Política de Privacidade
Privacidade e conformidade com a LGPD
Esta página descreve como o MindFlow coleta, usa, armazena e protege dados pessoais dos seus usuários, em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados — LGPD). Última atualização: 12/07/2026.
Esta página é mantida pelo Controlador dos dados (MindFlow). Descreve os controles disponíveis na plataforma e não constitui certificação independente. Alguns campos institucionais estão marcados como a definir e serão preenchidos pelo Controlador.
1. Controlador dos dados
Razão social: a definir
CNPJ: a definir
Endereço: a definir
2. Encarregado de Proteção de Dados (DPO)
Para exercer seus direitos ou tirar dúvidas sobre o tratamento dos seus dados, contate o Encarregado:
E-mail do DPO: a definir (ex.: dpo@mindflow.app)
3. Dados pessoais tratados
- Dados de cadastro: nome, e-mail e avatar (quando informado no login social).
- Dados de autenticação: credenciais criptografadas, provedores OAuth (Google), tokens de sessão.
- Conteúdo do usuário: mapas mentais, fluxogramas, comentários, colaboradores e anexos criados pelo titular.
- Dados de uso: registros de acesso, endereço IP, agente de navegação e trilha de auditoria de eventos sensíveis.
4. Bases legais e finalidades
- Execução do contrato (Art. 7º, V): prover a plataforma, salvar seus mapas e fluxos, permitir colaboração.
- Legítimo interesse (Art. 7º, IX): segurança, prevenção a fraude, melhorias no produto e auditoria.
- Consentimento (Art. 7º, I): quando você opta por integrações externas ou compartilha um mapa publicamente.
- Cumprimento de obrigação legal (Art. 7º, II): guarda de registros de acesso conforme o Marco Civil da Internet.
5. Compartilhamento e operadores
Utilizamos operadores essenciais para prestar o serviço:
- Infraestrutura de banco e autenticação: Supabase (hospedagem gerenciada, criptografia em repouso, backups).
- Hospedagem web e CDN: Cloudflare / Lovable.
- IA generativa: provedores do Lovable AI Gateway — usados apenas para processar prompts sob demanda do usuário; conteúdo não é usado para treinamento.
A lista atualizada de operadores pode ser solicitada ao DPO.
6. Segurança da informação
Criptografia em trânsito
Todas as conexões usam TLS 1.2+ (HTTPS).
Criptografia em repouso
Dados armazenados com criptografia de disco AES-256.
Controle de acesso por papéis
Papéis administrador, moderador e usuário, com verificação server-side.
Row-Level Security
Políticas RLS ativas em todas as tabelas com dados de usuários.
Backups automáticos
Backups diários gerenciados pela infraestrutura de banco de dados.
Logs de auditoria
Eventos sensíveis (papéis, convites, exclusões) são registrados e auditáveis.
7. Retenção e eliminação
Dados de cadastro e conteúdo do usuário são mantidos enquanto sua conta estiver ativa. Registros de acesso são retidos por até 6 meses, conforme o Marco Civil da Internet. Após a exclusão da conta, os dados pessoais são apagados ou anonimizados em até 30 dias, exceto obrigações legais que exijam retenção.
8. Direitos do titular (Art. 18 da LGPD)
Você pode, a qualquer momento:
- Confirmar a existência de tratamento;
- Acessar seus dados;
- Corrigir dados incompletos, inexatos ou desatualizados;
- Solicitar anonimização, bloqueio ou eliminação de dados desnecessários;
- Solicitar portabilidade dos seus dados;
- Revogar o consentimento e opor-se a tratamentos com base em legítimo interesse;
- Ser informado sobre o compartilhamento com terceiros.
Para exercer qualquer um destes direitos, escreva ao DPO no e-mail informado no item 2. Responderemos em até 15 dias.
9. Transferência internacional
Alguns operadores (Supabase, Cloudflare, provedores de IA) podem processar dados fora do Brasil. Adotamos salvaguardas contratuais e técnicas (criptografia, controles de acesso) compatíveis com o Art. 33 da LGPD.
10. Incidentes de segurança
Em caso de incidente de segurança que possa acarretar risco relevante aos titulares, comunicaremos a ANPD e os titulares afetados em prazo razoável, conforme o Art. 48 da LGPD.
11. Alterações desta política
Podemos atualizar esta política para refletir mudanças legais, técnicas ou de escopo do produto. Alterações relevantes serão comunicadas por e-mail ou dentro da plataforma.