Política de Privacidade — Transcriwise
Última atualização: 14 de março de 2026
Data de vigência: 14 de março de 2026
Esta Política de Privacidade descreve como a Transcriwise Tecnologia Ltda. coleta, utiliza, compartilha e protege dados pessoais dos usuários de seus serviços de transcrição de áudio e inteligência artificial. Esta política está em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018) e com o Regulamento Geral sobre a Proteção de Dados (GDPR — Regulamento UE 2016/679).
1. Controlador de Dados
| Informação | Detalhe |
|---|---|
| Razão Social | Transcriwise Tecnologia Ltda. |
| CNPJ | Informado mediante solicitação comercial verificada ou em instrumento contratual aplicável. |
| Endereço | Endereço corporativo informado mediante solicitação verificada ou em instrumento contratual aplicável. |
| E-mail de contato geral | contato@transcriwise.com |
| E-mail para questões de privacidade | privacy@transcriwise.com |
| Encarregado de Proteção de Dados (DPO) | Nicholas Jacob |
| E-mail do DPO | dpo@transcriwise.com |
| Telefone do DPO | Canal telefônico dedicado não divulgado nesta versão; utilize dpo@transcriwise.com ou privacy@transcriwise.com. |
| Website | https://transcriwise.io |
O Controlador é responsável pelas decisões referentes ao tratamento de dados pessoais descritos nesta Política.
2. Definições
Para fins desta Política de Privacidade, adotam-se as seguintes definições, em conformidade com o Art. 5º da LGPD e o Art. 4 do GDPR:
| Termo | Definição |
|---|---|
| Dado Pessoal | Informação relacionada a pessoa natural identificada ou identificável (Art. 5º, I da LGPD; Art. 4(1) do GDPR). |
| Dado Pessoal Sensível | Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural (Art. 5º, II da LGPD; Art. 9 do GDPR). |
| Titular | Pessoa natural a quem se referem os dados pessoais. |
| Controlador | Pessoa natural ou jurídica a quem competem as decisões referentes ao tratamento de dados pessoais. Nesta Política, o Controlador é a Transcriwise. |
| Operador | Pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do Controlador (processadores terceiros). |
| Tratamento | Toda operação realizada com dados pessoais (coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração). |
| Consentimento | Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada. |
| ANPD | Autoridade Nacional de Proteção de Dados — órgão da administração pública responsável por fiscalizar o cumprimento da LGPD. |
| DSAR | Data Subject Access Request — solicitação de exercício de direitos pelo titular de dados. |
| Biometria de Voz | Características vocais únicas de uma pessoa que podem ser utilizadas para identificação, incluindo padrões de frequência, timbre e cadência de fala. |
| ASR | Automatic Speech Recognition — reconhecimento automático de fala; tecnologia que converte áudio em texto. |
| LLM | Large Language Model — modelo de linguagem de grande escala utilizado para processamento de linguagem natural. |
| Diarização | Processo de identificação e segmentação de diferentes falantes em um áudio. |
3. Dados Pessoais Coletados
A Transcriwise coleta e trata as seguintes categorias de dados pessoais:
3.1 Dados Fornecidos Diretamente pelo Titular
| Categoria | Dados Específicos | Obrigatório | Finalidade Principal |
|---|---|---|---|
| Dados de cadastro | Nome completo, endereço de e-mail, senha (armazenada como hash criptográfico) | Sim | Criação e gestão da conta |
| Dados de organização | Nome da organização, cargo/função | Não | Gestão de equipes e controle de acesso |
| Preferências de perfil | Idioma preferido, fuso horário, preferências de notificação | Não | Personalização da experiência |
| Dados de pagamento | Nome do titular do cartão, e-mail de cobrança, endereço de cobrança | Sim (planos pagos) | Processamento de pagamentos |
| Conteúdo de áudio/vídeo | Arquivos de áudio e vídeo enviados para transcrição | Sim (para uso do serviço) | Transcrição automática |
| Dados de integração | Credenciais OAuth para serviços terceiros (Dropbox, Google, Slack, etc.) | Não | Integrações habilitadas pelo usuário |
3.2 Dados Gerados Pelo Processamento
| Categoria | Dados Específicos | Finalidade Principal |
|---|---|---|
| Transcrições | Texto resultante da conversão de fala em texto, podendo conter nomes, informações profissionais, jurídicas, médicas ou financeiras | Serviço principal |
| Conteúdo derivado de IA | Resumos, traduções, action items, e-mails de follow-up, conteúdo de chat contextual, templates aplicados | Funcionalidades de IA |
| Dados de diarização | Identificação de falantes por padrões vocais (Speaker 1, Speaker 2, etc.) | Diferenciação de falantes na transcrição |
| Artefatos exportados | Documentos DOCX e PDF gerados a partir de transcrições | Exportação de conteúdo |
| Metadados de transcrição | Duração do áudio, idioma detectado, número de falantes, provider de ASR utilizado, timestamps de segmentos | Gestão e qualidade do serviço |
3.3 Dados Coletados Automaticamente
| Categoria | Dados Específicos | Finalidade Principal |
|---|---|---|
| Dados de acesso | Endereço IP, user agent do navegador, sistema operacional, tipo de dispositivo | Segurança e diagnóstico |
| Dados de sessão | Timestamps de login/logout, duração da sessão, páginas acessadas | Segurança e analytics |
| Dados de uso | Minutos transcritos, créditos consumidos, funcionalidades utilizadas, templates aplicados, integrações ativadas | Faturamento e melhoria do serviço |
| Logs de auditoria | Registros de ações (upload, download, compartilhamento, exclusão, reprocessamento) sem conteúdo sensível em claro | Segurança e conformidade |
| Dados de performance | Métricas de latência, taxa de erro, performance de providers | Monitoramento e otimização |
| Cookies e identificadores | Cookies de sessão, tokens JWT, identificadores de dispositivo | Autenticação e funcionalidade |
3.4 Dados Coletados via Integrações (Quando Habilitadas pelo Usuário)
| Integração | Dados Coletados | Ação do Usuário |
|---|---|---|
| Dropbox | Arquivos de áudio/vídeo selecionados pelo usuário | Importação voluntária |
| Google (Gmail, Calendar, Drive) | E-mails com anexos de áudio, eventos de calendário com links de gravação | Importação voluntária e automática (se configurado) |
| Slack | Nenhum dado coletado; dados são enviados para Slack (resumos, notificações) | Exportação configurada pelo usuário |
| Notion | Nenhum dado coletado; dados são enviados para Notion (transcrições, resumos) | Exportação configurada pelo usuário |
| Zoom | Gravações de reuniões selecionadas pelo usuário | Importação voluntária |
| Microsoft Teams | Áudio de reuniões capturado via bot (quando autorizado) | Ativação voluntária pelo usuário |
| TranscriBot (infraestrutura Recall.ai) | Áudio de reuniões em Google Meet, Zoom e Teams; metadados (título, participantes, data) | Ativação voluntária pelo usuário |
4. Bases Legais para Cada Tratamento
Em conformidade com o Art. 7 da LGPD e o Art. 6 do GDPR, cada atividade de tratamento possui uma base legal específica:
| Atividade de Tratamento | Base Legal (LGPD — Art. 7) | Base Legal (GDPR — Art. 6) | Justificativa |
|---|---|---|---|
| Criação e gestão de conta | Art. 7º, V — Execução de contrato | Art. 6(1)(b) — Execução de contrato | Necessário para prestação do serviço contratado |
| Transcrição de áudio | Art. 7º, V — Execução de contrato | Art. 6(1)(b) — Execução de contrato | Serviço principal contratado pelo titular |
| Processamento por IA | Art. 7º, V — Execução de contrato | Art. 6(1)(b) — Execução de contrato | Funcionalidades contratadas pelo titular |
| Armazenamento de transcrições | Art. 7º, V — Execução de contrato | Art. 6(1)(b) — Execução de contrato | Necessário para disponibilizar o resultado ao titular |
| Faturamento e cobrança | Art. 7º, V / Art. 7º, II | Art. 6(1)(b) / Art. 6(1)(c) | Cumprimento do contrato e obrigações fiscais |
| Processamento de pagamento (Stripe) | Art. 7º, V — Execução de contrato | Art. 6(1)(b) — Execução de contrato | Necessário para cobrança do serviço |
| Notificações de serviço | Art. 7º, V — Execução de contrato | Art. 6(1)(b) — Execução de contrato | Comunicações transacionais essenciais |
| Integrações com terceiros | Art. 7º, I — Consentimento | Art. 6(1)(a) — Consentimento | Habilitação voluntária pelo titular, revogável |
| TranscriBot | Art. 7º, I — Consentimento | Art. 6(1)(a) — Consentimento | Ativação voluntária pelo titular |
| Monitoramento de erros (Sentry) | Art. 7º, IX — Legítimo interesse | Art. 6(1)(f) — Legítimo interesse | Garantir estabilidade e segurança do serviço |
| Tracing de LLM (LangSmith) | Art. 7º, IX — Legítimo interesse | Art. 6(1)(f) — Legítimo interesse | Otimização da qualidade do processamento de IA |
| Logs de auditoria | Art. 7º, IX / Art. 7º, II | Art. 6(1)(f) / Art. 6(1)(c) | Segurança, conformidade e exercício regular de direito |
| Analytics de uso (agregado) | Art. 7º, IX — Legítimo interesse | Art. 6(1)(f) — Legítimo interesse | Melhoria contínua com dados anonimizados/agregados |
| Prevenção de fraude | Art. 7º, IX — Legítimo interesse | Art. 6(1)(f) — Legítimo interesse | Proteção do titular e do Controlador |
| Obrigações legais e regulatórias | Art. 7º, II — Obrigação legal | Art. 6(1)(c) — Obrigação legal | Atendimento a requisições de autoridades |
| Comunicações de marketing | Art. 7º, I — Consentimento | Art. 6(1)(a) — Consentimento | Envio apenas mediante consentimento prévio, revogável |
5. Dados Pessoais Sensíveis e Biometria de Voz
5.1 Natureza dos Dados de Áudio
A Transcriwise reconhece que os arquivos de áudio e as transcrições resultantes podem conter dados pessoais sensíveis conforme definido no Art. 5º, II da LGPD e no Art. 9 do GDPR, dependendo do conteúdo gravado. Isso inclui, sem limitação:
- Dados de saúde — consultas médicas, prontuários ditados, sessões de terapia.
- Dados jurídicos — audiências judiciais, consultas com advogados, depoimentos.
- Convicções religiosas ou opiniões políticas — quando expressos verbalmente.
- Dados financeiros — reuniões sobre fusões e aquisições, negociações contratuais.
- Dados de investigações — compliance, due diligence, investigações internas.
5.2 Biometria de Voz
A voz humana constitui dado biométrico quando utilizada para fins de identificação de uma pessoa natural. No contexto da Transcriwise:
- Diarização de falantes: A Transcriwise utiliza tecnologias de diarização (Pyannote, SpeechBrain) para diferenciar falantes em um áudio (ex.: "Speaker 1", "Speaker 2"). Este processo analisa padrões vocais para segmentação, mas não realiza identificação biométrica — ou seja, não associa a voz a uma identidade civil específica.
- Retenção de padrões vocais: Os embeddings de voz gerados durante a diarização são temporários e descartados após o processamento. Não são armazenados de forma persistente nem utilizados para criar perfis biométricos.
- Base legal: Quando o tratamento de dados biométricos de voz for necessário, a base legal será o consentimento específico e destacado do titular (Art. 11, I da LGPD; Art. 9(2)(a) do GDPR) ou outra base prevista na legislação aplicável.
5.3 Responsabilidade do Usuário
O usuário que envia áudio para transcrição é responsável por:
- Garantir que possui base legal para o tratamento do conteúdo do áudio.
- Informar os participantes do áudio sobre a gravação e o processamento.
- Obter consentimentos necessários, especialmente quando o conteúdo incluir dados sensíveis.
- Selecionar o perfil de segurança adequado (Confidential ou Restricted) quando o conteúdo exigir controles reforçados.
6. Finalidades do Tratamento
A Transcriwise trata dados pessoais para as seguintes finalidades específicas:
6.1 Finalidades Principais (Prestação do Serviço)
- Transcrição automática de áudio e vídeo — conversão de fala em texto utilizando provedores de ASR (RunPod/Whisper, AssemblyAI, ElevenLabs Scribe, Soniox).
- Processamento por inteligência artificial — geração de resumos, traduções, action items, e-mails de follow-up, chat contextual, repurpose de conteúdo e aplicação de templates, utilizando LLMs (Google Gemini, OpenAI GPT, DeepL).
- Armazenamento e gestão de transcrições — persistência de áudios, transcrições e artefatos derivados em infraestrutura segura (AWS S3, PostgreSQL).
- Exportação de conteúdo — geração de documentos DOCX e PDF com transcrições formatadas.
- Gestão de conta e perfil — criação, manutenção e exclusão de contas de usuários.
- Faturamento e cobrança — processamento de assinaturas, créditos e pagamentos via Stripe.
6.2 Finalidades Secundárias (Habilitadas pelo Usuário)
- Integrações com serviços terceiros — importação de áudio (Dropbox, Google Drive, Gmail, Zoom) e exportação de transcrições (Slack, Notion, Trello, Salesforce, HubSpot, Microsoft OneDrive, Zapier).
- Gravação de reuniões — captura de áudio de reuniões via TranscriBot em Google Meet, Zoom e Microsoft Teams.
- Sincronização de calendário — importação automática de gravações a partir de eventos do Google Calendar.
6.3 Finalidades Operacionais
- Segurança e prevenção de fraude — monitoramento de acessos, detecção de anomalias, proteção contra uso indevido.
- Monitoramento e diagnóstico — detecção e correção de erros em produção (Sentry), otimização de performance.
- Melhoria contínua — análise de métricas de uso agregadas e anonimizadas para aprimoramento do serviço.
- Cumprimento legal — atendimento a obrigações legais, regulatórias e requisições de autoridades competentes.
- Exercício regular de direitos — defesa em processos judiciais, administrativos ou arbitrais.
6.4 Finalidades Não Realizadas
A Transcriwise NÃO utiliza dados pessoais para:
- Venda ou comercialização de dados pessoais a terceiros.
- Publicidade direcionada com base no conteúdo de transcrições.
- Treinamento de modelos de IA com dados de clientes (salvo opt-in expresso e documentado).
- Criação de perfis biométricos permanentes.
- Vigilância ou monitoramento de titulares.
7. Compartilhamento com Terceiros e Processadores
A Transcriwise compartilha dados pessoais com os seguintes processadores terceiros, exclusivamente para as finalidades descritas e com salvaguardas contratuais (DPAs) em vigor:
7.1 Infraestrutura
| Processador | País | Finalidade | Dados Compartilhados |
|---|---|---|---|
| Amazon Web Services (AWS) | EUA (us-east-1) | Infraestrutura primária: armazenamento (S3), banco de dados (RDS PostgreSQL), computação (EC2/ECS), gestão de chaves (KMS) | Totalidade dos dados (áudio, vídeo, transcrições, dados de conta, metadados, artefatos, backups) |
7.2 Provedores de Transcrição (ASR)
| Processador | País | Finalidade | Dados Compartilhados |
|---|---|---|---|
| RunPod | EUA | Transcrição ASR primária via Whisper GPU serverless | Áudio (via URL presigned S3 com TTL de 5-15 minutos) |
| AssemblyAI | EUA | Transcrição ASR alternativa e benchmark | Áudio (streaming ou URL) |
| ElevenLabs | UE / EUA | Transcrição real-time via Scribe v2 | Áudio (streaming) |
| Soniox | EUA | Transcrição real-time e tradução ao vivo | Áudio (streaming) |
7.3 Provedores de Inteligência Artificial (LLM)
| Processador | País | Finalidade | Dados Compartilhados |
|---|---|---|---|
| Google (Vertex AI / Gemini) | EUA | Provider LLM primário: sumarização, tradução, extração de action items, chat contextual | Texto de transcrições e prompts (não áudio) |
| OpenAI | EUA | Provider LLM secundário (fallback) | Texto de transcrições e prompts (não áudio). Parâmetro store=false por padrão. |
| Anthropic | EUA | Provider LLM alternativo (quando habilitado) | Texto de transcrições e prompts |
| DeepL | Alemanha / UE | Tradução especializada de transcrições | Texto de transcrições para tradução |
7.4 Reuniões
| Processador | País | Finalidade | Dados Compartilhados |
|---|---|---|---|
| Recall.ai | EUA | Bot de reuniões para captura de áudio em Google Meet, Zoom e Teams | Áudio de reuniões, metadados (título, participantes, data) |
7.5 Pagamento
| Processador | País | Finalidade | Dados Compartilhados |
|---|---|---|---|
| Stripe | EUA | Processamento de pagamentos, gestão de assinaturas e créditos | Nome, e-mail, dados de pagamento (cartão tokenizado, nunca armazenado pela Transcriwise). PCI DSS Level 1. |
7.6 Monitoramento e Observabilidade
| Processador | País | Finalidade | Dados Compartilhados |
|---|---|---|---|
| Sentry | EUA | Monitoramento de erros e performance | Stack traces, metadados de erro (sem conteúdo de transcrição), IP, user agent, user ID. Scrubbing de PII configurado. |
| LangSmith (LangChain) | EUA | Tracing de chamadas LLM (opcional, desabilitado por padrão) | Prompts e respostas de LLM quando habilitado (pode conter PII). Desabilitado em produção por padrão. |
7.7 Integrações (Habilitadas pelo Usuário)
| Processador | País | Finalidade | Dados Compartilhados |
|---|---|---|---|
| Dropbox | EUA | Importação de arquivos de áudio/vídeo | Tokens OAuth. Dados acessados apenas sob ação do usuário. |
| Google (Gmail, Calendar, Drive) | EUA | Importação de gravações, sincronização de calendário, exportação | Tokens OAuth, e-mails com anexos de áudio, eventos de calendário |
| Slack | EUA | Envio de transcrições e notificações | Texto de transcrições/resumos enviados pelo usuário |
| Notion | EUA | Criação de páginas com transcrições | Texto de transcrições/resumos enviados pelo usuário |
| Trello (Atlassian) | EUA | Criação de cards com transcrições | Texto de transcrições/resumos |
| Microsoft (Teams, OneDrive) | EUA / Global | Bot de reuniões Teams, exportação para OneDrive | Áudio de reuniões, documentos exportados |
| Zoom | EUA | Importação de gravações de reuniões | Gravações selecionadas pelo usuário |
| Salesforce | EUA | Exportação de transcrições para CRM | Texto de transcrições/resumos |
| HubSpot | EUA | Exportação de transcrições para CRM | Texto de transcrições/resumos |
| Zapier | EUA | Automação via webhooks e OAuth | Payloads de eventos (resumo, metadados, opcionalmente conteúdo) |
7.8 Garantias de Compartilhamento
- Todos os processadores terceiros estão vinculados por DPAs (Acordos de Processamento de Dados) com obrigações equivalentes às descritas nesta Política.
- A lista completa e atualizada de subprocessadores é mantida em documento separado e pode ser solicitada a qualquer momento via privacy@transcriwise.com.
- O controle
allow_training_opt_in(desabilitado por padrão) determina se provedores de IA podem utilizar dados para treinamento de modelos. - Integrações são habilitadas exclusivamente pelo usuário e podem ser revogadas a qualquer momento nas configurações da conta.
8. Transferência Internacional de Dados
8.1 Localização dos Dados
A infraestrutura primária da Transcriwise está hospedada nos Estados Unidos da América (AWS us-east-1), com possibilidade de configuração de região por tenant para clientes Enterprise.
8.2 Mecanismos de Proteção (LGPD — Arts. 33-36)
A Transcriwise adota os seguintes mecanismos para garantir a adequação das transferências internacionais:
- Cláusulas contratuais específicas — celebradas com cada processador terceiro por meio de DPAs.
- Verificação de adequação — monitoramento contínuo das avaliações de adequação emitidas pela ANPD.
- Certificações de segurança — verificação de que processadores possuem certificações reconhecidas (SOC 2, ISO 27001, PCI DSS).
8.3 Mecanismos de Proteção (GDPR — Capítulo V)
Para transferências envolvendo titulares no Espaço Econômico Europeu:
- Cláusulas Contratuais Padrão (SCCs) — aprovadas pela Comissão Europeia (Decisão de Execução (UE) 2021/914).
- Decisões de adequação — quando disponíveis para o país de destino.
- Avaliação de Impacto de Transferência (TIA) — conduzida para avaliar o nível de proteção no país de destino.
8.4 Controles Adicionais
- allow_training_opt_in=false (padrão) — impede que provedores de IA armazenem ou utilizem dados para treinamento.
- URLs presigned com TTL curto — para transmissão de áudio a provedores de ASR, minimizando a janela de exposição.
- Criptografia em trânsito — TLS 1.2+ obrigatório em todas as transmissões.
- Possibilidade de residência de dados — para clientes Enterprise, configuração de região AWS específica (ex.: UE, Brasil).
- Perfil Restricted — permite restringir processadores a uma lista explicitamente aprovada por tenant.
9. Retenção de Dados
9.1 Política de Retenção
| Tipo de Dado | Período de Retenção Padrão | Configurável | Observações |
|---|---|---|---|
| Arquivos de áudio e vídeo | 60 dias por padrão após o processamento | Sim (`security_policy.retention_policy.audio_retention_days` ou `TRANSCRIWISE_AUDIO_RETENTION_DAYS`) | Eliminação automática via tarefa periódica (Celery beat) |
| Transcrições e conteúdo derivado | 365 dias por padrão | Sim (`security_policy.retention_policy.transcript_retention_days` ou `TRANSCRIWISE_TRANSCRIPT_RETENTION_DAYS`) | Inclui resumos, traduções, action items e demais artefatos de IA; a retenção efetiva não pode ser inferior à retenção de áudio resolvida pelo backend |
| Artefatos exportados (DOCX, PDF) | Vinculado à retenção da transcrição | Automático | Removidos junto com o job de transcrição |
| Dados de conta | Duração da conta + 30 dias | Não | Eliminados após encerramento da conta e período de recuperação |
| Registros de uso | 2 anos (730 dias), anonimizados após | Sim (`TRANSCRIWISE_USAGE_ANONYMIZATION_DAYS`) | Dados de faturamento podem ser retidos por mais tempo por obrigação fiscal |
| Logs de auditoria | Superfície configurável por tenant | Sim (`audit_log_retention_days`) | O backend expõe a configuração, mas retenção/purga automática adicional deve ser validada separadamente |
| Links compartilhados | Vinculado à transcrição | Automático | Removidos junto com o job de transcrição |
| Tokens de integração | Duração da integração ativa | Não | Revogados quando a integração é desabilitada |
| Dados de pagamento (Stripe) | Conforme política Stripe e obrigações fiscais | Não | Dados de cartão tokenizados, nunca armazenados pela Transcriwise |
| Backups | 90 dias (rotação automática) | Não | Eliminação no próximo ciclo de rotação |
| Dados de monitoramento (Sentry) | 90 dias | Não | Conforme política de retenção do Sentry |
9.2 Eliminação Automática
A Transcriwise executa políticas de retenção automatizadas por meio de tarefas periódicas (Celery beat). Cada execução é registrada em log de auditoria.
9.3 Eliminação sob Demanda
O titular pode solicitar a eliminação de seus dados a qualquer momento, conforme descrito na Seção 10. A eliminação sob demanda é processada em até 15 dias úteis.
9.4 Exceções à Eliminação
Dados pessoais poderão ser retidos além dos períodos padrão quando necessário para:
- Cumprimento de obrigação legal ou regulatória (ex.: obrigações fiscais).
- Exercício regular de direitos em processo judicial, administrativo ou arbitral.
- Proteção da vida ou da incolumidade física do titular ou de terceiro.
10. Direitos do Titular
Em conformidade com os Arts. 17-22 da LGPD e os Arts. 15-22 do GDPR, o titular de dados pessoais tem os seguintes direitos:
10.1 Confirmação de Tratamento
O titular tem o direito de obter a confirmação de que seus dados pessoais são ou foram tratados pela Transcriwise (Art. 18, I da LGPD; Art. 15 do GDPR).
10.2 Acesso aos Dados
O titular tem o direito de acessar seus dados pessoais tratados pela Transcriwise, incluindo informações sobre a origem dos dados, categorias, finalidades, compartilhamento com terceiros e período de retenção (Art. 18, II da LGPD; Art. 15 do GDPR).
10.3 Correção de Dados
O titular tem o direito de solicitar a correção de dados pessoais incompletos, inexatos ou desatualizados (Art. 18, III da LGPD; Art. 16 do GDPR).
10.4 Anonimização, Bloqueio ou Eliminação
O titular tem o direito de solicitar a anonimização, bloqueio ou eliminação de dados pessoais desnecessários, excessivos ou tratados em desconformidade com a legislação (Art. 18, IV da LGPD; Art. 17 do GDPR).
10.5 Portabilidade
O titular tem o direito de solicitar a portabilidade de seus dados pessoais a outro fornecedor de serviço, em formato estruturado, de uso corrente e leitura automatizada (Art. 18, V da LGPD; Art. 20 do GDPR). A Transcriwise oferece exportação em formato JSON, CSV, DOCX e PDF.
10.6 Eliminação
O titular tem o direito de solicitar a eliminação dos dados pessoais tratados com base no consentimento, exceto nas hipóteses de retenção previstas na Seção 9.4 (Art. 18, VI da LGPD; Art. 17 do GDPR).
10.7 Informação sobre Compartilhamento
O titular tem o direito de obter informações sobre as entidades públicas e privadas com as quais a Transcriwise compartilhou seus dados pessoais (Art. 18, VII da LGPD).
10.8 Informação sobre Não Consentimento
O titular tem o direito de ser informado sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa (Art. 18, VIII da LGPD).
10.9 Revogação do Consentimento
O titular tem o direito de revogar o consentimento a qualquer momento, mediante manifestação expressa, por procedimento gratuito e facilitado (Art. 18, IX da LGPD; Art. 7(3) do GDPR). A revogação não afeta a legalidade do tratamento realizado anteriormente.
10.10 Oposição
O titular tem o direito de se opor a tratamento realizado com base em outras hipóteses de autorização, em caso de descumprimento da legislação (Art. 18, §2º da LGPD; Art. 21 do GDPR).
10.11 Revisão de Decisões Automatizadas
O titular tem o direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses (Art. 20 da LGPD; Art. 22 do GDPR). Veja a Seção 15 para detalhes sobre decisões automatizadas.
10.12 Reclamação à Autoridade
O titular tem o direito de apresentar reclamação perante a Autoridade Nacional de Proteção de Dados (ANPD) ou perante uma autoridade de supervisão no EEE (Art. 18, §1º da LGPD; Art. 77 do GDPR).
11. Como Exercer Seus Direitos
11.1 Canais de Contato
| Canal | Endereço | Prazo de Resposta |
|---|---|---|
| E-mail do DPO | dpo@transcriwise.com | 15 dias úteis |
| E-mail de privacidade | privacy@transcriwise.com | 15 dias úteis |
| API autenticada de consentimentos | GET /api/consent e GET /api/consent/check | 15 dias úteis |
| Exportação de dados | POST /api/consent/export | Disponível em até 48 horas |
| Solicitação de eliminação | POST /api/consent/deletion-request | Desativação imediata; eliminação após período de carência de 30 dias |
11.2 Identificação do Titular
Para proteção dos dados pessoais, a Transcriwise poderá solicitar a verificação da identidade do titular antes de processar a solicitação. A verificação será proporcional e não exigirá informações além do necessário.
11.3 Prazos
- Confirmação de tratamento: Resposta imediata, em formato simplificado, ou em até 15 dias úteis para declaração completa.
- Demais solicitações: Até 15 dias úteis, contados do recebimento da solicitação (Art. 19 da LGPD). Sob o GDPR, até 1 mês, prorrogável por mais 2 meses em caso de complexidade (Art. 12(3) do GDPR).
- Eliminação técnica completa: Até 30 dias para dados de produção; até 90 dias para backups.
11.4 Gratuidade
O exercício dos direitos é gratuito, exceto em caso de solicitações manifestamente infundadas ou excessivas, caso em que a Transcriwise poderá cobrar taxa administrativa razoável ou recusar a solicitação, fundamentando a decisão.
11.5 API de Privacidade
A Transcriwise atualmente disponibiliza os seguintes endpoints autenticados de API para exercício programático de direitos e gestão de consentimentos:
POST /api/consent/export— Exportação de dados pessoais do titular (DSAR).POST /api/consent/deletion-request— Solicitação de eliminação de dados pessoais (DSAR).GET /api/consenteGET /api/consent/check— Histórico e status de consentimentos obrigatórios.
12. Segurança dos Dados
12.1 Medidas Técnicas
Criptografia:
- Em trânsito: TLS 1.2+ obrigatório em todas as conexões (HTTPS para APIs, SSL para banco de dados PostgreSQL, TLS para Redis).
- Em repouso: Criptografia AES-256 via AWS S3 SSE-KMS para arquivos, RDS encryption para banco de dados, backups criptografados.
- Envelope encryption: Criptografia por documento/tenant para campos sensíveis em perfis Confidential e Restricted.
- KMS segregada: Chaves KMS dedicadas por tenant para perfis Restricted.
Autenticação e Controle de Acesso:
- Autenticação via JWT (JSON Web Tokens) com tokens de curta duração.
- Autenticação multifator (MFA/TOTP) disponível para todos os usuários e obrigatória para acessos administrativos.
- Controle de acesso baseado em papéis (RBAC) com isolamento por organização/tenant.
- IP allowlist por tenant (perfis Business e Enterprise).
- SSO/SAML para perfis Enterprise.
- Princípio do menor privilégio em acessos internos.
Senhas:
- Armazenadas exclusivamente como hash criptográfico (nunca em texto claro).
- Política de complexidade mínima.
Infraestrutura:
- Object storage com namespace por tenant.
- URLs presigned com TTL curto para transmissão de áudio a provedores externos.
- Webhooks protegidos por HMAC e token de autenticação.
- VPC (Virtual Private Cloud) para isolamento de rede.
- Backups criptografados com rotação automática.
12.2 Medidas Organizacionais
- Acordos de confidencialidade com todos os colaboradores e prestadores de serviço.
- Treinamento periódico em proteção de dados e segurança da informação.
- Política de classificação de dados com quatro níveis (Público, Interno, Confidencial, Restrito).
- Plano de resposta a incidentes documentado e testado.
- Avaliações periódicas de segurança e vulnerabilidades.
- Gestão de acesso privilegiado com revisão periódica.
12.3 Trilha de Auditoria
Todas as operações relevantes são registradas em log de auditoria, incluindo:
- Upload, download, compartilhamento e exclusão de arquivos e transcrições.
- Exportação de documentos.
- Reprocessamento de transcrições.
- Mudança de templates e configurações.
- Envio de dados a subprocessadores externos.
- Execução de políticas de retenção.
Os logs de auditoria não contêm conteúdo sensível em claro (ex.: texto de transcrições).
12.4 Monitoramento Contínuo
- Monitoramento de erros e performance via Sentry (com scrubbing de dados sensíveis).
- Alertas automatizados para anomalias de segurança.
- Revisão periódica de logs de acesso.
13. Cookies e Tecnologias de Rastreamento
13.1 Cookies Utilizados
| Categoria | Finalidade | Duração | Consentimento |
|---|---|---|---|
| Cookies essenciais | Autenticação (JWT), sessão, preferências de idioma, CSRF protection | Sessão ou curta duração | Não requerido (necessários para funcionamento) |
| Cookies de funcionalidade | Preferências de interface, configurações de player de áudio, modo escuro | Persistentes (até 1 ano) | Não requerido (necessários para experiência) |
| Cookies analíticos | Métricas de uso agregadas (quando habilitados) | Até 2 anos | Consentimento prévio |
| Cookies de terceiros | Stripe (processamento de pagamento) | Conforme política do terceiro | Necessários para pagamento |
13.2 Controle de Cookies
O titular pode controlar cookies por meio de:
- Banner de consentimento exibido na primeira visita (para cookies analíticos).
- Configurações do navegador para bloquear ou excluir cookies.
- Configurações da plataforma para preferências de funcionalidade.
13.3 Outras Tecnologias
- Local Storage: Utilizado para armazenamento de preferências de interface (dados que permanecem no dispositivo do titular).
- Tokens JWT: Utilizados para autenticação de sessão (armazenados em cookie httpOnly ou local storage, conforme configuração).
14. Dados de Crianças e Adolescentes
14.1 Política Geral
A Transcriwise não se destina a crianças ou adolescentes menores de 18 (dezoito) anos e não coleta intencionalmente dados pessoais desse público.
14.2 LGPD (Art. 14)
O tratamento de dados pessoais de crianças e adolescentes, nos termos do Art. 14 da LGPD, deve ser realizado em seu melhor interesse e com consentimento específico e em destaque dado por pelo menos um dos pais ou pelo responsável legal.
14.3 Conteúdo de Áudio
Reconhecemos que arquivos de áudio enviados por usuários podem conter vozes de menores de idade (ex.: gravações de aulas). O usuário que envia o áudio é responsável por:
- Garantir que possui autorização legal para o tratamento.
- Obter consentimento dos pais ou responsáveis legais, quando aplicável.
- Informar a Transcriwise caso o conteúdo inclua dados de menores, para aplicação de controles adicionais.
14.4 Exclusão
Se a Transcriwise tomar conhecimento de que coletou dados pessoais de menores de 18 anos sem o consentimento adequado, adotará medidas imediatas para eliminar tais dados.
15. Decisões Automatizadas e Profiling
15.1 Processamento Automatizado
A Transcriwise utiliza processamento automatizado nas seguintes situações:
| Processamento | Descrição | Impacto no Titular |
|---|---|---|
| Transcrição automática (ASR) | Conversão automatizada de fala em texto | Nenhuma decisão sobre o titular; apenas processamento técnico |
| Diarização de falantes | Identificação automática de diferentes falantes | Segmentação técnica sem identificação civil |
| Sumarização e extração de IA | Geração automática de resumos, action items e conteúdo derivado | Nenhuma decisão sobre o titular; processamento de conteúdo |
| Detecção de idioma | Identificação automática do idioma falado | Classificação técnica para seleção de modelo |
| Cálculo de créditos e faturamento | Cálculo automático de minutos transcritos e créditos consumidos | Impacto financeiro direto |
| Políticas de retenção automáticas | Eliminação automática de dados após período configurado | Eliminação de dados do titular |
| Monitoramento de anomalias | Detecção automática de padrões de uso incomuns para segurança | Possível restrição de acesso |
15.2 Ausência de Profiling
A Transcriwise não realiza profiling no sentido do Art. 22 do GDPR — ou seja, não utiliza tratamento automatizado de dados pessoais para avaliar aspectos pessoais do titular, como desempenho profissional, situação econômica, saúde, preferências pessoais, interesses, confiabilidade, comportamento, localização ou deslocamento.
15.3 Direito de Revisão
Nos termos do Art. 20 da LGPD, o titular tem o direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado que afetem seus interesses. Solicitações devem ser encaminhadas conforme a Seção 11.
16. Alterações nesta Política
16.1 Atualizações
A Transcriwise poderá atualizar esta Política de Privacidade periodicamente para refletir:
- Alterações nas práticas de tratamento de dados.
- Novas funcionalidades ou processadores terceiros.
- Mudanças na legislação aplicável.
- Orientações e regulamentações da ANPD ou de autoridades europeias.
16.2 Notificação
O titular será notificado sobre alterações materiais nesta Política por meio de:
- Aviso em destaque na plataforma.
- E-mail para o endereço cadastrado (para alterações substanciais).
- Atualização da data de "última atualização" no topo deste documento.
16.3 Consentimento Renovado
Quando alterações materiais impactarem o tratamento de dados sensíveis ou ampliarem significativamente as finalidades de tratamento, a Transcriwise solicitará novo consentimento do titular antes de aplicar as alterações.
16.4 Versões Anteriores
Versões anteriores desta Política serão mantidas em arquivo e disponibilizadas mediante solicitação.
17. Contato e Reclamações
17.1 Encarregado de Proteção de Dados (DPO)
| Informação | Detalhe |
|---|---|
| Nome | Nicholas Jacob |
| dpo@transcriwise.com | |
| Telefone | Canal telefônico dedicado não divulgado nesta versão; utilize dpo@transcriwise.com ou privacy@transcriwise.com. |
| Endereço | Endereço corporativo informado mediante solicitação verificada ou em instrumento contratual aplicável. |
O DPO é responsável por:
- Receber e responder reclamações e solicitações de titulares.
- Orientar funcionários e contratados sobre práticas de proteção de dados.
- Servir como canal de comunicação entre a Transcriwise, os titulares e a ANPD.
17.2 Autoridade Nacional de Proteção de Dados (ANPD)
Se o titular não estiver satisfeito com a resposta da Transcriwise ou acreditar que o tratamento de seus dados pessoais viola a LGPD, poderá apresentar reclamação à ANPD:
| Informação | Detalhe |
|---|---|
| Órgão | Autoridade Nacional de Proteção de Dados (ANPD) |
| Website | https://www.gov.br/anpd |
| Peticionamento eletrônico | Canal do cidadão titular de dados |
| ouvidoria@anpd.gov.br |
17.3 Autoridades Europeias (GDPR)
Para titulares no Espaço Econômico Europeu, reclamações podem ser apresentadas à autoridade de supervisão do Estado-Membro de residência, local de trabalho ou do local da alegada infração (Art. 77 do GDPR). A lista de autoridades está disponível em: edpb.europa.eu
17.4 Procedimento Interno de Reclamação
- Recebimento: A reclamação é recebida pelo DPO e registrada internamente.
- Análise: O DPO analisa a reclamação em até 5 dias úteis.
- Resposta inicial: O titular recebe confirmação de recebimento em até 2 dias úteis.
- Resolução: Resposta completa em até 15 dias úteis.
- Recurso: Em caso de insatisfação, o titular pode recorrer à ANPD ou à autoridade de supervisão competente.
18. Data de Vigência
Esta Política de Privacidade entra em vigor em 14 de março de 2026 e substitui todas as versões anteriores.
Transcriwise Tecnologia Ltda.
Última atualização: 14 de março de 2026
Histórico de Alterações
| Versão | Data | Alteração | Responsável |
|---|---|---|---|
| 1.0 | 2026-03-14 | Versão inicial expandida — política completa conforme LGPD e GDPR | Transcriwise |
Ao utilizar a Transcriwise, você confirma que leu e compreendeu esta Política de Privacidade. Consulte também nossos Termos de Uso.