Política de privacidade
Última atualização: 23 de abril de 2026
1. Controlador dos dados
O controlador dos dados pessoais é a operadora do DayProof, pessoa física residente em Chipre (UE). A infraestrutura de hospedagem é fornecida pela Hetzner Online GmbH, Alemanha (UE).
Contato para proteção de dados: privacy@dayproof.app.
Contato para proteção de dados: privacy@dayproof.app.
2. Bases legais do tratamento
Os dados pessoais são tratados com base nas seguintes hipóteses do GDPR:
- Execução de contrato (art. 6.1.b): dados de conta, viagens, bilhetes e documentos, necessários à prestação do serviço.
- Consentimento (art. 6.1.a): processamento de documentos por inteligência artificial (Google Gemini, Groq) e acesso ao Google Drive.
- Interesse legítimo (art. 6.1.f): cookies de sessão, registros de segurança e análise interna mínima.
3. Categorias de dados pessoais
Dados de conta: e-mail, nome, URL do avatar, idioma preferido.
Documentos de identidade (criptografados): número de passaporte, documento nacional, identificação fiscal.
Dados de contato (criptografados): telefone e endereço.
Perfil fiscal: data de nascimento, nacionalidade, país de residência fiscal, país de origem, país do passaporte e limiares de dias.
Dados de viagem: datas, aeroportos, países, números de voo e companhias aéreas.
Documentos carregados: cartões de embarque, confirmações de voo e faturas (PDF, JPEG, PNG).
Dados de processamento de IA: campos extraídos automaticamente (JSONB) e nomes de passageiros visíveis nos documentos.
Tokens OAuth (criptografados): tokens de acesso e atualização para o Google Drive.
Dados técnicos: endereço IP, agente de usuário e registros de requisições.
Análise interna: visualizações de página e eventos do usuário.
Documentos de identidade (criptografados): número de passaporte, documento nacional, identificação fiscal.
Dados de contato (criptografados): telefone e endereço.
Perfil fiscal: data de nascimento, nacionalidade, país de residência fiscal, país de origem, país do passaporte e limiares de dias.
Dados de viagem: datas, aeroportos, países, números de voo e companhias aéreas.
Documentos carregados: cartões de embarque, confirmações de voo e faturas (PDF, JPEG, PNG).
Dados de processamento de IA: campos extraídos automaticamente (JSONB) e nomes de passageiros visíveis nos documentos.
Tokens OAuth (criptografados): tokens de acesso e atualização para o Google Drive.
Dados técnicos: endereço IP, agente de usuário e registros de requisições.
Análise interna: visualizações de página e eventos do usuário.
4. Operadores e suboperadores
| Operador | Finalidade | Dados compartilhados | Localização |
|---|---|---|---|
| Google Gemini AI | OCR e extração de dados de voo | Imagens e PDFs de documentos, nomes de passageiros | EUA |
| Groq AI | OCR e extração de dados de voo | Texto OCR de documentos, nomes de passageiros | EUA |
| Resend | E-mail transacional | Endereço de e-mail e conteúdo das mensagens | EUA |
| Google (OAuth e Drive) | Autenticação e sincronização de arquivos | E-mail, nome e metadados de arquivos | EUA |
| Hetzner Online GmbH | Hospedagem de infraestrutura | Todos os dados do usuário | Alemanha (UE) |
5. Transferências internacionais de dados
Alguns operadores estão localizados nos Estados Unidos. As transferências são amparadas pelas Cláusulas Contratuais Padrão da Comissão Europeia e, quando aplicável, pelo Data Privacy Framework UE-EUA.
6. Prazos de retenção
| Categoria | Prazo |
|---|---|
| Conta do usuário | Até o pedido de exclusão |
| Viagens e bilhetes | Até o pedido de exclusão |
| Documentos carregados | Até o pedido de exclusão |
| Tokens do Google Drive | Até a desconexão ou exclusão |
| Sessões | 30 dias de inatividade |
| Visualizações de página | 90 dias |
| Eventos do usuário | 180 dias |
| Registros de requisições | 30 dias |
| Registros de consultas lentas | 14 dias |
7. Direitos do usuário
Nos termos do GDPR, o usuário tem direito a:
- Acesso (art. 15): obter uma cópia de seus dados pessoais.
- Retificação (art. 16): corrigir dados inexatos.
- Exclusão (art. 17): solicitar a exclusão de seus dados.
- Portabilidade (art. 20): baixar seus dados em formato estruturado (JSON).
- Limitação (art. 18): restringir o tratamento em determinadas circunstâncias.
- Oposição (art. 21): opor-se ao tratamento baseado em interesse legítimo.
- Retirada do consentimento: o consentimento pode ser retirado a qualquer momento, sem afetar a legalidade do tratamento anterior.
8. Decisões automatizadas
O DayProof utiliza processamento automatizado (inteligência artificial e OCR) para extrair dados de voo dos documentos. Esse processamento não produz efeitos jurídicos sobre o usuário e não o afeta de forma significativa de maneira semelhante. O usuário pode revisar e corrigir todos os dados extraídos.
Os alertas fiscais exibidos no painel são indicadores informativos baseados em limiares gerais e não constituem decisões automatizadas com efeito jurídico no sentido do artigo 22 do GDPR.
Os alertas fiscais exibidos no painel são indicadores informativos baseados em limiares gerais e não constituem decisões automatizadas com efeito jurídico no sentido do artigo 22 do GDPR.
9. Cookies
Para informações detalhadas sobre o uso de cookies, consulte a Política de cookies.
10. Notificação de violações de segurança
Em caso de violação de segurança que afete dados pessoais, o DayProof notificará os usuários afetados e a autoridade de controle competente no prazo de 72 horas, nos termos do artigo 33 do GDPR.
11. Autoridade de controle
A autoridade de controle competente é o Gabinete do Comissário para a Proteção de Dados Pessoais de Chipre. Usuários de outros Estados-Membros da UE também podem recorrer à autoridade de proteção de dados do seu país.
12. Contato
Para qualquer questão relativa à proteção de dados: privacy@dayproof.app.