Política de privacidade
Esta política descreve como a Calmauria (a seguir “Calmauria”, “nós”) trata os dados pessoais dos usuários do site calmauria.com e do serviço relacionado (o “Serviço”), em conformidade com o Regulamento (UE) 2016/679 (“RGPD”) e com o Decreto Legislativo italiano 196/2003, conforme alterado pelo Decreto Legislativo 101/2018.
A Calmauria é um serviço de apoio emocional e bem-estar baseado em inteligência artificial. Não é um serviço de saúde, não fornece diagnósticos, terapia ou tratamento e não substitui a orientação de um médico ou de um psicólogo.
1. Responsável pelo tratamento
O responsável pelo tratamento dos dados é CR OÜ (società di diritto estone, codice registro 16778262), che opera con il marchio Calmauria, com sede em Nõmme tee 64-3, Kristiine linnaosa, 11311 Tallinn, Harju maakond, Estonia. Para qualquer solicitação relativa aos seus dados, você pode escrever para [email protected].
2. Categorias de dados que tratamos
- Dados de conta: endereço de e-mail, nome (opcional), senha (armazenada exclusivamente como hash criptográfico), confirmação de maioridade.
- Dados de sessão: tema escolhido, breve descrição inicial, modalidade (áudio/telefone), voz selecionada, duração e horário das sessões.
- Conteúdo das conversas: o que você diz durante as suas sessões com a Auria e as respostas correspondentes. Esse conteúdo pode revelar dados pertencentes a categorias especiais nos termos do artigo 9.º do RGPD (em particular, dados relativos à saúde e ao bem-estar psicológico).
- Dados de pagamento: tratados diretamente pela Stripe. Não tratamos nem armazenamos números de cartão; recebemos apenas identificadores da transação, valor, status do pagamento e e-mail de cobrança.
- Dados técnicos: endereço IP, tipo de dispositivo e de navegador, registros (logs) técnicos e de segurança necessários ao funcionamento e à proteção do Serviço.
3. Finalidades e bases jurídicas
- Prestação do Serviço (conta, sessões, pagamentos): a base jurídica é a execução do contrato (art. 6.º, n.º 1, alínea b, do RGPD).
- Tratamento do conteúdo das conversas e memória entre sessões (dados de categorias especiais): a base jurídica é o seu consentimento explícito (art. 9.º, n.º 2, alínea a, do RGPD), que você pode retirar a qualquer momento.
- Segurança, prevenção de abusos e gestão de situações de crise: interesse legítimo (art. 6.º, n.º 1, alínea f) e, quando aplicável, proteção de interesses vitais (art. 9.º, n.º 2, alínea c).
- Obrigações fiscais e contábeis relativas aos pagamentos: obrigação legal (art. 6.º, n.º 1, alínea c).
- Comunicações de serviço (por exemplo, confirmações, avisos de segurança): execução do contrato e interesse legítimo.
4. Memória entre sessões
Somente se você der um consentimento específico e opcional, a Auria mantém um resumo criptografado das suas conversas para que você possa retomar de onde parou nas sessões seguintes. Você pode retirar esse consentimento a qualquer momento na sua área de conta ou escrevendo para nós: a partir desse momento, a memória deixará de ser usada e os resumos serão apagados.
5. Como protegemos os seus dados
O conteúdo sensível (transcrições e resumos das sessões) é criptografado no nível da aplicação com o algoritmo AES-256-GCM; as chaves de criptografia são gerenciadas separadamente do banco de dados. As senhas são protegidas com funções de derivação de chave (scrypt). Adotamos medidas técnicas e organizacionais adequadas para garantir a confidencialidade, a integridade e a disponibilidade.
6. Fornecedores e subcontratantes
Para prestar o Serviço, recorremos a fornecedores que atuam como subcontratantes (operadores de dados), cada um sob garantias contratuais adequadas:
- Stripe — pagamentos;
- Neon — banco de dados;
- LiveKit — transmissão de áudio/vídeo em tempo real;
- Anam — avatar em vídeo (funcionalidade atualmente não ativa);
- Cartesia — síntese de voz;
- Deepgram — transcrição de voz;
- Anthropic — o modelo de inteligência artificial que gera as respostas.
Alguns fornecedores podem tratar dados fora do Espaço Econômico Europeu. Nesse caso, as transferências ocorrem com base em garantias adequadas nos termos dos artigos 44.º e seguintes do RGPD (em particular, Cláusulas Contratuais-Tipo). Sempre que tecnicamente possível, privilegiamos fornecedores que oferecem residência de dados na UE e compromissos contratuais de não treinar seus modelos com o seu conteúdo.
7. Decisões automatizadas
O Serviço usa inteligência artificial para gerar as respostas e, em paralelo, um classificador automático de segurança que analisa cada intervenção para detectar sinais de risco (por exemplo, pensamentos suicidas, perigo para você ou para terceiros). Esse tratamento não produz efeitos jurídicos em relação a você: a sua única finalidade é a sua segurança. Não realizamos criação de perfis (profiling) para fins de marketing.
8. Conservação dos dados
- Dados de conta: pela duração da relação e enquanto a conta permanecer ativa.
- Transcrições e resumos: conservados apenas com o seu consentimento; se você não consentir com a memória, o conteúdo não é conservado além da sessão ou é apagado dentro dos prazos previstos nas nossas políticas de retenção.
- Dados de pagamento e documentos fiscais: pelo período exigido por lei.
- Registros (logs) de segurança: pelo tempo estritamente necessário para fins de segurança.
9. Menores de idade
O Serviço é estritamente reservado a maiores de idade (18 anos ou mais). Não coletamos conscientemente dados de menores. Se detectarmos indícios de que um usuário possa ser menor de idade, encerramos a sessão e o encaminhamos para recursos dedicados. Se você acredita que um menor nos forneceu dados, escreva para nós e nós os apagaremos.
10. Gestão de situações de crise
A Calmauria não gerencia emergências. Quando há sinais de risco para a vida, a Auria interrompe a conversa e encaminha o usuário para ajuda humana imediata (números de emergência e linhas de apoio). Em situações de perigo iminente, ligue para o 112 (ou para o número de emergência local).
11. Os seus direitos
Como titular dos dados, você pode exercer a qualquer momento os direitos previstos nos artigos 15.º a 22.º do RGPD:
- acesso aos seus dados e obtenção de uma cópia;
- retificação de dados inexatos;
- apagamento (“direito ao esquecimento”);
- limitação do tratamento e oposição ao tratamento;
- portabilidade dos dados;
- retirada do consentimento a qualquer momento, sem prejuízo da licitude do tratamento realizado anteriormente.
Para exercer os seus direitos, escreva para [email protected]. Responderemos dentro dos prazos exigidos por lei.
12. Reclamação junto a uma autoridade de controle
Você tem o direito de apresentar reclamação à autoridade italiana de proteção de dados (Garante per la protezione dei dati personali, www.garanteprivacy.it) ou à autoridade de controle do Estado-Membro da UE em que reside.
13. Alterações
Podemos atualizar esta política periodicamente. As alterações serão publicadas nesta página, juntamente com a respectiva data de atualização.
Aviso adicional para residentes nos Estados Unidos — Consumer Health Data
O conteúdo das suas conversas com a Auria pode constituir “consumer health data” (dados de saúde do consumidor) nos termos de determinadas leis estaduais dos EUA, incluindo o Washington My Health My Data Act. Em relação a esses dados, e no que se aplica aos residentes nos Estados Unidos:
- nós os coletamos e tratamos somente com o seu consentimento explícito e exclusivamente para prestar o Serviço a você;
- não vendemos dados de saúde do consumidor e não os compartilhamos para fins publicitários;
- você pode exercer os seus direitos de acesso, apagamento e retirada do consentimento a qualquer momento escrevendo para [email protected];
- esses dados são protegidos por criptografia no nível da aplicação, conforme descrito na Seção 5.
Nota: esta é uma tradução de cortesia, fornecida por conveniência. Em caso de divergência entre a versão em português e a versão italiana, prevalece a versão italiana, na medida permitida pelas normas imperativas de proteção do consumidor. Esta política foi redigida com o máximo cuidado, mas não substitui aconselhamento jurídico personalizado: recomenda-se a revisão por advogado qualificado antes do lançamento público, juntamente com uma avaliação de impacto sobre a proteção de dados (DPIA).