Política de Privacidade
Privacy Policy
Versão 1.0 · Vigência: 2026-05-13 · Idiomas oficiais: Português (PT-BR), Español, English.
Em caso de divergência entre versões, prevalece a versão em português brasileiro.
1. Quem somos · Who we are
O BioShare é operado pela Gold Monkey Studio LLC, sociedade constituída no estado de Wyoming, Estados Unidos, com escritório operacional em Ibiza, Espanha. Para fins de GDPR e de LGPD, atuamos como Controlador dos dados pessoais tratados conforme esta Política.
Contato do encarregado de proteção de dados (DPO): privacy@goldmonkey.studio
BioShare is operated by Gold Monkey Studio LLC, Wyoming, USA, with operational office in Ibiza, Spain. For GDPR and LGPD purposes, we act as Controller. DPO contact: privacy@goldmonkey.studio.
2. Dados que coletamos · Data we collect
Coletamos apenas o necessário para operar o Aplicativo.
2.1. Dados de cadastro (obrigatórios)
- Email — autenticação e contato.
- Senha — armazenada somente como hash bcrypt (Supabase Auth). Nunca em texto plano.
- Nome de exibição — visível em posts e comentários.
- Tipo de usuário — estudante, maker, restaurante, produtor autorizado, escola, comunidade, pesquisador(a).
- Nível de onboarding — iniciante, intermediário, produtor.
- País (sigla) — para citar normas locais aplicáveis.
2.2. Dados de progresso educacional
- XP, streak e lições concluídas — métricas pedagógicas geradas pelo uso da Academia.
2.3. Caderno de Produção
- Identificador do lote, tipo de óleo, quantidade (litros), indicador visual 1–5, temperatura/tempo/NaOH (opcionais), observações, foto do lote (opcional, bucket privado) e flag de incidente.
2.4. Comunidade
- Posts, comentários, curtidas e região (opcional).
2.5. Interações com a BioIA
- Prompt construído, resposta recebida, contagem de tokens, modelo, motivo de recusa (se houver), provider e modo (
byok ou managed). Nunca a chave do Usuário em modo BYOK.
2.6. Dados técnicos automáticos
- Logs de erro (Sentry) — stack traces sem dados pessoais identificáveis adicionais.
- Eventos de uso (PostHog) — eventos de navegação anonimizados ou pseudonimizados.
- IP e user-agent — apenas em logs de segurança do servidor, retidos por no máximo 30 dias.
2.7. Dados que NÃO coletamos
- Localização geográfica precisa (GPS).
- Contatos do telefone.
- Microfone; câmera fora da galeria de fotos quando expressamente acionada.
- Identificadores publicitários (IDFA / Android Advertising ID).
- Histórico de navegação fora do Aplicativo.
- Dados biométricos.
We collect only what is necessary: registration (email, bcrypt-hashed password, display name, user kind, onboarding level, country); educational progress (XP, streak, completed lessons); production logs (batch data, notes, optional photo); community (posts, comments, likes, region); AI interactions (prompt, response, tokens, model, refusal reason, provider, mode — never the User's BYOK key); technical data (error logs, pseudonymized usage events, IP/user-agent retained max 30 days). NOT collected: precise GPS, contacts, advertising IDs, biometrics, browsing history outside the App.
3. Por que coletamos · Why we collect
| Dado | Finalidade |
| Email + senha | Autenticação e comunicação operacional |
| Nome, tipo de usuário, país | Personalização do Aplicativo e da BioIA |
| XP, streak, lições | Gamificação educacional |
| Registros do Caderno | Registro experimental do próprio Usuário |
| Foto do lote | Documentação visual, visível apenas ao próprio Usuário (RLS owner-only) |
| Posts, comentários, likes | Operar a Comunidade |
| Interações com a BioIA | Auditoria de IA — entender uso, detectar recusas, possibilitar revisão |
| Logs de erro, eventos de uso | Estabilidade e melhoria do produto |
| IP/UA (logs de servidor) | Segurança e prevenção de abuso |
4. Base legal · Legal basis (GDPR Art. 6 · LGPD Art. 7)
| Tratamento | GDPR | LGPD |
| Cadastro e autenticação | Execução de contrato (Art. 6.1.b) | Execução de contrato (Art. 7, V) |
| Operação do Aplicativo | Execução de contrato (Art. 6.1.b) | Execução de contrato (Art. 7, V) |
| Auditoria de IA | Legítimo interesse (Art. 6.1.f) | Legítimo interesse (Art. 7, IX) |
| Comunicação operacional | Execução de contrato | Execução de contrato |
| Logs de segurança | Legítimo interesse (Art. 6.1.f) | Legítimo interesse (Art. 7, IX) |
| Marketing / newsletter | Consentimento (Art. 6.1.a), opt-in | Consentimento (Art. 7, I) |
Não fazemos decisões automatizadas significativas com efeito legal sobre o Usuário. Sugestões da BioIA são assistivas, não decisórias.
Registration/operation under contract performance; AI audit and security logs under legitimate interest; marketing under explicit consent. No significant automated decisions with legal effect.
5. BYOK — sua chave, sua privacidade · Your key, your privacy
Quando o Usuário ativa BYOK (Bring Your Own Key) e conecta sua própria chave Anthropic, OpenAI ou OpenRouter:
- A chave é armazenada apenas no dispositivo do Usuário, no Keychain (iOS) ou Keystore (Android), com proteção
WHEN_UNLOCKED_THIS_DEVICE_ONLY — não migra via iCloud nem é lida fora do contexto do app.
- A chave nunca é enviada ao servidor do BioShare. Cada chamada parte do dispositivo diretamente ao endpoint do provedor de IA.
- A chave nunca é registrada em log, banco, telemetria, backup ou comunicação interna.
- Ao deslogar, todas as chaves locais são automaticamente apagadas.
- O histórico de auditoria registra que o Usuário usou BYOK com determinado provider — nunca a chave.
In BYOK mode, the User's API key is stored only on device (Keychain/Keystore). Never sent to BioShare servers, never logged, never backed up. Each call goes directly from the device to the chosen AI provider. Logout wipes local keys. Audit log records BYOK usage and provider name — never the key.
6. Compartilhamento com terceiros · Sharing with third parties
| Terceiro | Função | Onde | Dados |
| Hetzner Cloud (DE) | Hospedagem do backend (Nuremberg, UE) | Alemanha (UE) | Dados aplicacionais, com criptografia em trânsito e em repouso |
| Anthropic (US) | Inferência da BioIA em modo Managed | EUA — sob SCCs | Prompt + resposta, sem dados sensíveis |
| Anthropic / OpenAI / OpenRouter (BYOK) | Inferência sob conta do próprio Usuário | Conforme escolha do Usuário | Direto do dispositivo, sem mediação do BioShare |
| Sentry (US/UE) | Captura de exceções técnicas | Pode usar região UE | Stack trace + metadados, sem PII |
| PostHog (UE) | Analytics de uso | UE | Eventos pseudonimizados |
| Brevo (FR/UE) | E-mails transacionais | UE | Email + corpo da mensagem |
| Apple / Google (US) | Distribuição via lojas | US | Dados de instalação conforme política da loja |
Nunca vendemos dados pessoais a terceiros. Não usamos dados identificados para treinar modelos de IA. Não fazemos profiling para fins publicitários.
We share data strictly with the infrastructure providers listed above. We never sell personal data. No identified data is used to train AI models. No advertising profiling.
7. Onde armazenamos e por quanto tempo · Storage and retention
- Servidor principal: Hetzner Cloud, Nuremberg, Alemanha (UE). Postgres com Row Level Security (RLS), backups diários, criptografia em trânsito (TLS 1.3) e em repouso.
- Fotos de lotes: bucket privado com acesso apenas via URL assinada de curta duração, emitida ao próprio dono.
| Tipo de dado | Retenção |
| Cadastro e perfil | Enquanto a conta estiver ativa |
| Lotes, posts, comentários | Enquanto a conta estiver ativa |
| Auditoria de IA | 24 meses após a chamada, depois agregação anonimizada |
| Logs de erro | 90 dias |
| Logs de servidor (IP, UA) | 30 dias |
| Após exclusão de conta | 30 dias em backup + exclusão definitiva |
Main server in Hetzner Nuremberg (EU): Postgres with RLS, daily backups, TLS 1.3 in transit, encrypted at rest. Photos in a private bucket with short-lived signed URLs. Retention as per the table above; 30 days in backup after account deletion, then permanent erasure.
8. Seus direitos · Your rights
Conforme GDPR, LGPD e leis equivalentes, o Usuário pode exercer a qualquer momento:
- Acesso — solicitar cópia dos próprios dados.
- Retificação — corrigir dados incorretos ou desatualizados.
- Exclusão ("direito ao esquecimento") — pedido atendido em até 30 dias úteis.
- Portabilidade — receber em formato estruturado (JSON) os dados que o próprio Usuário gerou.
- Oposição / revogação de consentimento — para tratamentos baseados em legítimo interesse ou consentimento.
- Limitação do tratamento.
- Não submissão a decisões automatizadas significativas (não realizamos tais decisões).
- Reclamação a autoridade de controle — AEPD na Espanha, ANPD no Brasil, ou a DPA do país de residência na UE.
Para exercer qualquer direito, envie e-mail a
privacy@goldmonkey.studio com (a) a descrição do pedido e (b) a confirmação da titularidade da conta (respondendo do e-mail cadastrado).
Per GDPR, LGPD, and equivalent laws, you may at any time: access, rectify, erase (fulfilled within 30 business days), port (structured JSON), object/withdraw consent, restrict processing, and file a complaint with your supervisory authority. To exercise any right, email privacy@goldmonkey.studio.
9. Cookies, identificadores e web · Cookies, identifiers, and web
O Aplicativo nativo (iOS/Android) não usa cookies. Usa armazenamento local seguro (Keychain/Keystore para chaves sensíveis; armazenamento de sessão para autenticação). Para uso eventual em web, os mesmos princípios se aplicam, com banner de consentimento conforme a LSSI-CE (Espanha) e o Reg. UE 2002/58 (ePrivacy).
The native App does not use cookies. It uses secure local storage. For occasional web use, the same principles apply, with a consent banner per Spanish LSSI-CE and EU Reg. 2002/58 (ePrivacy).
10. Segurança · Security
- TLS 1.3 em todas as comunicações.
- Senhas com hash bcrypt — nunca em texto plano.
- JWT com tokens de acesso de curta duração + refresh token.
- Row Level Security (RLS) — cada Usuário só lê e escreve os próprios dados.
- Banco de dados não exposto publicamente — acesso apenas via rede interna.
- Backups criptografados diários.
- Auditoria de IA — toda chamada deixa trilha.
- Monitoramento de exceções técnico contínuo.
Em caso de incidente de segurança que afete dados pessoais, comunicaremos a autoridade de controle competente em até 72 horas (GDPR Art. 33) e os Usuários afetados sem demora indevida (Art. 34).
TLS 1.3 throughout; bcrypt-hashed passwords; short-lived JWT + refresh tokens; Row Level Security; database not publicly exposed; daily encrypted backups; AI audit trail; continuous exception monitoring. Personal-data security incidents are notified to the supervisory authority within 72h (GDPR Art. 33) and to affected Users without undue delay (Art. 34).
11. Crianças e adolescentes · Children and minors
O Aplicativo é destinado a maiores de 16 anos. Para contas institucionais de escola, o operador declara ser responsável pelo enquadramento de menores conforme a legislação aplicável (LGPD Art. 14 no Brasil; LOPDGDD na Espanha; GDPR Art. 8 na UE). Se descobrirmos que coletamos dados de menor sem base legal adequada, apagaremos esses dados sem demora.
The App is intended for users 16+. For school-tagged institutional accounts, the operator declares responsibility for compliance with applicable minor-protection laws. If we discover data of minors collected without an adequate legal basis, we will delete it without delay.
12. Transferências internacionais · International transfers
Como operamos com servidores na UE (Alemanha) e contratamos provedores nos EUA e em outros países da UE, pode haver transferência internacional de dados, sempre sob:
- Cláusulas Contratuais Padrão (SCCs) da Comissão Europeia (decisão 2021/914);
- EU-US Data Privacy Framework, quando aplicável;
- mecanismos equivalentes para outras jurisdições.
International transfers to the EU (Germany), the US, and other EU countries occur under EU Standard Contractual Clauses (Decision 2021/914), the EU-US Data Privacy Framework where applicable, and equivalent mechanisms.
13. Modificações · Modifications
Esta Política pode ser atualizada. Mudanças materiais serão notificadas com pelo menos 30 dias de antecedência por e-mail e/ou banner no Aplicativo. O Usuário pode encerrar a conta antes da entrada em vigor se discordar.
This Policy may be updated. Material changes are notified at least 30 days in advance via email and/or in-App banner. You may close your account before the effective date if you disagree.
14. Contato · Contact
← Voltar ao início · Back to home