Amaze — Política de Privacidade

⚠️ RASCUNHO — NÃO constitui aconselhamento jurídico. Ponto de partida para revisão e adaptação por advogado(a) habilitado(a). Preencha os campos [entre colchetes]. Avalie LGPD (Brasil) e GDPR (UE) conforme o mercado; clientes/visitantes na UE provavelmente exigem versão em inglês, DPA e cláusulas de transferência internacional.

Nota de papéis (essencial): Este documento trata a Amaze como Controladora dos dados dos Clientes (usuários da plataforma) e esclarece que, em relação aos visitantes das páginas publicadas pelos Clientes, o Cliente é o Controlador e a Amaze atua como infraestrutura/Operadora. Essa separação é o eixo da política — confirmar com o(a) advogado(a).

Nota de coerência (com os Termos de Uso): Esta Política adota o mesmo posicionamento dos Termos de Uso da Amaze — ferramenta de uso geral, em que o conteúdo e o tratamento de dados de visitantes das páginas publicadas são de responsabilidade do Cliente. A consistência entre os dois documentos é parte da arquitetura de proteção: a Amaze hospeda e serve o que o Cliente define, sem controle editorial nem uso próprio dos dados de visitantes.

1. Quem somos

A plataforma Amaze ("Serviço") é operada por [Razão Social / CNPJ] ("Amaze", "nós"). Esta Política descreve como tratamos dados pessoais. Contato do encarregado/DPO: [email].

2. A quem se aplica

• Clientes — pessoas que criam conta e usam o Serviço. Em relação a esses dados, a Amaze é Controladora.
• Visitantes das páginas que os Clientes publicam — em relação a esses dados, o Cliente é o Controlador; a Amaze apenas hospeda/serve as páginas como Operadora (ver §7).

3. Dados que coletamos do Cliente

3.1. Cadastro: e-mail, senha (armazenada apenas como hash), nome/identificação, papel na conta, aceite de Termos e data. 3.2. Uso e telemetria: eventos de uso (gerações, publicações, importações, provisionamentos), métricas de ativação, registros de acesso (data/hora, IP, agente do navegador) para segurança e operação. 3.3. Conteúdo do Cliente: templates, páginas, domínios, imagens e configurações que o Cliente cria/sobe. 3.4. Chaves de terceiros (BYO): chaves de API que o Cliente fornece, armazenadas criptografadas e nunca exibidas de volta. 3.5. Comunicações: e-mails transacionais (verificação, avisos) e suporte.

4. Como usamos

• Prestar, manter e proteger o Serviço; autenticar e verificar a conta.
• Aplicar cotas, prevenir abuso e garantir a segurança.
• Comunicar avisos operacionais e de suporte.
• Melhorar o Serviço (de forma agregada/estatística).
• [Cobrança, quando houver.]

Não utilizamos os dados pessoais de visitantes das páginas publicadas para finalidades próprias da Amaze (ver §7).

5. Base legal (LGPD / GDPR)

Tratamos dados com base em: execução do contrato (prestação do Serviço), legítimo interesse (segurança, prevenção a fraude, melhoria), cumprimento de obrigação legal e, quando aplicável, consentimento. [Mapear cada finalidade à base legal correta — confirmar com o(a) advogado(a).]

6. Compartilhamento e suboperadores

Não vendemos dados pessoais. Compartilhamos com prestadores estritamente necessários à operação ("suboperadores"), sob obrigações de confidencialidade/segurança:

• Hospedagem/aplicação: [Railway] · CDN/serving/DNS/armazenamento: [Cloudflare incl. R2] · E-mail transacional: [Resend].
• Modelos de IA (BYO): quando o Cliente usa sua própria chave, os dados enviados para geração/tradução são processados pelo provedor de IA escolhido pelo Cliente (ex.: OpenRouter/OpenAI), sob os termos daquele provedor — a Amaze não controla esse tratamento e [avaliar: não retém o conteúdo enviado além do necessário para executar a operação solicitada — confirmar a prática real].
• Autoridades, quando exigido por lei ou para proteger direitos.

7. Páginas publicadas pelos Clientes (ponto-chave)

7.1. As páginas que o Cliente publica são de responsabilidade do Cliente, que é o Controlador dos dados de quaisquer visitantes dessas páginas. 7.2. O Cliente é o único responsável por exibir avisos de privacidade, obter consentimentos (ex.: cookies, formulários), responder aos titulares e cumprir as leis de dados aplicáveis em suas páginas e campanhas. 7.3. A Amaze atua apenas como infraestrutura que serve o conteúdo definido pelo Cliente, sem controle editorial sobre ele. 7.4. Na qualidade de Operadora, a Amaze trata os dados de visitantes exclusivamente conforme as instruções do Cliente e na medida necessária para hospedar e servir as páginas, não os utilizando para finalidades próprias nem os compartilhando fora das hipóteses desta Política ou de instrução do Cliente. [Detalhar em DPA específico Amaze–Cliente.]

8. Cookies e armazenamento local (no app Amaze)

O app usa armazenamento local do navegador para manter a sessão autenticada (token) e preferências (ex.: tema). [Detalhar cookies/finalidades; avaliar banner de consentimento conforme jurisdição.] Avisos e cookies das páginas publicadas são responsabilidade do Cliente (§7).

9. Retenção

Mantemos os dados enquanto a conta existir e pelo período necessário às finalidades acima e a obrigações legais. Após o encerramento, [definir prazos de exclusão/anonimização — ex.: exclusão/anonimização em até N dias, ressalvadas retenções legais].

10. Segurança

Adotamos medidas técnicas e organizacionais razoáveis, incluindo criptografia das chaves de terceiros em repouso, controle de acesso e isolamento entre contas de Clientes (multi-tenant). Nenhum sistema é 100% seguro. Em caso de incidente de segurança relevante, adotaremos as medidas de contenção cabíveis e, quando exigido pela lei aplicável, comunicaremos a autoridade competente (ex.: ANPD) e os titulares afetados. [Definir plano de resposta a incidentes, prazos e fluxo de notificação conforme LGPD/GDPR.]

11. Direitos do titular

Conforme a lei aplicável (LGPD/GDPR), o titular pode solicitar acesso, correção, exclusão, portabilidade, oposição e informações sobre o tratamento. O canal e o responsável variam conforme o papel:

• Dados de conta de Cliente (em que a Amaze é Controladora): solicitações pelos canais em [email/contato]. [Detalhar fluxo e prazos.]
• Dados de visitantes de páginas publicadas (em que o Cliente é o Controlador): as solicitações devem ser dirigidas ao Cliente responsável pela página. A Amaze, como Operadora, repassará ao Cliente as solicitações que receber e prestará apoio razoável ao Cliente no atendimento, sem assumir a posição de Controladora desses dados.

12. Transferência internacional

A infraestrutura pode processar dados em servidores fora do país do titular (ex.: provedores nos EUA/UE). [Avaliar salvaguardas — cláusulas-padrão/SCCs, adequação — com o(a) advogado(a).]

13. Menores

O Serviço não se destina a menores de 18 anos; não coletamos conscientemente seus dados.

14. Alterações

Podemos atualizar esta Política; mudanças relevantes serão comunicadas. O uso continuado implica ciência.

15. Contato / Encarregado (DPO)

[Nome/canal do encarregado] · [email] · [Razão Social] · [endereço].

Pontos para o(a) advogado(a) revisar

1. Papéis Controlador × Operador — a separação Amaze-Controladora (dados de conta) vs. Cliente-Controlador (visitantes das páginas) é o eixo; confirmar enquadramento na LGPD/GDPR e a necessidade de DPA com os Clientes (Amaze como operadora das páginas, §7.4) e com os suboperadores (Railway/Cloudflare/Resend).
2. Roteamento de direitos do titular (§11) — confirmar que a Amaze, como Operadora, deve repassar ao Cliente (Controlador) as solicitações relativas a dados de visitantes, em vez de respondê-las diretamente. É o que mantém a Amaze fora da posição de Controladora desses dados.
3. Compromisso de tratamento conforme instruções (§7.4) — validar a redação do dever de Operadora de agir somente sob instruções do Cliente e não usar dados de visitantes para fins próprios (alinhado ao padrão de operador da LGPD / processor do GDPR).
4. BYO-key (§6) — deixar inequívoco que dados enviados ao provedor de IA do Cliente saem do controle da Amaze; confirmar a prática real de retenção do conteúdo enviado e avaliar se exige divulgação/condições adicionais.
5. Transferência internacional (§12) — salvaguardas adequadas (SCCs/adequação) para servidores fora do BR/UE.
6. Cookies/consentimento (§8) — no app e, sobretudo, a alocação de responsabilidade pelas páginas publicadas (banner/consentimento é do Cliente).
7. Retenção, resposta a incidentes e notificação (§9, §10) — fixar prazos e procedimentos de notificação à ANPD/autoridade.
8. Versão em inglês + revisão GDPR para clientes/visitantes na UE.

Referências de conformidade (LGPD — Lei 13.709/18; GDPR) indicadas em nível geral; a aplicação a cada finalidade e papel deve ser confirmada por profissional habilitado.