Política de Privacidade

O Serviço é operado pela VSB Serviços de Informação e Tecnologia Ltda. (CNPJ 36.997.903/0001-36), pessoa jurídica de direito privado, com sede no Brasil. Atuamos como controlador dos dados pessoais nos termos da Lei nº 13.709/2018 (LGPD) e como controller para fins do Regulamento (UE) 2016/679 (RGPD). Para questões relacionadas a privacidade, exercício de direitos, dúvidas ou reclamações, escreva para contact@bigduckai.com. Nosso Encarregado pela Proteção de Dados (DPO) é alcançável pelo mesmo endereço.

Tratamos dados pessoais com base nas seguintes hipóteses legais, conforme o caso: (a) execução de contrato (LGPD Art. 7º, V; RGPD Art. 6(1)(b)), para fornecer e operar o Serviço, atender solicitações e processar pagamentos; (b) legítimo interesse (LGPD Art. 7º, IX; RGPD Art. 6(1)(f)), incluindo segurança da plataforma, prevenção de fraudes e abusos, melhoria de produto, analytics agregado, marketing direto não-intrusivo, defesa em processos judiciais e administrativos, e desenvolvimento de novos recursos; (c) consentimento (LGPD Art. 7º, I; RGPD Art. 6(1)(a)), para cookies não-essenciais, publicidade comportamental, personalização avançada e comunicações de marketing por email; (d) cumprimento de obrigação legal ou regulatória (LGPD Art. 7º, II; RGPD Art. 6(1)(c)), incluindo conservação fiscal e atendimento a requisições de autoridades competentes; (e) exercício regular de direito em processo judicial, administrativo ou arbitral (LGPD Art. 7º, VI). Quando nos baseamos em legítimo interesse, realizamos avaliação de balanceamento e você pode se opor a qualquer tempo, conforme detalhado adiante.

Tratamos as seguintes categorias de dados: (a) Dados de uso e interação: respostas aos testes, scores calculados, eventos de navegação, tempo de sessão, padrões de cliques, fontes de tráfego, idioma e localidade; (b) Identificadores técnicos: endereço IP, user agent, identificadores de dispositivo, tipo e versão de navegador, sistema operacional, resolução de tela, fuso horário, identificadores de cookies, identificadores publicitários (Google Ad ID, IDFA quando aplicável), fingerprint anônimo do navegador; (c) Dados de conta, quando criada: email, nome, hash de senha, preferências, histórico de testes, datas de acesso; (d) Dados de pagamento, quando aplicável: dados de transação, status, gateway, identificador, valor, moeda, últimos 4 dígitos do cartão e bandeira (não armazenamos dado completo de cartão de crédito); (e) Dados de comunicação: emails enviados a contact@bigduckai.com, feedback opcional dos testes, tickets de suporte; (f) Dados inferidos e agregados: características derivadas de seus padrões de uso, perfis de personalidade calculados, segmentações de marketing; (g) Logs de segurança: registros de autenticação, atividades suspeitas, tentativas de fraude. Os resultados dos testes não constituem dados sensíveis, dados de saúde ou dados biométricos para fins do RGPD Art. 9 ou da LGPD Art. 5º, II, pois são derivados de auto-relato em instrumentos de auto-reflexão e não constituem diagnóstico clínico.

Usamos os dados para: (i) operar, manter, fornecer e personalizar o Serviço, incluindo geração de resultados e relatórios; (ii) prevenir fraude, abuso, spam, ataques e violações dos Termos; (iii) garantir segurança da plataforma, dos usuários e da nossa infraestrutura; (iv) realizar analytics agregados, A/B testing, métricas de produto e desenvolvimento de novos recursos; (v) personalizar conteúdo, recomendações e experiência de uso; (vi) exibir publicidade contextual e, mediante consentimento, comportamental; (vii) realizar marketing direto sobre nossos próprios produtos e serviços com base em legítimo interesse, com possibilidade de opt-out gratuito a qualquer momento; (viii) comunicar-nos com você sobre atualizações do Serviço, mudanças nos Termos ou nesta Política, alertas operacionais e respostas a solicitações; (ix) cumprir obrigações legais, fiscais, contábeis e regulatórias, com conservação de registros pelos prazos exigidos por lei; (x) treinar, validar e melhorar modelos internos de geração de conteúdo, scoring, qualidade dos testes, e análise de padrões, sempre por meio de dados agregados ou anonimizados; (xi) defender direitos legais em processos judiciais, administrativos ou arbitrais; (xii) realizar pesquisas internas e estudos estatísticos com dados anonimizados ou agregados; (xiii) estabelecer, exercer ou defender qualquer direito em juízo ou fora dele.

Usamos cookies próprios e de terceiros, web beacons, pixels, local storage, session storage e tecnologias similares de rastreamento. Categorizamos essas tecnologias em: (a) Estritamente necessárias: indispensáveis ao funcionamento do Serviço, incluindo autenticação, segurança, prevenção de fraude, balanceamento de carga, registro de consentimento, mitigação de bots, accessibility settings e funcionalidades essenciais. Não exigem consentimento prévio nos termos da Diretiva ePrivacy 2002/58/CE Art. 5(3); (b) Analíticas: medem desempenho e uso agregado, incluindo Google Tag Manager, PostHog e Sentry. Em jurisdições que exigem consentimento prévio, são acionadas apenas após sua autorização; (c) Publicitárias: viabilizam exibição, personalização e mensuração de anúncios, incluindo Google AdSense, AdSense Offerwall, Google Ads, Meta Pixel quando aplicável, Ezoic e parceiros programáticos. Acionadas apenas mediante consentimento explícito; (d) Personalização: armazenam preferências e histórico para adaptar conteúdo, recomendações e experiência. Acionadas mediante consentimento. Você pode gerenciar preferências a qualquer momento pelo banner de consentimento exibido na primeira visita ou via link no rodapé. Algumas funcionalidades podem ficar limitadas se você recusar cookies não-essenciais. Operamos sob Google Consent Mode v2 e suportamos o IAB Transparency and Consent Framework (TCF) v2.3 quando exigido pelas redes parceiras.

Mediante consentimento, exibimos anúncios fornecidos por: Google AdSense (incluindo Auto Ads, in-content e Offerwall), Google Ads, Ezoic, e demais redes programáticas e parceiros de header bidding que possam ser adicionados, conforme listado em nossa relação atualizada de processadores. Esses parceiros podem coletar dados (IP, user agent, identificador publicitário, comportamento de navegação, contexto da página) para personalização, frequency capping, mensuração, atribuição e prevenção de fraude. Podemos compartilhar com parceiros publicitários, mediante seu consentimento, hashes anonimizados (SHA-256) de email para construção de audiências similares (lookalike), audiências de remarketing e Customer Match. Você pode optar por sair de publicidade comportamental do Google em adssettings.google.com, da NAI em optout.networkadvertising.org, da DAA em optout.aboutads.info e da EDAA em youronlinechoices.eu. Anúncios contextuais não personalizados podem ser exibidos com base em legítimo interesse mesmo sem consentimento, exceto onde a legislação local exigir consentimento prévio também para essa modalidade.

Compartilhamos dados pessoais, conforme estritamente necessário, com as seguintes categorias de terceiros: (a) provedores de infraestrutura, hospedagem, CDN, banco de dados e armazenamento (incluindo Vercel, Coolify, MongoDB Atlas, Cloudflare, Amazon Web Services); (b) provedores de envio transacional de email e mensageria (incluindo Resend, Nodemailer, SMTP providers); (c) provedores de analytics e observabilidade (incluindo Google, PostHog, Sentry, Vercel Analytics); (d) provedores de pagamento (incluindo Stripe, MercadoPago e similares); (e) redes publicitárias e processadores de mídia (Google AdSense, Google Ads, Ezoic, Meta, e demais parceiros programáticos); (f) provedores de inteligência artificial, processamento de conteúdo e geração de imagens (incluindo OpenAI, Anthropic e parceiros equivalentes); (g) provedores de prevenção a fraude e segurança; (h) consultores legais, contábeis e fiscais sob obrigação de confidencialidade; (i) autoridades públicas, regulatórias ou judiciais, quando obrigatório por lei, ordem judicial, ou para defesa de direitos legítimos; (j) adquirentes, sucessores ou investidores em caso de fusão, aquisição, reestruturação societária, venda de ativos, falência ou processo similar. Transferências internacionais para países fora do Brasil ou do Espaço Econômico Europeu são realizadas com base em decisão de adequação, Cláusulas Contratuais Padrão (Standard Contractual Clauses) aprovadas pela Comissão Europeia, ou outras salvaguardas previstas pela legislação aplicável. A relação atualizada de subprocessadores está disponível mediante solicitação por email.

Retemos dados pessoais pelo tempo necessário às finalidades descritas e em conformidade com obrigações legais. Períodos típicos de retenção: (a) dados de uso e interação anônimos: até 38 meses, alinhado a períodos padrão de analytics; (b) dados de conta e perfil: enquanto a conta estiver ativa e por até 5 anos após inatividade ou cancelamento, para fins de defesa em eventuais reclamações e cumprimento de obrigações legais; (c) dados de transação, pagamento e fiscais: 5 anos a contar da transação, conforme Lei nº 9.430/96, Decreto nº 9.580/2018 (RIR) e legislações equivalentes da União Europeia; (d) registros de consentimento: pelo período de validade do consentimento e por 5 anos após sua revogação, para fins de prova em eventual disputa; (e) emails e comunicações: 3 anos a contar do último contato; (f) logs de segurança e prevenção de fraude: 12 meses, prorrogáveis em caso de investigação ativa; (g) dados sob obrigação de bloqueio ou retenção determinada por autoridade: pelo período exigido. Após esses prazos, anonimizamos ou eliminamos os dados. A anonimização irreversível é considerada equivalente à eliminação para fins desta Política, conforme reconhecido pela LGPD e pelo Considerando 26 do RGPD.

Você possui os seguintes direitos sobre seus dados pessoais, conforme a legislação aplicável: (a) confirmação da existência de tratamento; (b) acesso aos dados; (c) correção de dados incompletos, inexatos ou desatualizados; (d) anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei; (e) portabilidade dos dados, limitada aos dados que você forneceu ativamente e em formato estruturado de uso comum; (f) oposição ao tratamento baseado em legítimo interesse, observado o direito de continuarmos o tratamento quando demonstrarmos motivos legítimos prevalecentes ou em defesa de direito; (g) revogação de consentimento a qualquer momento, sem efeito retroativo, sem prejuízo da licitude dos tratamentos anteriores à revogação; (h) informação sobre as entidades públicas e privadas com as quais compartilhamos dados; (i) revisão de decisões automatizadas que afetem seus interesses, nos termos da LGPD Art. 20; (j) reclamação à autoridade de proteção de dados competente. Para exercer esses direitos, envie email para contact@bigduckai.com identificando-se de forma a permitir verificação razoável de identidade. Responderemos dentro dos prazos legais aplicáveis: até 15 dias para a maioria das solicitações sob a LGPD, e até 1 mês sob o RGPD, prorrogáveis por mais 2 meses em casos complexos, com notificação justificada. Solicitações manifestamente infundadas, excessivas ou repetitivas podem ser recusadas ou sujeitas a cobrança de taxa razoável correspondente aos custos administrativos, na máxima extensão permitida pelo RGPD Art. 12(5) e legislação equivalente. Cumprimos o direito de eliminação preferencialmente por anonimização irreversível quando isso atender ao objetivo da solicitação e for tecnicamente apropriado, preservando logs agregados, registros legalmente exigidos e dados necessários ao exercício de direitos.

O Serviço não é direcionado nem destinado a menores de 16 anos. Não coletamos intencionalmente dados pessoais de menores de 16 anos sem consentimento dos responsáveis legais. Para usuários no Brasil, em conformidade com a LGPD Art. 14, o tratamento de dados de crianças (menores de 12 anos) é feito mediante consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal, e o tratamento de dados de adolescentes observa o melhor interesse. Para o Espaço Econômico Europeu, a idade mínima para consentir com tratamento de dados sem assistência dos responsáveis varia de 13 a 16 anos conforme o Estado-membro (RGPD Art. 8); aplicamos 16 anos como padrão por segurança. Caso identifique tratamento indevido de dados de menor, contate contact@bigduckai.com e tomaremos medidas para anonimizar ou eliminar tais dados em prazo razoável.

Podemos atualizar esta Política a qualquer tempo, a nosso exclusivo critério, refletindo mudanças no Serviço, em nossas práticas, em parceiros, ou em exigências legais. As alterações entram em vigor na data indicada em 'Última atualização' no topo desta página. Mudanças materiais serão sinalizadas com aviso em destaque no Serviço ou notificação por email aos titulares de conta com antecedência mínima de 30 dias antes da entrada em vigor, salvo quando exigido prazo diverso por lei. O uso continuado do Serviço após a data de vigência constitui aceitação tácita das mudanças. Caso não concorde, você deve descontinuar o uso antes da data de vigência e, se aplicável, exercer seus direitos conforme esta Política. Versões anteriores podem ser solicitadas por email.

Para qualquer questão sobre privacidade, exercício de direitos, dúvidas ou reclamações, contate-nos em contact@bigduckai.com. Sem prejuízo de tentar resolver diretamente conosco, você pode apresentar reclamação à autoridade competente: no Brasil, à Autoridade Nacional de Proteção de Dados (ANPD), pelo site gov.br/anpd; em Portugal, à Comissão Nacional de Proteção de Dados (CNPD); na França, à Commission Nationale de l'Informatique et des Libertés (CNIL); na Alemanha, ao Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ou à autoridade do Land competente; na Itália, ao Garante per la protezione dei dati personali; na Espanha, à Agencia Española de Protección de Datos (AEPD); no Japão, à Personal Information Protection Commission (PPC); ou à autoridade de proteção de dados do seu Estado-membro ou país de residência habitual.