Política de Privacidade

Waitlist do Peppe — versão 1.0. Cobre apenas a sua entrada na lista de espera e a navegação na landing page. O uso ativo do produto Peppe (chat e WhatsApp) será regido por política separada, publicada quando o produto abrir.

1. Quem somos

A THIAGO BARCELOS DESIGN LTDA, inscrita no CNPJ sob o nº 43.915.219/0001-23, com sede na Rua Domingos de Morais, nº 1.280, apartamento 84, Vila Mariana, CEP 04010-200, São Paulo - SP (referida nesta política como “Peppe”, “nós”) é a controladora dos dados pessoais coletados nesta landing page.

Encarregado pelo Tratamento de Dados (DPO): Thiago Barcelos.
Contato pra direitos LGPD: privacidade@peppeai.com.

Operamos esta landing pra construir uma lista de espera (waitlist) de pessoas interessadas em conhecer o Peppe — assistente pessoal que cruza compromissos pessoais e finanças.

2. O que esta política cobre

Esta política cobre somente o waitlist e a navegação na landing page:

  • O formulário de entrada na lista de espera.
  • A medição de uso da página (cookies e ferramentas de análise).
  • Os subprocessadores técnicos que viabilizam a operação da landing.

Não cobre o uso do produto Peppe. Quando você acessar o chat em peppeai.com ou conversar com o Peppe pelo WhatsApp, uma política separada se aplica — ela será publicada e te apresentada antes de você poder usar o produto.

3. O que coletamos

3.1. Dados que você nos fornece

  • E-mail (obrigatório) — pra te avisar quando o Peppe abrir.
  • WhatsApp (opcional) — caso prefira receber o aviso por WhatsApp.
  • Sinal qualitativo (opcional) — qual cena da página fez sentido pra você. Alimenta nossa pesquisa anônima.

3.2. Dados coletados automaticamente

  • Origem do tráfego — referrer e parâmetros UTM da URL (quando presentes).
  • Identificadores técnicos — endereço IP, navegador, sistema operacional, idioma. O IP é usado apenas pra rate-limit anti-spam e descartado em até 7 dias.
  • Cookie funcional heroVariant (30 dias) — guarda qual variante visual da página você viu, pra manter a experiência consistente entre visitas. Não é usado pra medição.
  • Eventos de medição — somente após você aceitar o banner de cookies. Detalhes em §7.

3.3. O que não coletamos

  • Não pedimos CPF, RG, documento de identidade nem dados financeiros (cartão, conta).
  • Não captamos geolocalização contínua, lista de contatos do dispositivo nem áudio ambiente.
  • Não usamos dados sensíveis (origem racial, religião, opinião política, saúde, vida sexual, biometria) pra qualquer finalidade.
  • Não vendemos seus dados. Não compartilhamos com terceiros pra fins comerciais ou publicitários.

4. Por que coletamos e qual a base legal

FinalidadeBase legal LGPD
Avisar você quando o Peppe abrir (waitlist)Consentimento — Art. 7º, I (você marca o checkbox antes de enviar)
Pesquisa qualitativa anônima sobre a landingConsentimento — Art. 7º, I
Medir o uso da landing pra melhorar a experiência (cookies de análise)Consentimento — Art. 7º, I (via banner de cookies)
Garantir segurança, prevenir fraude e abuso (rate-limit, logs anonimizados)Legítimo interesse — Art. 7º, IX

Não usamos seus dados pra publicidade comportamental, marketing de terceiros nem treinamento de modelos de IA.

5. Como protegemos

  • Dados em repouso e em trânsito criptografados.
  • Banco com Row-Level Security (RLS) ativo. Apenas processos do backend autenticados acessam os dados do waitlist.
  • Acesso humano restrito ao mínimo necessário pra operação.
  • Logs estruturados sem PII — e-mail, WhatsApp e IP nunca aparecem em log de aplicação.

6. Com quem compartilhamos (subprocessadores)

Pra operar a landing, dependemos de prestadores técnicos. Cada um trata dados sob contrato próprio de processamento e atua estritamente como operador — não usa os dados pra finalidade própria:

PrestadorO que fazOnde processa
VercelHospeda a landing pageEUA / global — ver §7
SupabaseBanco de dados do waitlistEUA — ver §7
Posthog Cloud EUAnálise de funil do waitlist (anônimo)União Europeia
Google Analytics 4Medição agregada de visitas (consentimento)EUA — ver §7
ContentsquareAnálise de comportamento na página (consentimento; campos sensíveis mascarados)União Europeia / global
UpstashRate-limit anti-spamGlobal

7. Transferência internacional de dados

Alguns dos prestadores listados em §6 processam dados fora do Brasil:

  • Estados Unidos — Vercel, Supabase e Google (Analytics 4). A base legal pra essa transferência é o Art. 33, V da LGPD (transferência necessária pra execução do contrato com o titular, a seu pedido), reforçada por cláusulas contratuais firmadas com cada prestador, conforme padrão da Resolução CD/ANPD nº 7/2024.
  • União Europeia — Posthog Cloud EU e Contentsquare. A União Europeia foi reconhecida pela ANPD como jurisdição com grau adequado de proteção (Resolução CD/ANPD nº 32/2026), o que dispensa instrumento contratual adicional além do contrato de processamento.

8. Cookies e ferramentas de medição

A landing usa cookies e ferramentas de medição somente após você aceitar o aviso que aparece na primeira visita:

  • Google Analytics 4 — agregado, sem te identificar pessoalmente. Carregado via Google Consent Mode v2 (default denied, vira granted apenas após aceite).
  • Contentsquare — análise de comportamento (clique, rolagem, mapa de calor). Campos sensíveis (e-mail, WhatsApp) são mascarados em session replay — o que você digita no formulário não é gravado. O script só carrega após o aceite.
  • Posthog Cloud EU — eventos do funil do waitlist.

Se você recusar (ou simplesmente não responder ao banner), nenhum cookie de medição é instalado — apenas o cookie funcional heroVariant (§3.2) e o registro anônimo de IP pra rate-limit (descartado em 7 dias). Pra revisar sua decisão, basta limpar os dados do site no navegador — o aviso volta a aparecer.

Base legal: Consentimento (Art. 7º, I).

9. Por quanto tempo guardamos

  • Dados do waitlist (e-mail, WhatsApp, sinal qualitativo) — até 12 meses após sua confirmação. Pedido de remoção: até 7 dias.
  • Endereço IP — até 7 dias.
  • Cookie funcional heroVariant — 30 dias no seu navegador.
  • Eventos de medição (Posthog, GA4, Contentsquare) — conforme política de retenção de cada prestador, descritas em suas próprias políticas. Pra Posthog Cloud EU e GA4 (com IP anonimizado), o padrão é até 14 meses.

Se o Peppe não lançar dentro de 12 meses, apagamos os dados do waitlist e te avisamos por e-mail.

10. Seus direitos (LGPD Art. 18)

Você tem direito a:

  • Confirmar que tratamos seus dados pessoais.
  • Acessá-los.
  • Corrigi-los se estiverem incorretos, incompletos ou desatualizados.
  • Anonimizá-los, bloqueá-los ou eliminá-los quando aplicável.
  • Pedir portabilidade (exportar seus dados em formato estruturado).
  • Saber com quem compartilhamos (resposta: ninguém, fora os subprocessadores listados em §6).
  • Revogar o consentimento a qualquer momento. A revogação não afeta o tratamento que foi legítimo enquanto vigorou.
  • Reclamar à Autoridade Nacional de Proteção de Dados (ANPD).

11. Como exercer seus direitos

Mande e-mail pra privacidade@peppeai.com com o assunto “LGPD” e descreva o que você quer. Atendemos em até 15 dias corridos.

Encarregado pelo Tratamento de Dados (DPO): Thiago Barcelos, contato pelo mesmo e-mail.

12. Mudanças nesta política

Quando algo mudar, atualizamos a data abaixo. Se a mudança for relevante pra você (ex.: nova finalidade, novo subprocessador, mudança de base legal), avisamos por e-mail antes de a mudança valer.

Versões anteriores ficam disponíveis sob solicitação.

13. Última atualização

5 de maio de 2026 — versão 1.0.

← Voltar