Voltar

Legal

Política de privacidade

Como o Protocolo 2444 trata dados pessoais, cookies e respostas do onboarding.

Política de Privacidade — Protocolo 2444

Última atualização: Julho de 2026

A Faccio, LLC, studio de criação de produtos digitais registrado em Delaware, Estados Unidos, detentora do Protocolo 2444 ("Empresa", "nós"), leva a sério a proteção dos seus dados pessoais. Esta Política de Privacidade explica, de forma clara e transparente, quais dados coletamos, por que coletamos, como usamos, com quem compartilhamos e quais são os seus direitos como titular dos dados, em conformidade com a Lei Geral de Proteção de Dados Pessoais — LGPD (Lei 13.709/2018) e o Marco Civil da Internet (Lei 12.965/2014).

Esta política aplica-se ao site, web app e demais serviços operados sob a marca Protocolo 2444.


  1. Responsável pelo Tratamento (Controlador)

Faccio, LLC 131 Continental Dr, Suite 305, Newark, DE 19713, Estados Unidos E-mail de contato: contato@protocol2444.com Site institucional: https://faccio.studio

Encarregado de Proteção de Dados (DPO): E-mail: dpo@protocol2444.com


  1. Dados que Coletamos

Coletamos apenas os dados estritamente necessários para entregar o Serviço, divulgar o Serviço e mensurar a eficácia da divulgação. Categorizamos abaixo:

2.0. Dados coletados ANTES do cadastro (onboarding e captura de e-mail)

Parte do Serviço acontece antes de você criar uma conta. Ao iniciar a montagem do seu protocolo (o "onboarding"), tratamos os seguintes dados, mesmo que você ainda não tenha se cadastrado ou pago:

  • Respostas do onboarding (pré-login): profissão, descrição do dia de trabalho, o que mais toma seu tempo, sua maior dificuldade com IA e o objetivo que você quer alcançar. Esses textos são livres e digitados por você.
  • Identificador de visita (lead_id): um identificador gerado pelo sistema, gravado como cookie primário, que liga as etapas do seu onboarding entre si.
  • E-mail (opcional, antes do cadastro): se você optar por receber o preview do seu protocolo por e-mail, coletamos seu endereço de e-mail nesse momento — antes e independentemente de qualquer cadastro ou pagamento.
  • Parâmetros de campanha e atribuição: origem do acesso (UTM), e identificadores de publicidade quando aplicável (por exemplo, parâmetros do Meta como fbp/fbc — ver §3.8), para medir de qual anúncio ou canal você veio.
  • IP e dados técnicos da requisição (ver §2.5), usados também para limitar abuso (rate limit) das chamadas pré-login.

Esses dados pré-login são tratados com a base legal descrita na §4 (execução de medidas preliminares ao contrato, a seu pedido, e legítimo interesse para divulgação e prevenção de abuso) e podem ser reconciliados com a sua conta caso você se cadastre depois usando o mesmo dispositivo ou o mesmo e-mail.

2.1. Dados de conta

  • Endereço de e-mail (obrigatório, fornecido por você no checkout ou na captura de e-mail do preview)
  • Data e hora de criação da conta
  • Identificador único gerado pelo sistema (UUID)

2.2. Dados de pagamento

  • Os pagamentos são processados pelo Stripe. Não armazenamos número completo do cartão de crédito, CVV ou senha bancária.
  • Recebemos do Stripe apenas: identificador da transação, status do pagamento, últimos 4 dígitos do cartão, bandeira e país emissor (para fins fiscais e antifraude).
  • No caso de Pix, recebemos apenas a confirmação de pagamento.

Esses dados de pagamento são recebidos e tratados pela Empresa nos Estados Unidos, por meio do Stripe (conta estabelecida nos EUA), em razão da estrutura societária da Faccio, LLC. A transferência internacional desses dados está descrita em detalhe na §5.1 desta Política.

2.3. Dados do onboarding (perfil profissional)

Coletamos, no fluxo de onboarding, os seguintes dados:

  • Dados básicos (Tela 0): nome (obrigatório), faixa etária (obrigatório), cidade/estado (obrigatório), telefone/WhatsApp (opcional).
  • 5 respostas abertas (Telas 1 a 5): questões sobre profissão, área de atuação, experiência prévia com IA, objetivos e desafios. As Telas 1 a 4 são obrigatórias; a Tela 5 é opcional. Cada resposta é limitada a 500 caracteres.

Esses dados são usados para personalizar os exemplos da sua trilha.

2.4. Dados de uso

  • Progresso na trilha (módulos iniciados e concluídos)
  • Toggle de profundidade selecionado ("mais simples" / "mais profundo")
  • Datas e horários de acesso
  • Cliques em "regerar exemplo" (para fins de rate limit)

2.5. Logs técnicos e eventos de uso

  • Endereço IP (prazo de retenção conforme §6 desta Política)
  • Navegador e sistema operacional (user agent)
  • Páginas visitadas, tempo de resposta, erros técnicos
  • Registros das chamadas à IA (observabilidade): modelo utilizado, número de tokens de entrada/saída, latência, custo, sucesso/erro e um registro do prompt (com dados pessoais redigidos) e da resposta gerada (possivelmente truncada). Esses registros são usados para controle de qualidade do conteúdo, controle de custo e diagnóstico de falhas; ficam acessíveis apenas à equipe interna, sob acesso administrativo com privilégio mínimo, e passam pelo filtro server-side de PII descrito nas §3.4 e §9 antes de serem armazenados
  • Eventos comportamentais capturados via PostHog (cliques em CTA, scroll, conclusão de etapas do funil, abertura de práticas). Ver §3.7 para detalhes sobre PostHog e gravação de sessão (Session Replay).

2.6. Cookies e tecnologias similares

Usamos as seguintes categorias de cookies e tecnologias similares:

  • Cookies funcionais (estritamente necessários):
    • sb-*-auth-token.0 e sb-*-auth-token.1 (Supabase Auth) — mantêm você autenticado.
    • protocol2444_cookie_consent — registra que você visualizou o aviso de cookies (30 dias).
    • lead_id — identificador primário de visita que liga as etapas do onboarding pré-login.
  • Cookies analíticos: PostHog — medem uso agregado e geram identificadores anônimos de sessão para o Session Replay (ver §3.7).
  • Cookies e tecnologias de marketing/publicidade (terceiros): utilizamos o Meta Pixel e a Conversions API (CAPI) da Meta (Facebook/Instagram) para medir a eficácia dos nossos anúncios e otimizar campanhas. Isso pode envolver cookies da Meta (por exemplo, _fbp) e o envio de eventos de conversão à Meta (ver §3.8). Outras plataformas de anúncios (por exemplo, Google) podem ser adicionadas e, nesse caso, esta política será atualizada.

Veja também a §8 para detalhes adicionais sobre cookies.


  1. Uso de IA e Dados Enviados à Anthropic

Esta seção descreve em detalhe o tratamento mais sensível desta política.

3.1. Tecnologia

O Protocolo 2444 utiliza os modelos Claude (Haiku e Sonnet), fornecidos pela Anthropic, PBC (empresa norte-americana sediada em San Francisco, CA, EUA), via API segura, para gerar e personalizar o conteúdo e os exemplos da sua trilha de aprendizado. Para montar a trilha de uma profissão, o sistema pode ainda realizar buscas na web (por meio da mesma API) a fim de reunir referências e recursos reais atualizados — sem enviar seus dados pessoais nessas buscas.

3.2. O que é enviado

São enviadas à API da Anthropic:

  • Suas respostas do onboarding, inclusive as coletadas antes do cadastro (Cláusulas 2.0 e 2.3 acima) — a personalização do preview do seu protocolo acontece já no fluxo pré-login;
  • Os prompts de sistema curados pela Empresa para guiar a geração;
  • Eventualmente, sua escolha de profundidade ("mais simples" / "mais profundo") quando você regenera um exemplo.

Antes do envio, aplicamos um filtro server-side que detecta e bloqueia padrões óbvios de dados pessoais (CPF, RG, telefone, registros profissionais como CRM/OAB) e pode redigir nomes próprios identificados em texto livre (ver §3.4 e §9).

3.3. O que não é enviado

  • Seu nome e dados básicos (faixa etária, cidade/estado, telefone) — permanecem apenas no nosso banco de dados, não trafegam para a IA;
  • Seu e-mail;
  • Dados de pagamento;
  • Identificadores únicos atrelados ao seu perfil de cobrança.

A comunicação com a Anthropic é feita com identificadores anônimos.

3.4. Aviso explícito sobre dados de terceiros

O Serviço exibe avisos visíveis durante o onboarding orientando você a não inserir dados de pacientes, clientes ou terceiros (nomes, prontuários, diagnósticos, contratos, dados sensíveis). Aplicamos também um filtro server-side que bloqueia padrões óbvios de dados pessoais brasileiros (CPF, telefone, RG, registros profissionais como CRM e OAB) e pode redigir nomes próprios identificados em texto livre antes de encaminhar a chamada à Anthropic — porém esse filtro é uma camada adicional de proteção, não dispensa sua atenção.

3.5. Transferência internacional de dados

A Anthropic processa os dados nos Estados Unidos. Essa transferência internacional é realizada com base no art. 33, II, da LGPD (transferência necessária para a execução do contrato). A Empresa adota cláusulas contratuais apropriadas com a Anthropic e exige tratamento conforme padrões internacionais de segurança.

3.6. Política da Anthropic

Para entender o tratamento que a Anthropic dá aos dados recebidos via API, consulte a política dela: https://www.anthropic.com/legal/privacy. Pela política comercial atual da Anthropic via API, dados enviados via API não são usados para treinar modelos.

3.7. Analytics e gravação de sessão (PostHog)

A Empresa utiliza o PostHog (operado pela PostHog Inc., sediada nos Estados Unidos) para entender o uso do produto, identificar pontos de fricção e prevenir abuso. O PostHog combina dois usos:

O que é coletado:

  • Eventos comportamentais (cliques em CTA, navegação entre telas, conclusão de etapas do funil, scroll, tempo em tela);
  • Identificadores anônimos de sessão (não atrelados a CPF, telefone ou dados sensíveis);
  • Gravação de sessão (Session Replay) das suas interações com o produto, incluindo movimentos de mouse e cliques.

O que NÃO é gravado:

  • Conteúdo digitado em campos sensíveis (senha, e-mail, dados de pagamento) — esses inputs são automaticamente mascarados pelo PostHog;
  • Suas respostas em texto do onboarding (campos com texto livre são mascarados);
  • Dados completos de cartão de crédito ou autenticação.

Base legal (LGPD): legítimo interesse (art. 7º, IX) — necessário para melhoria contínua do produto, identificação de falhas técnicas e prevenção de fraude e abuso. Você pode contestar esse tratamento entrando em contato com dpo@protocol2444.com.

Transferência internacional: o PostHog opera nos Estados Unidos (US Cloud). A transferência é realizada com base no art. 33, II, da LGPD (necessária para execução do contrato), sob garantias contratuais apropriadas.

Política do PostHog: https://posthog.com/privacy.

3.8. Publicidade e mensuração (Meta Pixel e Conversions API)

A Empresa utiliza ferramentas de publicidade da Meta Platforms, Inc. (Facebook/Instagram) para divulgar o Serviço, medir a eficácia dos anúncios e otimizar campanhas:

  • Meta Pixel (no navegador) e Conversions API / CAPI (servidor a servidor).

O que é compartilhado com a Meta:

  • Eventos como visualização de página, início do onboarding, captura de e-mail (evento "Lead") e conversão (compra);
  • Identificadores de publicidade (por exemplo, cookies _fbp/_fbc);
  • Dados de contato em forma hasheada (criptografada com função unidirecional) quando disponíveis, como e-mail — usados para correspondência de audiência e atribuição. A Empresa não envia à Meta o conteúdo das suas respostas de texto livre do onboarding.

Papel da Meta: nesse tratamento, a Meta atua como operadora/parceira de tratamento para fins de mensuração e otimização de anúncios, podendo, conforme seus próprios termos, atuar também como controladora independente para finalidades próprias descritas na política dela.

Base legal (LGPD): consentimento (art. 7º, I) para os cookies/tecnologias de marketing, coletado pelo aviso de cookies; e legítimo interesse (art. 7º, IX) para a mensuração e prevenção de fraude em anúncios, na medida permitida. Você pode revogar o consentimento e se opor a esse tratamento (ver §7 e §8).

Transferência internacional: a Meta processa dados nos Estados Unidos e em outros países. A transferência ocorre com base no art. 33 da LGPD, sob as garantias contratuais aplicáveis.

Política da Meta: https://www.facebook.com/privacy/policy.


  1. Finalidades e Bases Legais

A LGPD (art. 7º) exige que todo tratamento tenha uma finalidade específica e uma base legal. Veja o mapeamento:

FinalidadeDados envolvidosBase legal (LGPD)
Montar o preview do protocolo no onboarding (antes do cadastro)Respostas do onboarding pré-login, lead_idProcedimentos preliminares a contrato, a pedido do titular (art. 7º, V)
Personalizar o preview via IA (pré e pós-login)Respostas do onboardingProcedimentos preliminares / execução de contrato (art. 7º, V)
Enviar o preview do protocolo por e-mail (quando solicitado)E-mail (pré-cadastro)Procedimentos preliminares a pedido do titular (art. 7º, V)
Criar e manter sua contaE-mail, UUID, data de criaçãoExecução de contrato (art. 7º, V)
Processar pagamentoDados do StripeExecução de contrato (art. 7º, V)
Registrar progressoDados de usoExecução de contrato (art. 7º, V)
Segurança, prevenção a fraude e rate limit (inclusive pré-login)Logs técnicos, IP, lead_idLegítimo interesse (art. 7º, IX)
Analytics e melhoria de produto (PostHog, Session Replay)Eventos de uso, gravação de sessão (com dados sensíveis mascarados)Legítimo interesse (art. 7º, IX)
Publicidade, mensuração e otimização de anúncios (Meta Pixel/CAPI)Eventos de conversão, identificadores de publicidade, e-mail hasheadoConsentimento (art. 7º, I) para cookies/marketing; legítimo interesse (art. 7º, IX) para mensuração e antifraude
Cumprir obrigações fiscais e contábeisDados de pagamentoCumprimento de obrigação legal (art. 7º, II)
Comunicar atualizações importantes do ServiçoE-mailExecução de contrato (art. 7º, V)
Marketing direto (newsletter / régua de e-mails)E-mailConsentimento (art. 7º, I) ou legítimo interesse quando relativo a quem demonstrou interesse no Serviço (art. 7º, IX)

  1. Compartilhamento com Terceiros (Operadores)

Compartilhamos apenas o estritamente necessário, com parceiros essenciais à operação do Serviço:

ParceiroFinalidadeLocalizaçãoPolítica
StripeProcessamento de pagamentosEUA (com operação no Brasil)https://stripe.com/br/privacy
AnthropicGeração de exemplos personalizados via IA (inclusive no preview pré-login)EUAhttps://www.anthropic.com/legal/privacy
SupabaseBanco de dados, autenticação e armazenamentoEUA / UE (configurável)https://supabase.com/privacy
VercelHospedagem do web appEUA / borda global (CDN)https://vercel.com/legal/privacy-policy
PostHogAnalytics comportamental e gravação de sessão (Session Replay)EUA (US Cloud)https://posthog.com/privacy
Meta (Facebook/Instagram)Publicidade, mensuração e otimização de anúncios (Pixel + Conversions API)EUA / globalhttps://www.facebook.com/privacy/policy
ResendEnvio de e-mails transacionais e do preview do protocoloEUAhttps://resend.com/legal/privacy-policy

Todos os parceiros são obrigados, contratualmente, a tratar os dados conforme a LGPD e padrões internacionais de proteção de dados.

Não vendemos seus dados pessoais. Compartilhamos dados com plataformas de publicidade (como a Meta) exclusivamente para divulgar o Serviço, mensurar a eficácia dos nossos anúncios e otimizar campanhas — conforme a §3.8 e as bases legais da §4. Você pode revogar o consentimento e se opor a esse tratamento a qualquer momento (ver §7 e §8).

A Empresa pode compartilhar dados se obrigada por lei, ordem judicial ou requisição de autoridade competente.

5.1. Transferência internacional de dados

Como a Empresa está sediada nos Estados Unidos e seus principais operadores (Stripe, Anthropic, Supabase, Vercel, PostHog, Meta, Resend) processam dados nos EUA e em outros países, há transferência internacional de:

  • seus dados de cadastro (e-mail, UUID) e os dados relacionados ao pagamento (identificador da transação, status, últimos 4 dígitos do cartão, bandeira, país emissor);
  • seus dados de onboarding, inclusive pré-login (respostas, lead_id), enviados à Anthropic para gerar o preview e armazenados no Supabase;
  • eventos de conversão e identificadores de publicidade compartilhados com a Meta para mensuração de anúncios (§3.8).

Essa transferência internacional ocorre com fundamento no art. 33, II, da LGPD (transferência necessária para a execução de contrato do qual o titular é parte) e, no que couber, no art. 33, IX (cumprimento de obrigação legal/regulatória, inclusive antifraude e fiscal). A Empresa exige de cada operador a adoção de cláusulas contratuais e padrões de segurança compatíveis com a LGPD, conforme art. 35 da mesma lei. Você pode solicitar, pelo canal dpo@protocol2444.com, informações adicionais sobre as garantias adotadas em cada transferência específica.


  1. Retenção de Dados
CategoriaPrazo de retenção
Dados de conta (e-mail, UUID)Enquanto a conta estiver ativa + 5 anos após inatividade ou exclusão (para defesa em eventuais processos judiciais, conforme art. 16, I, LGPD)
Dados de pagamento5 anos após a transação (obrigação fiscal — Decreto 9.580/2018)
Respostas do onboarding (conta ativa)Enquanto a conta estiver ativa, ou até pedido de exclusão pelo titular
Dados de onboarding pré-login não convertidos (lead)Até 12 meses após a última interação, ou até pedido de exclusão, o que vier primeiro
Dados de uso e progressoEnquanto a conta estiver ativa
Logs técnicos com IP6 meses (Marco Civil da Internet — art. 15)
E-mails de marketing (após opt-out)Mantemos apenas o registro de opt-out para evitar reenvio

Após o prazo, os dados são anonimizados ou eliminados de forma segura.


  1. Seus Direitos como Titular

A LGPD (art. 18) garante a você os seguintes direitos, que você pode exercer gratuitamente a qualquer momento:

  1. Confirmação de que tratamos seus dados;
  2. Acesso aos dados que temos sobre você;
  3. Correção de dados incompletos, inexatos ou desatualizados;
  4. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
  5. Portabilidade dos seus dados a outro fornecedor (em formato estruturado, ex: JSON);
  6. Eliminação dos dados tratados com base em consentimento, exceto quando houver outra base legal que justifique a retenção;
  7. Informação sobre com quem compartilhamos seus dados (esta política já cumpre essa obrigação);
  8. Revogação do consentimento quando o tratamento estiver baseado nele;
  9. Oposição a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, se houver descumprimento da LGPD;
  10. Revisão de decisões automatizadas que afetem seus interesses.

Como exercer seus direitos

Envie um e-mail para contato@protocol2444.com ou dpo@protocol2444.com, indicando:

  • Qual direito você quer exercer;
  • O e-mail cadastrado na sua conta (para verificação);
  • Detalhes adicionais, se aplicável.

Prazo de resposta: até 15 dias a partir da solicitação, conforme art. 19, §3º da LGPD.

Em caso de dúvida sobre sua identidade, podemos solicitar informações adicionais para evitar fraudes.


  1. Cookies e Tecnologias Similares

8.1. Cookies funcionais (estritamente necessários): mantêm você autenticado (sb-*-auth-token.0, sb-*-auth-token.1 — Supabase Auth), registram a visualização do aviso de cookies (protocol2444_cookie_consent), ligam as etapas do onboarding pré-login (lead_id) e preservam seu progresso na trilha. Sem eles, o Serviço não funciona.

8.2. Cookies analíticos (PostHog): capturam eventos de uso e geram identificadores anônimos para Session Replay (ver §3.7), com mascaramento automático de inputs sensíveis.

8.3. Cookies e tecnologias de marketing/publicidade (terceiros): utilizamos o Meta Pixel e cookies relacionados (por exemplo, _fbp) para mensurar e otimizar nossos anúncios (ver §3.8). Esses cookies dependem do seu consentimento, manifestado no aviso de cookies.

8.4. Você pode revogar o consentimento dos cookies de marketing e bloquear cookies nas configurações do seu navegador, ciente de que bloquear cookies funcionais pode afetar funcionalidades do Serviço. Para opor-se à mensuração de anúncios, escreva para dpo@protocol2444.com.


  1. Segurança da Informação

Adotamos medidas técnicas e organizacionais razoáveis para proteger seus dados:

  • Criptografia em trânsito (TLS 1.2+) em todas as comunicações;
  • Criptografia em repouso no banco de dados (Supabase);
  • Row Level Security (RLS) no banco — cada usuário só acessa os próprios dados;
  • Chave da API Anthropic apenas no servidor — nunca exposta ao navegador;
  • Validação de webhook do Stripe com assinatura criptográfica e gravação idempotente;
  • Filtro server-side de PII (CPF, telefone, RG, registros profissionais como CRM/OAB e nomes próprios em texto livre) antes de chamadas à IA;
  • Rate limiting durável para evitar abuso, inclusive nas chamadas pré-login;
  • Logs de auditoria para acessos administrativos;
  • Princípio do menor privilégio para acesso interno aos dados.

Apesar dessas medidas, nenhum sistema é totalmente imune. Em caso de incidente de segurança que possa causar risco ou dano relevante aos titulares, comunicaremos a ANPD e os titulares afetados em prazo razoável, conforme art. 48 da LGPD.


  1. Tratamento de Dados de Menores de 18 Anos

10.1. O Protocolo 2444 é destinado exclusivamente a profissionais maiores de 18 anos com capacidade civil plena.

10.2. Não coletamos intencionalmente dados de crianças e adolescentes (menores de 18 anos).

10.3. Caso identifiquemos cadastro de menor de idade, a conta será suspensa e os dados eliminados, salvo com consentimento expresso e específico de pelo menos um dos pais ou responsável legal, conforme art. 14 da LGPD.

10.4. Se você é responsável por um menor que considera ter se cadastrado, entre em contato com dpo@protocol2444.com.


  1. Alterações a Esta Política

11.1. Esta Política pode ser atualizada para refletir mudanças no Serviço, em parceiros tecnológicos ou na legislação.

11.2. Alterações relevantes (especialmente as que afetem suas escolhas de privacidade ou tratamento de dados) serão comunicadas:

  • Por e-mail aos usuários cadastrados, com antecedência mínima de 15 dias;
  • Por aviso visível no Serviço.

11.3. A data da "Última atualização" no topo desta página sempre indicará a versão vigente. Versões anteriores podem ser solicitadas pelo e-mail dpo@protocol2444.com.


  1. Contato e Autoridade de Controle

12.1. Fale conosco

12.2. Autoridade Nacional de Proteção de Dados (ANPD)

Se você considerar que seus direitos não foram adequadamente atendidos, pode apresentar reclamação à ANPD:


Documento elaborado em conformidade com a LGPD (Lei 13.709/2018), Marco Civil da Internet (Lei 12.965/2014) e Código de Defesa do Consumidor (Lei 8.078/1990). Última revisão: Julho de 2026.