AVISO DE PRIVACIDADE — PLATAFORMA IAPRENDO
Versão 2.1 – 29 de março de 2026
1. Introdução
A DUOGEN DESENVOLVIMENTO DE PROGRAMAS LTDA ("DUOGEN"), CNPJ 65.802.010/0001-96, com sede na Rua Padre Chagas, 66, Sala 708, Porto Alegre/RS, é a controladora dos dados pessoais tratados na plataforma IAprendo.
Este Aviso de Privacidade descreve como coletamos, utilizamos, armazenamos, compartilhamos e protegemos dados pessoais, com atenção especial ao tratamento de dados de crianças e adolescentes. Deve ser lido em conjunto com os Termos e Condições de Uso.
2. Conceitos Importantes
Dados Pessoais: informações que identificam ou possam identificar uma pessoa natural.
Dados Pessoais Sensíveis: dados sobre origem racial, convicção religiosa, saúde, biometria, etc. (art. 5º, II, LGPD).
Controlador: DUOGEN, que toma as decisões sobre o tratamento.
Operador: terceiros que tratam dados sob instruções do Controlador.
LGPD: Lei Geral de Proteção de Dados (Lei nº 13.709/2018).
ECA Digital: Lei nº 15.211/2025 (proteção de crianças e adolescentes em ambientes digitais).
ANPD: Agência Nacional de Proteção de Dados.
3. Encarregado de Proteção de Dados (DPO)
Em cumprimento ao art. 41 da LGPD, a DUOGEN designou um Encarregado de Proteção de Dados, disponível para comunicações, reclamações e solicitações:
E-mail: dpo@iaprendo.com.br
4. Dados de Crianças e Adolescentes
A IAprendo é direcionada a crianças e adolescentes. Adotamos padrões de proteção reforçados conforme art. 14 da LGPD e o ECA Digital (Lei nº 15.211/2025).
4.1. Princípio do Melhor Interesse
Todo tratamento de dados de crianças e adolescentes prioriza a finalidade educacional e a segurança do menor.
4.2. Consentimento
- Crianças (menores de 12 anos): consentimento específico e em destaque de pelo menos um Responsável Legal (art. 14, §1º, LGPD).
- Adolescentes (12 a 17 anos): ciência e autorização de pelo menos um Responsável Legal.
4.3. Garantias Especiais
- Não utilizar dados de menores para perfilamento comercial ou publicidade;
- Não compartilhar dados de menores com terceiros para marketing;
- Adotar, por padrão (privacy by design e by default), as configurações mais protetivas;
- Fornecer informações em linguagem simples e acessível (art. 14, §6º, LGPD);
- Coletar apenas dados estritamente necessários (minimização);
- Não condicionar o uso ao fornecimento de dados além dos necessários (art. 14, §4º, LGPD).
5. Dados Pessoais Coletados
5.1. Dados fornecidos pelo Usuário
| Categoria | Dados | Finalidade |
|---|---|---|
| Cadastro | Nome do aluno, e-mail, senha (hash), série escolar, tipo de conta | Criar conta; personalizar conteúdo por série |
| Responsável Legal | Nome, e-mail, relação com o aluno | Consentimento parental; notificações |
| Uso educacional | Disciplinas, conteúdos, desempenho, interações com IA, tempo de estudo | Personalizar conteúdo; acompanhar progresso; gamificação |
| Observadores | Nome, e-mail, relação com o aluno | Enviar notificações e permitir acompanhamento |
| Pagamento (B2C) | Nome, e-mail, dados de cobrança (via Stripe) | Processar assinaturas e créditos |
| Localização geral | Cidade, estado, escola (informados pelo Usuário) | Contextualizar conteúdo; analytics agregados |
5.2. Dados coletados automaticamente
- Endereço IP, tipo de dispositivo, sistema operacional, navegador;
- Registros de acesso (logs) com data e hora;
- Dados de sessão de estudo (duração, funcionalidades utilizadas);
- Cookies essenciais e de funcionalidade (veja Seção 7).
5.3. Dados que NÃO coletamos
- Dados biométricos, dados de saúde ou geolocalização precisa;
- Dados de redes sociais (exceto login social via Google, se utilizado);
- Dados de cartão de crédito completos (tratados exclusivamente pela Stripe).
6. Finalidades e Bases Legais
| Finalidade | Base Legal (LGPD) | Observação |
|---|---|---|
| Criar e gerenciar contas | Execução de contrato (art. 7º, V) | Para menores: acrescido de consentimento parental |
| Conteúdo educacional personalizado | Execução de contrato + Consentimento (menores) | Personalização exclusivamente pedagógica |
| Processar pagamentos | Execução de contrato | Dados financeiros tratados pela Stripe |
| Comunicações de serviço | Execução de contrato | Notificações essenciais |
| Análises internas e melhoria | Legítimo interesse (art. 7º, IX) | Dados agregados/anonimizados quando possível |
| Obrigações legais | Obrigação legal (art. 7º, II) | Marco Civil, LGPD, ECA Digital |
| Gamificação | Execução de contrato | Motivação pedagógica |
| Notificações a Observadores | Consentimento do Aluno/Responsável | Dados de progresso apenas |
8. Compartilhamento de Dados
| Parceiro | Finalidade | Dados compartilhados | Localização |
|---|---|---|---|
| OpenAI | Geração de conteúdo por IA | Tópico, disciplina, série, nível (sem PII) | EUA |
| Stripe, Inc. | Pagamentos | Nome, e-mail, dados de cobrança | EUA |
| Supabase (AWS) | Infraestrutura e banco de dados | Todos os dados da plataforma | EUA (us-east-1) |
| Resend | E-mails transacionais | E-mail do destinatário | EUA |
| Sentry | Monitoramento de erros e estabilidade | Logs de erro anonimizados, informações de dispositivo | EUA |
Todos os terceiros são contratualmente obrigados a preservar a segurança e confidencialidade dos dados.
8.1. Detalhamento sobre IA e Dados Pessoais
Ao gerar conteúdos educacionais, a IAprendo envia ao provedor de IA (OpenAI) apenas: o tópico/assunto educacional, a disciplina, a série/ano e parâmetros pedagógicos (nível de dificuldade, tipo de conteúdo). Não são enviados nome, e-mail, identificadores diretos ou quaisquer dados pessoais do Aluno.
Textos digitados pelo Aluno (como redações e perguntas no "Me Pergunte") são enviados ao provedor de IA para processamento sem associação a identificadores pessoais. Esses textos não são retidos pelo provedor de IA para treinamento de modelos, conforme os termos de uso da API utilizada.
8.2. Observadores
Quando o Aluno ou Responsável Legal cadastra um Observador, são compartilhados com este apenas dados de progresso educacional (nome do aluno, série, disciplinas, frequência e desempenho). O acesso pode ser revogado a qualquer momento.
9. Transferência Internacional de Dados
Dados pessoais podem ser transferidos para servidores nos Estados Unidos (conforme Seção 8). Essas transferências são realizadas com salvaguardas compatíveis com a LGPD (arts. 33-36), incluindo: cláusulas contratuais padrão, compromisso dos operadores com políticas de segurança compatíveis, e medidas técnicas de criptografia e controle de acesso.
Informações adicionais podem ser solicitadas ao Encarregado (dpo@iaprendo.com.br).
10. Segurança e Incidentes
10.1. Medidas de Segurança
- Criptografia em trânsito (HTTPS/TLS) e em repouso;
- Autenticação segura com hash de senhas;
- Controle de acesso baseado em papéis (RBAC);
- Row-Level Security (RLS) no banco de dados;
- Logs de auditoria para ações administrativas;
- Mascaramento de dados pessoais (PII) nas interfaces administrativas;
- Verificação contra senhas comprometidas;
- Backups automáticos diários com retenção de 30 dias.
10.2. Incidentes de Segurança
Em caso de incidente com risco ou dano relevante, a DUOGEN comunicará a ANPD (art. 48, LGPD) e os titulares afetados. Para dados de menores, a comunicação será direcionada também aos Responsáveis Legais.
11. Direitos do Titular
Conforme art. 18 da LGPD, o Usuário (ou Responsável Legal, para menores) pode:
- Confirmação e acesso: obter confirmação e acesso aos dados tratados;
- Correção: solicitar atualização de dados incompletos ou inexatos;
- Anonimização/bloqueio/eliminação: solicitar anonimização, bloqueio ou eliminação de dados desnecessários;
- Portabilidade: solicitar transferência dos dados a outro fornecedor;
- Revogação: revogar o consentimento a qualquer momento;
- Informação: obter informações sobre compartilhamento;
- Eliminação: solicitar exclusão dos dados tratados com base no consentimento.
Canal: dpo@iaprendo.com.br. Prazo de resposta: até 15 dias úteis. O Usuário pode também apresentar reclamação à ANPD (www.gov.br/anpd).
12. Prazo de Armazenamento
- Dados de conta e uso educacional: enquanto a conta estiver ativa e por até 3 (três) anos após o encerramento, para fins de melhoria contínua do serviço educacional e estudos internos (dados anonimizados ou agregados, quando possível).
- Registros de acesso (logs): 6 meses após o encerramento (Marco Civil da Internet, Lei nº 12.965/2014).
- Dados de pagamento: pelo prazo exigido pela legislação fiscal (até 5 anos).
- Dados para cumprimento legal: pelo prazo necessário ao cumprimento de cada obrigação específica.
- Identificador anonimizado: hash do e-mail retido por até 3 anos para prevenção de abuso do plano gratuito, sem constituir dado pessoal identificável.
Após os prazos, os dados são eliminados ou anonimizados de forma irreversível. O Responsável Legal pode solicitar eliminação antecipada dos dados tratados com base no consentimento.
13. Avaliação de Impacto à Proteção de Dados
A DUOGEN realiza avaliações periódicas de impacto à proteção de dados pessoais (Relatório de Impacto / DPIA), especialmente no que se refere ao tratamento de dados de crianças e adolescentes, conforme art. 38 da LGPD e as diretrizes do ECA Digital. Os resultados dessas avaliações orientam as medidas técnicas e organizacionais adotadas pela plataforma.
14. Atualizações
Este Aviso poderá ser atualizado. Em mudanças relevantes, os Usuários serão notificados na plataforma e/ou por e-mail. Para alterações que afetem dados de menores, buscará novo consentimento quando necessário.
15. Legislação Aplicável
- Lei nº 13.709/2018 – LGPD;
- Lei nº 15.211/2025 – ECA Digital;
- Decreto nº 12.880/2026;
- Lei nº 8.069/1990 – ECA;
- Lei nº 12.965/2014 – Marco Civil da Internet;
- Lei nº 8.078/1990 – CDC.
Foro: Comarca de Porto Alegre/RS.
16. Contato
Controlador: DUOGEN DESENVOLVIMENTO DE PROGRAMAS LTDA – CNPJ: 65.802.010/0001-96
Endereço: Rua Padre Chagas, 66, Sala 708, Porto Alegre/RS, CEP 90.570-080
E-mail geral: contato@iaprendo.com.br
Encarregado (DPO): dpo@iaprendo.com.br
Website: www.iaprendo.com.br