Papéis de Tratamento
O ClawAI atua como controlador para conta, cobrança, segurança, analytics próprios, suporte e operação do produto. Para conteúdo enviado por clientes empresariais, prompts, arquivos, respostas e dados de terceiros processados sob instrução da organização, o ClawAI pode atuar como operador/processador, conforme contrato, DPA ou instruções documentadas.
Categorias de Dados
O ClawAI pode processar dados de conta e autenticação; email e nome quando fornecidos; prompts, mensagens, respostas, histórico de chat, anexos e uploads; preferências como idioma; logs técnicos, IP, dispositivo e eventos de segurança; cookies e analytics; metadados de cobrança, plano, fatura, status de assinatura e identificadores do provedor de cobrança, sem armazenar dados brutos de cartão.
Dados Sensíveis e Minimização
O serviço não deve solicitar dados sensíveis desnecessários. Se o usuário inserir dados sensíveis, segredos, dados de terceiros, dados de crianças/adolescentes ou material regulado em prompts ou uploads, o ClawAI deve processar apenas o necessário para entregar o recurso contratado, aplicar controles proporcionais e documentar bases legais, retenção e restrições de compartilhamento.
Finalidades
Os dados são usados para criar e proteger contas, fornecer funcionalidade de IA, processar uploads e conversas, manter histórico quando habilitado, apoiar usuários, operar cobrança, prevenir fraude e abuso, diagnosticar problemas, cumprir a lei e melhorar o produto de forma proporcional e documentada.
Bases Legais LGPD
O processamento pode se apoiar em execução de contrato, cumprimento de obrigação legal ou regulatória, legítimo interesse com teste de balanceamento, consentimento quando exigido, proteção contra fraude/abuso, exercício regular de direitos e proteção do crédito quando aplicável.
Direitos LGPD, GDPR, UK GDPR e CCPA/CPRA
Conforme a lei aplicável, usuários podem solicitar confirmação de tratamento, acesso, correção, anonimização, bloqueio, eliminação, portabilidade, informação sobre compartilhamento, revogação de consentimento, oposição, revisão de decisões automatizadas, direito de saber, excluir, corrigir, limitar ou optar contra venda/compartilhamento de dados pessoais e não discriminação por exercer direitos. O ClawAI deve responder por canal verificável e dentro dos prazos legais aplicáveis.
Como Solicitações de Titulares São Tratadas
Solicitações devem ser enviadas a privacy@ghosthub.space ou pelo canal autenticado quando disponível. O ClawAI pode verificar identidade, autoridade de representante, conta e escopo antes de responder. Respostas seguem os prazos legais aplicáveis, incluindo atendimento simplificado quando cabível, resposta completa quando exigida e extensão permitida por lei para pedidos complexos.
Venda, Compartilhamento e Opt-out
O ClawAI não vende dados pessoais como atividade comercial comum. Se cookies de marketing, pixels, publicidade comportamental, data clean rooms ou compartilhamento definido por leis estaduais dos EUA forem ativados, o produto deve exibir aviso, controle de opt-out e gestão de preferências em /privacy-policy#cookies antes do uso não essencial.
Processamento por IA, Treinamento e Memória
Prompts, arquivos, mensagens, respostas, embeddings, memória e metadados podem ser processados para fornecer respostas, RAG, histórico, segurança, suporte e melhoria operacional. O ClawAI deve documentar se provedores terceiros usam dados para treinamento, oferecer controles quando disponíveis e evitar usar conteúdo de clientes para treinamento externo sem base legal, contrato ou consentimento aplicável.
IA e Suboperadores de Serviço
Prompts, respostas, anexos e metadados podem ser enviados a suboperadores terceirizados de LLM/IA, hospedagem, observabilidade, segurança, analytics e pagamento para operar o serviço. A lista de suboperadores, finalidade, país/região de processamento e link de política é publicada nesta política, em registro complementar ou por canal contratual.
Mudanças de Suboperadores
Novos suboperadores materiais devem passar por revisão de segurança, privacidade e finalidade antes de uso em produção. Quando contrato ou lei exigir, clientes elegíveis devem receber aviso, registro atualizado e prazo razoável para objeção ou encerramento antes de mudança que aumente risco relevante.
Transferências Internacionais
Dados podem ser processados fora do Brasil, EEE, Reino Unido ou país de origem do usuário quando provedores internacionais forem usados. Transferências devem usar mecanismos legais aplicáveis, como contratos, cláusulas-padrão da ANPD, cláusulas contratuais padrão da UE, adendo/IDTA do Reino Unido, decisões de adequação, medidas técnicas e avaliação de risco quando exigido.
Retenção, Exclusão e Direitos dos Titulares
Dados são retidos conforme necessário para fornecer o serviço, cumprir obrigações legais, resolver disputas, prevenir abuso, manter auditoria e backups por período limitado. Períodos por categoria, incluindo conta, conversas, uploads, logs, cobrança, backups e suporte, são publicados ou disponibilizados em /privacy-policy#retention.
RIPD, DPIA e Usos de Maior Risco
Tratamentos que envolvam dados sensíveis, decisões automatizadas relevantes, monitoramento extensivo, alto volume de dados, crianças/adolescentes, setores regulados ou integrações de IA de maior risco devem ser avaliados por RIPD/DPIA, teste de legítimo interesse, revisão de fornecedor e controles proporcionais antes de lançamento.
Decisões Automatizadas e Perfilamento
O ClawAI pode usar automação para segurança, abuso, limites de uso, classificação operacional e roteamento de modelos. Quando uma decisão automatizada produzir efeito relevante sobre acesso, cobrança ou direitos do usuário, o usuário poderá solicitar revisão ou explicação quando exigido por lei.
Segurança
O ClawAI aplica controles proporcionais de acesso, segregação por usuário e ambiente, logs com redação de segredos, transporte seguro, criptografia quando aplicável, backups, monitoramento, rate limiting, revisão de fornecedores, resposta a incidentes e minimização de dados.
Incidentes e Notificação
Incidentes de segurança envolvendo dados pessoais devem ser avaliados, contidos, documentados e notificados a usuários, autoridades ou parceiros quando a lei ou contrato exigir. Comunicações devem evitar expor segredos, tokens, payloads brutos ou dados de outros usuários.
Contato e Solicitações
Solicitações de privacidade devem ser enviadas para privacy@ghosthub.space. Suporte geral deve ser enviado para support@ghosthub.space.