Legal
Política de Privacidade
Última atualização: 19 de maio de 2026
Resumo simples: coletamos apenas o necessário para fornecer o Serviço, nunca vendemos seus dados e você tem controle total sobre eles. Leia abaixo para os detalhes.
1. Quem somos e papéis no tratamento de dados
A SurveyFlow opera a plataforma de criação de pesquisas acessível em surveyflow.com.br.
Em relação à LGPD (Lei nº 13.709/2018), a SurveyFlow assume papéis distintos conforme o tipo de dado tratado:
- Controladora — dos dados de conta, pagamento e uso dos criadores de pesquisas (administradores de workspace). Determinamos as finalidades e meios do tratamento desses dados.
- Operadora — dos dados dos respondentes coletados por meio das pesquisas criadas na plataforma. Esses dados são tratados exclusivamente conforme as instruções do criador da pesquisa (o Controlador), que é inteiramente responsável pela base legal e pela comunicação ao respondente.
Para dúvidas sobre privacidade, entre em contato com nosso encarregado de dados (DPO) em privacidade@surveyflow.com.br.
2. Dados que coletamos
Dados de conta (criadores de pesquisas)
- Nome e endereço de e-mail (via Google OAuth ou e-mail com OTP)
- Foto de perfil (fornecida pelo Google, opcional)
- Data e hora de criação da conta e status da assinatura
- API Keys criadas pelo usuário (armazenadas apenas como hash SHA-256; a chave original não é retida)
Dados de uso e conteúdo
- Pesquisas criadas (título, nós, configurações, temas visuais)
- Templates salvos e configurações de aparência (white-label)
- Créditos de IA consumidos e prompts enviados para geração de pesquisas
- Logs de acesso e atividade na plataforma
Dados de respondentes (tratados como operadora)
Coletados e tratados conforme instrução do criador da pesquisa (controlador):
- Nome e e-mail fornecidos no nó de apresentação da pesquisa
- Respostas às perguntas (escolha única, múltipla, avaliação, texto livre)
- Campos de perfil personalizados definidos pelo criador (ex.: cargo, cidade, segmento)
- Dados de participação: data/hora, elegibilidade, status de bônus
- Progresso parcial da pesquisa (quando o módulo Progresso está ativado)
- Token SSO one-time (TTL de 5 minutos, invalidado após o primeiro uso)
- Sessão de respondente: cookie httpOnly respondent_session com TTL de 24 horas
Dados de pagamento
- Informações de assinatura e status de pagamento (gerenciados pelo Stripe)
- Não armazenamos dados de cartão de crédito diretamente
Dados técnicos
- Endereço IP, tipo de navegador e sistema operacional
- Cookies de sessão e autenticação
- Dados de desempenho e erros (para melhoria do serviço)
3. Como usamos seus dados
Utilizamos seus dados para:
- Fornecer, operar e manter o Serviço
- Processar pagamentos e gerenciar assinaturas
- Enviar comunicações transacionais via e-mail (OTP de acesso, confirmações, alertas de conta, alterações nos Termos) — processadas pela Resend
- Gerar pesquisas por inteligência artificial (prompts enviados à OpenAI)
- Avaliar elegibilidade de respondentes e calcular pontuações com base nos campos de perfil e respostas
- Melhorar a plataforma com base em padrões de uso anônimos
- Responder a solicitações de suporte
- Cumprir obrigações legais e regulatórias
Não utilizamos seus dados para publicidade de terceiros, não compartilhamos com anunciantes e não criamos perfis comportamentais para venda.
4. Base legal para o tratamento (LGPD)
O tratamento dos dados dos criadores de pesquisas é fundamentado nas seguintes bases legais previstas na LGPD:
- Execução de contrato: para fornecer os serviços contratados
- Legítimo interesse: para melhorias da plataforma e segurança
- Cumprimento de obrigação legal: quando exigido por lei
- Consentimento: para comunicações opcionais de marketing
Os dados dos respondentes são tratados pela SurveyFlow na qualidade de operadora, sob instrução do criador da pesquisa (controlador), que é responsável por definir e comunicar a base legal aplicável (consentimento, contrato ou legítimo interesse) aos respondentes.
5. Compartilhamento de dados
Compartilhamos dados apenas com os seguintes prestadores de serviço, estritamente necessários para o funcionamento da plataforma:
| Provedor | Finalidade | País |
|---|---|---|
| Google (Firebase) | Autenticação, banco de dados e armazenamento de arquivos | EUA / Global |
| Stripe | Processamento de pagamentos e gestão de assinaturas | EUA / Global |
| Vercel | Hospedagem e execução da aplicação | EUA / Global |
| OpenAI | Geração de pesquisas por inteligência artificial | EUA |
| Resend | Envio de e-mails transacionais (OTP, alertas, notificações) | EUA |
Todos os provedores estão sujeitos a acordos de proteção de dados adequados e operam em conformidade com o GDPR e/ou legislação equivalente. As transferências internacionais são realizadas com base em cláusulas contratuais padrão e mecanismos adequados de proteção, garantindo nível de proteção equivalente ao da LGPD.
Não vendemos, alugamos ou compartilhamos dados pessoais com terceiros para fins comerciais próprios.
6. Cookies e armazenamento local
Utilizamos os seguintes cookies e mecanismos de armazenamento:
| Cookie / Chave | Tipo | TTL | Finalidade |
|---|---|---|---|
| next-auth.session-token | httpOnly cookie | Sessão / 30 dias | Autenticação do criador de pesquisa (NextAuth) |
| respondent_session | httpOnly cookie | 24 horas | Sessão autenticada do respondente (OTP ou SSO) |
| admin_session | httpOnly cookie | 1 hora | Sessão de administrador interno |
| surveyflow-editor-storage | localStorage | Persistente | Estado do editor de nós (rascunho local) |
| surveyflow-locale | localStorage | Persistente | Preferência de idioma (pt / en) |
Não utilizamos cookies de rastreamento de terceiros nem tecnologias de publicidade comportamental.
7. Segurança
Adotamos medidas técnicas e organizacionais para proteger seus dados, incluindo:
- Transmissão de dados via HTTPS/TLS
- Autenticação via OAuth 2.0 (Google) ou OTP de 6 dígitos com expiração de 10 minutos
- API Keys armazenadas exclusivamente como hash SHA-256 — a chave original nunca é retida após a criação
- Tokens SSO de uso único com expiração de 5 minutos
- Dados armazenados no Firebase Firestore com regras de segurança que isolam dados por workspace
- Acesso restrito a dados por colaboradores com necessidade funcional
- Monitoramento contínuo de vulnerabilidades
Em caso de incidente de segurança que afete seus dados, notificaremos conforme exigido pela LGPD e pela ANPD.
8. Seus direitos (LGPD)
Como titular de dados, você tem os seguintes direitos garantidos pela LGPD, exercíveis a qualquer momento pelo e-mail privacidade@surveyflow.com.br:
- Confirmação e acesso: confirmar se tratamos seus dados e solicitar cópia
- Correção: solicitar a atualização de dados incorretos ou incompletos
- Exclusão: solicitar a remoção de dados tratados com base em consentimento
- Portabilidade: receber seus dados em formato estruturado
- Revogação de consentimento: retirar consentimento dado anteriormente
- Oposição: opor-se a tratamentos realizados com base em legítimo interesse
Se você é respondente de uma pesquisa criada por terceiros na plataforma, seus direitos de acesso, correção e exclusão devem ser exercidos diretamente junto ao criador da pesquisa (controlador). A SurveyFlow, atuando como operadora, auxiliará o controlador no atendimento das solicitações quando tecnicamente aplicável.
Respondemos às solicitações em até 15 dias úteis. Podemos solicitar comprovação de identidade antes de processar o pedido.
9. Retenção de dados
Mantemos seus dados pelos seguintes períodos:
- Dados de conta ativa: durante toda a vigência da conta
- Dados após cancelamento: 30 dias para exportação, depois excluídos
- Dados de respondentes: retidos enquanto a conta do criador estiver ativa; excluídos junto com a conta
- Tokens de sessão de respondente: expiram automaticamente em 24 horas
- Tokens SSO: expiram automaticamente em 5 minutos ou após o primeiro uso
- Logs de transação: 5 anos (obrigação fiscal)
- Logs de segurança: 12 meses
Você pode solicitar a exclusão antecipada dos seus dados a qualquer momento, respeitadas as obrigações legais de retenção.
10. Transferência internacional
Alguns dos nossos prestadores de serviço estão localizados fora do Brasil (principalmente nos EUA), conforme indicado na tabela da seção 5. Realizamos essas transferências com base em cláusulas contratuais padrão e mecanismos adequados de proteção de dados, garantindo nível de proteção equivalente ao da LGPD.
Especificamente para a funcionalidade de geração de pesquisas por IA, os prompts digitados pelo usuário são transmitidos à OpenAI (EUA) para processamento. Não inclua dados pessoais sensíveis em prompts de geração.
11. Menores de idade
O Serviço não é destinado a menores de 18 anos. Não coletamos intencionalmente dados de menores. Se você acredita que um menor utilizou o Serviço, entre em contato conosco para remoção imediata.
12. Alterações nesta Política
Podemos atualizar esta Política periodicamente. Alterações significativas serão comunicadas por e-mail com antecedência mínima de 15 dias. A versão mais recente estará sempre disponível nesta página.
13. Contato e DPO
Para exercer seus direitos ou tirar dúvidas sobre privacidade, entre em contato:
- E-mail geral: suporte@surveyflow.com.br
- Encarregado de dados (DPO): privacidade@surveyflow.com.br