Conformidade LGPD
Última atualização: 13 de março de 2026
MeridianAI Labs Ltda. — Polar
1. Identificacao do controlador
- Razao social: MeridianAI Labs Ltda.
- Nome fantasia: Polar
- CNPJ: [a ser preenchido]
- Sede: Sao Paulo / SP, Brasil
- Encarregado (DPO): dpo@polar.com.br
2. Nosso compromisso
A Polar esta comprometida com a conformidade integral com a Lei Geral de Protecao de Dados (Lei n. 13.709/2018). Adotamos privacy by design em toda a plataforma, com controles tecnicos e organizacionais proporcionais ao risco de cada operacao de tratamento.
3. Bases legais para tratamento
| Operacao | Base legal (LGPD) | Dispositivo |
|---|---|---|
| Cadastro e autenticacao | Execucao de contrato | Art. 7, V |
| Processamento de conversas e arquivos | Execucao de contrato | Art. 7, V |
| Faturamento e cobranca | Execucao de contrato | Art. 7, V |
| Logs de uso da API (metrificacao, fraude) | Legitimo interesse | Art. 7, IX |
| Logs de auditoria (seguranca) | Legitimo interesse | Art. 7, IX |
| Comunicacoes de marketing | Consentimento | Art. 7, I |
| Retencao de registros fiscais | Obrigacao legal | Art. 7, II |
| Registros de conexao (Marco Civil) | Obrigacao legal | Art. 7, II |
4. Avaliacao de legitimo interesse (resumo)
Para as operacoes baseadas em legitimo interesse, a Polar realiza Teste de Balanceamento (LIA) documentado internamente, considerando:
- Finalidade legitima: prevencao de fraude, seguranca da plataforma, metrificacao de consumo para cobranca justa.
- Necessidade: nao e possivel prestar o servico de forma segura e justa sem registrar logs de uso e auditoria.
- Balanceamento: os dados coletados sao minimizados (IP e user-agent apenas, sem conteudo das requisicoes), retidos por periodo limitado (12 meses) e protegidos por controles de acesso robustos.
- Transparencia: os titulares sao informados sobre o tratamento e podem exercer seus direitos a qualquer momento.
O LIA completo esta disponivel mediante solicitacao ao DPO.
5. Registro de atividades de tratamento (RAT)
| Atividade | Dados tratados | Base legal | Retencao | Compartilhamento |
|---|---|---|---|---|
| Cadastro de usuarios | Nome, e-mail, senha (hash) | Contrato | Vida util da conta + 30 dias | Supabase (DB) |
| Pagamentos | Dados de cartao (tokenizados) | Contrato | 5 anos (fiscal) | Stripe |
| Conversas e prompts | Conteudo textual, modelo usado | Contrato | Configuravel (padrao 365 dias) | Nenhum |
| Arquivos enviados | Documentos do usuario | Contrato | Vida util da conta + 30 dias | Nenhum |
| Logs de uso (API) | IP, user-agent, tokens, modelo | Leg. interesse | 12 meses | Nenhum |
| Logs de auditoria | Acao, usuario, IP, timestamp | Leg. interesse | 5 anos | Nenhum |
| Conectores OAuth | Tokens cifrados | Contrato | Ate revogacao | Provedor do conector |
6. Medidas tecnicas e organizacionais
- Infraestrutura hospedada exclusivamente no Brasil
- Criptografia TLS 1.3 para dados em transito
- Criptografia AES-256 para dados em repouso
- Controle de acesso baseado em funcoes (RBAC) com 4 niveis
- Row Level Security (RLS) em todas as tabelas com dados pessoais
- Logs de auditoria com acesso restrito a administradores
- Backups redundantes com retencao controlada
- Cifragem dedicada para tokens de conectores OAuth
- Chaves de API com hash SHA-256, escopo e expiracao
7. Transferencias internacionais de dados
A Polar processa dados primariamente no Brasil. Transferencias internacionais ocorrem apenas para processamento de pagamentos (Stripe, EUA) e sao realizadas com base em clausulas contratuais padrao aprovadas pela ANPD, conforme Resolucao CD/ANPD n. 19/2024 e art. 33, II, "a" da LGPD.
8. Direitos do titular e como exerce-los
Nos termos do art. 18 da LGPD, voce tem direito a:
- Confirmacao da existencia de tratamento
- Acesso aos dados
- Correcao de dados incompletos ou desatualizados
- Anonimizacao, bloqueio ou eliminacao de dados desnecessarios
- Portabilidade a outro fornecedor
- Eliminacao dos dados tratados com consentimento
- Informacao sobre compartilhamento com terceiros
- Revogacao do consentimento
Como solicitar: envie e-mail para dpo@polar.com.br identificando-se e especificando o direito que deseja exercer.
Prazo de resposta: 15 dias corridos (art. 18, par. 5 da LGPD). Em casos complexos, o prazo podera ser estendido com justificativa.
9. Autoridade Nacional de Protecao de Dados
Caso entenda que o tratamento de seus dados pessoais viola a LGPD, voce tem direito de peticionar a Autoridade Nacional de Protecao de Dados (ANPD) pelo site gov.br/anpd.
10. Inteligencia artificial e dados de treinamento
Os modelos Urso sao treinados com datasets publicos e de dominio publico. A Polar mantem registro de proveniencia e licenciamento de todos os datasets utilizados. Conversas e dados de clientes nao sao utilizados para treinamento de modelos. A documentacao completa de proveniencia dos dados esta disponivel publicamente.
Para exercer seus direitos ou contatar o DPO, envie e-mail para dpo@polar.com.br