VistralStudioSpark
Voltar para o inicio

Atualizado em 14 de julho de 2026

Política de Privacidade

Como o Vistral Studio coleta, usa, compartilha e protege dados pessoais na plataforma.

1. Controlador e contato

O Vistral Studio é uma plataforma para criação de thumbnails, capas e criativos com inteligência artificial, operada por Patrick Paulo Da Silva Alves, pessoa física e controlador dos dados pessoais tratados no contexto dos serviços descritos nesta Política.

Dúvidas, pedidos de titulares ou solicitações relacionadas à privacidade podem ser enviados para privacy@vistralstudio.app. Questões jurídicas gerais podem ser encaminhadas para legal@vistralstudio.app.

2. Dados que tratamos

  • Dados de conta: nome, e-mail, identificador de usuário, foto de perfil, idioma e informações de autenticação.
  • Dados de uso: projetos, títulos, prompts, chamadas para ação, preferências, modelos escolhidos, histórico de gerações, edições, downloads, créditos e plano contratado.
  • Conteúdo enviado: imagens de referência, avatares, thumbnails, capas e outros arquivos usados para gerar, analisar ou editar criativos. Esses materiais podem conter dados pessoais, inclusive imagem, nome, voz visual de marca ou outros elementos identificáveis.
  • Dados de pagamento: identificadores de cliente, assinatura, produto, pagamento, reembolso, status de cobrança e informações de plano. O Vistral Studio não armazena os dados completos do cartão.
  • Dados de integrações: ao conectar o YouTube, podemos tratar identificador, nome, e-mail, avatar, escopos concedidos, tokens OAuth e histórico de uso da integração.
  • Dados técnicos e de segurança: endereço IP, user-agent, cookies necessários, registros de erro, limites de requisição e eventos de segurança.
  • Dados de contato e comunicações: nome, e-mail, categoria, assunto, mensagem e registros técnicos necessários ao envio e recebimento de e-mails.

3. Finalidades e bases legais

  • Criar e manter a conta, autenticar sessões e prestar as funcionalidades solicitadas: execução de contrato ou procedimentos preliminares.
  • Gerar, analisar, armazenar, editar, exibir e permitir o download de criativos: execução do serviço solicitado pelo usuário.
  • Processar pagamentos, assinaturas, créditos, cancelamentos e reembolsos: execução de contrato, cumprimento de obrigação legal e exercício regular de direitos.
  • Atender mensagens de suporte, cobrança, privacidade e segurança: execução de contrato, legítimo interesse no atendimento e cumprimento de obrigações legais.
  • Prevenir abuso, fraude, uso indevido, indisponibilidade e incidentes de segurança: legítimo interesse, cumprimento de obrigação legal e exercício regular de direitos.
  • Conectar serviços externos, como YouTube: consentimento ou autorização do usuário e execução da funcionalidade solicitada.
  • Cumprir pedidos de titulares, ordens legais ou demandas de autoridades: cumprimento de obrigação legal ou regulatória e exercício regular de direitos.

4. Compartilhamento, operadores e terceiros

Usamos fornecedores para hospedar a aplicação, armazenar e entregar imagens, processar pagamentos, enviar e-mails, conectar integrações e executar modelos de IA. Compartilhamos apenas os dados necessários para cada finalidade.

Imagens do usuário, incluindo avatares, referências, projetos, thumbnails e capas salvas, são entregues por rotas autenticadas. O acesso é restrito ao próprio usuário e a pessoas autorizadas para suporte, segurança e moderação, salvo quando o usuário baixa, exporta, publica ou envia o conteúdo a uma integração de terceiro, como o YouTube.

Mantemos inventário dos operadores e terceiros, das categorias de dados, finalidades, bases legais, períodos de retenção e salvaguardas aplicáveis. A lista abaixo acompanha os serviços efetivamente integrados à plataforma e pode mudar quando fornecedores forem substituídos ou novas funcionalidades forem adicionadas.

  • Supabase: Autenticacao, banco de dados, sessoes e storage privado. Dados: conta, autenticacao, projetos, imagens, logs tecnicos. Finalidades: hospedagem de dados, controle de acesso, persistencia do servico. Bases legais: execucao de contrato, legitimo interesse em seguranca, obrigacao legal quando aplicavel. Transferencia: Pode envolver tratamento fora do Brasil conforme a regiao e subprocessadores contratados. Salvaguardas: Contrato/DPA do fornecedor e mecanismos de transferencia internacional aplicaveis pela LGPD/ANPD. Retencao: Conforme a tabela de retencao da plataforma e exclusao de conta.
  • Bunny.net / Bunny Storage: Armazenamento de thumbnails, capas, avatares e referencias visuais. Dados: imagens, identificadores internos de usuario, metadados tecnicos de arquivos. Finalidades: armazenar midia gerada ou enviada, entregar arquivos autenticados ao titular e admins. Bases legais: execucao de contrato, legitimo interesse em seguranca. Transferencia: Pode envolver infraestrutura internacional conforme configuracao do fornecedor. Salvaguardas: Contrato/DPA do fornecedor, controles de acesso privados e mecanismos LGPD/ANPD aplicaveis. Retencao: Enquanto o item estiver salvo na conta ou ate exclusao/expurgo aplicavel.
  • Stripe: Checkout, assinaturas, portal de cobranca, webhooks e antifraude. Dados: identificadores de cliente, pagamentos, assinaturas, status de cobranca. Finalidades: processar pagamentos, cumprir obrigacoes financeiras, prevenir fraude. Bases legais: execucao de contrato, cumprimento de obrigacao legal, exercicio regular de direitos. Transferencia: Processamento internacional de pagamento e antifraude conforme estrutura do Stripe. Salvaguardas: Contrato/DPA/termos do Stripe e mecanismos de transferencia internacional aplicaveis. Retencao: Registros financeiros sao mantidos pelo prazo legal/defesa de direitos e depois expurgados.
  • Google / Gemini: Analise de prompts, imagens e geracao de criativos por IA. Dados: prompts, imagens enviadas quando usadas na geracao, metadados de uso. Finalidades: gerar ou analisar conteudo solicitado pelo usuario. Bases legais: execucao de contrato, consentimento/autorizacao quando houver integracao ou envio voluntario de imagem. Transferencia: Chamadas de API podem envolver processamento internacional pela Google. Salvaguardas: Termos/DPA do fornecedor e mecanismos de transferencia internacional aplicaveis pela LGPD/ANPD. Retencao: Prompts e payloads operacionais seguem redacao/expurgo automaticos; imagens inline nao sao persistidas.
  • Google / YouTube: OAuth, conta conectada e envio de thumbnails para videos do YouTube. Dados: identidade da conta YouTube, escopos OAuth, tokens criptografados, historico de upload. Finalidades: conectar conta, renovar autorizacao, publicar thumbnail escolhida pelo usuario. Bases legais: consentimento/autorizacao, execucao da funcionalidade solicitada. Transferencia: Transferencia para a Google quando o usuario conecta ou usa a integracao. Salvaguardas: Consentimento OAuth, revogacao disponivel, tokens criptografados e mecanismos contratuais aplicaveis. Retencao: Tokens ficam ativos ate desconexao, exclusao da conta ou expurgo de integracoes inativas.
  • OpenAI: Geracao e analise de imagem/texto quando o modelo OpenAI e selecionado. Dados: prompts, imagens enviadas quando usadas na geracao, metadados de uso. Finalidades: gerar ou analisar conteudo solicitado pelo usuario. Bases legais: execucao de contrato. Transferencia: Chamadas de API podem envolver processamento internacional pela OpenAI. Salvaguardas: Contrato/termos/DPA do fornecedor e mecanismos de transferencia internacional aplicaveis. Retencao: Prompts e payloads operacionais seguem redacao/expurgo automaticos; imagens inline nao sao persistidas.
  • xAI / Grok: Geracao de imagens com Grok Imagine quando o modelo xAI e selecionado. Dados: prompts, imagens de referencia quando enviadas, metadados de uso. Finalidades: gerar ou editar conteudo solicitado pelo usuario. Bases legais: execucao de contrato. Transferencia: Chamadas de API podem envolver processamento internacional pela xAI. Salvaguardas: Termos empresariais/DPA, controles de retencao contratados e mecanismos de transferencia aplicaveis. Retencao: Conforme o endpoint e os controles contratados; payloads internos seguem as rotinas de redacao e expurgo.
  • Ideogram: Geracao, remix, reenquadramento, remocao e substituicao de fundo em imagens. Dados: prompts, imagens enviadas para edicao, metadados de uso. Finalidades: gerar, editar ou reenquadrar conteudo solicitado pelo usuario. Bases legais: execucao de contrato. Transferencia: Chamadas de API podem envolver processamento internacional pela Ideogram. Salvaguardas: Termos da API, politica de privacidade, controles de acesso e mecanismos de transferencia aplicaveis. Retencao: Conforme os termos e a configuracao da API; imagens inline nao sao persistidas pela plataforma em metadados.
  • Anthropic: Analise visual/estilo quando recurso Anthropic e usado. Dados: imagens analisadas, prompts de analise, metadados de uso. Finalidades: extrair DNA visual e apoiar recursos criativos. Bases legais: execucao de contrato. Transferencia: Chamadas de API podem envolver processamento internacional pela Anthropic. Salvaguardas: Contrato/termos/DPA do fornecedor e mecanismos de transferencia internacional aplicaveis. Retencao: Prompts e logs seguem redacao/expurgo automaticos; imagens inline nao sao persistidas.
  • Hostinger Email ou provedor SMTP configurado: Envio de confirmacoes, recuperacao de conta, avisos transacionais e atendimento por e-mail. Dados: nome, endereco de e-mail, assunto, mensagem, metadados tecnicos de entrega. Finalidades: entregar comunicacoes solicitadas ou necessarias ao servico, atender suporte e obrigacoes legais. Bases legais: execucao de contrato, legitimo interesse em atendimento, cumprimento de obrigacao legal. Transferencia: Pode envolver infraestrutura internacional conforme o provedor SMTP e seus subprocessadores. Salvaguardas: Conexao TLS, credenciais protegidas, contrato/termos do provedor e mecanismos de transferencia aplicaveis. Retencao: Conforme as caixas postais, logs tecnicos e politicas do provedor, com minimizacao e exclusao quando aplicavel.
  • Vercel ou infraestrutura equivalente: Hospedagem da aplicacao, execucao serverless, cron jobs e logs tecnicos. Dados: logs tecnicos, IP, user-agent, eventos de erro, metadados operacionais. Finalidades: disponibilizar a aplicacao, monitorar estabilidade, investigar incidentes. Bases legais: execucao de contrato, legitimo interesse em seguranca e disponibilidade. Transferencia: Pode envolver processamento internacional conforme a infraestrutura contratada. Salvaguardas: Contrato/DPA do fornecedor e mecanismos de transferencia internacional aplicaveis. Retencao: Logs tecnicos seguem politicas do provedor e rotinas internas de minimizacao quando persistidos no banco.

5. Transferência internacional

Alguns fornecedores podem tratar ou armazenar dados fora do Brasil. Isso pode ocorrer em chamadas para Google/Gemini, OpenAI, Anthropic, xAI/Grok e Ideogram, no processamento pelo Stripe, na infraestrutura de hospedagem e armazenamento, no envio de e-mails e na integração Google/YouTube.

Quando houver transferência internacional de dados pessoais, adotaremos um mecanismo válido previsto na LGPD e na regulamentação da ANPD, conforme aplicável ao fluxo, como decisão de adequação, cláusulas-padrão contratuais, cláusulas específicas aprovadas, normas corporativas globais ou outra hipótese legal.

Registramos a finalidade, a base legal, as categorias de dados, o fornecedor e as salvaguardas de cada fluxo relevante. Contratos, termos de processamento e mecanismos de transferência são revisados de acordo com a função e a configuração utilizada em cada fornecedor.

5.1. IA generativa e retenção dos provedores

Quando o usuário seleciona um recurso de IA, enviamos ao provedor escolhido somente os prompts, imagens e metadados necessários para executar a tarefa. A retenção, a prevenção de abuso e os controles de treinamento dependem do contrato, plano, endpoint e configuração operacional aplicáveis.

Controles como Zero Data Retention ou opções equivalentes só se aplicam quando estiverem disponíveis, contratados e efetivamente habilitados. Fora dessas hipóteses, prevalecem os termos e prazos operacionais do provedor correspondente.

  • OpenAI (GPT Image / GPT Image 2 quando configurado na plataforma): Por padrão, entradas e saídas da API não são usadas para treinar os modelos. Logs de prevenção a abuso podem ser retidos por até 30 dias; Zero Data Retention depende de aprovação, configuração e compatibilidade do endpoint.
  • Google Gemini (Gemini 3 Pro / Nano Banana Pro quando configurado na plataforma): Nos Serviços Pagos da Gemini API, prompts e respostas não são usados para melhorar os produtos da Google. Registros limitados de prevenção a abuso e outros recursos podem ter retenção própria; Zero Data Retention exige configuração compatível.
  • Anthropic (Claude API quando usada para análise visual ou de estilo): Por padrão, dados da API comercial não são usados para treinamento. Entradas e saídas são normalmente excluídas em até 30 dias, salvo configuração contratual diferente, prevenção a abuso ou obrigação legal.
  • xAI (Grok Imagine quando selecionado para geração de imagens): Nos termos empresariais da API, o conteúdo não é usado para treinar modelos de base e é excluído em até 30 dias, salvo exceções contratuais, legais, de segurança ou moderação. Zero Data Retention depende de contratação e habilitação.
  • Ideogram (Ideogram API para geração e edição de imagens): Os termos da API informam que entradas e saídas não são usadas para treinamento, exceto conteúdo sinalizado por possível violação das políticas de uso, que pode ser usado para segurança e prevenção a abuso.

6. Retenção e exclusão

Aplicamos rotinas automáticas para reduzir, anonimizar ou excluir dados vencidos. Quando a exclusão da conta é solicitada, existe uma janela de cancelamento de 30 dias antes da remoção, sem prejuízo das retenções legais, financeiras, antifraude e necessárias ao exercício de direitos.

Dados de conta, projetos e imagens salvas são mantidos enquanto a conta estiver ativa ou enquanto forem necessários para prestar o serviço. Imagens enviadas diretamente aos provedores de IA não devem ser persistidas em formato base64 nos metadados ou na fila da plataforma.

Dados financeiros, fiscais, de segurança, auditoria e prevenção a fraude podem ser mantidos por prazo maior quando necessário para cumprir a lei, responder a autoridades, exercer direitos ou proteger a plataforma e seus usuários.

O painel de privacidade permite registrar pedidos de acesso, exportação ou portabilidade, correção, anonimização, exclusão e revogação de autorizações. Solicitações complementares podem ser enviadas para privacy@vistralstudio.app.

  • Prompts e metadados detalhados de geracao: 90 dias para diagnostico, melhoria operacional e suporte. Descarte: Remocao de campos como prompt original, CTA, analise detalhada e instrucoes de variacao.
  • Fila de geracao de IA: 30 dias apos conclusao ou falha. Descarte: Exclusao de jobs concluidos/falhos e payloads/resultados transitarios.
  • Logs de uso de APIs de IA: 90 dias com metadados; ate 180 dias em forma operacional minimizada. Descarte: Redacao de metadados e mensagens de erro; exclusao depois do prazo final.
  • Historico de acoes, downloads e uploads externos: 180 dias para historico interno; uploads externos bem-sucedidos ate 365 dias. Descarte: Exclusao de eventos antigos e redacao de metadados de upload apos 90 dias.
  • Imagens salvas pelo usuario: Enquanto o item permanecer salvo na conta ou ate exclusao da conta. Descarte: Remocao do storage privado na exclusao da conta; data URLs legados no banco sao expurgados.
  • Integracoes e OAuth: Enquanto a integracao estiver ativa; estados OAuth expiram em curto prazo. Descarte: Exclusao de states expirados e integracoes inativas antigas; revogacao na desconexao/exclusao.
  • Pagamentos, creditos, assinaturas e registros financeiros: Ate 5 anos para obrigacoes legais, auditoria, reembolsos e defesa de direitos. Descarte: Exclusao de registros financeiros vencidos; pagamentos falhos/pendentes expiram antes.
  • Registros de incidentes de seguranca: 5 anos apos encerramento, salvo prazo legal maior ou defesa de direitos. Descarte: Anonimizacao ou exclusao de notas/evidencias vencidas, preservando indicadores agregados quando necessario.

7. Direitos do titular

Nos termos da LGPD, você pode solicitar confirmação de tratamento, acesso, correção, anonimização, bloqueio, eliminação, portabilidade, informação sobre compartilhamento, oposição, revisão de decisões automatizadas quando aplicável e revogação do consentimento.

A plataforma registra as solicitações com status, data de recebimento e resumo da resposta. Exportações são disponibilizadas em formato JSON autenticado para facilitar o acesso e a portabilidade.

Podemos solicitar informações para confirmar a identidade do requerente. Alguns pedidos podem ser limitados por retenções obrigatórias, proteção de segredos comerciais e industriais ou necessidade de exercício regular de direitos, sempre com a justificativa aplicável.

O titular também pode apresentar petição à Autoridade Nacional de Proteção de Dados, observados os requisitos legais.

8. Segurança e incidentes

Adotamos medidas técnicas e administrativas para reduzir riscos, incluindo autenticação, controle de acesso, Row Level Security, cabeçalhos de segurança, limitação de requisições, proteção de segredos e monitoramento operacional.

Mantemos processo de resposta a incidentes com triagem, contenção, avaliação de risco, responsáveis, evidências e trilha de auditoria. Relatos de vulnerabilidade ou segurança podem ser enviados para security@vistralstudio.app.

Nenhuma plataforma é absolutamente imune a incidentes. Se um incidente puder causar risco ou dano relevante aos titulares, realizaremos as comunicações exigidas à ANPD e aos titulares no prazo regulatório aplicável, atualmente de até 3 dias úteis contados do conhecimento pelo controlador, ressalvado prazo específico previsto em lei.

9. Dados de terceiros e de menores

Ao enviar imagem ou outro conteúdo com dados de uma terceira pessoa, o usuário deve possuir base legal, autorização ou outro direito válido para esse uso. A plataforma não deve ser usada para explorar, expor ou criar conteúdo sexual envolvendo crianças ou adolescentes.

Se o usuário não tiver capacidade civil para aceitar estes documentos por conta própria, o uso deve ser acompanhado e autorizado por seu responsável legal.

10. Alterações desta Política

Esta Política pode ser atualizada para refletir mudanças no produto, nos fornecedores, na legislação ou nos controles de segurança. A data da versão vigente será exibida no topo. Quando uma alteração for material e exigir novo aceite, adotaremos um aviso ou fluxo de consentimento apropriado.

Vistral Studio - Spark | Vistral Studio - Spark | Política de privacidade