Política de Privacidade
Esta política descreve como a Prazo Flow trata dados pessoais no âmbito do serviço PrazoFlow AI, em conformidade com a LGPD (Lei 13.709/2018, Brasil) e com o GDPR (Regulamento UE 2016/679).
Quem somos e como nos contatar
A controladora dos dados pessoais tratados pelo PrazoFlow AI é a Prazo Flow, inscrita no AFM (Arithmós Forologikoú Mitróou) sob o número 188069677, com sede na Proteos 75, Palaio Faliro, 175 61, Atenas, Grécia.
O Encarregado de Proteção de Dados (DPO/DPD) pode ser contatado por e-mail em dpo@prazoflow.com.br. Solicitações de exercício de direitos, dúvidas sobre este tratamento e comunicações de incidentes devem ser endereçadas a esse canal.
Quais dados tratamos
Tratamos três categorias de dados pessoais:
- Dados de cadastro do usuário: nome, e-mail, foto de perfil (do Google OAuth), número da OAB, telefone (opcional, para alertas via WhatsApp), papel no workspace.
- Credenciais técnicas: token de acesso à API da AASP fornecido pela advogada usuária, armazenado em forma criptografada (AES-256-GCM).
- Conteúdo das publicações jurídicas: textos integrais de intimações e publicações da AASP, que podem incluir nomes de partes processuais, advogados adversos, números de OAB, varas e dados constantes do andamento processual.
Não tratamos dados pessoais sensíveis (art. 5º, II da LGPD) de forma deliberada. Se um texto de publicação contiver categoria sensível por força do conteúdo processual (p.ex. matéria criminal, de saúde ou laboral), o tratamento se dá com base no exercício regular de direitos em processo judicial (art. 11, II, "d", LGPD).
Para que tratamos esses dados
- Autenticar a usuária e manter sua sessão na plataforma.
- Sincronizar publicações da AASP automaticamente em nome da advogada (D-0 e D-1, em dias úteis).
- Enriquecer publicações com inteligência artificial para classificar prazos e prioridades.
- Calcular prazos processuais conforme o CPC (art. 224) e calendário de feriados.
- Disparar alertas operacionais (WhatsApp e e-mail) quando há prazo iminente (D-0).
- Processar pagamentos de assinatura por meio do Stripe.
- Atender solicitações de suporte e cumprir obrigações legais e regulatórias.
Bases legais
- Execução de contrato (art. 7º, V, LGPD; art. 6º(1)(b) GDPR) — para prestar o serviço contratado, manter conta e processar cobrança.
- Legítimo interesse (art. 7º, IX, LGPD; art. 6º(1)(f) GDPR) — para tratar publicações que contenham dados de terceiros (partes processuais), na medida estritamente necessária ao exercício da advocacia pelas usuárias do escritório, que é a finalidade pela qual a publicação foi originada na AASP.
- Cumprimento de obrigação legal (art. 7º, II, LGPD; art. 6º(1)(c) GDPR) — quando demandado por autoridade competente ou por dever fiscal/contábil.
- Consentimento (art. 7º, I, LGPD; art. 6º(1)(a) GDPR) — para envio de alertas via WhatsApp, sempre revogável a qualquer momento. A prova de consentimento (data, hora e IP da ativação) é armazenada junto ao perfil da usuária e pode ser consultada a qualquer momento via exportação de dados (seção 9).
Com quem compartilhamos
O PrazoFlow AI utiliza operadores (subprocessadores) para prestar partes do serviço. Todos foram contratualmente vinculados a obrigações de confidencialidade e segurança da informação:
- Vercel Inc. (EUA) — hospedagem da aplicação e cron jobs.
- Upstash / Vercel KV (EUA/Irlanda) — armazenamento das publicações em Redis.
- Anthropic PBC (EUA) — modelo Claude Haiku 4.5 para enriquecimento por IA. Os textos enviados não são utilizados para treinamento de modelos pela Anthropic conforme a política de zero-data-retention para clientes API.
- Resend Inc. (EUA) — envio de e-mails transacionais (convites, alertas).
- Stripe Payments Europe Ltd. (Irlanda) — processamento de pagamentos.
- Google LLC (EUA) — autenticação OAuth.
- Meta Platforms Ireland Ltd. (Irlanda) — entrega de mensagens via WhatsApp Cloud API. Mensagens são enviadas somente quando a usuária ativa o opt-in explícito (ver seção 4).
- Associação dos Advogados de São Paulo (AASP) (Brasil) — fonte original das publicações jurídicas. O acesso é feito mediante token pessoal da advogada, fornecido por ela própria à plataforma.
Não vendemos dados pessoais. Não compartilhamos com terceiros para fins de marketing próprio ou de terceiros.
Transferência internacional de dados
Como a controladora está sediada na Grécia (UE) e parte dos operadores está nos Estados Unidos, há transferência internacional de dados. As bases para essa transferência são, conforme o caso:
- execução de contrato com o titular (art. 33, II, LGPD; art. 49(1)(b) GDPR);
- cláusulas contratuais padrão (Standard Contractual Clauses) celebradas com cada subprocessador, conforme arts. 33, II e 35 da LGPD e arts. 46-47 do GDPR;
- decisões de adequação aplicáveis (p.ex. EU-US Data Privacy Framework, quando o subprocessador for certificado).
Por quanto tempo guardamos
- Conta e dados de cadastro: enquanto vigente o contrato; até 5 anos após o término para cumprimento de obrigações fiscais e exercício regular de direitos.
- Token AASP: enquanto a usuária mantiver o cadastro ativo; é removido imediatamente após solicitação de descadastramento ou troca de token.
- Publicações com status "concluído": 30 dias após a marcação, a partir do qual são removidas automaticamente.
- Publicações ativas: enquanto a advogada mantiver o controle operacional sobre o prazo.
- Backups: até 90 dias, em rotação automática.
- Logs de aplicação e auditoria: 12 meses.
Como protegemos
- Tokens AASP armazenados com criptografia simétrica AES-256-GCM em repouso.
- Comunicação 100% sob TLS 1.2+ em trânsito.
- Autenticação via OAuth 2.0 Google ou credenciais administrativas restritas.
- Sessões via JWT assinado, com expiração e rotação de chave de assinatura.
- Acesso administrativo aos dados restrito ao DPO e à equipe de engenharia operando sob NDA.
- Monitoramento de erros e detecção de anomalias em produção.
Seus direitos
Como titular de dados pessoais, você pode exercer, a qualquer momento e sem custo (art. 18 LGPD; arts. 15-22 GDPR):
- confirmação da existência de tratamento;
- acesso aos dados;
- correção de dados incompletos, inexatos ou desatualizados;
- anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade;
- portabilidade a outro fornecedor;
- eliminação de dados tratados com base em consentimento;
- informação sobre as entidades públicas e privadas com as quais compartilhamos dados;
- revogação do consentimento;
- oposição a tratamento realizado com fundamento em legítimo interesse;
- direito de não se sujeitar a decisões automatizadas que afetem seus interesses.
Pedidos devem ser encaminhados para dpo@prazoflow.com.br. Respondemos em até 15 dias corridos, prazo que poderá ser estendido em caso de complexidade ou volume, conforme orientação da ANPD.
- Exportar meus dados — download de um arquivo JSON com todos os dados pessoais e operacionais da conta, incluindo workspace, publicações, histórico de atividades e transações de créditos (endpoint
GET /api/conta/export). - Excluir minha conta — exclusão definitiva da conta. Se você for titular de um escritório com outros membros ativos, é necessário antes transferir a titularidade ou remover/pausar os demais membros (endpoint
DELETE /api/conta).
Decisões automatizadas e uso de IA
O sistema utiliza o modelo Claude Haiku 4.5 (Anthropic) para gerar resumos, classificar tipos de movimentação e atribuir prioridade às publicações. Essas saídas são sugestões editoriais e não substituem o juízo profissional da advogada. A decisão final sobre o tratamento de cada prazo é sempre humana.
Os textos enviados ao modelo são processados em modo de zero-data-retention, ou seja, não são armazenados nos sistemas da Anthropic além do tempo estritamente necessário ao processamento da requisição, conforme política comercial vigente da Anthropic para uso de API.
Menores de idade
O PrazoFlow AI é uma ferramenta profissional destinada exclusivamente a advogados(as) regularmente inscritos(as) na OAB, presumivelmente maiores de 18 anos. Não direcionamos o serviço a crianças ou adolescentes nem coletamos dados deles deliberadamente.
Alterações nesta política
Esta política pode ser atualizada para refletir mudanças no serviço, na legislação aplicável ou nos procedimentos internos. Comunicaremos alterações materiais por e-mail e/ou aviso destacado no painel, com antecedência de 15 dias.
Como reclamar
Se você não estiver satisfeito com nossa resposta a uma solicitação relacionada a dados pessoais, pode apresentar reclamação à autoridade competente:
- Brasil: Autoridade Nacional de Proteção de Dados (ANPD) — gov.br/anpd.
- Grécia / União Europeia: Hellenic Data Protection Authority (HDPA) — dpa.gr.