Política de privacidade
Última atualização: 13 de julho de 2026
Introdução
O Transept é operado por Mariia Ivakhnenko, proprietária individual, registrada em Uralská 689/7, 160 00 Prague 6, Czech Republic. Consulte nosso Aviso legal para ver as informações legais completas. Ao longo desta política, “nós”, “nosso” e “nossa” referem-se a Mariia Ivakhnenko operando como Transept.
Esta Política de privacidade explica como coletamos, usamos, divulgamos e protegemos suas informações quando você usa nosso serviço de tradução com IA.
Para um resumo em linguagem simples de como lidamos com os dados — onde são armazenados, o que enviamos aos provedores de IA, nossa opção de exclusão de treinamento e os subprocessadores envolvidos — consulte nossa página de Segurança e dados. A lista completa de subprocessadores está em /subprocessors; o catálogo de cookies em /cookies.
Informações que coletamos
Informações pessoais
Quando você cria uma conta, coletamos:
- Endereço de e-mail.
- Nome (se fornecido via Google OAuth).
- Foto de perfil (se fornecida via Google OAuth).
Informações de faturamento
Quando você assina um plano pago ou compra um pacote de palavras, o faturamento é processado pelo Stripe. Recebemos metadados da transação (valor, moeda, plano, os últimos quatro dígitos do seu cartão, país de faturamento), mas nunca vemos ou armazenamos números completos de cartão, CVCs ou detalhes de conta bancária — eles vão diretamente para o Stripe sob o PCI DSS Nível 1.
Integrações de terceiros
Quando você conecta serviços de terceiros, podemos coletar:
- Google Drive — tokens OAuth para acessar documentos que você seleciona para importar/exportar.
- Notion — tokens OAuth e informações do espaço de trabalho (nome do espaço de trabalho, ID do espaço de trabalho) para acessar páginas que você seleciona para importar/exportar.
Acessamos apenas o conteúdo que você escolhe explicitamente importar ou exportar. Não verificamos nem acessamos toda a sua conta conectada.
Dados de uso
Coletamos automaticamente certas informações sobre o seu dispositivo e como você interage com nosso serviço:
- Tipo e versão do navegador.
- Endereço IP.
- Páginas visitadas e tempo gasto nas páginas.
- Histórico de tradução e preferências.
Conteúdo de tradução
Processamos o texto que você envia para tradução. Este conteúdo é:
- Enviado a provedores de IA (Anthropic, OpenAI, Google, Groq, OpenRouter) para processamento de tradução.
- Armazenado em nosso banco de dados como parte do seu documento.
- Retido para usuários registrados até ser excluído.
- Excluído após 30 dias para usuários não registrados.
- Nunca usado para treinar modelos de IA — veja “Compartilhamento de dados com provedores de IA” abaixo.
Como usamos suas informações
Usamos as informações que coletamos para:
- Fornecer e manter nosso serviço de tradução.
- Processar suas traduções usando modelos de IA.
- Enviar códigos de autenticação e notificações de serviço.
- Processar pagamentos e gerenciar assinaturas.
- Melhorar nosso serviço e desenvolver novos recursos.
- Analisar padrões de uso agregados e otimizar o desempenho.
- Detectar e prevenir fraudes ou abusos.
- Cumprir obrigações legais.
Base legal para processamento (Art. 6 do GDPR)
Se você estiver na União Europeia, Espaço Econômico Europeu (EEE), Reino Unido ou Suíça, processamos seus dados pessoais sob as seguintes bases legais:
- Execução de um contrato — para fornecer o serviço de tradução no qual você se cadastrou: criação de conta, processamento de tradução, faturamento, exportações e integrações.
- Consentimento — para análises opcionais de produto (PostHog) e quaisquer comunicações de marketing futuras. Você pode retirar o consentimento a qualquer momento sem afetar o processamento legal anterior.
- Interesse legítimo — para segurança, prevenção de abusos, depuração e melhoria do serviço, equilibrado com seus direitos e expectativas razoáveis.
- Obrigação legal — para cumprir requisitos fiscais, contábeis e de aplicação da lei onde se aplicarem.
Compartilhamento de dados com provedores de IA
Quando você envia um texto para tradução, nós enviamos seu conteúdo para provedores de IA terceirizados para gerar as traduções. Esses provedores são:
- Anthropic (modelos Claude) — consulte a política de privacidade deles em anthropic.com/privacy.
- OpenAI (modelos GPT) — consulte a política de privacidade deles em openai.com/privacy.
- Google (modelos Gemini, via Vertex AI / Gemini API) — consulte a política de privacidade deles em policies.google.com/privacy.
- Groq — consulte a política de privacidade deles em groq.com/privacy.
- OpenRouter — consulte a política de privacidade deles em openrouter.ai/privacy.
Nós não usamos seu conteúdo para treinar modelos de IA. Usamos os níveis de API comerciais padrão desses provedores, que excluem contratualmente as entradas e saídas de clientes de serem usadas para treinar modelos de fundação (Anthropic API, OpenAI API, Google Vertex AI, Groq). Seu texto é enviado apenas para a solicitação de tradução específica e não é retido pelo provedor para treinamento. O registro operacional do lado do provedor pode ser aplicado por curtos períodos, de acordo com suas próprias políticas.
O OpenRouter é um gateway para modelos adicionais, e os termos do provedor subjacente variam de acordo com o modelo. Para fluxos de trabalho onde a exclusão de treinamento é importante, fixe suas traduções em um provedor conhecido (Anthropic, OpenAI ou Google).
Mesmo com a garantia de não treinamento, não envie conteúdo que você não tem permissão legal para compartilhar com processadores terceirizados — por exemplo, conteúdo coberto por NDA, sigilo profissional entre advogado e cliente ou regulamentações como a HIPAA (não somos uma plataforma em conformidade com a HIPAA).
Subprocessadores
Para executar o serviço, compartilhamos dados estritamente necessários com os seguintes provedores. Cada um está vinculado à sua própria política de privacidade e, quando aplicável, a um acordo de processamento de dados. A lista canônica e sempre atualizada encontra-se em /subprocessors.
- Tradução por IA — Anthropic (EUA), OpenAI (EUA), Google / Vertex AI (EUA, regiões da UE disponíveis), Groq (EUA), OpenRouter (EUA). Recebem apenas o texto enviado para tradução; nenhum treina com o seu conteúdo sob os níveis de API que usamos.
- Hospedagem e banco de dados — Hetzner Online GmbH (Alemanha, UE). Armazena o aplicativo, os dados da sua conta e seus documentos. Residência de dados na UE.
- Pagamentos — Stripe, Inc. (EUA / Irlanda). Processa o faturamento de assinaturas e compras avulsas sob o PCI DSS Nível 1.
- Análise de produto — PostHog (hospedado na UE). Carregado apenas com o seu consentimento explícito para análises — opt-in para cada visitante, desativado por padrão.
- E-mail transacional e de marketing — Customer.io (espaço de trabalho na UE,
api-eu.customer.io). Envia códigos de acesso, notificações da conta, a confirmação de opt-in duplo e (apenas com o seu consentimento explícito para marketing) atualizações do produto. - Medição de anúncios — Google (Tag Manager + acompanhamento de conversões do Google Ads) e Meta Platforms (Pixel + API de Conversões). Carregados apenas com o seu consentimento explícito para cookies de marketing. Enviamos o e-mail com hash + o identificador de clique do clique original no anúncio para que o proprietário da campanha possa atribuir um cadastro ao anúncio certo. Não compartilhamos seu conteúdo de tradução com plataformas de anúncios.
- Visibilidade em mecanismos de busca — Bing Webmaster Tools, Google Search Console, IndexNow (Bing, Yandex, Seznam, Naver, Yep). Recebem a URL do seu site em alterações de conteúdo; nenhum dado pessoal é transmitido.
Atualizamos esta lista quando os subprocessadores mudam. Adições materiais são sinalizadas nesta página, na página de Segurança e Dados e em /subprocessors antes de entrarem em vigor para novos processamentos.
Comunicações de marketing
Enviamos dois tipos de e-mail:
- E-mails transacionais — códigos de acesso, confirmações de conta, recibos de faturamento, notificações de segurança. Estes são enviados com base legal de execução de contrato e não podem ser cancelados sem a exclusão da conta.
- E-mails de marketing — atualizações de produto, notas de lançamento, notas ocasionais da equipe. Estes são enviados com base legal de consentimento explícito de opt-in duplo. Após a criação da conta, perguntamos se você gostaria de receber e-mails de produto em uma caixa de diálogo no aplicativo. Se você aceitar, enviamos um e-mail de confirmação; você deve clicar no link desse e-mail antes de adicionarmos você a qualquer campanha. Até você confirmar, não enviamos e-mails de marketing — apenas os transacionais.
Você pode retirar o consentimento de marketing a qualquer momento em Configurações → Preferências de e-mail dentro do aplicativo. Cada e-mail de marketing também contém um link de cancelamento de inscrição claramente visível. Mantemos um registro de cada decisão de consentimento — quando foi dado, onde e a versão do texto que você aceitou — para cumprir o Artigo 7(1) do GDPR (demonstrabilidade do consentimento).
Integrações de terceiros
O Transept se integra a serviços de terceiros para aprimorar seu fluxo de trabalho. Quando você conecta esses serviços:
Google Drive
- Usamos OAuth 2.0 para conectar com segurança à sua conta do Google.
- Acessamos apenas os documentos que você seleciona explicitamente para importar.
- Os documentos exportados são criados no seu Google Drive.
- Você pode desconectar o Google Drive a qualquer momento nas Configurações.
- Consulte a política de privacidade do Google em policies.google.com/privacy.
Notion
- Usamos o OAuth 2.0 do Notion para conectar com segurança ao seu espaço de trabalho.
- Armazenamos seu token de acesso do Notion, nome do espaço de trabalho e ID do espaço de trabalho.
- Acessamos apenas as páginas e bancos de dados que você seleciona explicitamente para importar/exportar.
- Ao importar, lemos o conteúdo da página e o convertemos para tradução.
- Ao exportar, criamos novas páginas no local escolhido com o conteúdo traduzido.
- Os comentários dos seus documentos podem ser opcionalmente exportados como comentários na página do Notion.
- Você pode desconectar o Notion a qualquer momento nas Configurações, o que remove todos os tokens armazenados.
- Consulte a política de privacidade do Notion em notion.so/privacy.
Você pode revogar o acesso a essas integrações a qualquer momento através das Configurações ou diretamente nas configurações de conta do serviço de terceiros.
Cookies e rastreamento
Os cookies (e entradas equivalentes de armazenamento local) são opt-in para todos os visitantes. Sem o seu consentimento explícito, definimos apenas os cookies essenciais — o mínimo necessário para lembrar sua preferência de cookies, manter você conectado e proteger o site contra abusos. A lista completa de cookies com nomes, durações e finalidades está em /cookies.
Na sua primeira visita, o banner de cookies é exibido. Você pode escolher Aceitar todos, Rejeitar todos ou abrir Personalizar preferências para alternar as categorias de Analytics e Marketing de forma independente. O silêncio não é consentimento — até que você faça uma escolha explícita (ou aceite), nenhum cookie de analytics ou marketing será acionado.
Você pode mudar de ideia a qualquer momento através do link Gerenciar cookies no rodapé. Cada alteração é registrada em nosso log de auditoria de consentimento no identificador de navegador anônimo transept_anon e (após criar a conta) na sua conta, para que possamos demonstrar a linha do tempo do seu consentimento, se solicitado.
Essenciais
Necessários para o funcionamento do serviço. Sempre ativos; nenhum consentimento é necessário de acordo com o GDPR.
transept_cc— lembra sua preferência de cookies para não perguntarmos novamente a cada visita. 1 ano.transept_anon— identificador de navegador anônimo usado apenas para nosso log de auditoria de decisões de consentimento. 2 anos.transept_token/ token de autenticação de armazenamento local — mantém você conectado. Duração da sessão.- Preferência de tema (claro/escuro).
- Cookies de segurança e prevenção de abusos definidos pela nossa infraestrutura.
Analytics (desativado por padrão)
Com o seu consentimento, carregamos o PostHog (hospedado na UE) e o Google Analytics 4 via Google Tag Manager. Eles rastreiam visualizações de página, uso de recursos e comportamento agregado para sabermos o que desenvolver a seguir. Desative a qualquer momento em Gerenciar cookies; uma vez desativados, os scripts param de ser acionados e nenhum evento é enviado.
Marketing (desativado por padrão)
Com o seu consentimento, carregamos o Meta Pixel (via API de Conversões + cookie), o vinculador de conversões do Google Ads e o LinkedIn Insight Tag — todos entregues via Google Tag Manager. Eles nos permitem atribuir cliques em anúncios pagos a cadastros para que a equipe possa ver quais campanhas realmente ajudam. Também definimos nosso próprio cookie primário transept_attr para reter essa atribuição de primeiro contato entre as visitas.
Sem o consentimento de marketing, ainda capturamos os parâmetros utm de um URL de destino de anúncio pago no sessionStorage da sua aba — um registro primário na aba que desaparece quando você a fecha — para que possamos atribuir a conversão se você criar uma conta na mesma sessão. Sem cookies de terceiros, sem rastreamento entre sessões.
Google Consent Mode v2
Usamos o Google Consent Mode v2 para que as tags dentro do Google Tag Manager respeitem sua decisão automaticamente. Com o consentimento negado, as tags são executadas no modo “básico” (apenas pings sem cookies). Com o consentimento concedido, a medição completa é retomada.
Transferências internacionais de dados
Os dados do aplicativo e seus documentos são armazenados na UE (Hetzner, Alemanha). Quando você usa o serviço de tradução, seu conteúdo é processado por provedores de IA que podem estar localizados fora da UE/EEE — principalmente nos Estados Unidos.
Onde tais transferências ocorrem, contamos com salvaguardas apropriadas sob o Capítulo V do GDPR, incluindo:
- Decisões de adequação da Comissão Europeia, onde existirem.
- Cláusulas Contratuais Padrão (SCCs) e, quando aplicável, o Quadro de Privacidade de Dados UE-EUA.
- Compromissos contratuais dos fornecedores de que o conteúdo do cliente não é usado para treinamento de modelos de IA e é processado apenas para a solicitação específica.
Uma cópia das SCCs nas quais confiamos para transferências está disponível mediante solicitação — envie um e-mail para [email protected].
Retenção de dados
- Dados da conta — retidos enquanto sua conta estiver ativa. Contas inativas (sem entrar por mais de 12 meses) podem ser excluídas com aviso prévio por e-mail.
- Documentos e traduções — retidos até que você os exclua ou exclua sua conta. A exclusão é irreversível.
- Usuários não registrados — os dados de tradução são excluídos automaticamente após 30 dias.
- Logs do servidor — retidos por 90 dias para segurança, depuração e prevenção de abusos.
- Backups — criptografados em repouso, retidos por 30 dias e depois substituídos.
- Registros de faturamento — retidos por pelo menos 7 anos para cumprir obrigações fiscais e contábeis, mesmo após a exclusão da conta. Os registros de faturamento contêm apenas metadados de transações (valor, data, plano), nunca seu conteúdo de tradução.
Após a exclusão da conta, cópias residuais do seu conteúdo podem persistir em backups criptografados por até 30 dias antes de serem substituídas. Elas não são acessíveis para nenhum outro propósito além da recuperação de desastres.
Seus direitos
UE / EEE / Reino Unido / Suíça (GDPR e UK GDPR)
Se você estiver na UE, EEE, Reino Unido ou Suíça, você tem os seguintes direitos:
- Acesso — solicitar uma cópia dos seus dados pessoais.
- Retificação — corrigir dados pessoais imprecisos.
- Exclusão — solicitar a exclusão dos seus dados pessoais (“direito de ser esquecido”).
- Portabilidade — receber seus dados em um formato legível por máquina.
- Oposição — opor-se ao processamento dos seus dados pessoais.
- Restrição — solicitar a restrição do processamento.
- Retirar consentimento — quando o processamento for baseado em consentimento (por exemplo, analytics), retirá-lo a qualquer momento sem afetar o processamento legal anterior.
- Apresentar uma reclamação — registrar uma reclamação na sua autoridade supervisora local (o regulador de proteção de dados do seu país). Os detalhes de contato das autoridades da UE estão listados em edpb.europa.eu.
Califórnia (CCPA e CPRA)
Se você for residente da Califórnia, você tem os seguintes direitos:
- Direito de saber — quais informações pessoais coletamos, de onde as obtemos, por que as usamos e com quem as compartilhamos.
- Direito de exclusão — solicitar a exclusão das informações pessoais que coletamos de você.
- Direito de correção — solicitar a correção de informações pessoais imprecisas.
- Direito de recusar a venda ou o compartilhamento — não vendemos suas informações pessoais e não as compartilhamos para publicidade comportamental de contexto cruzado.
- Direito de limitar o uso de informações pessoais sensíveis — não usamos informações pessoais sensíveis para fins que exigiriam esse direito.
- Direito à não discriminação — não negaremos serviço, cobraremos um preço diferente ou discriminaremos você de qualquer outra forma por exercer qualquer um desses direitos.
Outros estados dos EUA
Residentes da Virgínia (VCDPA), Colorado (CPA), Connecticut (CTDPA), Utah (UCPA), Texas (TDPSA), Oregon (OCPA) e outros estados com leis de privacidade comparáveis têm direitos substancialmente semelhantes — incluindo acesso, exclusão, correção, portabilidade e recusa de publicidade direcionada ou venda de dados pessoais. Honramos o mesmo conjunto de direitos para todos os residentes dos EUA, independentemente do estado de residência.
Como exercer seus direitos
Envie um e-mail para [email protected] com sua solicitação e o endereço de e-mail associado à sua conta. Respondemos em até 30 dias (ou até 45 dias para solicitações complexas, mediante aviso). Não cobramos pela primeira solicitação em qualquer período de 12 meses. Podemos verificar sua identidade antes de atuar nas solicitações, para proteger seus dados contra divulgação não autorizada.
Segurança de dados
Implementamos medidas técnicas e organizacionais para proteger seus dados:
- Criptografia em trânsito — TLS 1.2 ou superior em todas as conexões entre o seu navegador, nossos servidores e provedores terceirizados. Apenas HTTPS; HTTP é redirecionado.
- Criptografia em repouso — banco de dados e armazenamento em disco criptografados com AES-256.
- Hospedagem — o aplicativo e o banco de dados são executados na infraestrutura da Hetzner Online GmbH na Alemanha (UE). Nenhum documento de cliente é armazenado em servidores dos EUA.
- Controles de acesso — o acesso à produção é restrito a um pequeno número de operadores nomeados com base na necessidade de conhecimento, autenticados por meio de chaves SSH com registro de auditoria. Não acessamos o conteúdo do cliente, a menos que você tenha aberto uma solicitação de suporte que exija isso, ou quando obrigados por um processo legal válido.
- Autenticação — entrada sem senha por meio de códigos de uso único de curta duração por e-mail ou Google OAuth. Não armazenamos senhas.
- Backups — criptografados em repouso, retidos por 30 dias e depois substituídos.
- Gerenciamento de vulnerabilidades — as dependências e a infraestrutura são mantidas atualizadas em uma cadência regular. Relate suspeitas de vulnerabilidades para [email protected].
- Notificação de violação — no caso de uma violação de dados pessoais que possa resultar em alto risco aos seus direitos, notificaremos você e a autoridade supervisora relevante dentro de 72 horas após tomarmos conhecimento, conforme exigido pelo Art. 33–34 do GDPR.
Nenhum sistema é 100% seguro. Embora apliquemos salvaguardas padrão do setor, não podemos garantir segurança absoluta.
Acordo de Processamento de Dados (DPA)
Quando o Transept atua como processador de dados em seu nome — normalmente para planos pagos em que você envia conteúdo comercial para tradução —, disponibilizamos um Acordo de Processamento de Dados mediante solicitação. O DPA cobre nossas obrigações sob o Artigo 28 do GDPR, incluindo divulgações de subprocessadores, medidas de segurança e procedimentos de notificação de violação.
Solicite um DPA enviando um e-mail para [email protected] com o e-mail da sua conta e os detalhes da empresa.
Privacidade infantil
Nosso serviço não é direcionado a crianças. Você deve ter pelo menos a idade mínima em sua jurisdição para usar o Transept:
- Espaço Econômico Europeu (EEE), Reino Unido, Suíça — pelo menos 16 anos, ou a idade mínima definida pelo seu país (alguns estados-membros da UE permitem idades entre 13 e 15 anos).
- Em todos os outros lugares — pelo menos 13 anos.
Não coletamos intencionalmente informações pessoais de crianças abaixo dessas idades. Se você é pai, mãe ou responsável e acredita que seu filho nos forneceu informações pessoais, entre em contato conosco pelo e-mail [email protected] e nós as excluiremos.
Alterações nesta política
Podemos atualizar esta Política de Privacidade de tempos em tempos. Notificaremos você sobre quaisquer alterações publicando a nova Política de Privacidade nesta página e atualizando a data de “Última atualização”. Para alterações materiais que afetem seus direitos ou expandam o processamento, daremos aviso prévio por e-mail e, quando necessário, solicitaremos um novo consentimento.
Fale conosco
Se você tiver dúvidas sobre esta Política de Privacidade, entre em contato conosco:
- E-mail: [email protected]