Política de Privacidade
Última atualização: 25 de fevereiro de 2026
1. Introdução
Esta Política de Privacidade descreve como o MapFlow, operado por Anderson Barbosa e Silva (CNPJ 48.114.278/0001-16), coleta, utiliza, armazena e protege os dados pessoais de seus usuários, em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018) e demais normas aplicáveis.
2. Dados que Coletamos
Coletamos apenas os dados estritamente necessários para a operação do serviço:
2.1 Dados fornecidos pelo usuário
| Dado | Finalidade | Base Legal (LGPD) |
|---|---|---|
| Nome completo | Identificação na plataforma | Execução de contrato |
| Email corporativo | Login, convites e notificações | Execução de contrato |
| Senha | Autenticação | Execução de contrato |
| Nome da organização | Criação do workspace | Execução de contrato |
| CNPJ de clientes | Cadastro B2B2B (via BrasilAPI) | Legítimo interesse |
| Foto de perfil (avatar) | Personalização visual | Consentimento |
2.2 Dados gerados pelo uso
- Projetos, flows (tarefas), checklists, documentos e comentários criados na plataforma.
- Métricas de tensão, progresso e indicadores calculados pelo Motor de Tensão.
- Histórico de atividades (log de auditoria) para rastreabilidade de ações.
- Conversas com o Assistente de IA (processadas pelo Google Gemini, sem armazenamento externo permanente).
2.3 Dados que NÃO coletamos
- Não utilizamos cookies de rastreamento, tracking pixels ou ferramentas de analytics de terceiros.
- Não vendemos, alugamos ou compartilhamos dados pessoais com terceiros para fins de publicidade.
- Não armazenamos arquivos físicos do Google Drive — apenas metadados (nome e link do arquivo).
3. Uso de APIs do Google
📋 Esta seção atende aos requisitos de divulgação da Google API Services User Data Policy.
3.1 Google Drive API
- O MapFlow utiliza a API do Google Drive com escopo
drive.readonlyexclusivamente para permitir que o usuário selecione e vincule arquivos do seu próprio Google Drive ao projeto. - O acesso é feito através do Google Picker (seletor nativo do Google), que garante que o usuário escolhe explicitamente quais arquivos compartilhar.
- O MapFlow armazena apenas o ID, nome, tipo (MIME) e URL do arquivo selecionado. Nenhum conteúdo do arquivo é baixado, copiado ou armazenado em nossos servidores.
- O token OAuth é mantido exclusivamente na memória do navegador durante a sessão. Não é persistido em banco de dados.
3.2 Google Gemini (IA)
- O assistente de IA utiliza a API do Google Gemini para processamento de linguagem natural.
- O contexto enviado à API inclui informações do projeto (nomes de flows, status, datas) para gerar respostas relevantes.
- As respostas são processadas em tempo real e não são armazenadas pelo Google para treinamento de modelos, conforme os termos da API do Google Gemini.
3.3 Conformidade com a Política do Google
O uso e a transferência de informações recebidas das APIs do Google pelo MapFlow aderem à Google API Services User Data Policy, incluindo os requisitos de uso limitado.
4. Integrações com GitHub e GitLab
- O MapFlow permite integração OAuth com GitHub e GitLab para acompanhar eventos de repositórios vinculados a projetos.
- Os tokens OAuth são criptografados com AES-256-GCM antes de serem armazenados no banco de dados.
- O acesso pode ser revogado a qualquer momento pelo usuário nas configurações do MapFlow ou diretamente no GitHub/GitLab.
5. Armazenamento e Segurança
5.1 Infraestrutura
| Serviço | Provedor | Região |
|---|---|---|
| Aplicação | Google Cloud Run | São Paulo (southamerica-east1) |
| Banco de Dados | Google Cloud SQL (PostgreSQL) | São Paulo |
| Armazenamento de Arquivos | Google Cloud Storage | São Paulo |
| CDN / SSL | Firebase Hosting | Global Edge |
5.2 Medidas de Segurança
- Criptografia em trânsito: Todo tráfego é protegido por TLS/SSL (HTTPS).
- Criptografia em repouso: O banco de dados é criptografado pelo Google Cloud SQL.
- Hash de senhas: Senhas são armazenadas usando
bcryptcom custo 12 (hash irreversível). - Criptografia de credenciais: Tokens OAuth e senhas SMTP são criptografados com AES-256-GCM.
- Isolamento multi-tenant: Cada organização opera em um espaço isolado. Consultas ao banco de dados incluem filtro obrigatório por
tenant_id. - Autenticação JWT: Tokens de sessão assinados criptograficamente (HS256) com expiração automática de 8 horas.
6. Compartilhamento de Dados
O MapFlow não vende nem compartilha dados pessoais com terceiros, exceto nos seguintes casos estritamente necessários:
| Terceiro | Finalidade | Dados Compartilhados |
|---|---|---|
| Google Cloud Platform | Hospedagem da aplicação e banco de dados | Todos (como processador) |
| Asaas | Processamento de pagamentos | Nome, email, dados de cobrança |
| Resend | Envio de emails transacionais | Email do destinatário |
| Google Gemini | Assistente de IA | Contexto do projeto (sem dados pessoais) |
7. Direitos do Titular (LGPD)
Em conformidade com a LGPD, você possui os seguintes direitos sobre seus dados pessoais:
- Acesso: Solicitar uma cópia dos dados pessoais que armazenamos sobre você.
- Correção: Atualizar dados incompletos, inexatos ou desatualizados.
- Eliminação: Solicitar a exclusão de dados pessoais, respeitando obrigações legais de retenção.
- Portabilidade: Solicitar a exportação dos seus dados em formato legível.
- Revogação de consentimento: Revogar autorizações concedidas, como a integração com Google Drive.
- Oposição: Opor-se ao tratamento de dados com base em legítimo interesse.
Para exercer qualquer desses direitos, entre em contato com o Encarregado de Dados (DPO) pelo email anderson@m2se.info. Responderemos em até 15 dias úteis.
8. Retenção de Dados
- Os dados são mantidos enquanto o vínculo contratual estiver ativo.
- Após cancelamento, os dados permanecem disponíveis por 30 dias para exportação.
- Após esse período, os dados são excluídos permanentemente de nossos servidores e backups.
- Dados necessários para cumprimento de obrigações legais ou fiscais podem ser retidos por período adicional conforme legislação aplicável.
9. Cookies
O MapFlow utiliza apenas cookies estritamente necessários para o funcionamento da plataforma:
| Cookie | Finalidade | Duração |
|---|---|---|
__session | Autenticação do usuário (JWT) | 8 horas |
theme | Preferência de tema (claro/escuro) | Persistente |
Não utilizamos cookies de rastreamento, marketing ou analytics de terceiros.
10. Transferência Internacional de Dados
Os dados são armazenados e processados primariamente no Brasil (região São Paulo do Google Cloud). No entanto, o uso de serviços do Google Cloud Platform pode envolver transferência de dados para servidores em outras jurisdições. Nestes casos, o Google aplica cláusulas contratuais padrão e medidas de segurança em conformidade com a LGPD e o GDPR.
11. Alterações nesta Política
Esta Política de Privacidade pode ser atualizada periodicamente para refletir mudanças nas práticas de tratamento de dados ou na legislação aplicável. Alterações significativas serão comunicadas por email ou por aviso na plataforma. Recomendamos a revisão periódica desta página.
12. Encarregado de Dados (DPO)
Em conformidade com o Art. 41 da LGPD, informamos os dados do Encarregado pelo Tratamento de Dados Pessoais: