Logo
Documento legal

Política de Privacidade — BUSCAi Leilões

Política de Privacidade — BUSCAi Leilões

Versão 2.0 · Vigente a partir de 03/05/2026.
Este documento técnico-jurídico está em conformidade com a LGPD (Lei 13.709/2018), o CDC (Lei 8.078/1990), o Marco Civil da Internet (Lei 12.965/2014) e a Resolução CD/ANPD 31/2025 (Agenda Regulatória 2025-2026, Fase 1: IA + tratamento de alto risco).

1. Quem somos

A plataforma BUSCAi Leilões (https://buscaileiloes.com.br) é operada pela Synapsis Educação Jurídica Ltda, inscrita no CNPJ sob o nº 53.308.929/0001-49, com sede na Av. Raja Gabaglia 1093, Luxemburgo, Belo Horizonte/MG, CEP 30.380-403.
Somos os controladores dos seus dados pessoais (LGPD art. 5º VI) e nos comprometemos a tratá-los com transparência, segurança e finalidade definida.

2. Encarregado pela Proteção de Dados (DPO)

Antonio Aurélio de Souza Viana — sócio-fundador, Doutor em Direito Processual pela PUC Minas.
E-mail exclusivo para assuntos de privacidade: aurelioviana@buscaileiloes.com.br
Você pode contatar o DPO a qualquer tempo pra exercer os direitos previstos nesta Política.

3. Quais dados coletamos e por quê

3.1 Dados que você nos fornece (cadastro/conta):
  • Nome completo — identificação de conta + comunicações (Art. 7º V — execução de contrato)
  • E-mail — login + comunicações transacionais (Art. 7º V)
  • Telefone (opcional) — alertas WhatsApp opt-in (Art. 7º I — consentimento)
  • Senha (quando não Google OAuth) — autenticação; armazenada em hash bcrypt (Art. 7º V)
  • Endereço de cobrança — faturamento + antifraude (Art. 7º V)
  • Documento (CPF/CNPJ) — emissão de nota fiscal e validação Pagar.me (Art. 7º II — obrigação legal)
3.2 Dados gerados pela sua atividade na plataforma:
  • Imóveis favoritos — personalização (Art. 7º IX — legítimo interesse, com opt-out)
  • Imóveis analisados — funcionalidade "Minhas Análises" e limites do plano (Art. 7º V)
  • Histórico de buscas — melhoria do produto (Art. 7º IX, anonimizado em métricas)
  • Logs de inferência IA (em implementação) — auditoria e explicabilidade (Art. 7º IX + Art. 38 RIPD)
3.3 Dados de pagamento:
  • Tokens de cartão (não armazenamos PAN) — tratados pelo Pagar.me (StoneCo) como operador
  • Status de pagamento, valor, plano — armazenados pelo BUSCAi (controlador)
Importante: o BUSCAi nunca tem acesso ao número completo do cartão. Toda informação sensível trafega direto entre o seu navegador e o Pagar.me (PCI-DSS).
3.4 Dados técnicos automaticamente coletados:
  • Endereço IP — anonimizado /24 nos logs persistidos (truncamos os últimos octetos); IP completo só é processado em runtime pra antifraude (Art. 7º IX)
  • User-Agent do navegador — compatibilidade + diagnóstico (Art. 7º IX)
  • Cookies estritamente necessários — sessão de login (Art. 7º V)
Não usamos: cookies de tracking publicitário, pixels Meta/Google Ads, retargeting de terceiros. Caso isso mude no futuro, será comunicado com antecedência e respeitará opt-in/opt-out.

4. Finalidades do tratamento

Seus dados são tratados exclusivamente para:
  1. Operar a plataforma — login, gerenciamento de conta, exibição do catálogo
  2. Cobrar pelos serviços contratados — assinatura, parecer jurídico, plano avulso
  3. Cumprir obrigações legais — fiscal (5 anos retenção), tributário, prevenção a fraudes
  4. Personalizar sua experiência — favoritos, sugestões, alertas opcionais
  5. Análise IA do imóvel — quando você acionar manualmente "Realizar Análise Detalhada"
  6. Comunicação transacional — confirmação de pagamento, parecer pronto, novo imóvel salvo (opt-in)
  7. Suporte — quando você nos contatar
  8. Melhoria do produto — métricas anonimizadas e agregadas
NÃO usamos seus dados para:
  • Treinar modelos de IA proprietários ou de terceiros
  • Vender ou ceder a parceiros comerciais
  • Publicidade direcionada de terceiros
  • Decisões automatizadas com efeito jurídico ou financeiro sem revisão humana (ver §7)

5. Compartilhamento com operadores

Railway (hospedagem do servidor — EUA) · DPA assinado
Cloudflare Pages (frontend, CDN — Global) · logs com IP anonimizado
Pagar.me / StoneCo (pagamentos — Brasil)
Brevo / Sendinblue (e-mail transacional — União Europeia)
Google OAuth (login social, opcional — EUA) · consentimento ao clicar em "Entrar com Google"
Ollama self-hosted (extração e análise IA) — apenas dados do imóvel, não dados do usuário
Decisão estratégica (20/04/2026): o BUSCAi não usa OpenAI, Anthropic, Groq ou outras APIs de IA de terceiros. Todo processamento de IA roda em infraestrutura própria, preservando soberania de dados.

6. Período de retenção

  • Cadastro de usuário ativo: enquanto a conta estiver ativa
  • Cadastro pós-cancelamento: + 5 anos (direito de retorno + obrigação fiscal)
  • Logs de pagamento e fatura: 5 anos (Receita Federal)
  • Histórico de análises: enquanto a conta estiver ativa
  • Logs de inferência IA: 6 meses (auditoria + Marco Legal IA — PL 2338/2023)
  • Logs técnicos (acesso, erros): 90 dias
Após o período, os dados são eliminados ou anonimizados de forma irreversível.

7. Decisão automatizada (LGPD art. 20)

A análise de imóvel feita pela IA do BUSCAi gera estimativas e indicadores (preço de mercado, retorno estimado, sinais de risco) destinados a apoiar a sua decisão.
  • A IA NÃO decide por você. Quem decide arrematar um imóvel é sempre você.
  • Você tem direito a revisão humana através do Parecer Jurídico (R$ 1.000), elaborado por especialista em leilão.
  • Comparáveis e fontes são sempre exibidos abertamente — você pode auditar o raciocínio da IA.
  • Toda saída de IA inclui aviso de que pode conter erros.
Esse modelo está alinhado com a LGPD art. 20 (direito a revisão por humano), com a Recomendação CFOAB 001/2024 (uso ético de IA generativa) e antecipa as exigências do PL 2338/2023 (Marco Legal IA).

8. Seus direitos (LGPD art. 18)

Você pode, a qualquer tempo e gratuitamente:
  • Confirmação de existência de tratamento
  • Acesso aos seus dados — endpoint GET /api/users/me/export baixa um JSON com tudo
  • Correção de dados incompletos/inexatos — página /usuario
  • Anonimização ou eliminação — endpoint POST /api/users/me/anonymize agenda anonimização para 30 dias depois (cooling-off, cancelável durante o período)
  • Portabilidade dos seus dados (mesmo endpoint do acesso)
  • Revogação do consentimento — página /usuario ou e-mail ao DPO
  • Oposição ao tratamento por legítimo interesse — DPO
  • Revisão de decisões automatizadas — Parecer Jurídico ou DPO
Prazo de resposta: até 15 dias corridos (LGPD art. 19).

9. Segurança

  • TLS 1.3 em todas as conexões (HTTPS forçado via Cloudflare)
  • Senhas em hash bcrypt
  • Tokens JWT com expiração curta + revalidação
  • CORS restritivo (allowlist explícita por domínio)
  • IP anonimizado /24 nos logs
  • Backup automatizado (em implementação)
  • Acesso a infraestrutura restrito + auditoria
Nenhuma medida de segurança é absoluta. Em caso de incidente envolvendo dados pessoais, comunicaremos a ANPD em até 3 dias úteis (Art. 48 LGPD) e os titulares afetados.

10. Cookies

Dividimos os cookies em três categorias. Você decide quais aceitar pelo banner de cookies (1ª visita) ou pelo link "Configurar cookies" no rodapé. A escolha fica salva no seu navegador (chave lgpd-consent-v1) e é revogável a qualquer momento.
10.1 Essenciais (sempre ativos — base legal Art. 7º V):
  • next-auth.session-token — manter login ativo (sessão)
  • next-auth.csrf-token — proteção CSRF (sessão)
  • lgpd-consent-v1 (localStorage) — registra suas preferências de cookies
10.2 Analytics (opt-in — base legal Art. 7º I):
  • Sentry — captura de erros pra estabilidade da plataforma; dados anonimizados, sem rastreamento entre sites
10.3 Marketing (opt-in — base legal Art. 7º I):
  • Hotjar — heatmaps e replays anônimos de sessão pra entender navegação. Não capta inputs sensíveis (senha, cartão).
  • Google Tag Manager — orquestrador de tags (carregado apenas se houver tag publicado)
Não usamos pixels do Meta/TikTok, retargeting de terceiros nem cookies de publicidade direcionada.

11. Crianças e adolescentes

A plataforma é destinada a maiores de 18 anos (capacidade civil para arrematar imóveis em leilão). Não coletamos dados de menores conscientemente. Caso identifiquemos cadastro de menor, a conta será desativada e os dados eliminados em 24 horas.

12. Mudanças nesta Política

Esta Política pode ser atualizada para refletir mudanças regulatórias (ANPD, CFOAB, CNJ) ou no produto. Mudanças substanciais serão comunicadas por e-mail com 30 dias de antecedência.

13. Sobre IA na plataforma

  • Toda análise IA inclui disclaimer "IA pode conter erros — validar com profissional"
  • Comparáveis sempre abertos (você vê de onde a IA tirou os preços)
  • Humano revisa via parecer jurídico — disponível como serviço separado
  • Modelos rodam em infraestrutura própria (Ollama self-hosted), não em APIs externas
  • Não treinamos modelos com seus dados nem compartilhamos com fornecedores de IA externos

14. Foro e legislação aplicável

Esta Política rege-se pelas leis da República Federativa do Brasil. Qualquer controvérsia será dirimida no foro da Comarca de Belo Horizonte/MG, salvo se a legislação aplicável (Art. 101 I CDC) determinar foro do consumidor.
Última atualização: 03/05/2026 — versão 2.0
Em caso de dúvida, entre em contato com o DPO: aurelioviana@buscaileiloes.com.br