← Second Brain
Termos de UsoGGSA Labs
Legal

Política de Privacidade

Second Brain · App iOS & Android · Última atualização: junho de 2026

O compromisso central

Seu texto nunca é armazenado em nossos servidores. O conteúdo das suas anotações vive no seu dispositivo. Quando a IA precisa processar o que você escreveu, o texto trafega pelo servidor apenas o tempo necessário para gerar a resposta, e então é descartado.

1. Quem somos

O Second Brain é desenvolvido e distribuído pela GGSA Labs ("nós", "nosso"), responsável pelo tratamento dos dados pessoais descritos nesta Política, nos termos da Lei Geral de Proteção de Dados (LGPD, Lei nº 13.709/2018).

Contato do responsável pelo tratamento: contact@ggsalabs.software

2. Modelo de privacidade: local-first

O Second Brain adota um modelo local-first: seus dados vivem primariamente no seu dispositivo. A tabela abaixo resume onde cada tipo de dado fica e se ele trafega por nossos servidores:

DadoOnde ficaTrafega pelo servidor?
Texto das anotaçõesSQLite cifrado no dispositivoSomente de forma temporária, para embeddings e chat. Nunca persistido.
Vetores de embeddingSQLite cifrado no dispositivoGerado no servidor, retornado ao dispositivo. O texto original não é guardado.
Mensagens de chatOpcionalmente no dispositivo (configurável)Trafegam para processamento do LLM. Não persistidas no servidor.
E-mail e identificador de contaBanco de dados seguro na nuvem (Railway)Sim, para autenticação e gerenciamento de conta.
Telemetria de usoLogs do servidor (sem conteúdo)Apenas metadados: tipo de operação, contagem de tokens, duração. Sem texto.
Dados de assinaturaRevenueCat / Apple / GoogleProcessados pelas lojas. Não temos acesso a dados de pagamento.

3. Dados coletados e finalidades

3.1 Dados de conta

O que coletamos: endereço de e-mail e identificador único de usuário gerado internamente.

Para que: autenticação, gestão de sessão e comunicação sobre a conta (ex: recuperação de senha).

Base legal (LGPD): execução de contrato (art. 7º, V).

3.2 Conteúdo das anotações (processamento temporário)

O que processamos: o texto que você escreve ou fala no Aplicativo.

Para que: geração de embeddings semânticos (via Voyage AI) e respostas de chat (via Anthropic Claude). O texto é enviado ao nosso servidor, processado e imediatamente descartado. O vetor matemático resultante (embedding) é retornado e armazenado localmente no seu dispositivo.

Base legal (LGPD): execução de contrato (art. 7º, V) e legítimo interesse do Usuário em usar as funcionalidades de IA (art. 7º, IX).

Garantia: não utilizamos o conteúdo das suas anotações para treinar modelos de IA, publicidade ou qualquer finalidade além da prestação do serviço imediato.

3.3 Telemetria de uso

O que coletamos: metadados de operações de IA (tipo de operação, modelo utilizado, quantidade de tokens processados, duração). Nenhum texto ou conteúdo é incluído.

Para que: monitoramento de qualidade, desempenho, controle de custos e melhoria do serviço.

Base legal (LGPD): legítimo interesse na operação e melhoria do serviço (art. 7º, IX).

3.4 Dados de assinatura

O que recebemos: identificador de compra e status de assinatura, fornecidos pelas lojas (Apple App Store, Google Play) via RevenueCat.

Para que: liberação de funcionalidades premium. Não temos acesso a números de cartão ou dados bancários.

Base legal (LGPD): execução de contrato (art. 7º, V).

4. Provedores de serviço e transferência de dados

Para operar o Aplicativo, compartilhamos dados com os seguintes subprocessadores, cada um com suas próprias políticas de privacidade:

  • Voyage AI (embeddings): recebe temporariamente o texto para geração do vetor semântico. Não armazena o conteúdo após o processamento.
  • Anthropic (Claude — chat): recebe mensagens e contexto para geração de respostas. Processado com Zero Data Retention onde suportado.
  • Railway / Supabase (infraestrutura): hospedam os servidores de backend e banco de dados de contas, com criptografia em repouso.
  • RevenueCat (assinaturas): gerencia dados de compras nas lojas.
  • Apple / Google (distribuição): sujeitos às políticas de privacidade de cada plataforma.

Todos os dados trafegam por conexões HTTPS criptografadas (TLS). Não vendemos, alugamos ou compartilhamos dados com terceiros para fins de publicidade.

5. Segurança dos dados

Adotamos as seguintes medidas técnicas de segurança:

  • Criptografia local: o banco de dados SQLite no dispositivo é cifrado com SQLCipher (AES-256). A chave é gerada na primeira execução e armazenada no Keychain (iOS) ou Keystore (Android), nunca transmitida.
  • Autenticação: todas as requisições ao servidor são autenticadas por JWT (JSON Web Token) com validade limitada. O identificador do Usuário é sempre extraído do token, nunca de parâmetros da requisição.
  • Tráfego cifrado: todas as comunicações entre o Aplicativo e nossos servidores usam TLS.
  • Rate limiting: as rotas de IA têm limite de uso por usuário para prevenir abusos.

Em caso de incidente de segurança que possa afetar seus dados, notificaremos o Usuário e a Autoridade Nacional de Proteção de Dados (ANPD) nos prazos exigidos pela LGPD.

6. Retenção de dados

  • Conteúdo das anotações: armazenado exclusivamente no dispositivo. Não retemos cópias.
  • Dados de conta: mantidos enquanto a conta estiver ativa. Excluídos mediante solicitação ou encerramento da conta.
  • Telemetria: retida por até 90 dias para análise operacional, após o que é anonimizada ou descartada.
  • Logs de servidor: retidos por até 30 dias por razões de segurança e diagnóstico.

7. Seus direitos como titular de dados (LGPD)

Nos termos da LGPD, você tem os seguintes direitos em relação aos seus dados pessoais:

  • Acesso: solicitar confirmação de que seus dados são tratados e obter uma cópia deles;
  • Correção: solicitar a correção de dados incompletos ou incorretos;
  • Exclusão: solicitar a eliminação dos dados tratados com base em consentimento ou legítimo interesse;
  • Portabilidade: solicitar a portabilidade dos dados a outro fornecedor;
  • Oposição: opor-se ao tratamento realizado com base em legítimo interesse;
  • Revogação do consentimento: retirar consentimento a qualquer momento, quando o tratamento for baseado nele;
  • Informação: ser informado sobre os subprocessadores com quem seus dados são compartilhados.

Para exercer qualquer desses direitos, entre em contato pelo e-mail contact@ggsalabs.software. Responderemos em até 15 dias úteis.

8. Menores de idade

O Aplicativo não é destinado a crianças com menos de 13 anos. Não coletamos intencionalmente dados de menores de 13 anos. Se tomarmos conhecimento de que coletamos dados de uma criança abaixo dessa faixa sem consentimento dos responsáveis, excluiremos essas informações imediatamente.

9. Alterações nesta Política

Podemos atualizar esta Política periodicamente. Alterações substanciais serão comunicadas por notificação no Aplicativo ou por e-mail com antecedência mínima de 15 dias. O uso continuado do Aplicativo após a vigência das alterações implica aceitação da nova Política.

10. Autoridade de supervisão

Caso considere que seus direitos foram violados, você pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD): www.gov.br/anpd.

Contato

GGSA Labs
Controlador de dados — Second Brain
contact@ggsalabs.software