Política de Privacidade

1. Informações Gerais e Controlador de Dados

Esta Política de Privacidade ("Política") explica como os dados pessoais coletados por meio do site hareki.com e da plataforma Hareki Studio ("Plataforma", "Serviço") operada pela Hareki LLC ("Empresa", "nós"), operando sob a marca Hareki Studio, são coletados, processados, armazenados, transferidos e protegidos.

A Hareki LLC é uma sociedade de responsabilidade limitada constituída sob as leis do Estado do Novo México, Estados Unidos da América. A Plataforma oferece serviços de criação de conteúdo para redes sociais com IA (SaaS) e atende usuários na Turquia, na União Europeia e em todo o mundo.

Informações sobre a pessoa jurídica que atua como controlador de dados nos termos da Lei n.º 6698 sobre a Proteção de Dados Pessoais ("KVKK"), do Regulamento Geral de Proteção de Dados da União Europeia ("GDPR", UE 2016/679) e da Lei de Privacidade do Consumidor da Califórnia ("CCPA"):

• Razão Social: Hareki LLC
• Local de Constituição: Novo México, Estados Unidos da América
• Site: hareki.com
• E-mail: privacy@hareki.com

Ao utilizar a Plataforma ou criar uma conta, você aceita as práticas de processamento de dados descritas nesta Política. Se não aceitar a Política, por favor não utilize a Plataforma.

2. Definições

Os principais termos utilizados nesta Política têm os seguintes significados:

• Dados Pessoais: Qualquer informação relativa a uma pessoa natural identificada ou identificável. (KVKK Art.3/1-d, GDPR Art.4/1)
• Dados Pessoais de Categoria Especial: Raça, origem étnica, opinião política, crença filosófica, religião, seita, vestimenta, associação/fundação/filiação sindical, saúde, vida sexual, condenação criminal, dados biométricos e genéticos. Não coletamos conscientemente esses dados por meio da Plataforma.
• Controlador de Dados: A pessoa natural ou jurídica que determina as finalidades e meios de processamento de dados pessoais — Hareki LLC nos termos desta Política.
• Processador de Dados: A pessoa natural ou jurídica que processa dados pessoais em nome do controlador de dados com base em sua autorização (ex.: Stripe, Vercel, Supabase, OpenRouter).
• Titular dos Dados: A pessoa natural cujos dados pessoais são processados — Usuário da Plataforma.
• Processamento de Dados: Qualquer operação realizada com dados pessoais: coleta, registro, armazenamento, alteração, reorganização, divulgação, transferência, aquisição, disponibilização, classificação ou prevenção de uso.
• Consentimento Expresso: Consentimento relativo a um assunto específico, baseado em informação, e expresso livremente.
• Anonimização: Tornar dados pessoais de tal forma que não possam ser associados a uma pessoa natural identificada ou identificável sob nenhuma circunstância, mesmo quando combinados com outros dados.
• Perfilamento: Uso de dados pessoais por meio de processamento automatizado para analisar ou prever as preferências, interesses ou comportamento de uma pessoa.

3. Dados Pessoais Coletados

O Hareki Studio coleta e processa as seguintes categorias de dados pessoais para prestar seus serviços:

3.7 Dados Coletados Automaticamente

A Plataforma coleta automaticamente os seguintes dados para melhorar a qualidade do serviço e para fins de depuração:

• Logs do servidor
• Relatórios de erros (via Sentry)
• Métricas de desempenho
• Dados de visualização de página

4. Finalidades do Processamento de Dados Pessoais

Seus dados pessoais são processados para as seguintes finalidades:

5. Base Legal para o Processamento de Dados Pessoais

5.1 Base Legal nos termos da KVKK (Artigo 5)

Seus dados pessoais são processados com base nos seguintes fundamentos legais previstos no Artigo 5 da Lei n.º 6698:

• Consentimento expresso (Art.5/1): Comunicações de marketing, cookies analíticos e atividades de processamento de dados não obrigatórias.
• Necessário para a execução de um contrato (Art.5/2-c): Criação de conta, prestação de serviço, geração de conteúdo, gerenciamento de assinatura.
• Obrigação legal (Art.5/2-ç): Legislação tributária, direito comercial e requisitos de conformidade regulatória.
• Interesse legítimo (Art.5/2-f): Melhoria do serviço, medidas de segurança, detecção de fraudes. Os direitos e liberdades fundamentais e interesses dos usuários são considerados na avaliação de interesse legítimo.

5.2 Base Legal nos termos do GDPR (Artigo 6)

Para usuários no Espaço Econômico Europeu ("EEE"), o processamento de dados pessoais é baseado nos seguintes fundamentos legais:

• Execução de contrato (Art.6/1-b): Processamento de dados necessário para fornecer as funcionalidades principais da Plataforma.
• Interesse legítimo (Art.6/1-f): Melhoria do serviço, segurança, prevenção de fraudes. Uma avaliação de interesse legítimo (LIA) foi realizada para cada atividade de processamento.
• Consentimento (Art.6/1-a): Cookies não essenciais, comunicações de marketing. O consentimento pode ser retirado a qualquer momento.
• Obrigação legal (Art.6/1-c): Obrigações tributárias e contábeis, relatórios legais.

5.3 Escopo da CCPA

Para residentes da Califórnia: não vendemos suas informações pessoais. Seus direitos sob a CCPA estão detalhados na Seção 14 desta Política.

6. Processamento de Dados com Inteligência Artificial

O Hareki Studio utiliza tecnologias de inteligência artificial para gerar conteúdo para redes sociais. Esta seção explica de forma transparente como seus dados são utilizados nos processos de IA.

6.1 Geração de Conteúdo com IA

Durante a geração de conteúdo, os seguintes dados são enviados a provedores de IA terceirizados (OpenRouter/OpenAI):

• Parâmetros de voz e tom da marca
• Informações de setor e tema
• Preferências de tipo de conteúdo
• Textos de prompt inseridos pelo usuário

6.2 Anonimização

Os dados enviados a provedores de IA são anonimizados. As informações de identificação pessoal dos usuários (nome, e-mail, endereço IP) não são incluídas nas solicitações de IA. Os dados enviados são utilizados exclusivamente para criar contexto para a geração de conteúdo.

6.3 Uso de Dados pelo Provedor de IA

• Os provedores de IA (OpenRouter, OpenAI) não utilizam dados enviados via API para treinar seus próprios modelos (conforme os Termos de Serviço da API).
• As solicitações de IA são processadas em tempo real; após a conclusão da solicitação, os dados no lado do provedor de IA estão sujeitos à política de retenção de dados do provedor (tipicamente 30 dias para fins de segurança).
• O conteúdo gerado é armazenado na conta do usuário pela Plataforma e pertence ao usuário.

6.4 Análise de Marca

A análise automática de marca é realizada por meio da URL do site fornecida pelo usuário. Durante esse processo:

• As páginas publicamente acessíveis do site são rastreadas
• Elementos de identidade visual (logo, cores, tipografia) são extraídos
• A análise de voz e tom da marca é realizada
• Os resultados da análise são armazenados apenas na conta do usuário correspondente

6.5 Treinamento de Modelos

A Hareki LLC não utiliza dados de usuários para treinar seus próprios modelos de IA ou para treinamento de modelos de terceiros. Seus dados são processados exclusivamente para a finalidade de prestação de serviços a você.

7. Cookies e Tecnologias de Rastreamento

A Plataforma utiliza diversos tipos de cookies e tecnologias similares:

7.1 Cookies Essenciais

Cookies necessários para as funções principais da Plataforma e que não podem ser desativados:

• Cookie de sessão (Better Auth): Autenticação e gerenciamento seguro de sessão
• Token CSRF: Proteção contra falsificação de solicitação entre sites
• Cookies de segurança: Limitação de taxa e proteção contra bots

7.2 Cookies Funcionais

• Preferência de tema (modo claro/escuro)
• Preferência de idioma
• Preferências de interface

7.3 Cookies Analíticos e de Desempenho

• Sentry: Rastreamento de erros e monitoramento de desempenho. As ações dos usuários são registradas de forma anonimizada.

7.4 Gerenciamento de Cookies

Você pode gerenciar ou desativar todos os cookies, exceto os essenciais, nas configurações do seu navegador. No entanto, a desativação de alguns cookies pode afetar a funcionalidade da Plataforma.

Para informações mais detalhadas sobre cookies, consulte nossa Política de Cookies.

8. Transferência de Dados Pessoais

Seus dados pessoais são compartilhados com os seguintes prestadores de serviços terceirizados na medida necessária para a prestação do serviço. Acordos de processamento de dados (DPA) adequados foram firmados com cada provedor:

8.1 Infraestrutura e Hospedagem

• Vercel Inc. (EUA/UE) — Hospedagem de aplicação web, CDN e funções edge. Servidores nas regiões dos EUA e UE.
• Supabase Inc. (EUA) — Hospedagem de banco de dados, armazenamento de arquivos e operações de dados em tempo real. Row Level Security (RLS) implementado com banco de dados PostgreSQL.

8.2 Processamento de Pagamentos

• Stripe Inc. (EUA) — Processamento de pagamentos, gerenciamento de assinaturas e faturamento. O Stripe é certificado PCI DSS Nível 1. Suas informações de cartão de crédito são processadas diretamente pelo Stripe e não são armazenadas por nós.

8.3 Provedores de IA

• OpenRouter / OpenAI (EUA) — Geração de conteúdo com IA. Parâmetros anonimizados de marca e conteúdo são enviados. Informações de identificação pessoal não são compartilhadas.

8.4 Rastreamento de Erros e Análises

• Sentry (EUA) — Rastreamento de erros de aplicação e monitoramento de desempenho. Relatórios de erros podem conter endereços IP e informações do navegador.

8.5 Serviços de E-mail

• Resend (EUA) — E-mails transacionais (redefinição de senha, notificações). Endereço de e-mail e nome são compartilhados.

8.6 Sem Venda de Dados

Seus dados pessoais nunca são vendidos, alugados ou compartilhados para fins de marketing com terceiros. Seus dados são compartilhados apenas com os prestadores de serviços listados acima e apenas na medida necessária para a prestação do serviço.

8.7 Casos de Obrigação Legal

Seus dados pessoais podem ser compartilhados com instituições e organizações autorizadas nos seguintes casos:

• Ordens judiciais ou obrigações legais
• Solicitações legítimas de instituições e organizações públicas autorizadas
• Quando necessário para proteger a vida ou integridade física do usuário ou de terceiros
• Solicitações legais para prevenção ou investigação de crimes

9. Transferências Internacionais de Dados

A Hareki LLC tem sede nos Estados Unidos e nossos prestadores de serviços estão localizados nos EUA e na UE. Seus dados pessoais podem ser transferidos para países fora da Turquia e/ou do EEE.

9.1 Mecanismos de Transferência

Implementamos os seguintes mecanismos de proteção para transferências internacionais de dados:

• Cláusulas Contratuais Padrão (SCC): Cláusulas padrão de proteção de dados aprovadas pela Comissão Europeia, aplicadas a todas as transferências fora da UE/EEE.
• Decisões de Adequação: Transferências para países determinados pela Comissão Europeia como tendo nível adequado de proteção de dados.
• EU-US Data Privacy Framework (DPF): Quando nossos prestadores de serviços possuem certificação DPF, as transferências são realizadas sob este framework.
• Adequação KVKK: Transferências para países com proteção adequada nos termos do Art.9 da KVKK ou por mecanismos autorizados pelo Conselho de Proteção de Dados Pessoais.

9.2 Localização dos Servidores

• Vercel: Regiões dos EUA e UE (servidor edge mais próximo baseado na localização geográfica do usuário)
• Supabase: EUA
• Stripe: EUA (infraestrutura certificada PCI DSS Nível 1)
• Sentry: EUA

9.3 Salvaguardas Adicionais

Adicionalmente, fornecemos as seguintes salvaguardas para transferências internacionais:

• Avaliação de impacto de transferência (TIA) antes da transferência
• Aplicação do princípio de minimização de dados
• Criptografia dos dados transferidos em trânsito e em repouso
• Acordos de Processamento de Dados (DPA) firmados com prestadores de serviços

10. Medidas de Segurança de Dados

Implementamos medidas técnicas e administrativas abrangentes para proteger seus dados pessoais contra acesso não autorizado, alteração, divulgação ou destruição:

10.1 Medidas Técnicas

• Criptografia (em trânsito): Toda a comunicação de dados é criptografada com TLS 1.2+ / HTTPS
• Criptografia (em repouso): Criptografia AES-256 em áreas de banco de dados e armazenamento de arquivos
• Segurança de Senha: As senhas dos usuários são criptografadas com algoritmo bcrypt; nunca armazenadas como texto simples
• Row Level Security (RLS): Políticas de segurança em nível de linha no banco de dados, garantindo que cada usuário acesse apenas seus próprios dados
• Limitação de Taxa: Prevenção de abuso por meio de limitação de taxa de requisições em endpoints da API
• Proteção CSRF: Proteção baseada em token contra falsificação de solicitação entre sites
• Validação Zod: Validação de dados em tempo de execução em todos os pontos de entrada da API
• OAuth 2.0: Autenticação segura via Google, Apple, Microsoft e LinkedIn
• Gerenciamento Seguro de Sessão: Gerenciamento seguro de sessão baseado em JWT com infraestrutura Better Auth

10.2 Medidas Administrativas

• Princípio do menor privilégio: Apenas pessoal que necessita de acesso pode acessar os dados
• Avaliações regulares de segurança e revisões de código
• Verificações e atualizações de segurança de dependências
• Plano de resposta a violações de dados
• Monitoramento da conformidade de segurança dos prestadores de serviços

10.3 Notificação de Violação de Dados

No caso de violação de dados pessoais, em conformidade com os requisitos legais aplicáveis:

• KVKK: O Conselho de Proteção de Dados Pessoais é notificado o mais breve possível e em qualquer caso dentro de 72 horas; os usuários afetados são informados o mais breve possível.
• GDPR: A autoridade supervisora competente é notificada dentro de 72 horas; os usuários são informados diretamente em caso de violações de alto risco.
• CCPA: O Escritório do Procurador-Geral da Califórnia e os consumidores afetados são notificados dentro dos prazos legais.

11. Prazos de Retenção de Dados

Seus dados pessoais são retidos pelo período exigido pelas finalidades de processamento e em conformidade com as obrigações legais:

Os dados cujo período de retenção expirou são excluídos ou anonimizados de forma segura por meio de processos automáticos ou periódicos de destruição. Em casos de obrigação legal, os dados continuam sendo armazenados pelo período prescrito pela legislação pertinente.

12. Direitos do Usuário — KVKK

Nos termos do Artigo 11 da Lei n.º 6698, você tem os seguintes direitos relativos aos seus dados pessoais:

• Direito de saber: Saber se seus dados pessoais estão sendo processados.
• Direito de solicitar informações: Solicitar informações sobre seus dados pessoais processados.
• Direito de conhecer a finalidade: Saber a finalidade do processamento de seus dados pessoais e se estão sendo utilizados de acordo com sua finalidade.
• Direito de conhecer terceiros: Conhecer os terceiros para os quais seus dados pessoais foram transferidos, nacional ou internacionalmente.
• Correção: Solicitar a correção de seus dados pessoais caso processados de forma incompleta ou imprecisa.
• Exclusão / destruição: Solicitar a exclusão ou destruição de seus dados pessoais nas condições estabelecidas no Artigo 7 da KVKK.
• Notificação de correção/exclusão: Solicitar que as operações de correção e exclusão sejam notificadas a terceiros para os quais seus dados pessoais foram transferidos.
• Objeção à análise automatizada: Opor-se a um resultado contra você decorrente da análise de dados processados exclusivamente por sistemas automatizados.
• Indenização: Solicitar indenização por danos decorrentes do processamento ilegal de seus dados pessoais.

Método de Solicitação

Para exercer seus direitos nos termos da KVKK, você pode enviar uma solicitação escrita para privacy@hareki.com acompanhada de informações para verificar sua identidade. Sua solicitação será concluída gratuitamente no prazo máximo de 30 dias. Se o processo exigir custo adicional, a taxa determinada pelo Conselho de Proteção de Dados Pessoais será aplicada.

13. Direitos do Usuário — GDPR

Se você reside no Espaço Econômico Europeu (EEE), você tem os seguintes direitos nos termos do GDPR:

• Direito de acesso (Artigo 15): Solicitar uma cópia de seus dados pessoais e obter informações sobre as condições de processamento.
• Direito de retificação (Artigo 16): Solicitar a correção de dados pessoais imprecisos ou incompletos.
• Direito de exclusão / Direito ao esquecimento (Artigo 17): Solicitar a exclusão de seus dados pessoais sob certas condições.
• Direito à restrição de processamento (Artigo 18): Solicitar a restrição do processamento de seus dados pessoais em determinadas situações.
• Direito à portabilidade de dados (Artigo 20): Receber seus dados pessoais em formato estruturado, de uso comum e legível por máquina (JSON) e transferi-los para outro controlador de dados.
• Direito de objeção (Artigo 21): Opor-se ao processamento de dados baseado em interesse legítimo. Em caso de objeção, o processamento é interrompido a menos que sejam demonstrados motivos legítimos convincentes para continuá-lo.
• Direito de não ser sujeito a decisões automatizadas (Artigo 22): Não ser sujeito a decisões baseadas exclusivamente em processamento automatizado que produzam efeitos legais ou similarmente significativos.
• Direito de retirar o consentimento: Retirar seu consentimento a qualquer momento para atividades de processamento de dados baseadas em consentimento. A retirada não afeta a legalidade do processamento realizado antes da retirada.

Prazo de Resposta

As solicitações nos termos do GDPR são respondidas no prazo máximo de um (1) mês. Este prazo pode ser estendido por dois (2) meses adicionais dependendo da complexidade ou número de solicitações; neste caso, você será informado dentro do primeiro mês juntamente com o motivo da extensão.

14. Direitos do Usuário — CCPA (Califórnia)

Se você reside na Califórnia, você tem os seguintes direitos nos termos da Lei de Privacidade do Consumidor da Califórnia (CCPA/CPRA):

• Direito de saber: Saber quais categorias de informações pessoais foram coletadas nos últimos 12 meses, as fontes de coleta, a finalidade da coleta e os terceiros com os quais as informações foram compartilhadas.
• Direito de acesso: Solicitar uma cópia de suas informações pessoais coletadas.
• Direito de exclusão: Solicitar a exclusão de suas informações pessoais coletadas (sujeito a exceções legais).
• Direito de correção: Solicitar a correção de informações pessoais imprecisas.
• Direito de recusar a venda: Opor-se à venda ou compartilhamento de suas informações pessoais. Nota: A Hareki LLC não vende nem compartilha suas informações pessoais para fins de marketing.
• Não discriminação: Não ser discriminado em qualidade de serviço, preços ou acesso por exercer seus direitos sob a CCPA.

Categorias de Informações Coletadas sob a CCPA

• Identificadores (nome, e-mail, endereço IP)
• Informações comerciais (histórico de assinatura, registros de pagamento)
• Atividade na internet ou rede eletrônica (tipo de navegador, visualizações de página)
• Informações profissionais (nome da marca, setor, profissão)
• Conteúdo fornecido pelo usuário (dados da marca, conteúdo gerado)

Solicitação

Para exercer seus direitos sob a CCPA, você pode entrar em contato pelo privacy@hareki.com. Após a verificação de identidade, sua solicitação será respondida em até 45 dias.

15. Privacidade de Menores

A Plataforma Hareki Studio não é destinada a indivíduos menores de 18 anos. Não coletamos conscientemente dados pessoais de menores de 18 anos.

Se você tomar conhecimento de que um menor de 18 anos nos forneceu dados pessoais, notifique imediatamente privacy@hareki.com. Após verificação, os dados em questão serão excluídos o mais breve possível.

Nos termos do GDPR, o consentimento dos pais ou responsáveis é necessário para o processamento de dados de crianças menores de 16 anos. Nos termos da KVKK, o processamento de dados de menores de 18 anos requer o consentimento dos pais/responsáveis. Em ambos os casos, a Plataforma aplica o limite de 18 anos.

16. Tomada de Decisão Automatizada e Perfilamento

O Hareki Studio realiza certas atividades de processamento automatizado no curso da prestação de serviços:

16.1 Geração de Conteúdo com IA

Os modelos de IA geram sugestões de conteúdo com base nos parâmetros de voz da sua marca e preferências. Este é um mecanismo de tomada de decisão automatizada; no entanto:

• Todo conteúdo gerado é revisado e aprovado pelo usuário
• O usuário tem o direito de editar, revisar ou rejeitar o conteúdo gerado
• A decisão final de publicação sempre pertence ao usuário

16.2 Pontuação de Qualidade de Conteúdo

A Plataforma atribui pontuações automáticas de qualidade ao conteúdo gerado. Essas pontuações são apenas informativas e não restringem o acesso do usuário ao serviço.

16.3 Análise de Voz da Marca

Durante a análise de marca, a IA analisa os dados publicamente disponíveis do seu site para criar um perfil de voz da marca. O usuário pode editar esse perfil a qualquer momento.

16.4 Seus Direitos

Nos termos do Art.11 da KVKK e do Art.22 do GDPR, você tem o direito de se opor a decisões baseadas exclusivamente em processamento automatizado (incluindo perfilamento) que produzam efeitos legais ou o afetem significativamente. Em caso de objeção, a avaliação será realizada com intervenção humana.

17. Alterações na Política

Esta Política de Privacidade pode ser revisada periodicamente em conformidade com requisitos legais, mudanças no serviço ou atualizações nas práticas de processamento de dados.

17.1 Métodos de Notificação

Para alterações na política:

• Alterações significativas: Notificação enviada ao seu endereço de e-mail cadastrado com pelo menos 30 dias de antecedência
• Atualizações menores: Anunciadas via notificação na plataforma
• A Política atualizada é sempre publicada em hareki.com/privacy
• A data de cada atualização aparece no topo e no final da página

17.2 Renovação de Consentimento

Para alterações significativas que ampliem o escopo do processamento de dados, o consentimento expresso pode ser solicitado novamente em conformidade com os requisitos legais. Se você não aceitar as alterações, seu direito de encerrar sua conta está resguardado.

18. Contato com o Controlador de Dados

Você pode utilizar os seguintes canais para quaisquer perguntas, solicitações e aplicações relativas aos seus dados pessoais:

18.1 Informações de Contato

• Controlador de Dados: Hareki LLC
• E-mail: privacy@hareki.com
• Web: hareki.com/privacy

18.2 Requisitos da Solicitação

Sua solicitação deve conter as seguintes informações para ser avaliada:

• Nome e sobrenome
• Endereço de e-mail cadastrado
• Assunto da solicitação (qual direito deseja exercer)
• Descrição detalhada da solicitação
• Informações necessárias para verificação de identidade (o endereço de e-mail associado à sua conta é suficiente)

18.3 Prazos de Resposta

• KVKK: No prazo máximo de 30 dias
• GDPR: No prazo máximo de 1 mês (extensível para 2 meses)
• CCPA: No prazo máximo de 45 dias (extensível por mais 45 dias)

19. Direito de Reclamação

Se suas solicitações relativas ao processamento de seus dados pessoais não forem atendidas ou se não estiver satisfeito com a resposta, seu direito de registrar uma reclamação junto às autoridades supervisoras competentes está resguardado:

19.1 Turquia — KVKK

Se sua solicitação ao controlador de dados for rejeitada, a resposta for considerada insuficiente ou nenhuma resposta for dada dentro de 30 dias, você pode registrar uma reclamação junto ao Conselho de Proteção de Dados Pessoais:

• Instituição: Autoridade de Proteção de Dados Pessoais (KVKK)
• Web: kvkk.gov.tr
• Endereço: Nasuh Akar Mah. Ziyabey Cad. 1407. Sok. No: 4, 06520 Balgat-Çankaya / Ancara, Turquia

19.2 União Europeia — GDPR

Se você reside no EEE, pode registrar uma reclamação junto à autoridade de proteção de dados (Autoridade Supervisora / Autoridade de Proteção de Dados) do seu país. Você pode acessar a lista de autoridades de proteção de dados da UE no site do Comitê Europeu de Proteção de Dados (EDPB):

• Instituição: Comitê Europeu de Proteção de Dados (EDPB)
• Web: edpb.europa.eu

19.3 Califórnia — CCPA

Residentes da Califórnia podem entrar em contato com o Escritório do Procurador-Geral da Califórnia em relação a violações de direitos de privacidade:

• Instituição: Procurador-Geral da Califórnia — Escritório de Proteção da Privacidade
• Web: oag.ca.gov/privacy

19.4 Recurso Judicial

Além dos recursos administrativos acima, seu direito de recorrer aos tribunais competentes para indenização por danos causados pelo processamento ilegal de seus dados pessoais está resguardado.