Política de Privacidade
Versão 1.0.0 · Última atualização: 15 de maio de 2026
1. Quem somos (Identificação do Controlador)
Atypos.family é uma plataforma digital para famílias com crianças e adolescentes atípicos. O serviço é operado por:
Razão social: Rafael Barrochelo Guimarães Consultoria em TI
Nome fantasia: Entercast Consulting
CNPJ: 29.312.177/0001-05
Natureza jurídica: 213-5 Empresário Individual (Microempresa — ME)
Endereço: R. Toledo Barbosa, 611, Casa 16, Belenzinho, São Paulo/SP, CEP 03.061-000
Responsável: Rafael Barrochelo
E-mail: encarregado@atypos.family
Site: https://atypos.family
Se você tem dúvidas sobre como tratamos seus dados, pode nos escrever a qualquer momento.
2. Encarregado de Proteção de Dados (DPO)
Conforme o Art. 41 da LGPD, indicamos como Encarregado:
Rafael Barrochelo
Canal de contato: encarregado@atypos.family
Função: Responsável por receber comunicações dos titulares, atuar como canal com a Autoridade Nacional de Proteção de Dados (ANPD) e garantir o cumprimento desta política internamente.
3. Quais dados coletamos e por quê
Coletamos apenas os dados necessários para funcionar. Abaixo, as categorias, o que coletamos e para que serve:
3.1 Dados do cuidador (responsável legal)
| Dado | Finalidade | Base legal LGPD |
|---|---|---|
| Nome | Personalizar comunicações e manuais | Contrato (Art. 7º, V) |
| Entrega do manual, autenticação, suporte | Contrato (Art. 7º, V) | |
| WhatsApp (opcional) | Notificações sobre o manual (apenas se você informar) | Consentimento (Art. 7º, I) |
| Gênero (opcional) | Adequar linguagem nos textos do manual | Consentimento (Art. 7º, I) |
3.2 Dados de identificação da criança ou adolescente
| Dado | Finalidade | Base legal LGPD |
|---|---|---|
| Nome (ou apelido) | Personalizar o manual com o nome da sua criança | Consentimento específico do responsável legal (Art. 14 §1 LGPD) |
| Faixa etária | Adaptar linguagem e recomendações por fase do desenvolvimento | Consentimento específico do responsável legal (Art. 14 §1 LGPD) |
| Gênero (opcional) | Adequar pronomes e linguagem no manual | Consentimento específico do responsável legal (Art. 14 §1 LGPD) |
| Foto (opcional) | Capa do manual — processada com segurança, armazenada em servidor privado | Consentimento explícito do responsável legal (Art. 14 §1 LGPD). Nota: se a foto vier a ser usada em contexto que revele dado de saúde, aplica-se adicionalmente o Art. 11 LGPD. |
3.3 Dados de saúde — CATEGORIA ESPECIAL (Art. 11 LGPD)
Os dados abaixo são classificados como dados sensíveis e recebem proteção reforçada:
| Dado | Finalidade | Base legal LGPD |
|---|---|---|
| Diagnóstico declarado (ex.: TEA, TDAH, sem laudo) | Orientar o perfil psicossocial gerado pela IA | Consentimento específico e destacado do responsável (Art. 11, I) |
| Respostas do quiz comportamental | Gerar o perfil psicossocial detalhado da criança | Consentimento específico e destacado do responsável (Art. 11, I) |
| Perfil psicossocial gerado por IA | Compor as seções do manual (sensorial, comunicação, emoções, rotina, etc.) | Consentimento específico e destacado do responsável (Art. 11, I) |
Atenção: o Atypos.family não é um serviço de saúde e não realiza diagnósticos. O "diagnóstico declarado" é informado por você — nós não verificamos, não interpretamos clinicamente e não compartilhamos com terceiros além dos sub-processadores técnicos listados na Seção 7.
3.4 Dados de comportamento e uso
| Dado | Finalidade | Base legal LGPD |
|---|---|---|
| Respostas do quiz | Gerar o manual | Contrato (Art. 7º, V) |
| Observações do Diário (assinantes) | Registro pessoal do cuidador sobre o filho | Contrato (funcionalidade do plano) |
| Registros de acesso ao manual (visualizações) | Debug operacional e qualidade do serviço | Legítimo interesse (Art. 7º, IX) |
3.5 Dados financeiros
Não armazenamos dados de cartão de crédito. O processamento de pagamentos é feito por Stripe (cartão de crédito — servidores nos EUA): Atypos recebe apenas confirmação de pagamento (status + transaction_id); e AbacatePay (PIX — servidores no Brasil): Atypos recebe apenas confirmação do status do pagamento.
3.6 Dados de navegação e diagnóstico técnico
| Dado | Finalidade | Base legal LGPD |
|---|---|---|
| Cookies de sessão (Supabase) | Manter você autenticado | Legítimo interesse (Art. 7º, IX) — essencial ao funcionamento |
| Analytics anônimos (PostHog, Google Analytics) | Entender como o site é usado e melhorá-lo | Consentimento (Art. 7º, I — banner de cookies) |
| Relatórios de erro (Sentry) | Identificar e corrigir bugs técnicos | Consentimento (Art. 7º, I — banner de cookies) |
| IP e user-agent | Segurança, anti-fraude | Legítimo interesse (Art. 7º, IX) |
4. Dados de Crianças e Adolescentes — Proteção Especial (LGPD Art. 14)
O Atypos.family trata dados de crianças (até 12 anos incompletos) e adolescentes (de 12 a 17 anos), com proteção reforçada conforme o Art. 14 da LGPD. Em ambos os casos aplicam-se as mesmas salvaguardas, mas reconhecemos que o perfil de risco e a autonomia progressiva diferem entre essas faixas etárias.
Princípio norteador: o melhor interesse da criança e do adolescente orienta todas as nossas decisões sobre tratamento de dados.
Consentimento: o tratamento de dados do menor requer consentimento específico e em destaque do responsável legal (pai, mãe, tutor ou guardião legalmente habilitado), coletado no início do fluxo de criação do manual. Adotamos mecanismos de verificação da legitimidade do responsável proporcionais ao risco do tratamento e ao princípio da minimização.
- Usamos os dados do menor exclusivamente para gerar o manual solicitado pelo responsável
- Não compartilhamos dados do menor com terceiros para fins comerciais
- Não usamos dados do menor para publicidade ou perfilamento para marketing
- O manual é acessível apenas para o responsável legal que o criou (URL privada com 144 bits de entropia)
- Foto do menor: opcional, armazenada em bucket privado, URLs de acesso expiram em 72 horas
5. Inteligência Artificial e Decisões Automatizadas
O Atypos.family utiliza ferramentas de inteligência artificial para apoiar a organização das suas respostas e a geração do manual personalizado. Esse tratamento pode incluir a criação de sínteses e perfis descritivos com base nas informações fornecidas no formulário e no quiz.
O Atypos.family NÃO realiza diagnóstico médico, NÃO emite laudo clínico e NÃO substitui avaliação profissional especializada. O manual gerado é um documento de orientação prática — sem valor clínico ou terapêutico.
Fornecedor de IA: Anthropic Inc. (EUA), por meio do modelo Claude via API comercial padrão. Por padrão, a Anthropic não utiliza inputs e outputs de clientes comerciais para treinar seus modelos. Não temos configurado Zero Data Retention (ZDR) nem Business Associate Agreement (BAA) com a Anthropic. As práticas de uso de dados da Anthropic podem ser consultadas diretamente na documentação oficial da empresa (privacy policy e usage policies).
Quando o tratamento automatizado puder afetar de forma relevante os seus interesses, você poderá: (a) solicitar revisão humana da decisão ou do conteúdo gerado; (b) pedir esclarecimentos sobre a lógica aplicada; (c) exercer todos os direitos previstos no Art. 20 da LGPD relativos a decisões automatizadas. Para tanto, entre em contato pelo canal encarregado@atypos.family.
6. Por quanto tempo guardamos seus dados (Retenção)
| Categoria | Prazo de retenção | Critério |
|---|---|---|
| Dados do cuidador (nome, e-mail) | Enquanto a conta estiver ativa; até 5 anos após encerramento | Obrigação legal + defesa de direitos |
| Dados do menor (nome, perfil) | Enquanto o manual existir; eliminados ao excluir o manual ou a conta | Finalidade esgotada |
| Foto do menor | Enquanto o manual existir; eliminada ao excluir | Finalidade esgotada |
| Diagnóstico declarado + perfil psicossocial | Enquanto o manual existir | Finalidade esgotada |
| Logs da IA (prompts e outputs — claude_logs) | 90 dias exclusivamente para debug operacional; eliminados automaticamente ao final do prazo | Legítimo interesse limitado — sem uso para treinamento de modelos ou melhoria de prompts |
| Eventos de e-mail (status de entrega) | 180 dias para rastreio de entrega e suporte | Legítimo interesse operacional |
| Dados financeiros (confirmação de pagamento) | 5 anos | Obrigação fiscal e contábil (Lei 9.430/96 e legislação tributária aplicável) |
| Cookies de analytics | 13 meses | Conforme sua escolha no banner de cookies |
| Dados do Diário (assinantes) | Enquanto a assinatura estiver ativa; 30 dias após cancelamento | Finalidade esgotada |
Quando você exclui sua conta, todos os dados do menor são removidos do banco de dados ativo. Solicitamos eliminação nos sistemas de terceiros (Seção 8), mas os prazos deles podem variar. Cópias de segurança podem ter retenção técnica residual conforme política interna de backup.
7. Seus Direitos como Titular (LGPD Art. 18 e Art. 20)
Você tem os seguintes direitos sobre seus dados — e os dados que forneceu sobre o seu filho ou dependente:
- Confirmação: saber se tratamos seus dados
- Acesso: receber cópia dos dados que temos sobre você
- Correção: corrigir dados incompletos, inexatos ou desatualizados
- Anonimização ou bloqueio: para dados desnecessários, excessivos ou tratados em desconformidade
- Portabilidade: receber, em formato estruturado e interoperável, os dados fornecidos diretamente por você — conforme os dados que a lei efetivamente sujeita ao direito de portabilidade
- Eliminação: solicitar exclusão dos dados tratados com base em consentimento
- Informação: saber com quem compartilhamos seus dados
- Oposição: opor-se a tratamento por legítimo interesse, se considerar que prejudica seus direitos
- Revisão humana de decisões automatizadas: solicitar que uma decisão gerada de forma automatizada pela IA seja revista por pessoa humana, receber esclarecimentos sobre a lógica aplicada e contestar o resultado (Art. 20 LGPD)
- Revogação do consentimento: retirar qualquer consentimento dado, sem prejuízo do tratamento já realizado
Como exercer seus direitos:
- Pelo app: acesse /conta e selecione "Privacidade e dados"
- Por e-mail: encarregado@atypos.family com assunto "Direitos LGPD"
Atendemos nos prazos legais e regulamentares aplicáveis. Podemos pedir confirmação de identidade antes de processar sua solicitação. Você também pode apresentar reclamação diretamente à Autoridade Nacional de Proteção de Dados (ANPD): https://www.gov.br/anpd
8. Com quem compartilhamos seus dados
Compartilhamos dados pessoais apenas com terceiros necessários para operar, hospedar, cobrar, comunicar ou proteger o serviço. Dependendo do contexto, esses terceiros atuam em papéis distintos:
Operadores (tratam dados em nosso nome, conforme nossas instruções):
| Fornecedor | País dos servidores | Dados compartilhados por contexto | Finalidade | DPA |
|---|---|---|---|---|
| Supabase | EUA / UE | Banco principal (perfis, quiz, manual, diário); autenticação (e-mail, senha hash); storage (foto do menor) | Infraestrutura de banco de dados, autenticação e armazenamento de arquivos | Em revisão |
| Resend | EUA / UE | E-mail do cuidador, nome, link do manual | Envio de e-mails transacionais | Em revisão |
| Vercel | EUA / UE | Dados de requisição HTTP, logs de acesso (anonimizados) | Hospedagem e entrega do site | Em revisão |
| Sentry | EUA | Dados técnicos de erro (sessões com máscara ativa) | Monitoramento de erros e bugs | Em revisão |
| PostHog | EUA / UE | ID anônimo de uso (UUID), eventos de navegação | Analytics de produto | Em revisão |
Controladores independentes (tratam dados também para cumprir obrigações regulatórias e finalidades próprias):
| Fornecedor | País dos servidores | Dados compartilhados | Finalidade | DPA |
|---|---|---|---|---|
| Stripe | EUA | Dados de pagamento (cartão) | Processamento de pagamentos com cartão de crédito — Stripe atua como controlador independente para fins de prevenção a fraude e compliance regulatório | A formalizar |
| AbacatePay | Brasil | Dados de pagamento (PIX) | Processamento de PIX — AbacatePay atua como controlador independente para fins regulatórios do Banco Central | A formalizar |
| Anthropic Inc. | EUA | Diagnóstico declarado, respostas do quiz, nome do menor — minimizados ao necessário para geração do manual | Geração do manual via IA (Claude). Por padrão, Anthropic não usa inputs/outputs comerciais para treinamento de modelos. Não há Zero Data Retention configurado. | A formalizar |
| Google (Analytics) | EUA | Dados de navegação anônimos (IP anonimizado) | Analytics de tráfego — Google atua como controlador independente nos termos de uso do Google Analytics | A formalizar |
| Meta Platforms (Pixel + Conversions API) | EUA | Email, telefone, nome (hashed SHA-256), IP, user agent, eventos de conversão (Lead/InitiateCheckout/Purchase). PII vai sempre hashed — clear apenas para IP/UA | Atribuição de conversões e otimização de campanhas publicitárias no Facebook/Instagram. Meta atua como controlador independente sob Business Tools Terms. Pixel browser só carrega com consentimento de marketing; CAPI server-side roda como execução de contrato (Art. 7º V) para suporte ao plano de aquisição | Business Tools Terms (Meta) aceitos via Business Manager |
CMS de conteúdo público (não acessa dados de família):
| Fornecedor | País dos servidores | Dados acessados | Finalidade |
|---|---|---|---|
| Notion | EUA | Conteúdo do blog público (sem dados de família) | CMS do blog — não acessa dados pessoais de usuários ou menores |
Os DPAs (Acordos de Processamento de Dados) com os fornecedores marcados como "em revisão" ou "a formalizar" estão em processo de negociação e formalização. Atualizaremos esta seção conforme os instrumentos forem assinados.
9. Transferência Internacional de Dados
Vários dos nossos fornecedores têm servidores fora do Brasil. As transferências são regidas pelos mecanismos jurídicos aplicáveis a cada fluxo:
9. Cookies e Rastreamento
Usamos cookies para manter sua sessão ativa, analisar o uso do site e identificar bugs técnicos. Você pode gerenciar suas preferências pelo banner de cookies disponível no site.
Categorias:
- Essenciais: necessários para o funcionamento (autenticação, sessão). Não podem ser desativados.
- Analytics: PostHog e Google Analytics — coletam dados agregados de uso. Ativados com seu consentimento.
- Diagnóstico: Sentry — captura erros técnicos com sessão mascarada. Ativado com seu consentimento.
10. Segurança
Adotamos medidas técnicas e organizacionais para proteger seus dados:
- Banco de dados com controle de acesso por usuário (Row-Level Security)
- Armazenamento de fotos e PDFs em buckets privados (acesso apenas com autenticação)
- URLs de acesso temporárias (expiram em 72h) para arquivos sensíveis
- Transmissão de dados via HTTPS com TLS
- Monitoramento de erros com dados mascarados
- Acesso interno limitado ao mínimo necessário
Caso tenhamos conhecimento de um incidente de segurança que afete seus dados, notificaremos você e a ANPD conforme LGPD Art. 48.
11. Alterações nesta Política
Podemos atualizar esta política periodicamente para refletir mudanças legais, operacionais ou tecnológicas no serviço. Quando fizermos alterações relevantes, enviaremos aviso por meios adequados com pelo menos 30 dias de antecedência. A data de "última atualização" no topo desta página refletirá sempre a versão vigente. Quando a alteração envolver nova finalidade, novo compartilhamento, nova transferência internacional ou mudança de base legal que dependa de consentimento, o novo consentimento será solicitado antes do início do novo tratamento — o uso continuado do serviço não substitui essa manifestação específica. Se você não concordar com uma alteração material, pode encerrar sua conta antes de ela entrar em vigor.
12. Contato e Canal do Encarregado
Para exercer seus direitos, tirar dúvidas ou fazer reclamações:
Email: encarregado@atypos.family
Pelo app: /conta — "Privacidade e dados"
Se não ficarmos satisfeitos com nossa resposta, você pode também contatar a Autoridade Nacional de Proteção de Dados (ANPD) em https://www.gov.br/anpd https://www.gov.br/anpd
Versão 1.0.0 — 15 de maio de 2026