Legal

Política de Privacidade

Última atualização: 3 de abril de 2026

A Frevo Comunicação Ltda. ("Giria", "nós" ou "nossa"), inscrita no CNPJ sob o nº 49.633.908/0001-21, com sede na Av. Paulista, 1636, Sala 1504, Cerqueira César, São Paulo/SP, CEP 01310-200, é a controladora dos dados pessoais tratados por meio da plataforma Giria, disponível em app.giria.co.

Esta Política de Privacidade descreve como coletamos, usamos, armazenamos, compartilhamos e protegemos seus dados pessoais, em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — LGPD) e demais normas aplicáveis.

Ao utilizar nossos serviços, você declara ter lido e compreendido esta Política.

1. Definições

Para fins desta Política:

  • Plataforma: o software Giria, acessível em app.giria.co, incluindo painel de controle, APIs e serviços relacionados.
  • Cliente: a pessoa jurídica que contrata a Giria e cria um workspace na Plataforma.
  • Usuário do Painel: colaboradores do Cliente que acessam o painel de controle (dashboard) da Plataforma.
  • Visitante: pessoa que acessa o site ou aplicação do Cliente onde a tag JavaScript da Giria está instalada.
  • Tag: trecho de código JavaScript fornecido pela Giria, instalado pelo Cliente em seu site para coleta de dados comportamentais anonimizados.
  • Dados Pessoais: qualquer informação relacionada a pessoa natural identificada ou identificável, conforme art. 5º, I, da LGPD.
  • Tratamento: toda operação realizada com dados pessoais, conforme art. 5º, X, da LGPD.

2. Dados pessoais que coletamos

2.1. Dados dos Usuários do Painel

Ao criar uma conta ou ser convidado para um workspace, coletamos:

  • Nome completo e endereço de e-mail;
  • Foto de perfil (quando fornecida);
  • Função dentro do workspace (administrador ou membro);
  • Dados de autenticação gerenciados pelo provedor Clerk (sessão, token);
  • Preferência de idioma (português ou inglês).

2.2. Dados do workspace e da marca

O administrador do workspace fornece informações sobre a marca para configurar a plataforma:

  • Nome da empresa/marca, setor de atuação e URL do site;
  • Descrição de voz de marca, atributos de tom e diferenciais;
  • Nomes de concorrentes e público-alvo;
  • Dimensões de percepção de marca e intensidades-alvo.

2.3. Dados de pagamento

Pagamentos são processados integralmente pelo Stripe. A Giria não armazena dados de cartão de crédito ou método de pagamento. Armazenamos apenas:

  • Identificadores do cliente e da assinatura no Stripe;
  • Status da assinatura (ativa, em teste, cancelada);
  • Data de renovação do ciclo de cobrança.

2.4. Dados comportamentais dos Visitantes (coletados pela Tag)

A Tag coleta dados anonimizados sobre o comportamento de navegação dos Visitantes no site do Cliente. Nenhum dado pessoal identificável é coletado por padrão. Os dados incluem:

  • Páginas visitadas (caminhos de URL, sem parâmetros identificáveis);
  • Métricas de engajamento: cliques, profundidade de rolagem, tempo de leitura, seleções de texto;
  • Número de páginas por sessão e tempo total no site;
  • Domínio de origem e página de entrada;
  • Respostas a micro-pesquisas (escala numérica e texto livre) — respondidas voluntariamente pelo Visitante;
  • Interações com pesquisas (exibida, respondida, dispensada).

Cada sessão recebe um identificador anônimo e aleatório (UUID), gerado no navegador do Visitante. Esse identificador:

  • Não persiste entre sessões;
  • Não é vinculado a nenhum dado pessoal;
  • Não é utilizado para rastreamento entre sites.

A Giria não coleta endereços IP, cookies de rastreamento, fingerprinting de dispositivo nem qualquer outro identificador pessoal dos Visitantes.

2.5. Dados de uso da plataforma

Registramos dados operacionais para funcionamento e cobrança do serviço:

  • Logs de uso da inteligência artificial (função chamada, volume de tokens, custo e créditos consumidos);
  • Eventos de webhook do Stripe para controle de idempotência.

3. Finalidades e bases legais do tratamento

Tratamos seus dados pessoais para as seguintes finalidades, com base nos fundamentos legais previstos no art. 7º da LGPD:

Finalidade Dados envolvidos Base legal (LGPD)
Criação e gestão de conta Nome, e-mail, foto, função Execução de contrato (art. 7º, V)
Prestação do serviço de analytics Dados do workspace, dados comportamentais anonimizados Execução de contrato (art. 7º, V)
Processamento de pagamentos E-mail, identificadores Stripe Execução de contrato (art. 7º, V)
Geração de insights por IA Dados agregados de marca e comportamento (sem dados pessoais) Execução de contrato (art. 7º, V)
Comunicações transacionais E-mail Execução de contrato (art. 7º, V)
Convites para equipe E-mail do convidado Legítimo interesse (art. 7º, IX)
Segurança e prevenção a fraude Dados de sessão, logs de webhook Legítimo interesse (art. 7º, IX)
Cumprimento de obrigações legais/fiscais Registros de faturamento Obrigação legal (art. 7º, II)

4. Uso de inteligência artificial

A Plataforma utiliza modelos de inteligência artificial fornecidos pela Anthropic (Claude) para gerar insights sobre percepção de marca. Sobre esse processamento:

  • Nenhum dado pessoal é enviado ao modelo de IA. Apenas dados agregados de marca (nome, setor, atributos) e métricas comportamentais consolidadas são transmitidos;
  • O modelo não retém contexto entre chamadas — cada requisição é independente e sem estado;
  • Os insights gerados pela IA são de propriedade intelectual da Giria, podendo ser utilizados pelo Cliente durante a vigência do contrato;
  • O uso de IA é limitado por créditos vinculados ao plano contratado, e cada chamada é registrada para fins de cobrança.

5. Compartilhamento de dados

Compartilhamos dados pessoais exclusivamente com os seguintes terceiros, na medida necessária para a prestação do serviço:

Terceiro Finalidade Dados compartilhados País
Clerk Autenticação e gestão de organizações Nome, e-mail, foto, função EUA
Stripe Processamento de pagamentos E-mail, endereço de cobrança EUA
Anthropic Geração de insights por IA Dados agregados de marca (nenhum dado pessoal) EUA
Neon Armazenamento de banco de dados Todos os dados da plataforma (criptografado em trânsito) EUA
Cloudflare Hospedagem, CDN e execução de tarefas Dados em trânsito Global

A Giria não vende, aluga ou comercializa dados pessoais para terceiros para fins de marketing, publicidade ou qualquer outra finalidade não descrita nesta Política.

6. Transferência internacional de dados

Os dados pessoais tratados pela Giria são armazenados e processados em servidores localizados nos Estados Unidos da América. Essa transferência internacional é necessária para a prestação do serviço e está amparada nos seguintes fundamentos (art. 33 da LGPD):

  • Os prestadores de serviço nos EUA adotam cláusulas contratuais padrão e medidas técnicas de segurança adequadas;
  • A transferência é necessária para a execução do contrato entre você e a Giria (art. 33, III, da LGPD);
  • Adotamos garantias adicionais, incluindo criptografia em trânsito (TLS/SSL) para todas as conexões.

7. Retenção de dados

Os dados pessoais são retidos enquanto necessários para as finalidades descritas nesta Política:

  • Dados de conta e workspace: mantidos enquanto a conta estiver ativa. Ao excluir o workspace, todos os dados associados são removidos em cascata (dados de sessão, respostas de pesquisa, insights, anotações, configurações e logs de uso de IA);
  • Dados de pagamento no Stripe: retidos conforme a política de retenção do Stripe e obrigações legais/fiscais aplicáveis;
  • Dados comportamentais anonimizados: mantidos enquanto o workspace estiver ativo, sendo removidos integralmente com a exclusão do workspace;
  • Registros fiscais e de faturamento: mantidos pelo prazo exigido pela legislação brasileira (mínimo de 5 anos, conforme art. 195, parágrafo único, do Código Tributário Nacional).

8. Direitos do titular dos dados

Nos termos do art. 18 da LGPD, você tem os seguintes direitos em relação aos seus dados pessoais:

  1. Confirmação de tratamento: confirmar se seus dados pessoais são tratados por nós;
  2. Acesso: acessar seus dados pessoais tratados pela Giria;
  3. Correção: solicitar a correção de dados incompletos, inexatos ou desatualizados;
  4. Anonimização, bloqueio ou eliminação: solicitar a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
  5. Portabilidade: solicitar a portabilidade dos dados a outro fornecedor de serviço, mediante requisição expressa;
  6. Eliminação: solicitar a eliminação dos dados tratados com base no seu consentimento;
  7. Informação sobre compartilhamento: obter informações sobre com quais entidades públicas ou privadas compartilhamos seus dados;
  8. Revogação do consentimento: revogar o consentimento a qualquer momento, quando o tratamento for baseado nesse fundamento;
  9. Oposição: opor-se ao tratamento realizado com base em fundamento diverso do consentimento, em caso de descumprimento da LGPD.

Para exercer qualquer desses direitos, entre em contato conosco pelo e-mail dpo@giria.co. Responderemos no prazo de 15 (quinze) dias úteis, conforme previsto na LGPD.

Você também pode excluir seu workspace e todos os dados associados diretamente pelo painel de controle, em Configurações.

9. Segurança dos dados

Adotamos medidas técnicas e organizacionais para proteger seus dados pessoais contra acessos não autorizados, destruição, perda, alteração ou qualquer forma de tratamento inadequado:

  • Criptografia em trânsito: todas as conexões utilizam TLS/SSL, incluindo comunicação com o banco de dados (sslmode=require);
  • Isolamento multi-tenant: cada workspace é isolado a nível de banco de dados — nenhum dado é compartilhado entre workspaces;
  • Autenticação segura: gerenciada pelo Clerk com cookies HTTPOnly, Secure e SameSite;
  • Controle de acesso baseado em funções: permissões de administrador e membro são validadas no servidor em todas as operações;
  • Validação de origem: a Tag valida o domínio de origem antes de aceitar dados, com lista de domínios permitidos configurável;
  • Verificação de assinatura: webhooks do Stripe são verificados por assinatura criptográfica;
  • Proteção contra SQL injection: todas as consultas ao banco utilizam queries parametrizadas via ORM;
  • Idempotência: eventos de pagamento são registrados para evitar processamento duplicado.

10. Cookies e tecnologias de rastreamento

10.1. Cookies utilizados pela Plataforma

O painel de controle da Giria utiliza os seguintes cookies:

  • Cookie de sessão (Clerk): cookie estritamente necessário para autenticação. HTTPOnly, Secure, SameSite=Lax. Gerenciado automaticamente e removido ao encerrar a sessão;
  • Cookie de idioma (NEXT_LOCALE): armazena a preferência de idioma do usuário. Validade de 1 ano. SameSite=Lax. Não é utilizado para rastreamento.

A Plataforma não utiliza cookies de terceiros, cookies de publicidade nem pixels de rastreamento.

10.2. Tag JavaScript (site do Cliente)

A Tag instalada pelo Cliente em seu site:

  • Não cria cookies no navegador do Visitante;
  • Utiliza apenas um identificador de sessão temporário armazenado em memória (não em localStorage nem cookies);
  • O identificador é descartado ao fechar a aba ou o navegador;
  • Respeita o mecanismo de consentimento configurado pelo Cliente (pendente, automático ou manual via window.giria.consent());
  • Nenhum evento é enviado até que o consentimento seja concedido (exceto quando configurado como automático pelo Cliente).

11. Responsabilidade do Cliente quanto aos Visitantes

A Giria atua como operadora de dados em relação aos dados comportamentais dos Visitantes coletados pela Tag. O Cliente é o controlador desses dados e assume as seguintes responsabilidades:

  • Obter o consentimento dos Visitantes quando exigido pela legislação aplicável, utilizando o mecanismo de consentimento disponibilizado pela Tag ou integrando-o ao seu próprio sistema de gestão de consentimento (CMP);
  • Informar aos Visitantes sobre a coleta de dados em sua própria política de privacidade;
  • Garantir que a Tag não seja utilizada para coletar dados pessoais identificáveis sem base legal adequada;
  • Respeitar as solicitações de direitos dos titulares (Visitantes) em conformidade com a LGPD.

A Giria não se responsabiliza pela ausência ou inadequação do consentimento obtido pelo Cliente junto aos seus Visitantes.

12. Dados de menores de idade

A Plataforma destina-se exclusivamente a uso empresarial (B2B) e exige que os usuários tenham no mínimo 18 (dezoito) anos de idade. Não coletamos intencionalmente dados pessoais de menores de 18 anos. Caso tomemos conhecimento de que dados de um menor foram coletados, tomaremos as medidas necessárias para eliminá-los.

13. Comunicações

Podemos enviar comunicações por e-mail nas seguintes hipóteses:

  • Transacionais: verificação de conta, convites de equipe, confirmações de pagamento, avisos de falha de cobrança e renovações — necessárias para o funcionamento do serviço;
  • Operacionais: alterações nos Termos de Uso, nesta Política de Privacidade ou no funcionamento da Plataforma.

A Giria não envia e-mails de marketing. Não há newsletter nem comunicações promocionais.

14. Alterações nesta Política

Podemos atualizar esta Política de Privacidade periodicamente para refletir mudanças nos nossos serviços, na legislação aplicável ou nas melhores práticas de privacidade. Quando realizarmos alterações relevantes:

  • Atualizaremos a data de "Última atualização" no topo desta página;
  • Notificaremos os Usuários do Painel por e-mail ou por aviso na Plataforma quando as alterações forem materiais.

O uso continuado da Plataforma após a publicação de alterações constitui aceitação da versão atualizada.

15. Encarregado de Proteção de Dados (DPO)

Para questões relacionadas a privacidade e proteção de dados, entre em contato com nosso Encarregado:

  • E-mail: dpo@giria.co
  • Endereço: Av. Paulista, 1636, Sala 1504, Cerqueira César, São Paulo/SP, CEP 01310-200

Você também tem o direito de apresentar reclamação perante a Autoridade Nacional de Proteção de Dados (ANPD) caso entenda que o tratamento de seus dados pessoais viola a LGPD.

16. Legislação e foro

Esta Política de Privacidade é regida pelas leis da República Federativa do Brasil. Fica eleito o foro da Comarca de São Paulo/SP para dirimir quaisquer controvérsias decorrentes desta Política, com renúncia a qualquer outro, por mais privilegiado que seja.