Política de Privacidade

Informach — Núcleo de Aprendizagem Ltda, CNPJ 43.588.758/0001-03, é a controladora dos dados pessoais tratados pelo Cozya. Esta Política descreve como a gente coleta, usa, compartilha e protege essas informações, e quais são os seus direitos enquanto titular dos dados.

O canal oficial pra tratar de privacidade, exercer seus direitos e tirar dúvidas sobre esta Política é [email protected]. A gente responde dentro do prazo previsto na LGPD (até 15 dias para confirmação de tratamento e acesso, conforme o art. 19).

O Cozya coleta apenas o necessário pra operar o serviço:

• Dados de cadastro: nome, e-mail e senha (armazenada como hash, nunca em texto puro).
• Conteúdo que você cria: receitas, fotos, textos e áudios enviados pra captura por IA.
• Dados de uso da IA: registro de chamadas (qual feature, modelo utilizado, contagem de tokens, custo em créditos) pra fins de cobrança e auditoria. Não armazenamos prompts e respostas após o processamento, exceto quando você decide salvar a receita gerada.
• Dados de cobrança: identificadores Stripe (customer ID, subscription ID, status, ciclo). Dados completos de cartão são processados e armazenados diretamente pela Stripe; o Cozya não os recebe nem armazena.
• Logs técnicos e de auditoria: registros mínimos de eventos (login, alteração de plano, exclusão de conta) pra segurança e cumprimento legal, com PII reduzida (e-mail substituído por hash quando possível).

• operar a sua conta e o serviço de organização de receitas;
• processar capturas e gerações por IA quando solicitadas;
• cobrar assinaturas e pacotes de créditos;
• enviar e-mails transacionais (verificação, recuperação de senha, recibos, alertas de uso);
• prevenir fraude, abuso e ataques contra a plataforma;
• cumprir obrigações legais, fiscais e regulatórias.

• Execução de contrato (art. 7º, V) para tudo que é necessário pra prestar o serviço que você contratou.
• Cumprimento de obrigação legal ou regulatória (art. 7º, II) para guarda fiscal de documentos e atendimento a autoridades.
• Legítimo interesse (art. 7º, IX) para segurança, prevenção a fraude e melhoria do produto, sempre com avaliação de impacto e minimização de dados.
• Consentimento (art. 7º, I) para qualquer comunicação opcional. Hoje não enviamos e-mail marketing; se isso mudar, você será solicitado a optar expressamente.

A gente usa operadores especializados (sub-contratados) pra entregar o serviço. Cada um recebe apenas o necessário pra sua função:

• Stripe (Stripe Inc., EUA) para pagamentos e cobrança recorrente.
• SendGrid (Twilio Inc., EUA) para envio de e-mails transacionais.
• OpenRouter (Mintplex Labs, EUA) como gateway pra modelos de IA da OpenAI e parceiros, processando os prompts em tempo real e descartando após a resposta.
• Sentry (Functional Software Inc., EUA) para monitoramento de erros e performance, com filtragem automática de dados sensíveis antes do envio.
• Google (Alphabet Inc., EUA) quando você opta por entrar com Google (OAuth).

Não vendemos seus dados. Não compartilhamos com anunciantes. Operadores tratam os dados sob contrato e em conformidade com leis de proteção aplicáveis.

Os operadores listados acima processam dados em servidores nos Estados Unidos e na União Europeia. As transferências internacionais são realizadas com base na execução do contrato (LGPD art. 33, V) e nos padrões contratuais e técnicos adotados pelos próprios fornecedores (cláusulas-padrão, criptografia em trânsito, controles de acesso).

• Dados da conta e receitas: enquanto a conta estiver ativa.
• Após exclusão da conta: os dados pessoais são removidos imediatamente; o Cozya cancela assinaturas ativas e libera créditos no mesmo processo.
• Registros fiscais e de pagamento: retidos pelo prazo legal de até 5 anos (Lei nº 8.846/1994 e Código Tributário Nacional), de forma minimizada e dissociada quando possível.
• Logs de auditoria e segurança: mantidos por até 12 meses para investigação de incidentes.

Você pode, a qualquer tempo:

• confirmar a existência de tratamento e acessar os dados que mantemos;
• corrigir dados incompletos, inexatos ou desatualizados pelas configurações da conta;
• solicitar anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade;
• solicitar portabilidade dos seus dados pra outro fornecedor;
• excluir a conta a qualquer momento pela área de configurações; isso cancela qualquer assinatura ativa e remove os dados pessoais associados;
• obter informação sobre os agentes com quem compartilhamos dados;
• revogar consentimentos previamente dados, quando aplicável;
• opor-se ao tratamento, nos limites da lei.

Pra exercer qualquer direito, escreve pra [email protected] ou usa as opções autosserviço dentro do app. A gente confirma o recebimento e responde no prazo legal.

O Cozya usa apenas cookies essenciais pro funcionamento do serviço: sessão de login (Better Auth), preferências de interface e identificação de transações de pagamento. Não usamos cookies de publicidade, rastreamento entre sites ou analytics de terceiros. Se isso mudar no futuro, esta Política será atualizada e você será notificado.

• criptografia em trânsito (TLS 1.2+) em todas as conexões;
• senhas armazenadas como hash com algoritmo moderno;
• rate limiting e bloqueios anti-força-bruta nos endpoints de autenticação;
• política de Content Security Policy (CSP) restrita;
• logs de auditoria imutáveis para eventos sensíveis;
• filtros automáticos de PII antes do envio a serviços de observabilidade;
• acesso interno restrito por função, com autenticação multifator.

Nenhum sistema é 100% seguro. Em caso de incidente que represente risco aos titulares, a Informach comunicará a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados, conforme a LGPD.

O Cozya é destinado a maiores de 18 anos. A gente não coleta intencionalmente dados de crianças e adolescentes. Se você é responsável por um menor que tenha criado conta sem autorização, entre em contato e a gente exclui imediatamente.

A gente pode atualizar esta Política para refletir mudanças no produto, em fornecedores ou na legislação. Alterações materiais são comunicadas por e-mail com 30 dias de antecedência. A versão vigente está sempre disponível em cozya.com.br/privacidade.

Dúvidas, solicitações de direitos LGPD ou qualquer assunto relacionado a privacidade: [email protected].