Política de Privacidade — Chiqo Studio
Última atualização: 15/07/2026
Esta Política de Privacidade descreve como JSA DESENVOLVIMENTO DE SOFTWARES LTDA (nome fantasia "Tangerine AI"), inscrita no CNPJ nº 48.909.515/0001-35, com sede em Rua Rio de Janeiro, nº 243, Sala 802, Centro, Belo Horizonte/MG, CEP 30.160-040 ("Chiqo", "nós"), coleta, utiliza, compartilha e protege dados pessoais no âmbito da plataforma Chiqo Studio ("Serviço"), disponível em chiqo.com.br.
Este documento observa a Lei Geral de Proteção de Dados Pessoais — LGPD (Lei nº 13.709/2018), o Marco Civil da Internet (Lei nº 12.965/2014) e o Código de Defesa do Consumidor (Lei nº 8.078/1990). Ele integra e complementa os Termos de Uso.
1. Quem é o controlador dos dados
1.1. Para os dados tratados na operação do Serviço (conta, assinatura, cobrança, uso da plataforma), o controlador é JSA DESENVOLVIMENTO DE SOFTWARES LTDA (CNPJ 48.909.515/0001-35).
1.2. Modelo multi-tenant. Quando um Usuário (Dono de Workspace) insere no Serviço dados pessoais de terceiros (por exemplo, ao produzir peças que envolvam clientes ou colaboradores), esse Usuário atua como controlador desses dados e o Chiqo atua como operador, tratando-os apenas conforme as instruções do Usuário e a legislação. Nesses casos, um acordo de tratamento de dados (DPA) pode ser disponibilizado mediante solicitação ao nosso canal de contato.
2. Quais dados coletamos e como
Coletamos as seguintes categorias de dados:
2.1. Dados de cadastro e conta
- Nome, e-mail e senha (esta armazenada de forma protegida/criptografada), fornecidos por você via autenticação (Better Auth).
- Dados do Workspace: nome do negócio, papéis/permissões dos membros, convites por e-mail.
2.2. Dados de sessão e autenticação
- Registros de acesso, tokens/cookies de sessão e informações necessárias para manter você autenticado com segurança.
2.3. Conteúdo enviado por você (Conteúdo do Usuário)
- Fotos de produtos, logotipos, brand kit / identidade de marca, handles de redes sociais;
- Textos, pedidos e prompts (briefs) que você escreve;
- Artes geradas a partir desse conteúdo.
Esse conteúdo pode conter dados pessoais (por exemplo, se você enviar imagens com pessoas). Você é responsável por ter base legal adequada para inseri-los.
2.4. Metadados de uso
- Dados técnicos e operacionais das gerações: custo, latência, modelos de IA utilizados, saldo e consumo de Créditos, logs de erro e de segurança.
2.5. Dados de cobrança (via Asaas)
- Dados necessários à cobrança recorrente, processados pela Asaas. O Chiqo não armazena o número completo do cartão; guardamos apenas bandeira, últimos 4 dígitos e identificadores da Asaas (cliente/assinatura/pagamento).
2.6. Registros de acesso à aplicação (Marco Civil)
- Registros de conexão e de acesso a aplicações, quando aplicável, nos termos do Marco Civil da Internet.
Formas de coleta: diretamente de você (cadastro, uso do Serviço, envio de conteúdo), automaticamente (logs, cookies/sessão) e de terceiros operadores (por exemplo, status de pagamento informado pela Asaas).
3. Para que usamos os dados e com quais bases legais
Tratamos dados pessoais para as finalidades abaixo, apoiados nas hipóteses do art. 7º da LGPD:
| Finalidade | Base legal (art. 7º, LGPD) |
|---|---|
| Criar e gerenciar sua conta e Workspace; autenticar acessos | Execução de contrato (inc. V) |
| Fornecer o Serviço, processar seu conteúdo e gerar as Artes (inclusive enviando-o a Sub-processadores de IA) | Execução de contrato (inc. V) |
| Processar assinaturas, créditos e cobranças (via Asaas) | Execução de contrato (inc. V) e cumprimento de obrigação legal (inc. II — fiscal/contábil) |
| Prestar suporte e comunicar avisos operacionais | Execução de contrato (inc. V) |
| Segurança, prevenção a fraude e abuso, integridade da plataforma | Legítimo interesse (inc. IX) |
| Melhorar e monitorar o Serviço com métricas de uso agregadas | Legítimo interesse (inc. IX) |
| Guarda de registros de acesso | Cumprimento de obrigação legal (inc. II — Marco Civil) |
| Comunicações de marketing do Chiqo (quando houver) | Consentimento (inc. I), com opção de descadastro |
| Exercício de direitos em processo | Inc. VI |
Treinamento de modelos de IA: Não utilizamos o Conteúdo do Usuário para treinar modelos de IA (próprios ou de terceiros). Caso essa prática mude, esta Política será atualizada, a base legal apropriada será indicada e você será informado.
4. Compartilhamento com operadores e sub-processadores
Para operar o Serviço, compartilhamos dados com operadores/sub-processadores, que os tratam em nome do Chiqo e conforme nossas instruções. A lista pode mudar e é mantida atualizada:
4.1. Provedores de modelos de IA (geração das Artes)
Recebem o Conteúdo do Usuário (prompts e imagens) para gerar as Artes:
- OpenRouter — intermediário de IA por onde passa todo o processamento (texto e imagens), configurado para rotear apenas a provedores que não utilizam o conteúdo enviado para treinar seus modelos.
- Modelos acionados por meio do OpenRouter: Google (Gemini / "Nano Banana Pro") e ByteDance (Seedream).
Utilizamos o OpenRouter como intermediário de IA, configurado para rotear apenas a provedores que não utilizam o conteúdo submetido para treinar seus modelos; adicionalmente, os modelos do Google Gemini que empregamos operam sob termos de API paga que vedam o uso de prompts e respostas para treinamento/melhoria de modelos. Ainda assim, cada provedor possui termos próprios, aos quais o tratamento fica igualmente sujeito.
4.2. Pagamentos
- Asaas — processamento de assinaturas e cobranças.
4.3. E-mail transacional
- Brevo — envio de e-mails transacionais (verificação de conta e recuperação de senha).
4.4. Infraestrutura / hospedagem
- Contabo (servidor VPS), orquestrado via Coolify — hospedagem e execução da aplicação.
4.5. Outras hipóteses de compartilhamento
- Autoridades e no cumprimento de obrigação legal, regulatória ou ordem judicial;
- Reorganização societária (fusão, aquisição), preservando esta Política;
- Com seu consentimento, quando aplicável.
Não vendemos dados pessoais.
5. Transferência internacional de dados
5.1. Vários Sub-processadores (por exemplo, provedores de IA e determinada infraestrutura) estão fora do Brasil. Assim, ao usar o Serviço, seus dados e seu conteúdo podem ser transferidos e processados no exterior.
5.2. Realizamos transferências internacionais em conformidade com o Capítulo V da LGPD (arts. 33 a 36) e com a regulamentação da ANPD, incluindo a Resolução CD/ANPD nº 19/2024 (Cláusulas-Padrão Contratuais), buscando mecanismo adequado de garantia — por exemplo, cláusulas-padrão contratuais, países com nível de proteção adequado, ou outras salvaguardas previstas em lei.
6. Por quanto tempo guardamos os dados (retenção)
6.1. Mantemos os dados pessoais pelo tempo necessário às finalidades desta Política e enquanto durar a relação contratual.
6.2. Após o término, poderemos reter dados para: cumprir obrigações legais (por exemplo, prazos fiscais/contábeis e a guarda de registros de acesso prevista no Marco Civil), exercer direitos em processo, e por prazos técnicos de backup. Prazos concretos por categoria: registros de acesso/logs — 6 (seis) meses (art. 15 do Marco Civil da Internet); dados de cadastro e de cobrança — até 5 (cinco) anos após o término da relação, para fins fiscais e de defesa em eventual processo; backups — expurgados nos ciclos técnicos de rotação.
6.3. Encerrados os prazos e as bases legais, os dados são eliminados ou anonimizados.
7. Seus direitos como titular (art. 18 da LGPD)
Você pode, a qualquer momento e mediante requisição, exercer os direitos previstos no art. 18 da LGPD:
- Confirmação da existência de tratamento;
- Acesso aos dados;
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a lei;
- Portabilidade a outro fornecedor, observados segredos comercial e industrial;
- Eliminação dos dados tratados com base no consentimento;
- Informação sobre entidades públicas e privadas com as quais compartilhamos dados;
- Informação sobre a possibilidade de não fornecer consentimento e suas consequências;
- Revogação do consentimento;
- Oposição a tratamento realizado com base em hipótese que dispense o consentimento, em caso de descumprimento da lei.
Autoatendimento na plataforma. Em Minha conta, você pode exercer diretamente dois desses direitos, sem precisar aguardar nosso prazo de resposta:
- Acesso/portabilidade: o botão "Baixar meus dados" gera, na hora, um arquivo legível e portável (JSON) com os dados pessoais que mantemos sobre você — cadastro e conta, sessões, Conteúdo do Usuário, metadados de uso/créditos e dados de cobrança (sem senha e sem o número completo do cartão).
- Eliminação: a "Zona de perigo" permite excluir sua conta e seus dados pessoais de forma permanente. A exclusão apaga seu perfil, seus workspaces (quando você é o único membro) e o conteúdo associado. Antes de excluir, é necessário encerrar assinaturas ativas e remover os demais membros do workspace. Retenção mínima obrigatória: conforme a Seção 6, poderemos reter, de forma desvinculada da sua identidade, o mínimo de registros de cobrança exigido por obrigação fiscal (até 5 anos) e os registros de acesso exigidos pelo Marco Civil (6 meses).
Demais direitos e contato humano: entre em contato pelo canal do Encarregado (Seção 11). Poderemos solicitar informações para confirmar sua identidade. Responderemos no prazo de 15 (quinze) dias, conforme a LGPD e a regulamentação da ANPD.
8. Segurança da informação
8.1. Adotamos medidas técnicas e administrativas razoáveis para proteger os dados, como controle de acesso por papéis (multi-tenant), criptografia de senhas e de dados em trânsito, segregação de credenciais, registros de auditoria e minimização de dados sensíveis (por exemplo, não armazenamos o cartão completo).
8.2. Nenhum sistema é 100% seguro. Em caso de incidente, agimos conforme a Seção 10.
9. Cookies e sessão
9.1. Utilizamos cookies e tecnologias de sessão essenciais para autenticar você, manter a sessão e garantir a segurança do Serviço.
9.2. Atualmente não utilizamos cookies de marketing/publicidade nem de analytics não essenciais. Caso venhamos a adotá-los, solicitaremos seu consentimento e ofereceremos controles, conforme a legislação aplicável.
10. Incidentes de segurança
10.1. Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos a ANPD e os titulares afetados em prazo compatível com a LGPD e a regulamentação aplicável (Resolução CD/ANPD nº 15/2024), adotando medidas para mitigar efeitos.
11. Encarregado (DPO) e contato
11.1. Nosso Encarregado pelo Tratamento de Dados Pessoais (DPO) é Jizreel Soares de Alencar.
11.2. Canais de contato:
- Encarregado/DPO: suporte@chiqo.com.br
- Atendimento geral: suporte@chiqo.com.br
- Controlador: JSA DESENVOLVIMENTO DE SOFTWARES LTDA — CNPJ 48.909.515/0001-35 — Rua Rio de Janeiro, nº 243, Sala 802, Centro, Belo Horizonte/MG, CEP 30.160-040
11.3. Você também pode peticionar à Autoridade Nacional de Proteção de Dados (ANPD): https://www.gov.br/anpd
12. Dados de crianças e adolescentes
12.1. O Serviço é destinado a maiores de 18 anos e não se dirige a menores. Não coletamos intencionalmente dados de crianças e adolescentes.
12.2. Se identificarmos coleta indevida de dados de menores, adotaremos medidas para eliminá-los. Caso você acredite que isso ocorreu, contate o Encarregado (Seção 11).
13. Alterações desta Política
13.1. Podemos atualizar esta Política para refletir mudanças legais, técnicas ou do Serviço (por exemplo, inclusão/alteração de Sub-processadores).
13.2. Alterações relevantes serão comunicadas por meios razoáveis (e-mail e/ou aviso na Plataforma). A data de "Última atualização" indicará a versão vigente.