LUMINA POST
Voltar
Documento legal · pt-BR

Política de Privacidade e Cookies

Última atualização: abril de 2026 · Versão 2.0 · Conformidade LGPD (Lei 13.709/2018)

I. Quem Somos e Papéis na LGPD

Lumina Post é uma plataforma SaaS para geração de artes publicitárias por IA. Nesta Política, atuamos como:

  • Controlador dos dados cadastrais do Usuário (titular da conta) — nome, e-mail, senha, CPF/CNPJ quando aplicável, telefone, idioma, plano, histórico de pagamentos, métricas de uso, eventos de analytics.
  • Operador dos dados de marketing inseridos pelo Usuário (briefings, prompts, fotos de produtos, logos, contatos de leads quando aplicável) — tratamos esses dados sob instrução exclusiva do Usuário, sem uso próprio.

Bases legais utilizadas (art. 7º LGPD): execução de contrato (cadastro, faturamento, geração da arte solicitada), legítimo interesse (analytics agregado, prevenção a fraudes, segurança da plataforma) e consentimento (cookies não essenciais, comunicações de marketing, integrações de redes sociais).

II. Quais Dados Coletamos

  • Cadastro: nome, e-mail, senha (armazenada como hash bcrypt — nunca em texto puro), telefone (opcional), idioma preferido (pt/en/es), aceite dos Termos.
  • Login Social Google: quando o Usuário escolhe entrar com Google, recebemos do provedor (via camada Emergent) apenas: e-mail verificado, nome e foto pública. Não acessamos contatos, calendário, drive ou qualquer outro escopo do Google.
  • CPF / CNPJ: coletados apenas no momento em que o Usuário decide pagar via Pix ou Boleto pelo Mercado Pago — exigência fiscal do gateway. Usuários que pagam só por cartão (Stripe) ou permanecem no plano Grátis nunca precisam fornecer.
  • Dados de empresa: nome do negócio, segmento, subsegmento, telefone comercial, endereço, redes sociais, logos e fotos enviadas voluntariamente pelo Usuário para uso nas artes geradas.
  • Briefings de IA: produto, preço, descrição, prompt de refinamento, formato escolhido, idioma da copy. Esses dados são enviados aos provedores de IA (Gemini Nano Banana, OpenAI, Anthropic Claude) somente para a geração solicitada.
  • Pagamentos: os dados completos de cartão são processados e armazenados exclusivamente pelos gateways (Stripe / Mercado Pago) — o Lumina Post recebe apenas o status do pagamento, identificador da transação, valor, método e os últimos 4 dígitos quando aplicável.
  • Uso e analytics: eventos de geração, refinamento, share, export, cliques em CTAs, tempo de sessão, plano contratado, créditos consumidos. Usados para melhorar a plataforma e detectar abuso.
  • Logs técnicos: IP, user-agent, timestamps, rotas acessadas. Retidos por 90 dias para fins de segurança e diagnóstico.

III. Como Usamos seus Dados

  1. Operar o serviço (autenticação, geração de artes, agendamento, compartilhamento).
  2. Processar pagamentos e emitir comprovantes/recibos por e-mail.
  3. Enviar comunicações transacionais (confirmação de cadastro, recuperação de senha, recibos, alertas de cota).
  4. Aplicar a marca d'água quando o plano ou o tipo de crédito assim o exigir.
  5. Detectar e prevenir fraude, abuso de IA, prompt injection, automação por bots e violação destes Termos.
  6. Calcular métricas agregadas e anônimas para evolução do produto.
  7. Cumprir obrigações legais, fiscais e regulatórias.

IV. Compartilhamento e Sub-Operadores

Não vendemos seus dados. Compartilhamos com sub-operadores estritamente necessários ao funcionamento da plataforma, todos com cláusulas contratuais de proteção de dados:

  • Cloudflare R2: armazenamento dos arquivos (logos, fotos de produto, artes geradas). Dados criptografados em repouso.
  • MongoDB Atlas: banco de dados principal (cadastros, businesses, ads, schedules, métricas).
  • Stripe: processamento de pagamentos por cartão e Portal de gestão de assinaturas. Certificado PCI DSS Nível 1.
  • Mercado Pago: processamento de Pix e Boleto. Recebe nome, e-mail e CPF/CNPJ conforme exigência fiscal.
  • Camada Emergent (auth + IA): intermedia o Login Social Google e as chamadas aos modelos de IA. Não persiste prompts além do necessário para entregar a resposta.
  • Google Gemini / OpenAI / Anthropic: provedores de IA generativa. Recebem apenas o prompt e a imagem de referência da geração solicitada. Não treinam modelos com seus dados quando a chamada é feita pela camada Emergent.
  • Resend: envio de e-mails transacionais (recuperação de senha, recibos, alertas).

Eventuais integrações opcionais (Meta Graph, TikTok) são ativadas pelo próprio Usuário, com tokens armazenados de forma criptografada e revogáveis a qualquer momento.

V. Transferência Internacional

Alguns sub-operadores listados acima possuem servidores fora do Brasil (EUA, União Europeia). Ao usar o Lumina Post, o Usuário concorda com essa transferência, garantida por mecanismos equivalentes aos exigidos pela LGPD (Cláusulas Contratuais Padrão e/ou certificações equivalentes).

VI. Cookies e Tecnologias Similares

Utilizamos:

  1. Cookies essenciais: token JWT de autenticação (armazenado em localStorage, não em cookie), preferência de idioma, preferência de tema (claro/ escuro). Sem esses, o serviço não funciona.
  2. Cookies analíticos: medição agregada de uso da plataforma. Pseudonimizados.
  3. Cookies de marketing: personalização de anúncios sobre o próprio Lumina Post, ativados apenas mediante consentimento explícito.

VII. Retenção e Exclusão

  • Conta ativa: dados mantidos enquanto a conta existir.
  • Conta encerrada: dados pessoais excluídos em até 30 dias após pedido de encerramento, exceto registros financeiros (mantidos por 5 anos para cumprimento fiscal).
  • Eventos de analytics: purgados automaticamente após 365 dias via TTL no banco.
  • Logs técnicos: 90 dias.
  • Artes geradas: ficam disponíveis na Biblioteca enquanto a conta existir. Podem ser apagadas pelo Usuário a qualquer momento.

VIII. Direitos do Titular (art. 18 LGPD)

O Usuário pode, a qualquer momento, gratuitamente, exercer:

  1. Confirmação da existência de tratamento.
  2. Acesso aos dados (export em formato legível).
  3. Correção de dados incompletos, inexatos ou desatualizados.
  4. Anonimização, bloqueio ou exclusão de dados desnecessários.
  5. Portabilidade dos dados a outro fornecedor.
  6. Revogação do consentimento e exclusão dos dados tratados sob essa base.
  7. Informação sobre as entidades com quem compartilhamos seus dados.
  8. Oposição a tratamentos baseados em legítimo interesse.

Pedidos devem ser enviados ao Encarregado de Dados (DPO) pelo e-mail vendas@lumina.com.br. Resposta em até 15 dias.

IX. Segurança da Informação

  • Toda comunicação é cifrada com TLS 1.2+.
  • Senhas armazenadas como hash bcrypt com salt único por usuário.
  • Tokens JWT com expiração e rotacionamento.
  • Object storage com criptografia em repouso (AES-256).
  • Backups regulares e segregação por ambiente (preview / produção).
  • Monitoramento contínuo de tentativas de invasão e abuso.
  • Princípio do menor privilégio no acesso interno.

Em caso de incidente que possa acarretar risco relevante aos titulares, comunicaremos a ANPD e os afetados em prazo razoável, conforme art. 48 LGPD.

X. Crianças e Adolescentes

O Lumina Post é destinado a maiores de 18 anos. Não coletamos intencionalmente dados de menores. Caso identifiquemos cadastro de menor sem consentimento do responsável legal, a conta é encerrada e os dados são excluídos.

Cláusula adicional

Confidencialidade Mútua

Tanto o Lumina Post quanto o Usuário se comprometem a manter sigilo sobre estratégias comerciais, dados de faturamento, relatórios internos e outras informações sensíveis trocadas durante a vigência do contrato. Este dever se mantém por 2 anos após o encerramento da relação.

Encarregado de Dados (DPO)

Para qualquer dúvida sobre o tratamento dos seus dados pessoais, fale com nosso DPO pelo e-mail vendas@lumina.com.br. Você também pode peticionar diretamente à ANPD em gov.br/anpd.

Lumina Post