Política de Privacidade

Última atualização: 12 de junho de 2026

1. Escopo desta política, quem somos e o que significam os termos

YourFirstAI Inc., sociedade constituída sob a lei federal do Canadá (Canada Business Corporations Act — CBCA), opera no Brasil sob a marca YourAI (yourai.com.br). Somos uma empresa de software de IA que atende empresas (B2B).

Esta política descreve, em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD), como tratamos dados pessoais de visitantes do site público yourai.com.br e de leads que entram em contato conosco. Para os serviços que exigem login (portal de clientes e ferramentas de IA), o tratamento é regido principalmente pelo contrato de serviço firmado com cada cliente — veja a seção 6.

Alguns termos usados nesta política, conforme o Art. 5º da LGPD:

  • Dado pessoal: informação relacionada a pessoa natural identificada ou identificável — inclui nome, e-mail e telefone profissionais (a LGPD não exclui dados de contato corporativo).
  • Titular: você, a pessoa a quem os dados se referem.
  • Controlador: quem decide as finalidades do tratamento. Nos fluxos do site público descritos nesta política, a YourFirstAI Inc. é a controladora.
  • Operador: quem trata dados em nome e segundo as instruções do controlador. É o papel que normalmente exercemos nos serviços contratados por clientes empresariais (seção 6).
  • ANPD: Autoridade Nacional de Proteção de Dados, autoridade brasileira competente.

2. Encarregado pelo tratamento de dados (DPO)

Nosso Encarregado (Art. 41 da LGPD) recebe requisições de titulares e comunicações da ANPD:

  • E-mail do Encarregado: dpo@yourai.com.br
  • Contato geral: contato@yourai.com.br · +55 48 99623-0844

Pedidos de confirmação de tratamento e de acesso aos dados são respondidos imediatamente em formato simplificado ou, por declaração completa, em até 15 dias corridos (Art. 19 da LGPD). Adotamos o mesmo prazo de 15 dias como compromisso interno para os demais direitos. O atendimento é gratuito.

3. Quais dados coletamos no site

  • Formulários de contato e de lead: nome, e-mail, telefone, empresa, cargo e respostas de qualificação comercial (necessidade, orçamento estimado, papel de decisão e prazo — o chamado BANT).
  • Diagnóstico de IA: suas respostas ao questionário e o veredicto e as recomendações gerados automaticamente por IA a partir delas.
  • Chat do site: o conteúdo das mensagens (processado pelo Google Gemini — ver seção 5), além de metadados técnicos: um hash SHA-256 do seu endereço IP (não guardamos o IP em claro), identificador do navegador (user agent), página em que a conversa ocorreu e parâmetros de origem de campanha (UTM).
  • Pesquisas e NPS: suas respostas e a nota atribuída.
  • Agendamento de reuniões (Cal.com): nome, e-mail e horário escolhido.
  • Pagamentos (Stripe) — por exemplo, inscrição em workshops: dados cadastrais e de cobrança. O número do cartão é tratado diretamente pela Stripe; não armazenamos dados de cartão.
  • Busca do blog: os termos pesquisados, para melhorar o conteúdo.
  • Lead score: uma pontuação de prioridade comercial calculada automaticamente a partir dos dados que você forneceu (ver seção 5).
  • Navegação no site: métricas de uso via Google Analytics 4 e Microsoft Clarity, condicionadas ao seu consentimento no banner de cookies (ver seção 8).

4. Para que usamos seus dados e com qual base legal

Cada finalidade tem uma base legal definida antes da coleta (Art. 7º da LGPD):

FinalidadeBase legal
Responder ao seu contato, preparar diagnóstico, agendar reunião, entregar material solicitadoProcedimentos preliminares de contrato, a seu pedido (Art. 7º, V)
Newsletter e comunicações de marketing que você solicitouConsentimento (Art. 7º, I) — descadastro gratuito em 1 clique no rodapé de cada e-mail
Acompanhamento comercial de leads que nos procuraram (incluindo lead score)Legítimo interesse (Art. 7º, IX), com opt-out fácil
Segurança, prevenção a abuso e estabilidade (hash de IP, logs, telemetria de erros)Legítimo interesse (Art. 7º, IX)
Cobrança e retenção fiscal/contábilExecução de contrato (Art. 7º, V) e obrigação legal (Art. 7º, II)
Cookies de analytics (GA4, Clarity)Consentimento (Art. 7º, I), via banner de cookies

Não usamos seus dados para finalidades incompatíveis com as informadas. Se uma nova finalidade surgir, você será informado e, quando a base for consentimento, ele será colhido novamente. Você pode se opor ao tratamento baseado em legítimo interesse a qualquer momento (seção 9).

5. Inteligência artificial no site

Dois recursos do site público envolvem IA sobre os seus dados:

  • Chat do site: as mensagens que você envia são processadas pela API do Google Gemini, em infraestrutura fora do Brasil (ver seção 7). Utilizamos a API em modalidade cujos termos vedam o uso dos conteúdos para treinar os modelos do provedor. Nós também não treinamos modelos de IA com seus dados. O assistente é uma IA — não insira no chat dados sensíveis (saúde, biometria etc.), documentos de terceiros, senhas ou dados financeiros.
  • Resultados automatizados: o diagnóstico de IA (veredicto e recomendações a partir das suas respostas) e o lead score (pontuação de prioridade comercial a partir dos dados de qualificação que você forneceu) são gerados de forma automatizada. Nenhum deles usa atributos sensíveis nem produz, sozinho, efeito de exclusão ou tratamento discriminatório — o contato comercial é sempre conduzido por pessoas.

Direito de revisão (Art. 20): você pode solicitar a revisão de decisões automatizadas que afetem seus interesses, bem como informações claras sobre os critérios utilizados, escrevendo para dpo@yourai.com.br. A revisão inclui avaliação humana mediante solicitação.

6. Serviços autenticados (Portal e ferramentas)

O portal de clientes e as ferramentas de IA da YourAI (como análise de imagens, extração de documentos, diário de obras e staging virtual) exigem login e são disponibilizados no âmbito de contratos com clientes empresariais. Nesses casos, o tratamento de dados pessoais é regido pelo contrato de serviço e pelo acordo de tratamento de dados (DPA) firmado com cada cliente — em muitos deles, a YourAI atua como operadora, por conta e segundo as instruções do cliente, que é o controlador dos dados e responde pela base legal e pela própria política de privacidade.

Se você usa uma dessas ferramentas como colaborador ou usuário final de um cliente nosso, a política de privacidade aplicável é, em regra, a do cliente contratante. Requisições de titulares recebidas por nós nesses contextos são encaminhadas ao cliente controlador, a quem prestamos assistência. Para entender o regime aplicável ao seu caso, escreva para dpo@yourai.com.br.

7. Com quem compartilhamos dados — e a transferência internacional

Não vendemos dados pessoais e nenhum fornecedor tem direito de uso secundário sobre eles. Compartilhamos dados apenas com fornecedores necessários ao serviço. Nossa infraestrutura é processada fora do Brasil, majoritariamente nos Estados Unidos — cada fluxo é, portanto, uma transferência internacional de dados (Art. 33 da LGPD e Resolução CD/ANPD nº 19/2024). Contratamos fornecedores que disponibilizam adendos de proteção de dados (DPAs) e cláusulas contratuais compatíveis com esses mecanismos, e aderimos aos adendos disponibilizados por cada um. Mantemos registro do fundamento aplicável a cada fluxo; onde um adendo ainda não incorporar as cláusulas-padrão brasileiras, documentamos o fundamento alternativo do Art. 33 e o plano de adequação.

FornecedorFinalidadePaísSalvaguarda
SupabaseBanco de dados, armazenamento e autenticaçãoEUADPA do fornecedor (Art. 33)
Google (Gemini)Processamento de IA (chat do site)EUADPA/termos de API do fornecedor, sem uso dos conteúdos para treino de modelos
ResendEnvio de e-mailsEUADPA do fornecedor (Art. 33)
StripeProcessamento de pagamentosEUANecessidade para execução do contrato (Art. 33, IX) + DPA do fornecedor
Cal.comAgendamento de reuniões a seu pedidoEUANecessidade para procedimentos preliminares (Art. 33, IX) + DPA do fornecedor
CloudflareCDN, hospedagem e proteção do siteEUADPA do fornecedor (somente metadados de tráfego)
SentryMonitoramento de erros técnicosEUADPA do fornecedor (Art. 33)
Microsoft ClarityAnalytics de comportamento no siteEUATermos Microsoft + carregado somente após seu consentimento de cookies
Meta (WhatsApp)Atendimento por WhatsApp iniciado por vocêEUATermos de tratamento da Meta

Dados também podem ser compartilhados quando exigido por lei ou por autoridade competente, no limite da exigência.

8. Cookies e tecnologias de rastreamento

  • Essenciais: sessão, segurança e funcionamento do site (incluindo o registro da sua escolha de cookies) — não exigem consentimento.
  • Google Analytics 4: opera em modo de consentimento — antes do seu aceite no banner, não armazena cookies de analytics nem identificadores persistentes da sua navegação.
  • Microsoft Clarity: registra a reprodução da sessão de navegação (session replay) — por isso, só é carregado depois do seu aceite no banner.

O banner oferece aceitar e recusar com a mesma facilidade, sem caixas pré-marcadas, e registra a sua escolha no navegador. Para alterar a escolha, limpe os dados deste site no seu navegador (o banner será exibido novamente) ou escreva para dpo@yourai.com.br.

9. Seus direitos como titular (Art. 18 da LGPD)

Você pode, a qualquer momento e gratuitamente, solicitar:

  • Confirmação da existência de tratamento dos seus dados;
  • Acesso aos dados;
  • Correção de dados incompletos, inexatos ou desatualizados;
  • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
  • Portabilidade dos dados, observada a regulamentação da ANPD;
  • Eliminação dos dados tratados com consentimento, salvo as retenções legais;
  • Informação sobre com quem compartilhamos seus dados;
  • Informação sobre a possibilidade de não consentir e as consequências da negativa;
  • Revogação do consentimento, por procedimento gratuito e facilitado;
  • Oposição ao tratamento baseado em legítimo interesse.

Além desses, você pode solicitar a revisão de decisões automatizadas que afetem seus interesses (Art. 20 — ver seção 5) e, caso entenda que sua requisição não foi atendida, peticionar diretamente à ANPD (Art. 18, §1º). Encaminhe pedidos para dpo@yourai.com.br; respondemos no prazo da seção 2.

10. Por quanto tempo guardamos seus dados

Retemos dados pessoais pelo tempo necessário às finalidades informadas e aos prazos legais aplicáveis. Quando a finalidade se esgota — ou mediante sua solicitação de eliminação —, os dados são eliminados ou anonimizados, ressalvadas as hipóteses de conservação do Art. 16 da LGPD (como obrigação legal ou exercício regular de direitos). Os critérios por categoria:

CategoriaCritério de retenção
Leads e contatos comerciais (formulários, diagnóstico, lead score)Enquanto durar o relacionamento ou o interesse comercial legítimo; eliminados ou anonimizados mediante solicitação ou quando a finalidade se esgotar
Conversas do chat do site (mensagens e metadados)Pelo tempo necessário ao atendimento, à melhoria do serviço e à segurança; eliminação mediante solicitação
Clientes (dados contratuais e de faturamento)Vigência do contrato, acrescida dos prazos legais fiscais/contábeis e de exercício regular de direitos
Pesquisas e NPSEnquanto úteis à finalidade de melhoria; preferimos análise em forma agregada
Logs técnicos e registros de segurançaPeríodo limitado, necessário à segurança e ao diagnóstico de problemas
Registros de consentimentoEnquanto durar o tratamento, acrescido do prazo de prova (ônus do controlador, Art. 8º, §2º)

Cópias de segurança (backups) são mantidas pela infraestrutura em ciclo próprio e expiram em janela limitada após a eliminação dos dados originais.

11. Segurança da informação

Adotamos medidas técnicas e administrativas proporcionais ao risco (Arts. 46 e 47 da LGPD), desde a concepção dos produtos:

  • Criptografia em trânsito (HTTPS/TLS) em todo o site e APIs;
  • Criptografia em repouso na infraestrutura do provedor de banco de dados;
  • Isolamento de dados por políticas de acesso em nível de linha (Row Level Security);
  • Armazenamento do endereço IP do chat apenas como hash SHA-256, sem o valor original;
  • Princípio do menor privilégio nas credenciais, com chaves de API mantidas fora do código e do navegador.

12. Incidentes de segurança

Seguimos o Art. 48 da LGPD e a Resolução CD/ANPD nº 15/2024: incidentes de segurança envolvendo dados pessoais são registrados internamente (registro mantido por no mínimo 5 anos) e avaliados quanto a risco ou dano relevante aos titulares. Quando o incidente puder acarretar risco ou dano relevante, comunicamos a ANPD em até 3 dias úteis do conhecimento e os titulares afetados, em linguagem simples e direta, informando a natureza dos dados envolvidos, os riscos e as medidas adotadas. Quando atuamos como operadora, notificamos imediatamente o cliente controlador para que ele cumpra os próprios prazos.

13. Crianças e adolescentes

Nossos serviços são B2B e não são destinados a menores de 18 anos. Não coletamos intencionalmente dados de crianças ou adolescentes (Art. 14 da LGPD). Se identificarmos que dados de menor de idade foram coletados sem o consentimento de um dos pais ou responsável, eles serão eliminados. Se você acredita que isso ocorreu, contate dpo@yourai.com.br.

14. Alterações desta política e idioma

Esta política pode ser atualizada para refletir mudanças nos serviços ou na legislação. A data da última atualização aparece no topo da página. Mudanças relevantes — novas finalidades, novos compartilhamentos ou alterações nas garantias de transferência internacional — serão comunicadas com destaque no site ou por e-mail e, quando a base for consentimento, ele será colhido novamente.

Esta política é publicada em português (Brasil). Traduções eventualmente disponibilizadas têm caráter informativo; em caso de divergência, prevalece a versão em português.

15. Legislação aplicável e jurisdição

A YourFirstAI Inc. está sujeita a dupla jurisdição: à LGPD (Lei nº 13.709/2018), para o tratamento de dados realizado no Brasil ou dirigido a titulares no Brasil, e ao PIPEDA (Personal Information Protection and Electronic Documents Act), lei federal canadense, para fluxos com nexo com o Canadá. Para titulares de dados no Brasil, prevalece a LGPD, e a ANPD é a autoridade competente, sem prejuízo dos direitos previstos no Código de Defesa do Consumidor e na legislação brasileira aplicável.