Política de Privacidade

Data de Vigência: 13 de abril de 2026

Última Atualização: 13 de abril de 2026

Versão: 1.0

Regulamentações Aplicáveis: Lei Geral de Proteção de Dados (LGPD), Regulamento Geral de Proteção de Dados (GDPR), Lei de Privacidade do Consumidor da Califórnia (CCPA)

Índice

Introdução e Identificação do Controlador de Dados
Dados Pessoais que Coletamos
Como Utilizamos Seus Dados
Base Legal para o Processamento
Compartilhamento com Terceiros
Transferência Internacional de Dados
Retenção e Exclusão de Dados
Seus Direitos
Segurança dos Dados
Dados de Menores de Idade
Alterações nesta Política
Contato e Encarregado de Dados
Disposições Específicas CCPA
Disposições Específicas GDPR

1. Introdução e Identificação do Controlador de Dados

Bem-vindo ao DressGenius ("Aplicativo", "Serviço", "Nós", "Nosso"). Esta Política de Privacidade ("Política") explica como coletamos, usamos, divulgamos e protegemos seus dados pessoais quando você utiliza nosso aplicativo móvel DressGenius e serviços associados.

O controlador de dados responsável pelo processamento de seus dados pessoais é:

DressGenius Tecnologia LTDA

Endereço: Ponta Grossa, Paraná, Brasil

Email: support@dressgenius.app

Encarregado de Dados (DPO): dpo@dressgenius.app

Somos uma plataforma de consultoria de moda alimentada por inteligência artificial que auxilia usuários a analisar seus looks, receber sugestões de melhorias, gerenciar um guarda-roupa digital e gerar imagens de outfits sugeridos.

Esta Política de Privacidade se aplica a todos os usuários do DressGenius, independentemente de sua localização geográfica. Diferentes regulamentações de proteção de dados podem se aplicar dependendo do seu local de residência.

2. Dados Pessoais que Coletamos

Coletamos vários tipos de dados pessoais para fornecer e melhorar nossos serviços. Os dados são organizados nas categorias abaixo:

2.1 Dados de Registro e Autenticação

Dados Básicos de Registro

O que coletamos: Nome completo, endereço de email, senha (armazenada com hash seguro via bcrypt).

Como coletamos: Fornecidos por você durante o registro no aplicativo.

Finalidade: Criar e manter sua conta, autenticação, comunicação de segurança.

Autenticação Social (Google OAuth)

O que coletamos: Google ID único, email registrado, nome exibido, URL de foto de perfil.

Como coletamos: Quando você opta por usar login via Google.

Finalidade: Autenticação segura e conveniência de acesso.

Autenticação Apple Sign-In

O que coletamos: ID único da Apple (claim sub), email (real ou alias @privaterelay.appleid.com caso você escolha "Ocultar meu e-mail"), nome (apenas se você optar por compartilhar no primeiro login).

Como coletamos: Quando você opta por usar login via Apple.

Finalidade: Autenticação segura e conveniência de acesso.

Relay privado ("Ocultar meu e-mail"): Ao escolher "Ocultar meu e-mail", a Apple gera um endereço aleatório terminado em @privaterelay.appleid.com e encaminha mensagens para seu e-mail real. Armazenamos apenas o endereço de relay — nunca recebemos seu e-mail real. Notificações push são entregues via device tokens e não dependem de e-mail.

Segurança (nonce SHA-256): Para prevenir ataques de replay, nosso app mobile gera um nonce criptográfico aleatório de 32 bytes por login, envia seu hash SHA-256 para a Apple e encaminha o nonce bruto para nosso backend. O backend valida que o hash contido no token de identidade da Apple corresponde ao nonce bruto recebido. Isso garante que cada token de autenticação só pode ser usado uma vez e apenas pelo cliente que iniciou a requisição.

2.2 Dados de Perfil e Preferências

Informações de Perfil

O que coletamos: Nome de exibição, foto de perfil (JPG, PNG, WebP, até 10MB), bio/descrição pessoal.

Como coletamos: Fornecidos por você ao completar seu perfil.

Finalidade: Personalização de conta, exibição de perfil, compartilhamento social.

Preferências de IA

O que coletamos: Configurações de análise representadas por sliders 0-100: tom da comunicação, rigor da análise, nível de detalhe, criatividade, tendências, conforto, clima, e orçamento.

Como coletamos: Selecionadas por você nas configurações de IA do aplicativo.

Finalidade: Personalizar análises e sugestões de IA, melhorar precisão das recomendações.

Preferências de Compartilhamento

O que coletamos: Configurações de privacidade, permissões de compartilhamento, preferências de dados de gamificação.

Como coletamos: Selecionadas por você nas configurações de privacidade.

Finalidade: Respeitar suas escolhas de privacidade, controlar visibilidade de perfil e dados.

2.3 Dados de Localização

Localização Geográfica

O que coletamos: Coordenadas GPS (latitude, longitude), país, estado/região, cidade, bairro. Também contexto climático e regional derivado.

Como coletamos: Via GPS do dispositivo (com sua permissão) ou entrada manual de localização que você fornece.

Finalidade: Análise contextual de clima e tendências regionais, sugestões culturalmente relevantes, reverse geocoding via RegionalContextService.

Você controla: Pode negar permissão de GPS e inserir localização manualmente.

2.4 Dados de Conteúdo Visual

Fotos de Outfits

O que coletamos: Fotografias de roupas/looks que você tira ou carrega para análise de IA. Incluindo metadados de imagem quando disponível.

Como coletamos: Você fotografa ou carrega imagens voluntariamente no aplicativo.

Finalidade: Análise de IA (cores, estilo, ocasião, clima), geração de imagens, recomendações personalizadas.

Fotos de Itens de Guarda-Roupa

O que coletamos: Fotografias de peças de roupa que você adiciona ao seu guarda-roupa digital.

Como coletamos: Você fotografa ou carrega imagens voluntariamente.

Finalidade: Catalogar seu guarda-roupa, facilitar combinações de looks, análise de uso de peças.

Fotos de Perfil

O que coletamos: Sua foto de perfil ou avatar (JPG, PNG, WebP, até 10MB).

Como coletamos: Você carrega voluntariamente.

Finalidade: Identificação de perfil, exibição pública (se permitido), compartilhamento social.

2.5 Dados de Dispositivo e Notificações

Tokens de Notificação Push

O que coletamos: Token único Expo Push (exp.host), plataforma (iOS/Android), nome do dispositivo.

Como coletamos: Automaticamente quando você ativa notificações push no aplicativo.

Finalidade: Entregar notificações push personalizadas, lembretes de análise, atualizações de premium.

Informações de Dispositivo

O que coletamos: Modelo do dispositivo, versão do SO (iOS/Android), versão do aplicativo, idioma do sistema, fuso horário.

Como coletamos: Automaticamente pelo aplicativo.

Finalidade: Suporte técnico, compatibilidade, debugging, análise de performance.

2.6 Dados de Uso e Analytics

Estatísticas de Uso

O que coletamos: Contagem mensal de análises, sessões de chat, gerações de imagem, pontuações de outfits, estatísticas de guarda-roupa, histórico de acesso.

Como coletamos: Rastreado automaticamente quando você usa o serviço.

Finalidade: Aplicar limites de quota (free vs. premium), gerar relatórios de uso, análise de tendências de estilo.

Histórico de Análises e Chats

O que coletamos: Resultados de análise de outfits, histórico de conversas com IA sobre looks, perguntas e respostas.

Como coletamos: Armazenado automaticamente quando você realiza análises e chats.

Finalidade: Recuperação de histórico, melhorias de IA, personalização de recomendações futuras.

Dados de Guarda-Roupa

O que coletamos: Itens de vestuário (categoria, cores, descrição, contagem de uso, data de adição).

Como coletamos: Você adiciona itens manualmente.

Finalidade: Gerenciamento digital, análise de combinações, estatísticas de uso, recomendações baseadas em seu guarda-roupa.

2.7 Dados de Compartilhamento Social e Gamificação

Links de Compartilhamento

O que coletamos: Token de compartilhamento único (UUID), contagem de visualizações, cliques, inscrições, plataforma de origem (Instagram, WhatsApp, etc.), tons de preferência compartilhados.

Como coletamos: Gerado automaticamente quando você compartilha um outfit.

Finalidade: Rastrear engajamento, análise de compartilhamento, gamificação, insights de viralização.

Dados de Gamificação

O que coletamos: Elogios recebidos, "roasts" (críticas construtivas), streaks, badges, pontos de engajamento.

Como coletamos: Rastreado quando você e outros interagem com conteúdo compartilhado.

Finalidade: Gamificação, engajamento de comunidade, análise social.

2.8 Dados de Erro e Diagnóstico

Logs de Erro

O que coletamos: Tela/ação onde o erro ocorreu, mensagem de erro, status HTTP, modelo do dispositivo, versão do SO, versão do app, timestamp.

Como coletamos: Automaticamente quando erros ocorrem no aplicativo.

Finalidade: Diagnóstico de problemas, melhoria de estabilidade, suporte técnico.

2.9 Dados de Monetização e Pagamento

Histórico de Compras

O que coletamos: Tipo de compra (subscription premium, credit packs), data, valor, moeda, status, plataforma (Apple IAP, Google Play), ID de transação (não armazenamos dados de cartão).

Como coletamos: Via RevenueCat (intermediário de pagamento integrado ao iOS/Android).

Finalidade: Aplicar planos corretos, gerar recibos, análise de receita, conformidade fiscal.

Créditos Bônus Comprados

O que coletamos: Quantidade de créditos para geração de imagens, data de compra, plano de crédito selecionado.

Como coletamos: Rastreado quando você compra credit packs (img_pack_10, img_pack_30, img_pack_75).

Finalidade: Aplicar quotas de crédito, controlar uso de gerações de imagem, cálculo FIFO de consumo.

2.10 O Que NÃO Coletamos

Queremos ser transparentes sobre o que não coletamos:

Contatos e agenda: Não acessamos sua lista de contatos ou calendário.
Áudio: Não coletamos áudio ou ativamos microfone.
Rastreamento de localização em tempo real: Não rastreamos sua localização continuamente em segundo plano.
Cookies: Não usamos cookies (aplicativo móvel nativo).
Identificadores de publicidade: Não coletamos IDFA (iOS) ou Google Advertising ID.
Dados de navegação web: Não monitoramos navegação ou histórico web.
Dados de cartão de crédito: Nunca armazenamos diretamente dados de cartão de crédito (processados por RevenueCat).

2.11 Dados do Programa Beta Fechado

Caso você participe do nosso Programa Beta Fechado (acesso por convite, limitado a 75 usuários simultâneos), coletamos e tornamos os seguintes dados adicionais visíveis aos nossos administradores para fins de controle de custos e gestão do programa:

Registro de resgate do código de convite: o código utilizado, a data do resgate e o registro do usuário associado (log de auditoria imutável).
Uso mensal agregado por usuário beta: contagem de análises de look, sessões de chat e gerações de imagem realizadas no mês, acompanhadas da estimativa de custo em USD das chamadas de IA.
Status e data de participação: quando você ingressou no tier beta e seu status atual (ativo, graduado, revertido para free).

Esses dados são derivados do mesmo rastreamento de uso já realizado para todos os usuários (Seção 2.6); o que difere para participantes do beta é a visibilidade administrativa dos totais por usuário em um painel interno, utilizado para (a) aplicar a cota mensal do tier beta, (b) monitorar o custo agregado de IA durante a fase pré-launch, e (c) embasar decisões de graduação ao final do programa beta. Os dados do programa beta são retidos sob o mesmo cronograma dos dados regulares de conta (Seção 7.1) e você mantém todos os direitos descritos na Seção 8, incluindo o direito de sair do programa beta a qualquer momento entrando em contato com dpo@dressgenius.app.

3. Como Utilizamos Seus Dados

Utilizamos os dados pessoais coletados para os seguintes fins específicos:

3.1 Prestação e Melhoria de Serviços

Análise de outfits: Processar fotos de looks com Google Gemini Vision para análise de cores, estilo, ocasião, clima e geração de pontuações.
Chat conversacional: Armazenar histórico de conversas e processar com Google Gemini Chat para fornecer consultoria de moda personalizada.
Geração de imagens: Usar contexto do usuário com OpenAI DALL-E, FASHN.ai e/ou serviços de geração de imagem para criar outfits sugeridos.
Gerenciamento de guarda-roupa: Armazenar, organizar e recuperar itens de vestuário para recomendações personalizadas.
Analytics de estilo: Agregar dados de análise para gerar relatórios de tendências, quebras por cor e análises mensais.

3.2 Personalização e Preferências

Aplicar preferências de IA: Usar seus sliders de tom, rigor, detalhe, criatividade, etc., para personalizar análises.
Contexto regional: Usar localização para fornecer recomendações relevantes para clima e tendências locais.
Perfil de usuário: Manter informações de perfil para exibição e identificação.

3.3 Autenticação e Segurança

Login e acesso: Verificar identidade e manter sessões seguras.
Prevenção de fraude: Detectar uso não autorizado ou comportamento suspeito.
Proteção de conta: Enviar alertas de segurança, verificações de dois fatores, notificações de atividade anormal.

3.4 Notificações e Comunicação

Notificações push: Enviar lembretes de análise, atualizações de premium, mudanças importantes.
Comunicação de suporte: Responder a perguntas, fornecer suporte ao cliente.
Avisos de mudanças: Notificá-lo sobre alterações em políticas, serviços ou termos.

3.5 Conformidade Legal e Obrigações Regulatórias

LGPD: Responder a solicitações de direitos do titular de dados (acesso, correção, exclusão).
GDPR: Cumprir direitos de titulares de dados da UE.
CCPA: Cumprir direitos de residentes da Califórnia.
Conformidade fiscal: Manter registros de transações para fins fiscais e regulatórios.

3.6 Análise, Pesquisa e Melhorias

Melhorar IA: Usar dados agregados e anônimos para treinar e refinar modelos de IA (com opt-out disponível).
Analytics de produto: Entender padrões de uso, identificar recursos populares, diagnosticar problemas.
Pesquisa de moda: Conduzir pesquisa anônima sobre tendências de moda e comportamento de consumidores.

3.7 Monetização

Aplicar quotas: Contar análises, chats e gerações de imagem contra limites free/premium.
Gerenciar assinaturas: Processar pagamentos de premium via RevenueCat/Apple/Google.
Credit packs: Rastrear e consumir créditos de geração de imagem comprados.

3.8 Compartilhamento Social e Gamificação

Links compartilháveis: Gerar tokens de compartilhamento e rastrear engajamento quando você compartilha outfits.
Comunidade: Permitir que outros comentem, deixem "roasts" ou elogios em suas criações compartilhadas.

4. Base Legal para o Processamento

De acordo com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD), o processamento de dados pessoais é legítimo apenas quando há uma base legal. Nossas bases legais para o processamento de seus dados são:

4.1 Bases Legais Conforme LGPD (Art. 7)

Dados Pessoais	Finalidade	Base Legal (Art. 7 LGPD)
Nome, email, senha	Criar conta, autenticação	Consentimento (I)
Fotos de outfit, análises	Análise de IA, consultoria	Execução de contrato (II)
Localização (GPS/manual)	Contexto regional, recomendações	Consentimento (I) / Interesse legítimo (IX)
Token de notificação	Enviar notificações push	Consentimento (I)
Dados de pagamento	Processar compras, quotas	Execução de contrato (II)
Logs de erro, diagnóstico	Melhora de serviço, debugging	Interesse legítimo (IX)
Dados agregados para IA	Treinamento de modelos	Consentimento (I) com opt-out
Dados para cumprimento legal	Responder solicitações regulatórias	Obrigação legal (III)

4.2 Consentimento Explícito

Você fornece consentimento explícito ao:

Aceitar os Termos de Serviço durante o registro.
Ativar permissões de câmera, localização e notificações no aplicativo.
Habilitar análise de dados para pesquisa de IA (checkbox explícito).
Conectar-se via Google OAuth ou Apple Sign-In.

4.3 Interesse Legítimo

Processamos dados conforme nosso interesse legítimo em:

Melhorar segurança e prevenir fraude.
Diagnosticar problemas técnicos via logs de erro.
Fornecer suporte ao cliente eficiente.
Compreender padrões de uso para melhorar produtos.

Você pode se opor a este processamento a qualquer momento contatando dpo@dressgenius.app.

4.4 Execução de Contrato

Processamos dados pessoais necessários para executar nosso contrato com você, incluindo fornecer serviços de consultoria de moda, gerenciar assinaturas e aplicar quotas.

5. Compartilhamento com Terceiros

Seus dados pessoais podem ser compartilhados com terceiros em circunstâncias específicas. Somos cuidadosos na seleção de parceiros e exigimos compromissos de proteção de dados. Abaixo está uma lista completa de serviços terceirizados que acessam seus dados:

5.1 Serviços de Processamento de IA

Serviço	Dados Compartilhados	Finalidade	Localização	Contrato DPA
Google Gemini Vision API	Fotos de outfit (base64), contexto regional, preferências de IA	Análise de cores, estilo, ocasião, clima	EUA	Sim (Google Cloud GDPR DPA)
Google Gemini Chat API	Histórico de conversas, contexto do usuário, preferências	Chat conversacional sobre looks	EUA	Sim (Google Cloud GDPR DPA)
Anthropic Claude API (alternativa)	Contexto de análise, conversas (quando selecionado)	Análise e chat (quando Google indisponível)	EUA	Sim (Business Agreement)
OpenAI DALL-E / GPT-Image	Contexto de outfit, estilo, preferências, descrição de look	Geração de imagens de outfits sugeridos	EUA	Sim (OpenAI Business Agreement)
FASHN.ai	Fotos de outfit, contexto de estilo, parametrização	Edição de outfit, try-on virtual	UE	Sim (GDPR Compliant)

5.2 Autenticação e Identidade

Serviço	Dados Compartilhados	Finalidade	Localização
Google OAuth	Email, nome, foto de perfil, Google ID	Autenticação social, vinculação de conta	EUA
Apple Sign-In	ID único da Apple, email (se compartilhado), identidade	Autenticação social, vinculação de conta	EUA

5.3 Notificações e Entrega de Mensagens

Serviço	Dados Compartilhados	Finalidade	Localização
Expo Push Service (exp.host)	Token de notificação, ID de usuário, mensagem de notificação	Entrega de notificações push (iOS/Android)	EUA

5.4 Dados Climáticos e Geolocalização

Serviço	Dados Compartilhados	Finalidade	Localização	Custo
Open-Meteo	Coordenadas GPS (lat/lon) - Anônimo	Obter dados climáticos para contexto de análise	Suíça	Gratuito, sem API Key

5.5 Pagamentos e Monetização

Serviço	Dados Compartilhados	Finalidade	Localização
RevenueCat	ID de usuário, plano de assinatura, ID de transação, status de renovação	Gerenciar assinaturas premium, contar análises/chats	EUA
Apple App Store / Google Play	ID de transação, tipo de compra, valor (via RevenueCat)	Processar compras de premium e credit packs	EUA

5.6 Hospedagem e Infraestrutura

Serviço	Dados Armazenados	Finalidade	Localização	Status
Render.com	Todos os dados de usuário (exceto imagens brutas)	Hospedagem de backend API	EUA	Produção atual
PostgreSQL (Supabase - planejado)	Banco de dados completo	Armazenamento de dados estruturados	Variável (UE/EUA)	Migraçãoplanejada
Cloudflare R2 (planejado)	Imagens de outfit, fotos de perfil, itens de guarda-roupa	Armazenamento de objetos/imagens	Global	Migração planejada

5.7 Quando Compartilhamos com Terceiros Sem Consentimento Prévio

Podemos divulgar seus dados pessoais sem consentimento prévio apenas quando exigido por lei ou para proteger direitos:

Obrigações legais: Responder a ordens judiciais, investigações governamentais, reguladores da LGPD, GDPR ou CCPA.
Segurança: Investigar fraude, abuso, violações de termos ou violações de segurança.
Direitos legais: Defender contra ações legais ou proteger direitos, propriedade e segurança de DressGenius, usuários ou público.
Vendas de negócio: Se DressGenius é adquirida ou passa por fusão, seus dados podem ser transferidos (você será notificado).

5.8 Processadores de Dados vs. Controladores Conjuntos

Google, OpenAI, FASHN.ai, RevenueCat, Expo: Agem como Processadores de Dados sob contrato conosco. Eles processam dados apenas conforme nossas instruções e mantêm confidencialidade.

Apple, Google Play: Agem como Controladores Conjuntos para fins de autenticação e pagamento. Você também está sujeito aos termos de privacidade deles.

6. Transferência Internacional de Dados

DressGenius opera globalmente. Seus dados pessoais podem ser transferidos, armazenados e processados fora do Brasil, incluindo em países que podem não ter as mesmas proteções de dados que a LGPD.

6.1 Países Receptores de Dados

Transferimos dados para:

EUA: Google (Gemini), OpenAI (DALL-E), Anthropic (Claude), Expo, Render, RevenueCat, Apple
UE: FASHN.ai, Open-Meteo, Supabase (opção UE)
Global: Cloudflare R2

6.2 Mecanismos de Proteção (GDPR)

Para residentes da UE, garantimos proteção adequada por:

Decisões de Adequação: Os EUA não têm decisão de adequação GDPR formal, mas muitos prestadores (Google, OpenAI) estão na lista de prestadores GDPR-compliant.
Cláusulas Contratuais Padrão (SCCs): Incluindo nos contratos com processadores terceirizados.
Acordos de Privacidade: Compromissos de proteger dados ao nível da GDPR.
Encriptação: Dados em repouso e em trânsito são protegidos por TLS/SSL e encriptação de base de dados.

6.3 Seu Consentimento para Transferência

Ao aceitar esta Política de Privacidade e usar DressGenius, você consente explicitamente na transferência internacional de seus dados pessoais, conforme descrito acima. Se não concordar, não pode usar o serviço.

6.4 Solicitações de Dados de Governos Estrangeiros

Se recebermos solicitação de governo ou autoridade legal estrangeira para seus dados, vamos:

Recusar a menos que exigido por lei.
Notificá-lo sempre que legalmente possível.
Desafiar solicitações overbroad ou ilegítimas.

7. Retenção e Exclusão de Dados

7.1 Períodos de Retenção

Atualmente, mantemos seus dados pessoais conforme os seguintes períodos:

Tipo de Dados	Período de Retenção	Motivo
Conta de usuário (nome, email)	Durante a vida da conta + 90 dias após exclusão	Conformidade legal, recuperação de dados
Fotos de outfit e análises	Indefinido (até exclusão solicitada)	Histórico, referência futura, treinamento de IA
Histórico de chat	Indefinido (até exclusão solicitada)	Recuperação de conversas, histórico
Fotos de itens de guarda-roupa	Indefinido (até exclusão solicitada)	Referência de peças, recomendações
Tokens de notificação	Até exclusão de conta	Entrega de notificações push
Dados de localização	Indefinido (até exclusão solicitada)	Contexto histórico, análise regional
Dados de uso e analytics	Indefinido para agregação	Análise de tendências, relatórios
Logs de erro e diagnóstico	90 dias	Debugging, diagnóstico de problemas
Histórico de pagamento	7 anos (exigência fiscal)	Conformidade fiscal, auditoria
Dados de compartilhamento social	Enquanto o link for ativo	Rastreamento de engajamento

7.2 Retenção Agregada e Anônima

Mesmo após a exclusão de sua conta, podemos manter dados agregados e totalmente anônimos para:

Análise de tendências de moda.
Pesquisa de IA (treinar modelos com dados desidentificados).
Relatórios estatísticos.

Estes dados não podem reidentificá-lo e não são cobertos pelos direitos do LGPD/GDPR.

7.3 Exclusão de Dados Conforme Solicitado

Você tem direito a solicitar a exclusão de seus dados pessoais (veja Seção 8 — Seus Direitos). Quando você solicita exclusão:

Dados de conta: Excluídos em até 30 dias.
Fotos de outfit/guarda-roupa: Excluídas em até 30 dias.
Histórico de análise/chat: Excluído em até 30 dias.
Dados terceirizados (Google, OpenAI): Solicitaremos exclusão, sujeito aos seus termos de retenção.
Exceções legais: Dados retidos por exigência legal (ex: registros fiscais por 7 anos) não serão excluídos.

7.4 Exclusão de Conta

Você pode solicitar a exclusão completa da conta a qualquer momento:

Entre em contato com support@dressgenius.app.
Forneça seu email e confirme sua identidade.
Sua conta e dados associados serão marcados para exclusão.
Após 30 dias, serão permanentemente excluídos de nossos sistemas.

                Aviso: A exclusão de conta é irreversível. Você perderá acesso a toda a análise anterior, histórico de chat e itens de guarda-roupa.
            

8. Seus Direitos

Você tem direitos específicos sobre seus dados pessoais conforme regulamentações internacionais. Abaixo estão seus direitos e como exercê-los.

8.1 Direitos sob LGPD (Lei Geral de Proteção de Dados)

Conforme Art. 18 da LGPD, você tem direito a:

Confirmação de Existência (Art. 18, I): Confirmar se processamos dados pessoais seus.
Acesso (Art. 18, II): Acessar seus dados e saber como são processados.
Correção (Art. 18, III): Corrigir dados incompletos, imprecisos ou desatualizados.
Anonimização (Art. 18, IV): Anonimizar seus dados quando aplicável.
Bloqueio (Art. 18, V): Bloquear dados em violação de LGPD (sem exclusão).
Exclusão (Art. 18, VI): Excluir dados quando não mais necessários, com exceções legais.
Informações sobre Terceiros (Art. 18, VII): Saber com quem compartilhamos dados.
Informações sobre Decisões Automatizadas (Art. 18, VIII): Ser informado sobre decisões de IA que afetem você.
Contestar Decisões Automatizadas (Art. 18, IX): Contestar decisões tomadas apenas por processamento automatizado.

8.2 Direitos sob GDPR (Residentes da UE)

Se você reside na UE, você tem direito a:

Direito de Acesso (Art. 15): Acessar seus dados e saber como são processados.
Direito de Correção (Art. 16): Corrigir dados imprecisos.
Direito de Esquecimento (Art. 17): Excluir dados em certas circunstâncias (direito ao esquecimento).
Direito de Restrição de Processamento (Art. 18): Restringir processamento em certas situações.
Direito de Portabilidade de Dados (Art. 20): Receber dados em formato estruturado e portá-los para outro controlador.
Direito de Objeção (Art. 21): Opor-se a processamento de interesse legítimo e marketing direto.
Direitos Relacionados a Decisões Automatizadas (Art. 22): Obter explicação de decisões de IA e contestar.
Direito de Retirar Consentimento (Art. 7): Retirar consentimento a qualquer momento sem penalidades.
Direito a Recurso (Art. 77-78): Apresentar reclamação à autoridade de proteção de dados local.

8.3 Direitos sob CCPA (Residentes da Califórnia)

Se você reside na Califórnia, você tem direito a (veja Seção 13 para detalhes completos):

Direito de Conhecer (Civil Code 1798.100): Saber quais dados pessoais são coletados.
Direito de Deletar (Civil Code 1798.105): Solicitar exclusão de dados pessoais.
Direito de Opt-Out (Civil Code 1798.120): Optar por não sair a venda de dados pessoais.
Direito de Não Discriminação (Civil Code 1798.125): Não ser discriminado por exercer direitos CCPA.
Direito de Correção (Civil Code 1798.100(e)): Corrigir dados pessoais imprecisos.

8.4 Como Exercer Seus Direitos

Passo 1: Envie uma Solicitação

Para exercer qualquer um desses direitos, envie um email para:

Encarregado de Dados (DPO)

Email: dpo@dressgenius.app

Inclua em seu email:

Seu nome completo
Email registrado em DressGenius
Tipo de solicitação (Acesso, Correção, Exclusão, etc.)
Descrição clara do que está solicitando
Documentação de identidade se necessário (para verificação)

Passo 2: Verificação de Identidade

Podemos solicitar documentação adicional para verificar sua identidade antes de processar solicitações sensíveis.

Passo 3: Resposta

Responderemos conforme prazos legais:

LGPD: Até 15 dias + 14 dias se solicitar extensão.
GDPR: Até 30 dias (pode ser estendido a 90 dias para solicitações complexas).
CCPA: Até 45 dias (pode ser estendido a 90 dias).

Passo 4: Sem Taxa

Não cobraremos por exercer seus direitos, exceto em casos de solicitações manifestamente infundadas ou excessivas, onde podemos cobrar uma taxa razoável.

8.5 Direito a Recurso

Se não estiver satisfeito com nossa resposta a uma solicitação, você tem direito a:

LGPD: Apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) — www.gov.br/cidadania/pt-br/acesso-a-informacao/lgpd
GDPR: Apresentar reclamação à autoridade de proteção de dados de seu Estado-Membro — www.edpb.eu
CCPA: Apresentar reclamação ao California Attorney General — www.oag.ca.gov

9. Segurança dos Dados

Implementamos medidas técnicas e organizacionais robustas para proteger seus dados pessoais contra acesso não autorizado, alteração, divulgação ou destruição.

9.1 Medidas Técnicas de Segurança

Encriptação em Trânsito: Todos os dados em trânsito entre seu dispositivo e nossos servidores são protegidos por TLS 1.3 / SSL.
Encriptação em Repouso: Dados sensíveis (senhas, tokens) são encriptados em repouso no banco de dados.
Hash de Senhas: Senhas são armazenadas com hash bcrypt com salt aleatório (nunca em texto claro).
Autenticação JWT/Bearer: Tokens de autenticação são curtos e exigem re-autenticação periódica.
Rate Limiting: Proteção contra ataques de força bruta em endpoints de login e API.
Validação de Input: Todos os inputs são validados e sanitizados para prevenir injeção de SQL e XSS.
CORS e CSRF: Proteção contra ataques de cross-origin e falsificação de solicitação.

9.2 Medidas Organizacionais de Segurança

Controle de Acesso: Acesso a dados pessoais é limitado a funcionários que precisam saber, com logs de auditoria.
Treinamento: Funcionários recebem treinamento em proteção de dados e segurança da informação.
Acordos de Confidencialidade: Todos os funcionários e contratados assinam NDAs.
Auditorias de Segurança: Realizamos auditorias internas regulares e testes de penetração.
Plano de Resposta a Incidentes: Temos um plano documentado para detectar, responder e notificar sobre violações de dados.
Backups: Mantemos backups regulares com criptografia para recuperação de desastres.

9.3 Notificação de Violação de Dados

Se ocorrer uma violação de dados que comprometa seus dados pessoais, notificaremos você conforme exigido por lei:

LGPD: Notificação sem atraso desnecessário; ANPD é notificada dentro de 48 horas em violações graves.
GDPR: Notificação sem atraso (geralmente <72 horas); autoridade reguladora é notificada; públicoé notificado se risco alto.
CCPA: Notificação sem atraso desnecessário; procurador-geral da Califórnia notificado se >500 residentes afetados.

A notificação incluirá:

Descrição da violação.
Tipos de dados afetados.
Número estimado de indivíduos afetados.
Medidas de mitigação tomadas.
Contato para mais informações.

9.4 Limitações de Segurança

Embora implementemos medidas robustas, nenhum método de armazenamento ou transmissão é 100% seguro. Não podemos garantir segurança absoluta. Você assume algum risco ao usar DressGenius.

9.5 Sua Responsabilidade de Segurança

Você é responsável por:

Manter sua senha confidencial.
Não compartilhar credenciais de conta.
Usar dispositivos seguros para acessar DressGenius.
Sair de sua conta ao usar dispositivos compartilhados.
Nos notificar imediatamente de suspeita de acesso não autorizado.

10. Dados de Menores de Idade

10.1 Idade Mínima

DressGenius é permitido apenas para usuários com idade 13 anos ou superior.

Não coletamos ou processamos dados de menores de 13 anos. Se descobrirmos que coletamos dados de alguém com menos de 13 anos, excluiremos a conta e dados associados imediatamente.

10.2 Menores entre 13-18 Anos

Para usuários entre 13-18 anos:

Consentimento de Pais/Guardiões: Solicitamos consentimento dos pais ou guardiões para usuários menores de 16 anos em jurisdições onde exigido (ex: GDPR).
Proteção Aprimorada: Implementamos proteções adicionais para dados de menores, incluindo restrições de compartilhamento social sem consentimento de pais.
Direitos de Pais: Pais podem solicitar acesso, correção ou exclusão dos dados de seu filho.
Restrições de Marketing: Não usamos dados de menores para marketing comportamental ou publicidade direcionada.
Educação sobre Privacidade: Educamos menores sobre boas práticas de privacidade e segurança.

10.3 Consentimento de Pais

Se um menor de 16 anos deseja usar DressGenius (onde exigido), o pai ou responsável pode:

Enviar email a dpo@dressgenius.app com prova de guarda.
Revisar e aceitar esta Política de Privacidade em nome do menor.
Autorizar a criação de conta do menor.

10.4 Direitos de Pais Relativos a Menores

Pais ou guardiões de menores podem exercer direitos de acesso, correção e exclusão em nome do menor. Contate dpo@dressgenius.app.

10.5 Fotos de Menores

Se você é pai/guardião, você é responsável por:

Garantir que o menor compreenda as práticas de privacidade de DressGenius.
Não autorizar o carregamento de fotos que possam identificar outros menores sem consentimento dos pais deles.
Monitorar a atividade do menor para atividade imprópria ou segurança.

11. Alterações nesta Política

11.1 Direito de Modificação

DressGenius se reserva o direito de modificar esta Política de Privacidade a qualquer momento. Alterações entram em vigência imediatamente após publicação no aplicativo ou website.

11.2 Notificação de Alterações

Se fizermos alterações materiais (que afetam seus direitos ou uso de dados), vamos:

Notificá-lo via push notification.
Enviar email para seu endereço registrado.
Exibir um aviso destacado no aplicativo.
Solicitar re-consentimento se necessário.

11.3 Seu Consentimento Contínuo

Continuar usando DressGenius após alterações significa que você aceita a Política revisada. Se não concordar com mudanças, você pode solicitar exclusão de conta.

11.4 Histórico de Revisões

Mantemos um histórico de revisões desta Política em nosso repositório interno. Você pode solicitar uma cópia enviando email a dpo@dressgenius.app.

12. Contato e Encarregado de Dados

12.1 Contato Principal de Privacidade

Privacidade em DressGenius

Email: support@dressgenius.app

Use este contato para:

Perguntas gerais sobre privacidade
Preocupações sobre proteção de dados
Relatório de violações de segurança
Feedback sobre práticas de privacidade

12.2 Encarregado de Dados (Data Protection Officer — DPO)

Encarregado de Dados

Email: dpo@dressgenius.app

Use este contato para:

Solicitações de direitos de dados (acesso, correção, exclusão)
Reclamações sobre processamento de dados
Solicitações de consentimento de pais para menores
Solicitações de conformidade legal (LGPD, GDPR, CCPA)

12.3 Informações da Empresa

DressGenius Tecnologia LTDA

Localização: Ponta Grossa, Paraná, Brasil

Email Geral: contact@dressgenius.app

Website: www.dressgenius.app (quando disponível)

12.4 Tempo de Resposta Esperado

Nos esforçamos para responder a todas as solicitações de privacidade em:

Emails gerais: 2-3 dias úteis
Solicitações de DPO: Conforme prazos legais (15-45 dias dependendo da jurisdição)
Emergências de segurança: <24 horas

13. Disposições Específicas para CCPA (Califórnia)

Se você reside na Califórnia, as disposições adicionais abaixo se aplicam em relação à California Consumer Privacy Act (CCPA), Civil Code § 1798.100 et seq.

13.1 Definições CCPA

"Informação Pessoal": Informação que identifica, relaciona-se, descreve ou poderia ser vinculada a um indivíduo ou família.
"Venda": Vender, alugar, liberar, divulgar, disseminar, disponibilizar, transferir ou comunicar de outra forma informações pessoais para outro negócio ou terceiro por consideração monetária ou de outra forma valiosa.
"Compartilhamento": Divulgar informações pessoais para fins de publicidade comportamental cruzada por consideração monetária ou de outra forma valiosa.

13.2 Venda e Compartilhamento de Informações Pessoais

DressGenius NÃO vende nem compartilha informações pessoais no sentido CCPA.

Nós divulgamos informações pessoais com serviços terceirizados para:

Análise de IA (Google, OpenAI, Anthropic)
Autenticação (Apple, Google)
Hospedagem e armazenamento (Render, PostgreSQL, Cloudflare)
Pagamentos (RevenueCat, Apple, Google)

Essas divulgações não constituem "venda" ou "compartilhamento" conforme CCPA porque:

Nós não recebemos consideração monetária direta de terceiros pela divulgação.
Terceiros são processadores de dados ou prestadores de serviço, não controladores independentes.
Todos os terceiros estão sob contrato para processar dados apenas conforme nossas instruções.

13.3 Categorias de Informações Pessoais Coletadas

Conforme CCPA § 1798.140(o), coletamos as seguintes categorias de informações pessoais:

A. Identificadores: Nome, email, senha, ID de conta, ID Google, ID Apple, IP address (quando disponível), identificadores de dispositivo.
B. Informações Comerciais: Histórico de compra, assinatura premium, credit packs comprados, valores pagos, histórico de transações.
C. Dados Biométricos: Nenhum (não coletamos).
D. Informações de Atividade na Internet: Histórico de navegação no aplicativo, cliques, análises visualizadas, chats realizados, imagens geradas.
E. Informações Geolocalização: Coordenadas GPS (lat/lon), país, estado, cidade, bairro (com permissão).
F. Informações de Educação Profissional: Nenhum (não coletamos).
G. Informações de Educação: Nenhum (não coletamos).
H. Características Protegidas: Nenhum (não coletamos).
I. Inferências: Preferências de estilo, tendências, previsões baseadas em histórico de análise.
J. Informações Sensíveis (CCPA 1798.140(ae)): Nenhum (não coletamos dados sensíveis como SSN, cartão de crédito, localização precisa em tempo real, comunicações pessoais).

13.4 Fontes de Informações Pessoais

Coletamos informações pessoais das seguintes fontes:

Diretamente de você: Quando você se registra, carrega fotos, configura preferências, faz compras.
Fontes diretas: Google, Apple, Expo (via autenticação e notificações).
Atividade no aplicativo: Automatically collected como você interage com o app.
Dispositivo: Modelo, SO, versão do app, localização (com permissão).

13.5 Direitos do Consumidor Californiano

13.5.1 Direito de Conhecer (Civil Code § 1798.100)

Você tem direito de solicitar que divulguemos:

Categorias de informações pessoais coletadas nos últimos 12 meses.
Fontes das informações pessoais.
Fins comerciais ou empresariais para coleta.
Categorias de terceiros com quem informações são compartilhadas.
Informações pessoais específicas que coletamos sobre você.

13.5.2 Direito de Deletar (Civil Code § 1798.105)

Você tem direito de solicitar que deletemos informações pessoais coletadas e retidas, sujeito a exceções (ex: conformidade legal, segurança, execução de transação).

13.5.3 Direito de Correção (Civil Code § 1798.100(e))

Você tem direito de solicitar que corrijamos informações pessoais imprecisas.

13.5.4 Direito de Opt-Out da Venda ou Compartilhamento (Civil Code § 1798.120)

Embora não vendamos nem compartilhemos informações, você pode optar por não sair a qualquer venda ou compartilhamento futuro enviando email a support@dressgenius.app.

13.5.5 Direito de Não Discriminação (Civil Code § 1798.125)

Não discriminaremos você por exercer direitos CCPA. Você não receberá preços diferentes, serviço diferente, ou qualquer represália por exercer direitos.

13.5.6 Direito de Limitar Uso (Civil Code § 1798.140(w))

Você tem direito de limitar nosso uso de informações pessoais sensíveis a operações comerciais necessárias para fornecer serviços solicitados.

13.6 Como Fazer uma Solicitação CCPA

Passo 1: Envie uma Solicitação Verificável

Envie email para support@dressgenius.app ou dpo@dressgenius.app com:

Seu nome
Email registrado
Tipo de solicitação (Conhecer, Deletar, Correção, Opt-Out, Limitar)
Descrição da informação solicitada

Passo 2: Verificação de Identidade

Verificaremos sua identidade através de:

Email confirmado registrado
Informações de conta
Documentação de identidade (para solicitações sensíveis)

Passo 3: Resposta

Responderemos em até 45 dias (pode ser estendido para 90 dias para solicitações complexas). Não cobraremos taxa a menos que a solicitação seja manifestamente infundada ou excessiva.

13.7 Conformidade com CCPA Shine the Light

Conforme Civil Code § 1798.83 ("Shine the Light"), você pode solicitar informações sobre divulgações de informações pessoais para fins de marketing direto uma vez por ano. Para fazer uma solicitação, envie email a support@dressgenius.app.

13.8 Autorizado Conforme CCPA

Você pode designar um agente autorizado para fazer solicitações CCPA em seu nome. O agente deve ser designado por procuração escrita verificável e deve estar totalmente autorizado.

14. Disposições Específicas para GDPR (Residentes da UE)

Se você reside na União Europeia ou EEA, as disposições adicionais abaixo se aplicam de acordo com Regulamento (UE) 2016/679 — Regulamento Geral de Proteção de Dados (GDPR).

14.1 Controlador de Dados

DressGenius Tecnologia LTDA é o Controlador de Dados responsável pelo processamento de seus dados pessoais conforme o GDPR.

14.2 Base Legal para Processamento (Art. 6 GDPR)

Dados	Finalidade	Base Legal (Art. 6)	Interesse Legítimo
Nome, email, senha	Criação e manutenção de conta	6(1)(a) — Consentimento	N/A
Fotos de outfit	Análise de IA e consultoria	6(1)(b) — Contrato	N/A
Localização (GPS)	Contexto regional, clima	6(1)(a) — Consentimento	Personalização
Token de notificação	Notificações push	6(1)(a) — Consentimento	N/A
Dados de pagamento	Processar compras	6(1)(b) — Contrato	N/A
Logs de erro	Debugging, segurança	6(1)(f) — Interesse Legítimo	Manutenção de segurança e serviço
Dados agregados para IA	Treinamento de modelos	6(1)(a) — Consentimento	N/A

14.3 Processamento de Dados Especiais (Art. 9 GDPR)

DressGenius NÃO processa categorias especiais de dados pessoais (Art. 9), incluindo:

Dados genéticos
Dados biométricos (para fins de identificação)
Dados de saúde
Dados raciais ou étnicos
Dados políticos, religiosos ou filosóficos
Dados de filiação sindical

Se você compartilhar dados especiais (ex: foto em roupa de significado religioso), você consente que possam ser visíveis em análises.

14.4 Transferências Internacionais de Dados (Arts. 44-50 GDPR)

Seus dados são transferidos para fora da UE para serviços em localidades sem decisão de adequação (ex: EUA). Protegemos essas transferências via:

Cláusulas Contratuais Padrão (Art. 46(2)(c)): Incluindo em contratos com Google, OpenAI, Expo, RevenueCat.
Encriptação e Salvaguardas: TLS, encriptação de dados em repouso, proteções de acesso.
Conformidade Contratual: Todos os processadores estão comprometidos em cumprir o GDPR ao mesmo padrão que a UE.

14.5 Seus Direitos Conforme GDPR

14.5.1 Direito de Acesso (Art. 15)

Você tem direito de acessar uma cópia de seus dados pessoais mantidos por nós.

14.5.2 Direito de Correção (Art. 16)

Você tem direito de corrigir dados pessoais imprecisos ou incompletos.

14.5.3 Direito de Esquecimento — "Direito ao Esquecimento" (Art. 17)

Você tem direito de solicitar a exclusão de dados em certas circunstâncias:

Dados não são mais necessários para fins originais.
Você retira consentimento (e não há outra base legal).
Você se opõe ao processamento.
Dados foram processados ilegalmente.
Exclusão é necessária para cumprir obrigação legal.

Exceções incluem quando a exclusão poderia prejudicar direitos legítimos (ex: registros fiscais).

14.5.4 Direito de Restrição de Processamento (Art. 18)

Você pode solicitar restrição de processamento quando:

Disputa a precisão de dados.
Processamento é ilegal mas você não quer exclusão.
Você precisa de dados para reivindicação legal.
Aguardando resposta a objeção.

14.5.5 Direito de Portabilidade de Dados (Art. 20)

Você tem direito de receber seus dados em formato estruturado, comumente usado, legível por máquina (ex: CSV, JSON) e transmiti-los para outro controlador.

14.5.6 Direito de Objeção (Art. 21)

Você pode se opor a processamento baseado em interesse legítimo (ex: análise de logs de erro). Pararemos o processamento a menos que tenhamos motivos legítimos apremiantes.

14.5.7 Direitos Relacionados a Decisões Automatizadas (Art. 22)

Você tem direito de:

Não estar sujeito a decisão baseada puramente em processamento automatizado.
Obter explicação de decisões de IA.
Contestar a decisão e obter intervenção humana.

Nossas análises de IA fornecem sugestões, não decisões obrigatórias, portanto, direitos de Art. 22 são limitados.

14.5.8 Direito de Retirar Consentimento (Art. 7(3))

Você pode retirar consentimento a qualquer momento sem penalidades. Processamento anterior baseado em consentimento retirado não é afetado.

14.5.9 Direito a Recurso (Arts. 77-78)

Você tem direito de apresentar reclamação a uma autoridade de proteção de dados local:

Portugal: CNPD — www.cnpd.pt
Espanha: AEPD — www.aepd.es
França: CNIL — www.cnil.fr
Alemanha: BfDI — www.bfdi.bund.de
Itália: GPDP — www.garanteprivacy.it
Outros Estados-Membros: Veja www.edpb.eu para lista completa

14.6 Retenção de Dados Conforme GDPR (Art. 5)

Retemos dados apenas pelo tempo necessário para fins especificados. Veja Seção 7 para períodos de retenção específicos.

14.7 Processadores de Dados (Art. 28 GDPR)

Todos os processadores terceirizados (Google, OpenAI, etc.) estão sob contrato GDPR explícito exigindo:

Processamento conforme nossas instruções.
Confidencialidade de funcionários.
Implementação de medidas de segurança apropriadas.
Assistência em direitos do titular de dados.
Deleção ou devolução de dados ao final do contrato.

14.8 Avaliação de Impacto sobre Proteção de Dados (DPIA)

Realizamos avaliações de impacto sobre proteção de dados (DPIA) para processamento de alto risco, incluindo:

Análise de IA de fotos pessoais.
Processamento de localização.
Perfis comportamentais para recomendações.

Uma cópia de nossa DPIA pode ser solicitada a dpo@dressgenius.app.

14.9 Notificação de Violação de Dados (Art. 33-34 GDPR)

Se uma violação de dados nos afeta, notificaremos:

Autoridade reguladora: Dentro de 72 horas (a menos que risco baixo).
Você: Sem atraso desnecessário, se risco alto.

14.10 Representante Europeu (Art. 27 GDPR)

DressGenius designará um representante europeu conforme exigido pelo GDPR. Contate dpo@dressgenius.app para detalhes.

Questões Gerais?

Esta Política de Privacidade é completa e abrangente. Se você tiver perguntas ou preocupações, entre em contato conosco:

Email de Privacidade: support@dressgenius.app

Email de DPO: dpo@dressgenius.app

Empresa: DressGenius Tecnologia LTDA, Ponta Grossa, PR, Brasil

Esta Política de Privacidade está em vigor desde 13 de abril de 2026 e foi pela última vez atualizada em 13 de abril de 2026.