Política de Privacidade
Sobre esta política
Esta Política de Privacidade descreve como a Transcriwise Tecnologia Ltda. coleta, utiliza, compartilha e protege dados pessoais dos usuarios de seus serviços de transcrição de audio e inteligencia artificial. Esta politica esta em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei n. 13.709/2018) e com o Regulamento Geral sobre a Proteção de Dados (GDPR — Regulamento UE 2016/679).
1. Controlador de Dados
| Informação | Detalhe |
|---|---|
| Razão Social | Transcriwise Tecnologia Ltda. |
| CNPJ | Informado mediante solicitação comercial verificada ou em instrumento contratual aplicavel. |
| Endereço | Endereço corporativo informado mediante solicitação verificada ou em instrumento contratual aplicavel. |
| E-mail de contato geral | contato@transcriwise.com |
| E-mail para questões de privacidade | privacy@transcriwise.com |
| Encarregado de Proteção de Dados (DPO) | Nicholas Jacob |
| E-mail do DPO | dpo@transcriwise.com |
| Telefone do DPO | Canal telefonico dedicado não divulgado nesta versão; utilize dpo@transcriwise.com ou privacy@transcriwise.com. |
| Website | https://transcriwise.io |
O Controlador e responsavel pelas decisões referentes ao tratamento de dados pessoais descritos nesta Politica.
2. Definições
Para fins desta Politica de Privacidade, adotam-se as seguintes definições, em conformidade com o Art. 5 da LGPD e o Art. 4 do GDPR:
| Termo | Definição |
|---|---|
| Dado Pessoal | Informação relacionada a pessoa natural identificada ou identificavel (Art. 5, I da LGPD; Art. 4(1) do GDPR). |
| Dado Pessoal Sensivel | Dado pessoal sobre origem racial ou etnica, convicção religiosa, opinião politica, filiação a sindicato ou a organização de carater religioso, filosofico ou politico, dado referente a saude ou a vida sexual, dado genetico ou biometrico, quando vinculado a uma pessoa natural (Art. 5, II da LGPD; Art. 9 do GDPR). |
| Titular | Pessoa natural a quem se referem os dados pessoais. |
| Controlador | Pessoa natural ou juridica a quem competem as decisões referentes ao tratamento de dados pessoais. Nesta Politica, o Controlador e a Transcriwise. |
| Operador | Pessoa natural ou juridica que realiza o tratamento de dados pessoais em nome do Controlador (processadores terceiros). |
| Tratamento | Toda operação realizada com dados pessoais (coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferencia, difusão ou extração). |
| Consentimento | Manifestação livre, informada e inequivoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. |
| ANPD | Autoridade Nacional de Proteção de Dados — orgão da administração publica responsavel por fiscalizar o cumprimento da LGPD. |
| DSAR | Data Subject Access Request — solicitação de exercicio de direitos pelo titular de dados. |
| Biometria de Voz | Caracteristicas vocais unicas de uma pessoa que podem ser utilizadas para identificação, incluindo padrões de frequencia, timbre e cadencia de fala. |
| ASR | Automatic Speech Recognition — reconhecimento automatico de fala; tecnologia que converte audio em texto. |
| LLM | Large Language Model — modelo de linguagem de grande escala utilizado para processamento de linguagem natural. |
| Diarização | Processo de identificação e segmentação de diferentes falantes em um audio. |
3. Dados Pessoais Coletados
A Transcriwise coleta e trata as seguintes categorias de dados pessoais:
3.1 Dados Fornecidos Diretamente pelo Titular
| Categoria | Dados Especificos | Obrigatorio | Finalidade Principal |
|---|---|---|---|
| Dados de cadastro | Nome completo, endereço de e-mail, senha (armazenada como hash criptografico) | Sim | Criação e gestão da conta |
| Dados de organização | Nome da organização, cargo/função | Não | Gestão de equipes e controle de acesso |
| Preferencias de perfil | Idioma preferido, fuso horario, preferencias de notificação | Não | Personalização da experiencia |
| Dados de pagamento | Nome do titular do cartão, e-mail de cobrança, endereço de cobrança | Sim (planos pagos) | Processamento de pagamentos |
| Conteudo de audio/video | Arquivos de audio e video enviados para transcrição | Sim (para uso do serviço) | Transcrição automatica |
| Dados de integração | Credenciais OAuth para serviços terceiros (Dropbox, Google, Slack, etc.) | Não | Integrações habilitadas pelo usuario |
3.2 Dados Gerados Pelo Processamento
| Categoria | Dados Especificos | Finalidade Principal |
|---|---|---|
| Transcrições | Texto resultante da conversão de fala em texto, podendo conter nomes, informações profissionais, juridicas, medicas ou financeiras | Serviço principal |
| Conteudo derivado de IA | Resumos, traduções, action items, e-mails de follow-up, conteudo de chat contextual, templates aplicados | Funcionalidades de IA |
| Dados de diarização | Identificação de falantes por padrões vocais (Speaker 1, Speaker 2, etc.) | Diferenciação de falantes na transcrição |
| Artefatos exportados | Documentos DOCX e PDF gerados a partir de transcrições | Exportação de conteudo |
| Metadados de transcrição | Duração do audio, idioma detectado, numero de falantes, provider de ASR utilizado, timestamps de segmentos | Gestão e qualidade do serviço |
3.3 Dados Coletados Automaticamente
| Categoria | Dados Especificos | Finalidade Principal |
|---|---|---|
| Dados de acesso | Endereço IP, user agent do navegador, sistema operacional, tipo de dispositivo | Segurança e diagnostico |
| Dados de sessão | Timestamps de login/logout, duração da sessão, paginas acessadas | Segurança e analytics |
| Dados de uso | Minutos transcritos, creditos consumidos, funcionalidades utilizadas, templates aplicados, integrações ativadas | Faturamento e melhoria do serviço |
| Logs de auditoria | Registros de ações (upload, download, compartilhamento, exclusão, reprocessamento) sem conteudo sensivel em claro | Segurança e conformidade |
| Dados de performance | Metricas de latencia, taxa de erro, performance de providers | Monitoramento e otimização |
| Cookies e identificadores | Cookies de sessão, tokens JWT, identificadores de dispositivo | Autenticação e funcionalidade |
3.4 Dados Coletados via Integrações (Quando Habilitadas pelo Usuario)
| Integração | Dados Coletados | Ação do Usuario |
|---|---|---|
| Dropbox | Arquivos de audio/video selecionados pelo usuario | Importação voluntaria |
| Google (Gmail, Calendar, Drive) | E-mails com anexos de audio, eventos de calendario com links de gravação | Importação voluntaria e automatica (se configurado) |
| Slack | Nenhum dado coletado; dados são enviados para Slack (resumos, notificações) | Exportação configurada pelo usuario |
| Notion | Nenhum dado coletado; dados são enviados para Notion (transcrições, resumos) | Exportação configurada pelo usuario |
| Zoom | Gravações de reuniões selecionadas pelo usuario | Importação voluntaria |
| Microsoft Teams | Audio de reuniões capturado via bot (quando autorizado) | Ativação voluntaria pelo usuario |
| TranscriBot (infraestrutura Recall.ai) | Audio de reuniões em Google Meet, Zoom e Teams; metadados (titulo, participantes, data) | Ativação voluntaria pelo usuario |
4. Bases Legais para Cada Tratamento
Em conformidade com o Art. 7 da LGPD e o Art. 6 do GDPR, cada atividade de tratamento possui uma base legal especifica:
| Atividade de Tratamento | Base Legal (LGPD — Art. 7) | Base Legal (GDPR — Art. 6) | Justificativa |
|---|---|---|---|
| Criação e gestão de conta | Art. 7, V — Execução de contrato | Art. 6(1)(b) — Execução de contrato | Necessario para prestação do serviço contratado |
| Transcrição de audio | Art. 7, V — Execução de contrato | Art. 6(1)(b) — Execução de contrato | Serviço principal contratado pelo titular |
| Processamento por IA | Art. 7, V — Execução de contrato | Art. 6(1)(b) — Execução de contrato | Funcionalidades contratadas pelo titular |
| Armazenamento de transcrições | Art. 7, V — Execução de contrato | Art. 6(1)(b) — Execução de contrato | Necessario para disponibilizar o resultado ao titular |
| Faturamento e cobrança | Art. 7, V / Art. 7, II | Art. 6(1)(b) / Art. 6(1)(c) | Cumprimento do contrato e obrigações fiscais |
| Processamento de pagamento (Stripe) | Art. 7, V — Execução de contrato | Art. 6(1)(b) — Execução de contrato | Necessario para cobrança do serviço |
| Notificações de serviço | Art. 7, V — Execução de contrato | Art. 6(1)(b) — Execução de contrato | Comunicações transacionais essenciais |
| Integrações com terceiros | Art. 7, I — Consentimento | Art. 6(1)(a) — Consentimento | Habilitação voluntaria pelo titular, revogavel |
| TranscriBot | Art. 7, I — Consentimento | Art. 6(1)(a) — Consentimento | Ativação voluntaria pelo titular |
| Monitoramento de erros (Sentry) | Art. 7, IX — Legitimo interesse | Art. 6(1)(f) — Legitimo interesse | Garantir estabilidade e segurança do serviço |
| Tracing de LLM (LangSmith) | Art. 7, IX — Legitimo interesse | Art. 6(1)(f) — Legitimo interesse | Otimização da qualidade do processamento de IA |
| Logs de auditoria | Art. 7, IX / Art. 7, II | Art. 6(1)(f) / Art. 6(1)(c) | Segurança, conformidade e exercicio regular de direito |
| Analytics de uso (agregado) | Art. 7, IX — Legitimo interesse | Art. 6(1)(f) — Legitimo interesse | Melhoria continua com dados anonimizados/agregados |
| Prevenção de fraude | Art. 7, IX — Legitimo interesse | Art. 6(1)(f) — Legitimo interesse | Proteção do titular e do Controlador |
| Obrigações legais e regulatorias | Art. 7, II — Obrigação legal | Art. 6(1)(c) — Obrigação legal | Atendimento a requisições de autoridades |
| Comunicações de marketing | Art. 7, I — Consentimento | Art. 6(1)(a) — Consentimento | Envio apenas mediante consentimento previo, revogavel |
5. Dados Pessoais Sensiveis e Biometria de Voz
5.1 Natureza dos Dados de Audio
A Transcriwise reconhece que os arquivos de audio e as transcrições resultantes podem conter dados pessoais sensiveis conforme definido no Art. 5, II da LGPD e no Art. 9 do GDPR, dependendo do conteudo gravado. Isso inclui, sem limitação:
- Dados de saude — consultas medicas, prontuarios ditados, sessões de terapia.
- Dados juridicos — audiencias judiciais, consultas com advogados, depoimentos.
- Convicções religiosas ou opiniões politicas — quando expressos verbalmente.
- Dados financeiros — reuniões sobre fusões e aquisições, negociações contratuais.
- Dados de investigações — compliance, due diligence, investigações internas.
5.2 Biometria de Voz
A voz humana constitui dado biometrico quando utilizada para fins de identificação de uma pessoa natural. No contexto da Transcriwise:
- Diarização de falantes: A Transcriwise utiliza tecnologias de diarização (Pyannote, SpeechBrain) para diferenciar falantes em um audio (ex.: "Speaker 1", "Speaker 2"). Este processo analisa padrões vocais para segmentação, mas não realiza identificação biometrica — ou seja, não associa a voz a uma identidade civil especifica.
- Retenção de padrões vocais: Os embeddings de voz gerados durante a diarização são temporarios e descartados apos o processamento. Não são armazenados de forma persistente nem utilizados para criar perfis biometricos.
- Base legal: Quando o tratamento de dados biometricos de voz for necessario, a base legal sera o consentimento especifico e destacado do titular (Art. 11, I da LGPD; Art. 9(2)(a) do GDPR) ou outra base prevista na legislação aplicavel.
5.3 Responsabilidade do Usuario
O usuario que envia audio para transcrição e responsavel por:
- Garantir que possui base legal para o tratamento do conteudo do audio.
- Informar os participantes do audio sobre a gravação e o processamento.
- Obter consentimentos necessarios, especialmente quando o conteudo incluir dados sensiveis.
- Selecionar o perfil de segurança adequado (Confidential ou Restricted) quando o conteudo exigir controles reforçados.
6. Finalidades do Tratamento
A Transcriwise trata dados pessoais para as seguintes finalidades especificas:
6.1 Finalidades Principais (Prestação do Serviço)
- Transcrição automatica de audio e video — conversão de fala em texto utilizando provedores de ASR (RunPod/Whisper, AssemblyAI, ElevenLabs Scribe, Soniox).
- Processamento por inteligencia artificial — geração de resumos, traduções, action items, e-mails de follow-up, chat contextual, repurpose de conteudo e aplicação de templates, utilizando LLMs (Google Gemini, OpenAI GPT, DeepL).
- Armazenamento e gestão de transcrições — persistencia de audios, transcrições e artefatos derivados em infraestrutura segura (AWS S3, PostgreSQL).
- Exportação de conteudo — geração de documentos DOCX e PDF com transcrições formatadas.
- Gestão de conta e perfil — criação, manutenção e exclusão de contas de usuarios.
- Faturamento e cobrança — processamento de assinaturas, creditos e pagamentos via Stripe.
6.2 Finalidades Secundarias (Habilitadas pelo Usuario)
- Integrações com serviços terceiros — importação de audio (Dropbox, Google Drive, Gmail, Zoom) e exportação de transcrições (Slack, Notion, Trello, Salesforce, HubSpot, Microsoft OneDrive, Zapier).
- Gravação de reuniões — captura de audio de reuniões via TranscriBot em Google Meet, Zoom e Microsoft Teams.
- Sincronização de calendario — importação automatica de gravações a partir de eventos do Google Calendar.
6.3 Finalidades Operacionais
- Segurança e prevenção de fraude — monitoramento de acessos, detecção de anomalias, proteção contra uso indevido.
- Monitoramento e diagnostico — detecção e correção de erros em produção (Sentry), otimização de performance.
- Melhoria continua — analise de metricas de uso agregadas e anonimizadas para aprimoramento do serviço.
- Cumprimento legal — atendimento a obrigações legais, regulatorias e requisições de autoridades competentes.
- Exercicio regular de direitos — defesa em processos judiciais, administrativos ou arbitrais.
6.4 Finalidades Não Realizadas
A Transcriwise NÃO utiliza dados pessoais para:
- Venda ou comercialização de dados pessoais a terceiros.
- Publicidade direcionada com base no conteudo de transcrições.
- Treinamento de modelos de IA com dados de clientes (salvo opt-in expresso e documentado).
- Criação de perfis biometricos permanentes.
- Vigilancia ou monitoramento de titulares.
7. Compartilhamento com Terceiros e Processadores
A Transcriwise compartilha dados pessoais com os seguintes processadores terceiros, exclusivamente para as finalidades descritas e com salvaguardas contratuais (DPAs) em vigor:
7.1 Infraestrutura
| Processador | Pais | Finalidade | Dados Compartilhados |
|---|---|---|---|
| Amazon Web Services (AWS) | EUA (us-east-1) | Infraestrutura primaria: armazenamento (S3), banco de dados (RDS PostgreSQL), computação (EC2/ECS), gestão de chaves (KMS) | Totalidade dos dados (audio, video, transcrições, dados de conta, metadados, artefatos, backups) |
7.2 Provedores de Transcrição (ASR)
| Processador | Pais | Finalidade | Dados Compartilhados |
|---|---|---|---|
| RunPod | EUA | Transcrição ASR primaria via Whisper GPU serverless | Audio (via URL presigned S3 com TTL de 5-15 minutos) |
| AssemblyAI | EUA | Transcrição ASR alternativa e benchmark | Audio (streaming ou URL) |
| ElevenLabs | UE / EUA | Transcrição real-time via Scribe v2 | Audio (streaming) |
| Soniox | EUA | Transcrição real-time e tradução ao vivo | Audio (streaming) |
7.3 Provedores de Inteligencia Artificial (LLM)
| Processador | Pais | Finalidade | Dados Compartilhados |
|---|---|---|---|
| Google (Vertex AI / Gemini) | EUA | Provider LLM primario: sumarização, tradução, extração de action items, chat contextual | Texto de transcrições e prompts (não audio) |
| OpenAI | EUA | Provider LLM secundario (fallback) | Texto de transcrições e prompts (não audio). Parametro store=false por padrão. |
| Anthropic | EUA | Provider LLM alternativo (quando habilitado) | Texto de transcrições e prompts |
| DeepL | Alemanha / UE | Tradução especializada de transcrições | Texto de transcrições para tradução |
7.4 Reuniões
| Processador | Pais | Finalidade | Dados Compartilhados |
|---|---|---|---|
| Recall.ai | EUA | Bot de reuniões para captura de audio em Google Meet, Zoom e Teams | Audio de reuniões, metadados (titulo, participantes, data) |
7.5 Pagamento
| Processador | Pais | Finalidade | Dados Compartilhados |
|---|---|---|---|
| Stripe | EUA | Processamento de pagamentos, gestão de assinaturas e creditos | Nome, e-mail, dados de pagamento (cartão tokenizado, nunca armazenado pela Transcriwise). PCI DSS Level 1. |
7.6 Monitoramento e Observabilidade
| Processador | Pais | Finalidade | Dados Compartilhados |
|---|---|---|---|
| Sentry | EUA | Monitoramento de erros e performance | Stack traces, metadados de erro (sem conteudo de transcrição), IP, user agent, user ID. Scrubbing de PII configurado. |
| LangSmith (LangChain) | EUA | Tracing de chamadas LLM (opcional, desabilitado por padrão) | Prompts e respostas de LLM quando habilitado (pode conter PII). Desabilitado em produção por padrão. |
7.7 Integrações (Habilitadas pelo Usuario)
| Processador | Pais | Finalidade | Dados Compartilhados |
|---|---|---|---|
| Dropbox | EUA | Importação de arquivos de audio/video | Tokens OAuth. Dados acessados apenas sob ação do usuario. |
| Google (Gmail, Calendar, Drive) | EUA | Importação de gravações, sincronização de calendario, exportação | Tokens OAuth, e-mails com anexos de audio, eventos de calendario |
| Slack | EUA | Envio de transcrições e notificações | Texto de transcrições/resumos enviados pelo usuario |
| Notion | EUA | Criação de paginas com transcrições | Texto de transcrições/resumos enviados pelo usuario |
| Trello (Atlassian) | EUA | Criação de cards com transcrições | Texto de transcrições/resumos |
| Microsoft (Teams, OneDrive) | EUA / Global | Bot de reuniões Teams, exportação para OneDrive | Audio de reuniões, documentos exportados |
| Zoom | EUA | Importação de gravações de reuniões | Gravações selecionadas pelo usuario |
| Salesforce | EUA | Exportação de transcrições para CRM | Texto de transcrições/resumos |
| HubSpot | EUA | Exportação de transcrições para CRM | Texto de transcrições/resumos |
| Zapier | EUA | Automação via webhooks e OAuth | Payloads de eventos (resumo, metadados, opcionalmente conteudo) |
7.8 Garantias de Compartilhamento
- Todos os processadores terceiros estão vinculados por DPAs (Acordos de Processamento de Dados) com obrigações equivalentes as descritas nesta Politica.
- A lista completa e atualizada de subprocessadores e mantida em documento separado e pode ser solicitada a qualquer momento via privacy@transcriwise.com.
- O controle
allow_training_opt_in(desabilitado por padrão) determina se provedores de IA podem utilizar dados para treinamento de modelos. - Integrações são habilitadas exclusivamente pelo usuario e podem ser revogadas a qualquer momento nas configurações da conta.
8. Transferencia Internacional de Dados
8.1 Localização dos Dados
A infraestrutura primaria da Transcriwise esta hospedada nos Estados Unidos da America (AWS us-east-1), com possibilidade de configuração de região por tenant para clientes Enterprise.
8.2 Mecanismos de Proteção (LGPD — Arts. 33-36)
A Transcriwise adota os seguintes mecanismos para garantir a adequação das transferencias internacionais:
- Clausulas contratuais especificas — celebradas com cada processador terceiro por meio de DPAs.
- Verificação de adequação — monitoramento continuo das avaliações de adequação emitidas pela ANPD.
- Certificações de segurança — verificação de que processadores possuem certificações reconhecidas (SOC 2, ISO 27001, PCI DSS).
8.3 Mecanismos de Proteção (GDPR — Capitulo V)
Para transferencias envolvendo titulares no Espaço Economico Europeu:
- Clausulas Contratuais Padrão (SCCs) — aprovadas pela Comissão Europeia (Decisão de Execução (UE) 2021/914).
- Decisões de adequação — quando disponiveis para o pais de destino.
- Avaliação de Impacto de Transferencia (TIA) — conduzida para avaliar o nivel de proteção no pais de destino.
8.4 Controles Adicionais
- allow_training_opt_in=false (padrão) — impede que provedores de IA armazenem ou utilizem dados para treinamento.
- URLs presigned com TTL curto — para transmissão de audio a provedores de ASR, minimizando a janela de exposição.
- Criptografia em transito — TLS 1.2+ obrigatorio em todas as transmissões.
- Possibilidade de residencia de dados — para clientes Enterprise, configuração de região AWS especifica (ex.: UE, Brasil).
- Perfil Restricted — permite restringir processadores a uma lista explicitamente aprovada por tenant.
9. Retenção de Dados
9.1 Politica de Retenção
| Tipo de Dado | Periodo de Retenção Padrão | Configuravel | Observações |
|---|---|---|---|
| Arquivos de audio e video | 60 dias por padrão apos o processamento | Sim (security_policy.retention_policy.audio_retention_days ou TRANSCRIWISE_AUDIO_RETENTION_DAYS) | Eliminação automatica via tarefa periodica (Celery beat) |
| Transcrições e conteudo derivado | 365 dias por padrão | Sim (security_policy.retention_policy.transcript_retention_days ou TRANSCRIWISE_TRANSCRIPT_RETENTION_DAYS) | Inclui resumos, traduções, action items e demais artefatos de IA; a retenção efetiva não pode ser inferior a retenção de audio resolvida pelo backend |
| Artefatos exportados (DOCX, PDF) | Vinculado a retenção da transcrição | Automatico | Removidos junto com o job de transcrição |
| Dados de conta | Duração da conta + 30 dias | Não | Eliminados apos encerramento da conta e periodo de recuperação |
| Registros de uso | 2 anos (730 dias), anonimizados apos | Sim (TRANSCRIWISE_USAGE_ANONYMIZATION_DAYS) | Dados de faturamento podem ser retidos por mais tempo por obrigação fiscal |
| Logs de auditoria | Superficie configuravel por tenant | Sim (audit_log_retention_days) | O backend expõe a configuração, mas retenção/purga automatica adicional deve ser validada separadamente |
| Links compartilhados | Vinculado a transcrição | Automatico | Removidos junto com o job de transcrição |
| Tokens de integração | Duração da integração ativa | Não | Revogados quando a integração e desabilitada |
| Dados de pagamento (Stripe) | Conforme politica Stripe e obrigações fiscais | Não | Dados de cartão tokenizados, nunca armazenados pela Transcriwise |
| Backups | 90 dias (rotação automatica) | Não | Eliminação no proximo ciclo de rotação |
| Dados de monitoramento (Sentry) | 90 dias | Não | Conforme politica de retenção do Sentry |
9.2 Eliminação Automatica
A Transcriwise executa politicas de retenção automatizadas por meio de tarefas periodicas (Celery beat). Cada execução e registrada em log de auditoria.
9.3 Eliminação sob Demanda
O titular pode solicitar a eliminação de seus dados a qualquer momento, conforme descrito na Seção 10. A eliminação sob demanda e processada em ate 15 dias uteis.
9.4 Exceções a Eliminação
Dados pessoais poderão ser retidos alem dos periodos padrão quando necessario para:
- Cumprimento de obrigação legal ou regulatoria (ex.: obrigações fiscais).
- Exercicio regular de direitos em processo judicial, administrativo ou arbitral.
- Proteção da vida ou da incolumidade fisica do titular ou de terceiro.
10. Direitos do Titular
Em conformidade com os Arts. 17-22 da LGPD e os Arts. 15-22 do GDPR, o titular de dados pessoais tem os seguintes direitos:
10.1 Confirmação de Tratamento
O titular tem o direito de obter a confirmação de que seus dados pessoais são ou foram tratados pela Transcriwise (Art. 18, I da LGPD; Art. 15 do GDPR).
10.2 Acesso aos Dados
O titular tem o direito de acessar seus dados pessoais tratados pela Transcriwise, incluindo informações sobre a origem dos dados, categorias, finalidades, compartilhamento com terceiros e periodo de retenção (Art. 18, II da LGPD; Art. 15 do GDPR).
10.3 Correção de Dados
O titular tem o direito de solicitar a correção de dados pessoais incompletos, inexatos ou desatualizados (Art. 18, III da LGPD; Art. 16 do GDPR).
10.4 Anonimização, Bloqueio ou Eliminação
O titular tem o direito de solicitar a anonimização, bloqueio ou eliminação de dados pessoais desnecessarios, excessivos ou tratados em desconformidade com a legislação (Art. 18, IV da LGPD; Art. 17 do GDPR).
10.5 Portabilidade
O titular tem o direito de solicitar a portabilidade de seus dados pessoais a outro fornecedor de serviço, em formato estruturado, de uso corrente e leitura automatizada (Art. 18, V da LGPD; Art. 20 do GDPR). A Transcriwise oferece exportação em formato JSON, CSV, DOCX e PDF.
10.6 Eliminação
O titular tem o direito de solicitar a eliminação dos dados pessoais tratados com base no consentimento, exceto nas hipoteses de retenção previstas na Seção 9.4 (Art. 18, VI da LGPD; Art. 17 do GDPR).
10.7 Informação sobre Compartilhamento
O titular tem o direito de obter informações sobre as entidades publicas e privadas com as quais a Transcriwise compartilhou seus dados pessoais (Art. 18, VII da LGPD).
10.8 Informação sobre Não Consentimento
O titular tem o direito de ser informado sobre a possibilidade de não fornecer consentimento e sobre as consequencias da negativa (Art. 18, VIII da LGPD).
10.9 Revogação do Consentimento
O titular tem o direito de revogar o consentimento a qualquer momento, mediante manifestação expressa, por procedimento gratuito e facilitado (Art. 18, IX da LGPD; Art. 7(3) do GDPR). A revogação não afeta a legalidade do tratamento realizado anteriormente.
10.10 Oposição
O titular tem o direito de se opor a tratamento realizado com base em outras hipoteses de autorização, em caso de descumprimento da legislação (Art. 18, par. 2 da LGPD; Art. 21 do GDPR).
10.11 Revisão de Decisões Automatizadas
O titular tem o direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses (Art. 20 da LGPD; Art. 22 do GDPR). Veja a Seção 15 para detalhes sobre decisões automatizadas.
10.12 Reclamação a Autoridade
O titular tem o direito de apresentar reclamação perante a Autoridade Nacional de Proteção de Dados (ANPD) ou perante uma autoridade de supervisão no EEE (Art. 18, par. 1 da LGPD; Art. 77 do GDPR).
11. Como Exercer Seus Direitos
11.1 Canais de Contato
| Canal | Endereço | Prazo de Resposta |
|---|---|---|
| E-mail do DPO | dpo@transcriwise.com | 15 dias uteis |
| E-mail de privacidade | privacy@transcriwise.com | 15 dias uteis |
| API autenticada de consentimentos | GET /api/consent e GET /api/consent/check | 15 dias uteis |
| Exportação de dados | POST /api/consent/export | Disponivel em ate 48 horas |
| Solicitação de eliminação | POST /api/consent/deletion-request | Desativação imediata; eliminação apos periodo de carencia de 30 dias |
11.2 Identificação do Titular
Para proteção dos dados pessoais, a Transcriwise podera solicitar a verificação da identidade do titular antes de processar a solicitação. A verificação sera proporcional e não exigira informações alem do necessario.
11.3 Prazos
- Confirmação de tratamento: Resposta imediata, em formato simplificado, ou em ate 15 dias uteis para declaração completa.
- Demais solicitações: Ate 15 dias uteis, contados do recebimento da solicitação (Art. 19 da LGPD). Sob o GDPR, ate 1 mes, prorrogavel por mais 2 meses em caso de complexidade (Art. 12(3) do GDPR).
- Eliminação tecnica completa: Ate 30 dias para dados de produção; ate 90 dias para backups.
11.4 Gratuidade
O exercicio dos direitos e gratuito, exceto em caso de solicitações manifestamente infundadas ou excessivas, caso em que a Transcriwise podera cobrar taxa administrativa razoavel ou recusar a solicitação, fundamentando a decisão.
11.5 API de Privacidade
A Transcriwise atualmente disponibiliza os seguintes endpoints autenticados de API para exercicio programatico de direitos e gestão de consentimentos:
POST /api/consent/export— Exportação de dados pessoais do titular (DSAR).POST /api/consent/deletion-request— Solicitação de eliminação de dados pessoais (DSAR).GET /api/consenteGET /api/consent/check— Historico e status de consentimentos obrigatorios.
12. Segurança dos Dados
12.1 Medidas Tecnicas
Criptografia:
- Em transito: TLS 1.2+ obrigatorio em todas as conexões (HTTPS para APIs, SSL para banco de dados PostgreSQL, TLS para Redis).
- Em repouso: Criptografia AES-256 via AWS S3 SSE-KMS para arquivos, RDS encryption para banco de dados, backups criptografados.
- Envelope encryption: Criptografia por documento/tenant para campos sensiveis em perfis Confidential e Restricted.
- KMS segregada: Chaves KMS dedicadas por tenant para perfis Restricted.
Autenticação e Controle de Acesso:
- Autenticação via JWT (JSON Web Tokens) com tokens de curta duração.
- Autenticação multifator (MFA/TOTP) disponivel para todos os usuarios e obrigatoria para acessos administrativos.
- Controle de acesso baseado em papeis (RBAC) com isolamento por organização/tenant.
- IP allowlist por tenant (perfis Business e Enterprise).
- SSO/SAML para perfis Enterprise.
- Principio do menor privilegio em acessos internos.
Senhas:
- Armazenadas exclusivamente como hash criptografico (nunca em texto claro).
- Politica de complexidade minima.
Infraestrutura:
- Object storage com namespace por tenant.
- URLs presigned com TTL curto para transmissão de audio a provedores externos.
- Webhooks protegidos por HMAC e token de autenticação.
- VPC (Virtual Private Cloud) para isolamento de rede.
- Backups criptografados com rotação automatica.
12.2 Medidas Organizacionais
- Acordos de confidencialidade com todos os colaboradores e prestadores de serviço.
- Treinamento periodico em proteção de dados e segurança da informação.
- Politica de classificação de dados com quatro niveis (Publico, Interno, Confidencial, Restrito).
- Plano de resposta a incidentes documentado e testado.
- Avaliações periodicas de segurança e vulnerabilidades.
- Gestão de acesso privilegiado com revisão periodica.
12.3 Trilha de Auditoria
Todas as operações relevantes são registradas em log de auditoria, incluindo:
- Upload, download, compartilhamento e exclusão de arquivos e transcrições.
- Exportação de documentos.
- Reprocessamento de transcrições.
- Mudança de templates e configurações.
- Envio de dados a subprocessadores externos.
- Execução de politicas de retenção.
Os logs de auditoria não contem conteudo sensivel em claro (ex.: texto de transcrições).
12.4 Monitoramento Continuo
- Monitoramento de erros e performance via Sentry (com scrubbing de dados sensiveis).
- Alertas automatizados para anomalias de segurança.
- Revisão periodica de logs de acesso.
13. Cookies e Tecnologias de Rastreamento
13.1 Cookies Utilizados
| Categoria | Finalidade | Duração | Consentimento |
|---|---|---|---|
| Cookies essenciais | Autenticação (JWT), sessão, preferencias de idioma, CSRF protection | Sessão ou curta duração | Não requerido (necessarios para funcionamento) |
| Cookies de funcionalidade | Preferencias de interface, configurações de player de audio, modo escuro | Persistentes (ate 1 ano) | Não requerido (necessarios para experiencia) |
| Cookies analiticos | Metricas de uso agregadas (quando habilitados) | Ate 2 anos | Consentimento previo |
| Cookies de terceiros | Stripe (processamento de pagamento) | Conforme politica do terceiro | Necessarios para pagamento |
13.2 Controle de Cookies
O titular pode controlar cookies por meio de:
- Banner de consentimento exibido na primeira visita (para cookies analiticos).
- Configurações do navegador para bloquear ou excluir cookies.
- Configurações da plataforma para preferencias de funcionalidade.
13.3 Outras Tecnologias
- Local Storage: Utilizado para armazenamento de preferencias de interface (dados que permanecem no dispositivo do titular).
- Tokens JWT: Utilizados para autenticação de sessão (armazenados em cookie httpOnly ou local storage, conforme configuração).
14. Dados de Crianças e Adolescentes
14.1 Politica Geral
A Transcriwise não se destina a crianças ou adolescentes menores de 18 (dezoito) anos e não coleta intencionalmente dados pessoais desse publico.
14.2 LGPD (Art. 14)
O tratamento de dados pessoais de crianças e adolescentes, nos termos do Art. 14 da LGPD, deve ser realizado em seu melhor interesse e com consentimento especifico e em destaque dado por pelo menos um dos pais ou pelo responsavel legal.
14.3 Conteudo de Audio
Reconhecemos que arquivos de audio enviados por usuarios podem conter vozes de menores de idade (ex.: gravações de aulas). O usuario que envia o audio e responsavel por:
- Garantir que possui autorização legal para o tratamento.
- Obter consentimento dos pais ou responsaveis legais, quando aplicavel.
- Informar a Transcriwise caso o conteudo inclua dados de menores, para aplicação de controles adicionais.
14.4 Exclusão
Se a Transcriwise tomar conhecimento de que coletou dados pessoais de menores de 18 anos sem o consentimento adequado, adotara medidas imediatas para eliminar tais dados.
15. Decisões Automatizadas e Profiling
15.1 Processamento Automatizado
A Transcriwise utiliza processamento automatizado nas seguintes situações:
| Processamento | Descrição | Impacto no Titular |
|---|---|---|
| Transcrição automatica (ASR) | Conversão automatizada de fala em texto | Nenhuma decisão sobre o titular; apenas processamento tecnico |
| Diarização de falantes | Identificação automatica de diferentes falantes | Segmentação tecnica sem identificação civil |
| Sumarização e extração de IA | Geração automatica de resumos, action items e conteudo derivado | Nenhuma decisão sobre o titular; processamento de conteudo |
| Detecção de idioma | Identificação automatica do idioma falado | Classificação tecnica para seleção de modelo |
| Calculo de creditos e faturamento | Calculo automatico de minutos transcritos e creditos consumidos | Impacto financeiro direto |
| Politicas de retenção automaticas | Eliminação automatica de dados apos periodo configurado | Eliminação de dados do titular |
| Monitoramento de anomalias | Detecção automatica de padrões de uso incomuns para segurança | Possivel restrição de acesso |
15.2 Ausencia de Profiling
A Transcriwise não realiza profiling no sentido do Art. 22 do GDPR — ou seja, não utiliza tratamento automatizado de dados pessoais para avaliar aspectos pessoais do titular, como desempenho profissional, situação economica, saude, preferencias pessoais, interesses, confiabilidade, comportamento, localização ou deslocamento.
15.3 Direito de Revisão
Nos termos do Art. 20 da LGPD, o titular tem o direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado que afetem seus interesses. Solicitações devem ser encaminhadas conforme a Seção 11.
16. Alterações nesta Politica
16.1 Atualizações
A Transcriwise podera atualizar esta Politica de Privacidade periodicamente para refletir:
- Alterações nas praticas de tratamento de dados.
- Novas funcionalidades ou processadores terceiros.
- Mudanças na legislação aplicavel.
- Orientações e regulamentações da ANPD ou de autoridades europeias.
16.2 Notificação
O titular sera notificado sobre alterações materiais nesta Politica por meio de:
- Aviso em destaque na plataforma.
- E-mail para o endereço cadastrado (para alterações substanciais).
- Atualização da data de "ultima atualização" no topo deste documento.
16.3 Consentimento Renovado
Quando alterações materiais impactarem o tratamento de dados sensiveis ou ampliarem significativamente as finalidades de tratamento, a Transcriwise solicitara novo consentimento do titular antes de aplicar as alterações.
16.4 Versões Anteriores
Versões anteriores desta Politica serão mantidas em arquivo e disponibilizadas mediante solicitação.
17. Contato e Reclamações
17.1 Encarregado de Proteção de Dados (DPO)
Nome
Nicholas Jacob
Telefone
Canal telefonico dedicado não divulgado nesta versão; utilize dpo@transcriwise.com ou privacy@transcriwise.com.
Endereço
Endereço corporativo informado mediante solicitação verificada ou em instrumento contratual aplicavel.
O DPO e responsavel por:
- Receber e responder reclamações e solicitações de titulares.
- Orientar funcionarios e contratados sobre praticas de proteção de dados.
- Servir como canal de comunicação entre a Transcriwise, os titulares e a ANPD.
17.2 Autoridade Nacional de Proteção de Dados (ANPD)
Se o titular não estiver satisfeito com a resposta da Transcriwise ou acreditar que o tratamento de seus dados pessoais viola a LGPD, podera apresentar reclamação a ANPD:
| Informação | Detalhe |
|---|---|
| Orgão | Autoridade Nacional de Proteção de Dados (ANPD) |
| Website | https://www.gov.br/anpd |
| Peticionamento eletronico | Canal do cidadão titular de dados |
| ouvidoria@anpd.gov.br |
17.3 Autoridades Europeias (GDPR)
Para titulares no Espaço Economico Europeu, reclamações podem ser apresentadas a autoridade de supervisão do Estado-Membro de residencia, local de trabalho ou do local da alegada infração (Art. 77 do GDPR). A lista de autoridades esta disponivel em: edpb.europa.eu
17.4 Procedimento Interno de Reclamação
- Recebimento: A reclamação e recebida pelo DPO e registrada internamente.
- Analise: O DPO analisa a reclamação em ate 5 dias uteis.
- Resposta inicial: O titular recebe confirmação de recebimento em ate 2 dias uteis.
- Resolução: Resposta completa em ate 15 dias uteis.
- Recurso: Em caso de insatisfação, o titular pode recorrer a ANPD ou a autoridade de supervisão competente.
18. Data de Vigencia
Esta Politica de Privacidade entra em vigor em 14 de março de 2026 e substitui todas as versões anteriores.
Transcriwise Tecnologia Ltda.
Ultima atualização: 14 de março de 2026
Historico de Alterações
| Versão | Data | Alteração | Responsavel |
|---|---|---|---|
| 1.0 | 2026-03-14 | Versão inicial expandida — politica completa conforme LGPD e GDPR | Transcriwise |