POLÍTICA DE PRIVACIDADE DA Aoorea

Versão 1.2 — Última atualização: 19 de abril de 2026

1. INTRODUÇÃO

A JT Dev Studio, por meio da Plataforma Aoorea, valoriza a privacidade e a proteção dos dados pessoais de seus Usuários. Esta Política de Privacidade descreve como coletamos, utilizamos, armazenamos e protegemos seus dados, em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais — LGPD) e demais normas aplicáveis.

2. CONTROLADOR DOS DADOS

O controlador responsável pelo tratamento dos dados pessoais é a JT Dev Studio, pessoa jurídica de direito privado, desenvolvedora e operadora da Plataforma Aoorea. A Encarregada pelo Tratamento de Dados Pessoais (DPO), nos termos do Art. 41 da LGPD, é Pricila Callegari, que pode ser contatada pelo e-mail: contato@jtdevstudio.com.br ou telefone (11) 98360-4388.

3. DADOS COLETADOS

3.1. Dados fornecidos pelo Usuário:

• Nome completo, e-mail e senha (no cadastro);
• CPF (para Profissionais — pessoa física);
• CNPJ (para Empresas — pessoa jurídica);
• Telefone/WhatsApp (para contato entre Usuários);
• Dados profissionais: título, bio, cidade, estado, modalidade, valores, experiência;
• Dados empresariais: razão social, CNPJ, descrição, website;
• Links de portfólio;
• Nome de exibição (displayName): nome escolhido pelo Usuário para exibição pública, em substituição ao nome real.

3.2. Dados coletados automaticamente:

• Endereço IP;
• Data e hora de acesso;
• Tipo de navegador e dispositivo (user-agent);
• Páginas visitadas e tempo de permanência;
• Dados de cookies essenciais para funcionamento da sessão.

3.3. Dados de segurança e auditoria:

• Tentativas de login: resultado (sucesso/falha), motivo, endereço IP e dispositivo;
• Registros de rate limiting: chave de identificação, contagem de tentativas e período de bloqueio;
• Logs de auditoria: ação realizada, entidade afetada, data/hora e IP;
• Logs de segurança: eventos críticos (alteração de perfil administrativo, exclusão de conta, exportação de dados);
• Histórico de senhas: hash das últimas 5 senhas, exclusivamente para impedir reutilização;
• Registros de exportação de dados: status, data de solicitação e expiração.

3.4. Dados processados por inteligência artificial:

• Consultas de busca em linguagem natural: processadas pelo provedor Groq (modelo Meta Llama 3.3 70B), sediado nos Estados Unidos, exclusivamente para extração de filtros estruturados de busca. As consultas são cacheadas por 5 minutos na Plataforma e não são armazenadas permanentemente pelo provedor;
• Conteúdo de perfil (títulos, descrições, biografias, URLs): processado pelo mesmo provedor para moderação automatizada de conteúdo, com o objetivo de detectar material impróprio. O conteúdo não é armazenado permanentemente pelo provedor.

3.5. Dados de verificação de segurança (CAPTCHA):

• Dados de interação do navegador (incluindo endereço IP, fingerprint do dispositivo) coletados automaticamente pelo Cloudflare Turnstile (Cloudflare, Inc., Estados Unidos) para proteção contra bots e acesso automatizado. Estes dados são processados nos termos da política de privacidade do Cloudflare.

4. FINALIDADES DO TRATAMENTO

Seus dados são utilizados exclusivamente para:

• Criar e gerenciar sua conta na Plataforma;
• Exibir seu perfil profissional ou empresarial para outros Usuários autenticados;
• Possibilitar o contato entre Usuários interessados em serviços;
• Verificar a identidade do Usuário (validação de CPF/CNPJ);
• Enviar comunicações sobre sua conta e a Plataforma;
• Melhorar a experiência de uso e funcionalidades da Plataforma;
• Cumprir obrigações legais e regulatórias;
• Garantir a segurança da Plataforma e de seus Usuários;
• Gerenciar o período de teste gratuito (7 dias) e a contratação do plano mensal (R$ 10,00/mês), incluindo processamento de pagamentos por meio de operador de pagamento integrado;
• Moderar automaticamente conteúdo publicado na Plataforma, utilizando inteligência artificial, para detectar e impedir publicações com conteúdo impróprio (Art. 7º, IX — legítimo interesse);
• Processar consultas de busca em linguagem natural para extrair filtros estruturados, melhorando a experiência de busca (Art. 7º, V — execução de contrato);
• Cumprir obrigações fiscais e tributárias da JT Dev Studio, incluindo emissão de nota fiscal eletrônica de serviço (NFS-e) referente à assinatura paga (Art. 7º, II — cumprimento de obrigação legal).

5. USO EXCLUSIVO E NÃO COMPARTILHAMENTO

5.1. Seus Dados Pessoais são de uso exclusivo da JT Dev Studio, por meio da Plataforma Aoorea. Não vendemos, alugamos, cedemos, comercializamos ou compartilhamos seus dados com terceiros para quaisquer fins, exceto nas hipóteses expressamente previstas nesta Política.

5.2. Entre Usuários: Dados de perfil são acessíveis a Usuários autenticados. Dados de contato (telefone, e-mail) são apresentados de forma mascarada e sua visualização completa exige verificação de segurança (CAPTCHA) e está sujeita a limite por hora, exclusivamente para fins de conexão profissional.

5.3. Prestadores de serviço essenciais (operadores de dados): Podemos compartilhar dados estritamente necessários com os seguintes prestadores de serviço, sempre mediante contrato com cláusulas de confidencialidade e proteção de dados nos termos da LGPD:

• Vercel Inc. (Estados Unidos, com infraestrutura em São Paulo — GRU1): hospedagem da aplicação web e execução de funções serverless;
• Amazon Web Services — AWS (região sa-east-1, São Paulo, Brasil): armazenamento do banco de dados relacional (RDS MySQL);
• Cloudflare, Inc. (Estados Unidos/global): verificação de segurança CAPTCHA (Turnstile) para proteção contra bots;
• Groq, Inc. (Estados Unidos): processamento de consultas de busca em linguagem natural e moderação automatizada de conteúdo via modelo Meta Llama 3.3 70B;
• Google LLC (Estados Unidos): autenticação via Google OAuth, quando o Usuário optar por este método de login.

5.4. Autoridades competentes e obrigações fiscais: podemos compartilhar dados quando exigido por lei, decisão judicial ou requisição de autoridade competente, nos termos do Art. 7º, II, da LGPD. Especificamente, dados de identificação fiscal (CPF ou CNPJ) e valores pagos pela assinatura mensal são informados à Receita Federal e à autoridade fiscal municipal competente por meio de nota fiscal eletrônica de serviço (NFS-e), em cumprimento à legislação tributária aplicável à JT Dev Studio.

5.5. Em nenhuma hipótese seus dados serão utilizados pela JT Dev Studio para: marketing de terceiros, publicidade direcionada, mineração de dados, venda de informações, perfilamento para fins comerciais externos ou qualquer finalidade não descrita nesta Política.

6. SEGURANÇA DOS DADOS (Art. 46, LGPD)

Implementamos medidas técnicas e organizacionais adequadas para proteger seus dados:

• Criptografia AES-256-GCM para dados sensíveis (CPF, CNPJ, telefone), com suporte a versionamento e rotação de chaves;
• Hash BCrypt com salt de 12 rounds para armazenamento de senhas;
• Prevenção de reutilização de senha: as últimas 5 senhas são armazenadas em hash para impedir reuso;
• Verificação OTP (One-Time Password) para confirmação de e-mail e telefone, com limite de tentativas;
• Proteção contra ataques de força bruta: limite de tentativas de login com bloqueio progressivo (1 min → 5 min → 15 min → 1 hora) e rate limiting em todas as APIs;
• HTTPS/TLS para comunicação segura, com cabeçalhos de segurança HTTP (HSTS, CSP, X-Frame-Options, X-Content-Type-Options, COOP, CORP);
• Acesso a dados de contato restrito a Usuários autenticados, com mascaramento (ex.: (11) 9••••-4388) e revelação sujeita a limite por hora e verificação CAPTCHA (Cloudflare Turnstile);
• Registro em log de auditoria de todas as visualizações de dados de contato completos, com identificação do solicitante;
• Proteção contra scraping: detecção automatizada de padrões de acesso em massa com bloqueio progressivo;
• Registro de tentativas de login (sucesso e falha) com IP, dispositivo e motivo, para detecção de incidentes de segurança;
• Log de segurança imutável para ações administrativas críticas (alteração de roles, exclusão de contas, exportação de dados);
• Circuit breaker e monitoramento de saúde para garantir disponibilidade e resiliência do serviço;
• Registro de aceite de termos com IP, data/hora e user-agent para auditoria;
• Validação de variáveis de ambiente no startup para prevenir falhas de configuração.

7. RETENÇÃO E EXCLUSÃO DE DADOS

7.1. Seus dados são mantidos enquanto sua conta estiver ativa na Plataforma.

7.2. Exclusão de conta: O Usuário pode excluir sua conta a qualquer momento diretamente pela Plataforma. Ao confirmar a exclusão:

• Todos os Dados Pessoais são permanentemente removidos, incluindo: nome, e-mail, telefone, CPF/CNPJ, perfil profissional/empresarial, serviços, portfólio, sessões e tokens;
• A exclusão é imediata e irreversível;
• Não é possível recuperar a conta ou os dados após a exclusão.

7.3. Nos termos do Art. 16 da LGPD, a JT Dev Studio poderá reter, de forma anonimizada:

• Registros de aceite de termos por 5 (cinco) anos, para fins de comprovação legal;
• Logs de acesso por 6 (seis) meses, conforme Marco Civil da Internet (Lei nº 12.965/2014);
• Logs de segurança por 3 (três) anos, para fins de auditoria, compliance e detecção de incidentes;
• Registros de tentativas de login por 90 (noventa) dias, para detecção de ataques e análise de incidentes;
• Logs de auditoria por 365 (trezentos e sessenta e cinco) dias, para rastreabilidade de operações;
• Registros de rate limiting por 15 (quinze) minutos após expiração, para proteção contra ataques automatizados;
• Registros de exportação de dados por 30 (trinta) dias após expiração ou falha, para rastreabilidade.

7.4. Retenção mínima obrigatória (Marco Civil da Internet, Lei nº 12.965/2014, Art. 15): em cumprimento à obrigação legal de guarda de registros de acesso a aplicações de internet, a JT Dev Studio retém, por 180 (cento e oitenta) dias após a exclusão da conta, um registro mínimo de identificação do titular contendo: nome, e-mail, tipo de conta (profissional/empresa), telefone, CPF e CNPJ (estes três últimos armazenados de forma criptografada com AES-256-GCM). Base legal: Art. 16, II da LGPD (cumprimento de obrigação legal). Esses registros são isolados em tabela dedicada (`deleted_user_retention`), indexados por hash (SHA-256) do identificador interno do usuário, acessados exclusivamente para: (a) responder a requisições judiciais conforme Art. 10 §2 do Marco Civil; (b) auditoria de segurança interna. Após 180 dias, o registro é apagado automaticamente pelo Event Scheduler do banco de dados.

8. SEUS DIREITOS (Art. 18, LGPD)

Você tem direito a:

• Confirmar a existência de tratamento de seus dados;
• Acessar seus dados;
• Corrigir dados incompletos, inexatos ou desatualizados;
• Solicitar anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos;
• Portabilidade de dados: exportar todos os seus dados pessoais em formato JSON diretamente pela Plataforma, por meio da funcionalidade "Exportar Meus Dados";
• Obter informação sobre entidades com as quais seus dados foram compartilhados;
• Ser informado sobre a possibilidade de não fornecer consentimento e suas consequências;
• Revogar seu consentimento a qualquer momento;
• Revisão de decisões automatizadas (Art. 20): solicitar revisão humana de qualquer decisão tomada por sistema automatizado, incluindo moderação de conteúdo por inteligência artificial;
• Excluir sua conta e todos os seus dados diretamente pela Plataforma (com opção de exportar dados antes da exclusão).

Para exercer seus direitos, utilize as funcionalidades disponíveis na Plataforma ou entre em contato: contato@jtdevstudio.com.br

9. COOKIES

9.1. Utilizamos apenas cookies essenciais para o funcionamento da sessão de autenticação (NextAuth session token). Estes cookies são estritamente necessários para manter o Usuário autenticado e não requerem consentimento prévio.

9.2. O serviço Cloudflare Turnstile, utilizado para verificação de segurança (CAPTCHA), pode definir cookies próprios necessários ao seu funcionamento. Estes cookies são de responsabilidade da Cloudflare e estão sujeitos à política de privacidade do Cloudflare.

9.3. Não utilizamos cookies de rastreamento, publicidade, analytics ou remarketing de terceiros. Não há Google Analytics, Meta Pixel ou qualquer outro serviço de rastreamento na Plataforma.

10. TRANSFERÊNCIA INTERNACIONAL DE DADOS

10.1. O banco de dados principal da Plataforma está armazenado em território brasileiro (AWS região sa-east-1, São Paulo). Entretanto, para viabilizar funcionalidades essenciais, determinados dados pessoais podem ser transferidos para servidores localizados no exterior, nos seguintes casos:

• Groq, Inc. (Estados Unidos): consultas de busca em linguagem natural e conteúdo de perfil são enviados para processamento por inteligência artificial. Os dados são utilizados exclusivamente para a finalidade solicitada e não são armazenados permanentemente pelo provedor;
• Cloudflare, Inc. (Estados Unidos/rede global): dados de interação do navegador são processados para verificação CAPTCHA (Turnstile);
• Google LLC (Estados Unidos): dados de autenticação, quando o Usuário optar pelo login via Google OAuth;
• Vercel Inc. (Estados Unidos, com execução de código em São Paulo — GRU1): hospedagem e processamento da aplicação web.

10.2. Estas transferências são realizadas com base no Art. 33, IX, da LGPD (transferência necessária para a execução de contrato ou procedimentos preliminares a pedido do titular), e no Art. 33, II (consentimento específico e em destaque do titular, obtido no aceite destes Termos).

10.3. A JT Dev Studio adota medidas técnicas para minimizar a exposição de dados: criptografia em trânsito (TLS), minimização dos dados enviados a cada provedor, e seleção de provedores com políticas de privacidade e segurança compatíveis com a LGPD.

11. ALTERAÇÕES

11.1. Esta Política pode ser atualizada pela JT Dev Studio. Para alterações substanciais que afetem o tratamento de dados pessoais, o Usuário será notificado por e-mail com antecedência mínima de 30 (trinta) dias, devendo manifestar aceite expresso para continuar utilizando a Plataforma.

11.2. Alterações de menor relevância (correções, clarificações) entram em vigor imediatamente após publicação, com notificação na Plataforma.

11.3. Em caso de discordância com as novas condições, o Usuário poderá exportar seus dados e encerrar sua conta sem qualquer ônus.

12. CONTATO

Encarregada pelo Tratamento de Dados Pessoais (DPO): Pricila Callegari

• E-mail: contato@jtdevstudio.com.br
• Telefone: (11) 98360-4388

Para dúvidas, solicitações ou reclamações relacionadas a esta Política, o Usuário pode:

1. Utilizar as funcionalidades de privacidade disponíveis na Plataforma (exportação de dados, exclusão de conta);

2. Entrar em contato com a Encarregada pelo e-mail ou telefone acima;

3. Registrar reclamação no Procon do seu estado ou município;

4. Utilizar a plataforma consumidor.gov.br do Governo Federal;

5. Apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) — www.gov.br/anpd.

Ao utilizar a Aoorea, você declara estar ciente e de acordo com esta Política de Privacidade.