as medidas cabíveis.
13. Alterações desta Política
Podemos atualizar esta Política para refletir mudanças legais, técnicas, operacionais ou de produto. Quando a mudança for material, poderemos exibir aviso no sistema, atualizar a data de vigência e, quando necessário, solicitar novo aceite.
14. Contato e reclamações
- Canal de privacidade: contato@sozodata.com.
- Canal geral: contato@sozodata.com.
- Se entender que sua solicitação não foi adequadamente atendida, você também poderá buscar os canais da ANPD ou da autoridade competente aplicável.