Política de Privacidade

1. Introdução

A Mindex ("nós", "nosso") opera a plataforma Mindex (usemindex.dev), um serviço de base de conhecimento com inteligência artificial. A Mindex está sediada no Brasil.

Esta Política de Privacidade explica como coletamos, utilizamos, armazenamos, compartilhamos e protegemos seus dados pessoais em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD — Lei 13.709/2018) e com o Regulamento Geral sobre a Proteção de Dados europeu (GDPR — Regulation (EU) 2016/679).

Ao acessar ou utilizar a plataforma Mindex, você reconhece que leu, compreendeu e concorda em estar vinculado a esta Política de Privacidade. Se você não concorda com esta política, não deve utilizar o serviço.

2. Dados que Coletamos

Coletamos as seguintes categorias de dados pessoais:

Dados de conta: endereço de e-mail, hash da senha (bcrypt), informações do provedor de autenticação (caso você faça login via OAuth com Google ou GitHub), nome de exibição e data de criação da conta.
Dados de conteúdo: documentos enviados à plataforma, incluindo o texto, metadados, nomes de arquivo e quaisquer dados derivados do processamento desses documentos (como embeddings, tags e relacionamentos no grafo).
Dados de uso: logs de requisições de API, padrões de uso de funcionalidades, timestamps, endereços IP, frequência de requisições e logs de erro.
Dados técnicos: tipo e versão do navegador, informações do dispositivo, sistema operacional, dados de sessão e cookies necessários para autenticação e operação do serviço.

3. Como Utilizamos seus Dados

Tratamos seus dados pessoais para as seguintes finalidades:

Provimento e manutenção do serviço: para fornecer, operar, manter e melhorar a plataforma Mindex.
Processamento de documentos: para processar e indexar seus documentos, incluindo chunking, geração de embeddings, construção de grafo de conhecimento e indexação semântica.
Enriquecimento por IA: auto-tagging, descoberta de relacionamentos e ligações semânticas do seu conteúdo utilizando inteligência artificial.
Análise e monitoramento: análises de uso do serviço, monitoramento de desempenho e rastreamento de uso (incluindo Google Analytics).
Comunicação: notificações de conta, alertas de segurança, atualizações do serviço e respostas às suas dúvidas.
Cobrança e processamento de pagamentos: processamento de pagamentos e gestão de assinaturas via Stripe. Não armazenamos os dados do seu cartão; a Stripe trata diretamente todos os dados de pagamento.
Cumprimento legal: cumprimento de leis, regulamentos e processos legais aplicáveis.

As bases legais para o tratamento, conforme a LGPD (art. 7º) e o GDPR (art. 6), incluem: execução de contrato, legítimo interesse, consentimento e cumprimento de obrigação legal.

4. Tratamento por Provedores de IA Terceiros

O conteúdo dos seus documentos é enviado a provedores terceirizados de IA para processamento. Esta é uma parte central e essencial do funcionamento do Mindex.

Os seguintes provedores terceirizados de IA podem tratar seu conteúdo:

OpenAI — geração de embeddings, enriquecimento de documentos e análise de conteúdo.
Anthropic — enriquecimento de documentos, auto-tagging e análise de conteúdo.
Google AI — geração de embeddings e processamento de conteúdo.

Finalidade: estes provedores são utilizados para gerar embeddings, auto-tagging, auto-linking e demais funcionalidades de enriquecimento por IA, que são essenciais ao serviço Mindex.

Os dados são transmitidos a estes provedores por meio de conexões de API criptografadas (TLS/HTTPS). Selecionamos provedores que se comprometem a não utilizar dados de clientes para treinamento de modelos; no entanto, não controlamos as políticas internas de retenção de dados nem as práticas internas desses provedores. Não podemos garantir suas práticas internas além do que está em suas políticas publicadas. Recomendamos enfaticamente que você consulte a política de privacidade de cada provedor de forma independente.

Ao utilizar o Mindex, você consente expressamente com este tratamento. Se você não concorda com o processamento do seu conteúdo por provedores terceirizados de IA, não envie conteúdo à plataforma.

5. Transferência Internacional de Dados

Seus dados podem ser transferidos e tratados em países fora do Brasil, incluindo Estados Unidos e países da União Europeia, onde nossos provedores de infraestrutura e serviços de IA operam.

Estas transferências internacionais cumprem o Capítulo V da LGPD (Da Transferência Internacional de Dados) e o Capítulo V do GDPR (Transfers of Personal Data to Third Countries or International Organisations). Adotamos cláusulas contratuais padrão, decisões de adequação e outros mecanismos de transferência legalmente reconhecidos quando aplicáveis.

Quando necessário, implementamos medidas suplementares para assegurar um nível adequado de proteção dos seus dados pessoais durante as transferências internacionais.

6. Retenção e Exclusão de Dados

Seus dados pessoais são retidos enquanto sua conta estiver ativa ou pelo tempo necessário para a prestação do serviço.
Você pode solicitar a exclusão dos seus dados a qualquer momento entrando em contato com [email protected].
Ao recebermos um pedido válido de exclusão, removeremos sua conta, documentos, embeddings, relacionamentos do grafo e todos os dados pessoais associados dos nossos sistemas ativos.
A exclusão é permanente e irreversível. Após a exclusão, os dados não poderão ser recuperados.
Backups podem reter cópias dos seus dados por até 30 dias corridos após a solicitação de exclusão, sendo então definitivamente apagados dos sistemas de backup.
Podemos manter dados anonimizados e agregados, que não permitam identificá-lo, para finalidades analíticas e estatísticas.

7. Direitos do Titular

Conforme a LGPD (art. 18) e o GDPR (arts. 15–22), você possui os seguintes direitos relativos aos seus dados pessoais:

Direito de acesso: solicitar uma cópia dos seus dados pessoais sob nossa responsabilidade.
Direito de correção: solicitar a correção de dados pessoais incorretos ou incompletos.
Direito de eliminação: solicitar a exclusão dos seus dados pessoais, observadas as obrigações legais de retenção.
Direito à portabilidade: solicitar seus dados em formato estruturado, de uso comum e legível por máquina.
Direito de revogar o consentimento: retirar seu consentimento ao tratamento a qualquer momento, sem prejuízo da licitude do tratamento realizado com base no consentimento antes da revogação.
Direito à informação: saber com quais entidades públicas e privadas seus dados foram compartilhados.
Direito de oposição: opor-se ao tratamento dos seus dados pessoais em determinadas circunstâncias, inclusive quando baseado no legítimo interesse.
Direito à revisão de decisões automatizadas: solicitar revisão humana de decisões tomadas exclusivamente com base em tratamento automatizado que afetem seus interesses.

Para exercer qualquer destes direitos, entre em contato em [email protected]. Responderemos no prazo de 15 dias úteis exigido pela LGPD ou de 30 dias corridos exigido pelo GDPR, conforme aplicável à sua situação.

8. Cookies e Rastreamento

Utilizamos os seguintes tipos de cookies e tecnologias de rastreamento:

Cookies essenciais: gestão de sessão (cookie httpOnly refresh_token) e autenticação. Esses cookies são estritamente necessários para a operação do serviço e não podem ser desativados.
Análises: Google Analytics com endereços IP anonimizados, para análise de padrões de uso e melhoria do serviço.

Não utilizamos cookies publicitários de terceiros. Não vendemos, alugamos nem compartilhamos seus dados pessoais com anunciantes ou data brokers.

9. Segurança

Implementamos medidas técnicas e organizacionais adequadas para proteger seus dados pessoais contra acesso não autorizado, alteração, divulgação ou destruição. Essas medidas incluem:

Senhas armazenadas em hash com bcrypt, utilizando fatores de custo padrão de mercado.
Autenticação JWT (JSON Web Token) com tokens de curta duração (TTL de 15 minutos).
HTTPS (TLS) obrigatório em todas as conexões.
Chaves de API armazenadas como digests criptográficos SHA-256; as chaves brutas nunca são persistidas.
Controle de acesso baseado em papéis (RBAC) dentro das organizações.
Limitação de taxa em endpoints de autenticação e em requisições de API para prevenir brute-force e abuso.
Revisões e monitoramento periódicos de segurança nas camadas de infraestrutura e aplicação.

Embora nos esforcemos para utilizar meios comercialmente aceitáveis para proteger seus dados pessoais, nenhum método de transmissão pela Internet ou de armazenamento eletrônico é 100% seguro, e não podemos garantir segurança absoluta.

10. Privacidade de Crianças

O Mindex não é destinado a pessoas com menos de 18 anos. Não coletamos conscientemente dados pessoais de menores. Se você tem menos de 18 anos, não utilize o serviço nem forneça dados pessoais.

Se você acredita que um menor nos forneceu dados pessoais, entre em contato imediatamente em [email protected], e tomaremos providências para excluir tais dados prontamente.

11. Alterações desta Política

Podemos atualizar esta Política de Privacidade periodicamente para refletir mudanças nas nossas práticas, na tecnologia, em requisitos legais ou em outros fatores.

Alterações relevantes serão comunicadas por e-mail aos usuários cadastrados com pelo menos 15 dias de antecedência da entrada em vigor. O uso continuado do serviço após a data de vigência de quaisquer alterações constitui aceitação da Política de Privacidade revisada.

A data de "Última atualização" no topo desta página reflete a revisão mais recente.

12. Contato

Para questões relacionadas à privacidade, solicitações de titular ou reclamações sobre o tratamento dos seus dados pessoais, entre em contato:

E-mail: [email protected]
Controlador de Dados: Mindex, Brasil.

Caso não esteja satisfeito com a nossa resposta, você tem o direito de apresentar uma reclamação à Autoridade Nacional de Proteção de Dados (ANPD) ou à autoridade supervisora local em conformidade com o GDPR.