Política de Privacidade

Como o Caranguejo.art coleta, usa e protege seus dados pessoais — em conformidade com a LGPD e o GDPR.

Data de vigência: 21 de maio de 2026

Sumário

1. Introdução2. Dados que coletamos3. Como usamos seus dados4. Base legal para tratamento (LGPD art. 7º)5. Subprocessadores (terceiros que processam dados em nosso nome)6. Retenção e exclusão de dados7. Seus direitos (LGPD art. 18 / GDPR art. 12–22)8. Cookies e tecnologias similares9. Compartilhamento com autoridades10. Transferência internacional11. Segurança12. Crianças e adolescentes13. Mudanças nesta Política14. Encarregado e contato

1. Introdução #

Esta Política de Privacidade descreve como o Caranguejo.art ("Caranguejo", "nós") coleta, usa, armazena e compartilha dados pessoais de seus usuários. O serviço é operado por 59.611.478 MATHEUS DE MORAIS CAETANO - ME (CNPJ 59.611.478/0001-09), sediada no Brasil, e segue a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018) e, quando aplicável, o GDPR para usuários no Espaço Econômico Europeu.

Ao criar conta, usar a plataforma ou interagir com nossos serviços você concorda com esta Política. Se discorda de qualquer trecho, recomendamos não usar o serviço.

2. Dados que coletamos #

Coletamos as seguintes categorias de dados pessoais:

  • Dados de conta: email, senha (armazenada como hash criptográfico — nunca em texto plano), nome ou username, avatar, idioma preferido, fuso horário.

  • Dados via Google OAuth (quando você opta por entrar com Google): identificador único (sub), email, nome e foto de perfil. Não recebemos sua senha do Google.

  • Conteúdo de criação: prompts de texto, imagens/vídeos/áudios enviados como referência, parâmetros de geração (modelo, aspecto, duração, semente), mídias geradas, elementos salvos, projetos do Flow, posts publicados na comunidade.

  • Dados de pagamento: processados integralmente pelo Stripe. Não armazenamos número de cartão, CVV nem dados bancários completos. Recebemos do Stripe apenas: id de cliente, id da assinatura/cobrança, status, últimos 4 dígitos do cartão (para exibir no /account), data de validade do cartão e país de emissão.

  • Dados técnicos: endereço IP, user-agent (browser e SO), cookies de sessão, eventos de uso (qual modelo foi rodado, quanto tempo durou, sucesso/falha), logs de erro e segurança.

  • Comunicações: mensagens enviadas pelo formulário de contato, tickets de suporte, respostas que enviamos.

3. Como usamos seus dados #

Usamos os dados estritamente para os seguintes propósitos:

  • Operar a plataforma — autenticar você, processar pedidos de geração, exibir suas criações.

  • Processar pagamentos e gerenciar assinaturas via Stripe.

  • Cobrar consumo de créditos por geração e mostrar saldo atualizado.

  • Prevenir abuso e fraude — detecção de múltiplas contas, padrões anômalos de uso, chargebacks fraudulentos.

  • Cumprir obrigações legais — emissão de notas, retenção fiscal, atendimento de ordens judiciais.

  • Comunicar atualizações importantes — mudanças nos termos, alertas de segurança, recibo de pagamento.

  • Melhorar a plataforma — análise agregada e anônima de uso (qual feature é mais usada, latência média, taxa de erro por provider).

Não vendemos, alugamos ou negociamos seus dados pessoais com terceiros para fins de marketing.

4. Base legal para tratamento (LGPD art. 7º) #

Tratamos dados pessoais com base nas seguintes hipóteses legais:

  • Execução de contrato — para fornecer o serviço que você contratou (planos, créditos, geração).

  • Consentimento — para enviar comunicações de marketing, publicar conteúdo na galeria pública, usar OAuth.

  • Cumprimento de obrigação legal — para retenção fiscal e atendimento a autoridades.

  • Legítimo interesse — para prevenir fraude, abuso e proteger a infraestrutura.

5. Subprocessadores (terceiros que processam dados em nosso nome) #

Para entregar o serviço, compartilhamos dados estritamente necessários com os seguintes subprocessadores:

Infraestrutura e operação

  • Stripe Inc. — processamento de pagamentos, gestão de assinaturas, emissão de recibos. Conformidade PCI-DSS Nível 1.

  • Google LLC — autenticação via OAuth 2.0 (quando o usuário escolhe esse método).

  • Wasabi Technologies — armazenamento de mídia em buckets S3-compatíveis, com URLs pré-assinadas (presign) com validade limitada.

  • Amazon Web Services — Amazon SES — entrega de emails transacionais (verificação, redefinição de senha, recibos, notificações).

Modelos de IA (geração de conteúdo)

Cada geração que você executa é processada pela API do(s) provedor(es) que opera o modelo escolhido. Ao selecionar um modelo, seu prompt + inputs (texto, imagem, áudio, vídeo) são enviados para esse provedor específico para processamento. A transferência é inevitável — não há como gerar sem mandar o input para quem opera o modelo. A relação de cada provedor com você é regida pelas políticas do próprio provedor (links abaixo).

  • OpenAI

  • Google

  • Anthropic

  • ByteDance / Volcano Engine

  • Black Forest Labs

  • MiniMax

  • Alibaba

  • RunwayML

  • Suno

  • ElevenLabs

  • Topaz Labs

  • Recraft

  • Stability AI

  • Luma Labs

Os subprocessadores são selecionados por critérios de segurança, conformidade legal e qualidade do serviço. Atualizamos esta lista quando integramos novos modelos.

6. Retenção e exclusão de dados #

Mantemos seus dados pelo tempo necessário aos fins descritos. Os prazos específicos são:

  • Conta ativa: dados mantidos enquanto a conta existir e tiver atividade nos últimos 90 dias.

  • Conta inativa sem assinatura: contas sem assinatura ativa e sem login por 90 dias ou mais podem ter mídia gerada, elementos e projetos do Flow excluídos. Enviamos aviso por email com 30 dias de antecedência indicando a data programada da exclusão e como reativar a conta (login simples basta).

  • Conteúdo publicado na comunidade: seus posts podem permanecer visíveis após exclusão da sua conta, salvo solicitação expressa de remoção.

  • Logs de segurança: 12 meses.

  • Audit logs administrativos: 24 meses.

  • Dados financeiros (notas, transações Stripe): 5 anos (obrigação fiscal — Receita Federal).

  • Backups: backups criptografados de banco de dados são mantidos por até 60 dias para recuperação de desastre.

Você pode solicitar exclusão antecipada da sua conta a qualquer momento via [email protected] ou pelo painel /account. Dados financeiros e logs de segurança podem ser mantidos para cumprimento de obrigação legal mesmo após exclusão da conta.

7. Seus direitos (LGPD art. 18 / GDPR art. 12–22) #

Você tem o direito de, a qualquer momento e gratuitamente:

  • Confirmar se tratamos seus dados pessoais e ter acesso a eles.

  • Corrigir dados incompletos, inexatos ou desatualizados.

  • Solicitar anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade.

  • Portabilidade de seus dados para outro fornecedor de serviço — entregamos um arquivo JSON com seus dados.

  • Eliminação dos dados tratados com seu consentimento (exceto quando há base legal para mantê-los).

  • Informação sobre as entidades públicas e privadas com as quais compartilhamos dados.

  • Revogação do consentimento a qualquer momento.

Para exercer qualquer um destes direitos, envie um pedido para [email protected] usando o email da sua conta. Respondemos em até 15 dias corridos.

8. Cookies e tecnologias similares #

Usamos cookies estritamente necessários:

  • Sessão autenticada: token assinado armazenado em cookie HTTP-only para manter você logado.

  • Preferências: idioma, locale, tema (claro/escuro).

  • Segurança: token CSRF para prevenir falsificação de requisição.

Não usamos cookies de rastreamento publicitário nem compartilhamos seu comportamento com redes de ads. Você pode bloquear cookies nas configurações do seu navegador — isso pode quebrar a autenticação.

9. Compartilhamento com autoridades #

Compartilhamos dados pessoais com autoridades públicas apenas quando estritamente necessário para:

  • Cumprir ordem judicial ou requisição de autoridade competente.

  • Cumprir obrigação legal específica (Receita Federal, MPF, Polícia Civil/Federal).

  • Proteger direitos, propriedade ou segurança da Caranguejo, de seus usuários ou do público em geral.

  • Investigar, prevenir ou tomar providências contra atividades ilegais (especialmente CSAM, fraude financeira).

Quando legalmente possível, notificamos o usuário afetado antes do compartilhamento.

10. Transferência internacional #

Vários de nossos subprocessadores (provedores de modelos de IA, Stripe, Wasabi) estão sediados fora do Brasil — principalmente Estados Unidos, União Europeia e Singapura. As transferências internacionais de dados ocorrem sob as seguintes salvaguardas:

  • Cláusulas contratuais padrão de proteção de dados nos contratos com cada subprocessador.

  • Verificação de adequação do país receptor (LGPD art. 33–35).

  • Criptografia em trânsito (TLS 1.2+) e em repouso.

11. Segurança #

Aplicamos medidas técnicas e organizacionais para proteger seus dados:

  • Criptografia TLS 1.2+ em todas as conexões.

  • Senhas armazenadas com hash bcrypt/argon2 — irrecuperáveis em texto plano.

  • Buckets de storage com URLs pré-assinadas e expiração curta.

  • Audit logs de toda ação administrativa em sistemas críticos.

  • Princípio do menor privilégio — operadores acessam só o que precisam para seu papel.

  • Backups criptografados e testados periodicamente.

  • Monitoramento contínuo de anomalias e tentativas de intrusão.

Nenhum sistema é 100% seguro. Em caso de incidente de segurança que comprometa dados pessoais, notificaremos os afetados e a ANPD conforme exige a LGPD art. 48.

12. Crianças e adolescentes #

A plataforma não é destinada a menores de 16 anos. Não coletamos conscientemente dados de crianças. Se identificarmos que uma conta pertence a menor de 16 anos sem consentimento de responsável legal, a conta será suspensa e os dados, excluídos. Se você é responsável por uma criança e acredita que ela criou conta sem sua autorização, escreva para [email protected].

13. Mudanças nesta Política #

Podemos atualizar esta Política periodicamente para refletir mudanças no serviço, na legislação ou em nossos subprocessadores. Mudanças materiais são notificadas com pelo menos 30 dias de antecedência via email e banner no app. A data da última atualização aparece no topo desta página. O uso continuado da plataforma após mudanças implica concordância com a versão atualizada.

14. Encarregado e contato #

O Encarregado de Proteção de Dados (DPO) e canal oficial para qualquer pedido relativo a dados pessoais é:

  • Email: [email protected]

  • WhatsApp do suporte: +55 48 98822-6098

Você também pode entrar em contato pela Autoridade Nacional de Proteção de Dados (ANPD) caso entenda que seus direitos não foram respeitados.

Caranguejo.art

A plataforma criativa para imagem, vídeo, áudio e fluxos com os melhores modelos de IA.

Imagem

Nano Banana ProGPT Image 2SeedreamEditar imagemUpscale

Vídeo

Seedance 2.0Kling 3.0Veo 3.1Happy HorseMotion Control

Tools

Ver tudoUpscaleEnhanceRemove BGRestyleInpaint

Studio

FlowMarketing StudioComunidadePlanos

Desenvolvedores

Visão geralMCPCLISkillsDocumentação
© 2026 Caranguejo.art
PrivacidadeTermosContato
InícioAssets
Criar
20%PlanosConta