Política de Privacidade

A MamaoFy, plataforma acessível em mamaofy.com.br, é a Controladora de Dados nos termos do Art. 5°, VI da Lei Geral de Proteção de Dados Pessoais (LGPD — Lei 13.709/2018 do Brasil). É ela quem toma as decisões referentes ao tratamento dos dados pessoais dos utilizadores da plataforma.

Para questões relacionadas com a privacidade, proteção de dados e exercício de direitos do titular, o canal de contacto com o Encarregado de Proteção de Dados (DPO) é:

• Email: [email protected]
• Assunto: indique "LGPD — [Tipo de pedido]" para priorização do atendimento

Comprometemo-nos a responder a pedidos relacionados com dados pessoais em até 15 dias úteis, conforme o prazo previsto na LGPD.

Todo o tratamento de dados pessoais realizado pela MamaoFy possui base legal específica, conforme o Art. 7° da LGPD:

• Consentimento (Art. 7°, I): utilizado para envio de comunicações de marketing, newsletters, e uso de cookies não essenciais. O consentimento pode ser revogado a qualquer momento
• Execução de contrato (Art. 7°, V): tratamento necessário para a prestação dos serviços contratados, como criação de conta, processamento de pagamentos e entrega de conteúdos adquiridos
• Cumprimento de obrigação legal (Art. 7°, II): retenção de registos fiscais e financeiros conforme exigido pela legislação tributária brasileira
• Legítimo interesse (Art. 7°, IX): prevenção de fraudes, segurança da plataforma, melhoria dos serviços e análise de uso, desde que não prevaleçam sobre os direitos e liberdades fundamentais do titular
• Exercício regular de direitos (Art. 7°, VI): em processos judiciais, administrativos ou arbitrais quando necessário

Recolhemos dados pessoais nas seguintes categorias, conforme o tipo de utilização que faz da plataforma:

Dados de identificação e registo:

• Nome completo, endereço de email, palavra-passe (armazenada com hash seguro)
• Número de telefone/telemóvel e fotografia de perfil (avatar)
• Biografia, apresentação profissional e redes sociais (preenchimento opcional)
• País, distrito, cidade e freguesia de localização
• Fuso horário e idioma preferidos

Dados financeiros (instrutores e compradores):

• Informações de cobrança necessárias para processar transações (nome do titular, CPF/CNPJ quando exigido pelo gateway)
• Dados bancários para transferência de receitas (IBAN, número de conta — apenas para instrutores)
• Histórico de transações, subscrições ativas e créditos disponíveis
• Os dados de cartão de crédito NÃO são armazenados nos servidores da MamaoFy; toda a tokenização é realizada diretamente pelo MercadoPago

Dados de autenticação e segurança:

• Identificadores OAuth de início de sessão social (Google ID, Facebook ID) — nunca a palavra-passe das redes sociais
• Segredo TOTP e códigos de salvaguarda para autenticação de dois fatores (MFA)
• Histórico de inícios de sessão (data, hora, endereço IP e dispositivo)
• Token de API para integrações externas (quando solicitado)

Dados de utilização e comportamento:

• Endereço IP, tipo e versão do navegador, sistema operativo
• Páginas visitadas, duração de sessão e interações com os recursos da plataforma
• Progresso de aprendizagem em cursos, quizzes respondidos e certificados emitidos
• Utilização de funcionalidades de IA (quantidade de mensagens, prompts enviados — sem armazenar o conteúdo dos prompts nos nossos servidores)

Documentos enviados (instrutores):

• Documentos de identidade e certificados profissionais enviados voluntariamente para verificação de conta

Utilizamos os seus dados pessoais exclusivamente para as seguintes finalidades:

• Prestação dos serviços: criação e gestão de conta, acesso a cursos e conteúdos adquiridos, emissão de certificados
• Processamento de transações: cobrança de subscrições, compra de créditos AI, transferência de receitas a instrutores e afiliados
• Comunicações transacionais: confirmações de compra, notificações de acesso, alertas de segurança e atualizações de conta
• Comunicações de marketing (com consentimento): novidades da plataforma, lançamentos de cursos, promoções e newsletter
• Personalização: adaptação da experiência de aprendizagem, recomendações de conteúdo e configurações de preferência
• Segurança e prevenção a fraudes: deteção de acessos suspeitos, bloqueio de IPs maliciosos, proteção da integridade da plataforma
• Melhoria dos serviços: análise de uso agregado e anonimizado para aperfeiçoamento da plataforma
• Cumprimento legal: retenção de registos fiscais, financeiros e de auditoria conforme exigido pela legislação brasileira

Os seus dados pessoais nunca serão vendidos nem cedidos a terceiros para fins comerciais. Partilhamos dados apenas nas seguintes circunstâncias e com os seguintes tipos de destinatários:

• MercadoPago (gateway de pagamento principal): dados de cobrança necessários para processar transações. O MercadoPago opera sob as regulamentações financeiras brasileiras e internacionais. Política de privacidade em mercadopago.com.br
• Stripe e PayPal (gateways alternativos): quando selecionados pelo instrutor como método de pagamento, os dados de cobrança do comprador são processados diretamente por esses gateways
• xAI (fornecedor de IA, EUA): os prompts e contexto enviados para as ferramentas de inteligência artificial (MamaoFy.AI, Creative AI) são processados pela xAI. Ver Secção 6 sobre transferência internacional
• OpenRouter (fornecedor de IA intermediário, EUA): utilizado como fallback e para modelos alternativos de IA. Ver Secção 6
• Firebase (Google, EUA): utilizado opcionalmente para autenticação de utilizadores em fluxos específicos da plataforma
• MinIO / Armazenamento de objetos compatível com S3: os ficheiros enviados pelos utilizadores (vídeos, documentos, imagens) são armazenados em serviço de armazenamento de objetos configurado para a plataforma
• Bunny CDN: serviço de entrega de conteúdo utilizado para streaming de vídeos dos cursos com melhor desempenho
• Meta (WhatsApp Cloud API): quando o instrutor utiliza o módulo Sender para envio de mensagens automatizadas via WhatsApp, os dados do destinatário (número de telefone) são transmitidos à API da Meta
• Serviços de email (Mailgun, AWS SES, Postmark ou SMTP configurado): utilizados para envio de emails transacionais e de marketing, conforme configuração da plataforma
• Instrutores e organizações: os dados básicos do aluno (nome, email, progresso) são partilhados com o instrutor responsável pelo curso adquirido, exclusivamente para fins de entrega do conteúdo e apoio
• Autoridades e obrigação legal: quando exigido por lei, ordem judicial, investigação governamental ou para proteção de direitos da MamaoFy

Alguns serviços utilizados pela MamaoFy possuem servidores localizados fora do Brasil, implicando a transferência internacional de dados pessoais conforme o Capítulo V da LGPD:

• xAI (Estados Unidos): fornecedor primário de inteligência artificial. Os dados enviados para esse serviço estão sujeitos à legislação norte-americana. A xAI opera sob contratos de processamento de dados compatíveis com padrões internacionais de privacidade
• OpenRouter (Estados Unidos): intermediário de modelos de IA utilizados como fallback. Os dados transmitidos limitam-se ao conteúdo do prompt e contexto da conversa
• Firebase / Google (Estados Unidos): utilizado para funcionalidades de autenticação. A Google está certificada por frameworks internacionais de privacidade
• PayPal (Estados Unidos): gateway de pagamento alternativo para transações internacionais quando ativado
• Stripe (Estados Unidos): gateway de pagamento alternativo quando ativado pelo instrutor

Estas transferências são realizadas com base nas garantias adequadas previstas no Art. 33 da LGPD, incluindo cláusulas contratuais específicas com cada fornecedor. Para informações sobre as garantias específicas de cada fornecedor, contacte pelo email [email protected].

Utilizamos cookies e tecnologias semelhantes para melhorar a sua experiência na plataforma. O consentimento para cookies não essenciais é recolhido por meio do nosso banner de consentimento, em conformidade com a LGPD.

Tipos de cookies utilizados:

• Cookies essenciais (obrigatórios): necessários para o funcionamento básico da plataforma — autenticação, gestão de sessão, segurança CSRF e preferências de idioma. Não podem ser desativados sem comprometer o funcionamento da plataforma
• Cookies de desempenho (opcionais): recolhem informações sobre como utiliza a plataforma (páginas visitadas, tempo de sessão) para nos ajudar a identificar melhorias. Os dados são utilizados de forma agregada e não identificam o utilizador individualmente
• Cookies de personalização (opcionais): permitem lembrar as suas preferências (tema, idioma, layout) e personalizar a sua experiência entre sessões

Não utilizamos cookies de publicidade comportamental de terceiros (como pixels de remarketing do Facebook ou Google Ads) de forma nativa na plataforma. Os instrutores que utilizam o módulo de Landing Pages podem configurar pixels próprios nas suas páginas, sendo eles os responsáveis por tal tratamento.

Pode gerir as suas preferências de cookies a qualquer momento pelo painel de configurações da sua conta ou reconfigurando o banner de consentimento. A desativação de cookies não essenciais não prejudica o acesso aos recursos principais da plataforma.

Como titular de dados pessoais, possui os seguintes direitos garantidos pelo Art. 18 da LGPD, que podem ser exercidos a qualquer momento:

• I — Confirmação e acesso: confirmar se tratamos os seus dados pessoais e solicitar cópia completa dos dados que mantemos sobre si
• II — Correção: solicitar a correção de dados incompletos, inexatos ou desatualizados
• III — Anonimização, bloqueio ou eliminação: solicitar que dados desnecessários, excessivos ou tratados em desconformidade com a LGPD sejam anonimizados, bloqueados ou eliminados
• IV — Portabilidade: solicitar a transferência dos seus dados para outro fornecedor de serviço ou produto, mediante pedido expresso, em formato estruturado e interoperável
• V — Eliminação com consentimento: solicitar a eliminação dos dados pessoais tratados com base exclusivamente no seu consentimento, exceto nas hipóteses previstas em lei
• VI — Informação sobre partilha: ser informado sobre as entidades públicas e privadas com as quais partilhamos os seus dados
• VII — Informação sobre não fornecimento: ser informado sobre a possibilidade de não fornecer consentimento e sobre as consequências dessa recusa
• VIII — Revogação do consentimento: revogar o consentimento dado a qualquer momento, sem prejuízo à legalidade do tratamento realizado anteriormente
• IX — Oposição: opor-se ao tratamento de dados realizado com fundamento em outras bases legais que não o consentimento, em caso de incumprimento da LGPD
• Revisão de decisões automatizadas: solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado de dados que afetem os seus interesses

Para exercer qualquer um dos direitos listados na Secção 8, pode:

• Painel da conta: aceda a Configurações → Privacidade para gerir dados, preferências de comunicação e solicitar eliminação de conta diretamente pela plataforma
• Email para o DPO: envie o seu pedido para [email protected] com o assunto "LGPD — [Tipo de pedido]" (ex.: "LGPD — Acesso aos dados" ou "LGPD — Eliminação")
• Formulário de contacto: aceda a mamaofy.com.br/contact

Para garantir a segurança e autenticidade do pedido, podemos solicitar verificação da sua identidade antes de processar o pedido. Responderemos em até 15 dias úteis a partir da receção. Em caso de impossibilidade de cumprimento nesse prazo, informaremos o motivo e a previsão de conclusão.

Caso considere que o seu direito foi violado, também pode apresentar reclamação junto da Autoridade Nacional de Proteção de Dados (ANPD) em www.gov.br/anpd.

Mantemos os seus dados pessoais pelo tempo estritamente necessário para cumprir as finalidades para as quais foram recolhidos ou para satisfazer obrigações legais:

• Dados de conta ativa: mantidos durante toda a vigência da relação contratual
• Dados após encerramento de conta: mantidos por até 90 dias para fins de auditoria interna e eventuais disputas, após o que são anonimizados ou eliminados
• Dados financeiros e fiscais: mantidos por 5 anos após a transação, conforme exigido pela legislação tributária brasileira (art. 195 do CTN e legislação correlata)
• Registos de auditoria e logs de acesso: mantidos por até 6 meses, conforme o Marco Civil da Internet (Lei 12.965/2014, art. 15)
• Conteúdo de cursos de instrutores: mantido enquanto o instrutor mantiver conta ativa ou até pedido expresso de remoção

Após o vencimento dos prazos de retenção, os dados são eliminados de forma segura ou anonimizados de modo irreversível.

A MamaoFy implementa medidas técnicas e organizacionais compatíveis com o estado da arte para proteger os seus dados pessoais:

• Cifragem em trânsito: toda a comunicação entre o seu navegador e a plataforma utiliza protocolo HTTPS/TLS
• Cifragem em repouso: os dados sensíveis armazenados são cifrados (AES-256-CBC)
• Autenticação multifator (MFA): disponível para todos os utilizadores, com suporte a TOTP (Google Authenticator, Authy) e códigos de salvaguarda
• Controlo de acesso baseado em funções: acesso a dados pessoais restrito a colaboradores com necessidade operacional justificada
• Headers de segurança: a plataforma implementa headers HTTP de segurança (Content Security Policy, X-Frame-Options, X-XSS-Protection)
• Monitorização: os logs de acesso e atividades suspeitas são monitorizados continuamente
• Validação de ficheiros: os ficheiros enviados pelos utilizadores passam por verificação de conteúdo antes do armazenamento
• Dados de cartão: não armazenados nos nossos servidores; toda a tokenização é realizada diretamente pelo gateway de pagamento certificado

Em caso de incidente de segurança que possa causar risco relevante aos titulares, notificaremos a ANPD e os titulares afetados nos prazos legais.

A plataforma MamaoFy não é direcionada a menores de 13 anos. Para utilizadores entre 13 e 17 anos, exigimos o consentimento expresso dos pais ou responsáveis legais para o registo e utilização da plataforma, conforme o Art. 14 da LGPD.

Ao realizar o registo, o utilizador declara ser maior de 18 anos ou possuir autorização de responsável legal. Se tomarmos conhecimento de que dados de menores foram recolhidos sem consentimento adequado, tomaremos as medidas necessárias para os eliminar prontamente.

Os responsáveis legais que identifiquem dados de menores recolhidos sem o seu consentimento devem contactar imediatamente pelo email [email protected].

A MamaoFy integra ferramentas de inteligência artificial em diferentes contextos da plataforma. Veja como os seus dados são tratados em cada uma:

• MamaoFy.AI e Creative AI: os prompts e contextos que envia para geração de conteúdo são transmitidos à xAI (ou ao OpenRouter como fallback) para processamento. A MamaoFy não armazena o conteúdo dos seus prompts nos seus próprios servidores após o retorno da resposta. O histórico de conversas visível na interface é armazenado associado à sua conta para continuidade da experiência
• Tutor AI: os textos de aulas e perguntas enviadas ao tutor são processados pelo OpenRouter com modelos configurados pela plataforma. O contexto da conversa é mantido temporariamente para coerência da sessão de aprendizagem
• Social Planner: os conteúdos de redes sociais que ligar à plataforma (publicações, métricas) são processados para geração de sugestões. Esses dados são armazenados associados à sua conta enquanto a integração estiver ativa
• Uso de dados para treino de modelos: a MamaoFy não utiliza os seus dados pessoais nem o conteúdo dos seus prompts para treinar modelos de IA próprios. O uso de dados pelos fornecedores externos (xAI, OpenRouter) é regido pelas políticas de privacidade desses fornecedores
• Monitorização de uso: o volume de utilização das ferramentas de IA (quantidade de mensagens, não o conteúdo) é armazenado na sua conta para fins de controlo de limites do plano e deteção de uso abusivo

A MamaoFy adota uma política rigorosa contra spam em todas as comunicações realizadas pela plataforma:

• Todas as comunicações de marketing enviadas pela plataforma incluem ligação de cancelamento de subscrição (unsubscribe). Ao clicar, deixará de receber emails da categoria selecionada
• As comunicações transacionais (confirmações de compra, notificações de segurança) são enviadas independentemente da preferência de marketing, pois são necessárias para a prestação do serviço
• É estritamente proibido utilizar os recursos de email ou WhatsApp da plataforma (módulo Sender) para enviar mensagens não solicitadas, enganadoras ou em desacordo com a Lei CAN-SPAM ou legislação anti-spam brasileira
• A violação desta política pode resultar na suspensão imediata do acesso ao módulo Sender e, em casos graves, no encerramento da conta
• A MamaoFy cumpre integralmente o Art. 43 do Marco Civil da Internet no que se refere ao armazenamento e tratamento de logs de comunicação

A MamaoFy reserva-se o direito de atualizar esta Política de Privacidade a qualquer momento para refletir mudanças nos nossos serviços, na legislação aplicável ou nas nossas práticas de tratamento de dados. As alterações relevantes serão comunicadas com antecedência mínima de 15 dias por email ou notificação na plataforma.

A data de vigência desta política está indicada no cabeçalho desta página. Recomendamos que reveja esta política periodicamente. A continuidade da utilização da plataforma após a data de vigência das alterações implica aceitação das novas disposições.

Versões anteriores desta Política de Privacidade podem ser solicitadas pelo email [email protected].