Versão 1.0
Como ler este documento
Privacidade é tema sério, mas a gente acredita que você não precisa de jargão jurídico pra entender. Esta política explica, em português direto, quais dados o Callira coleta, por quê, e o que você pode fazer sobre isso. Se ficar com dúvida, escreve pra gente em privacidade@callira.com.br.
Esta política aplica-se ao site callira.com.br, ao aplicativo web do Callira e à extensão Chrome do Callira.
1. Quem somos
O Callira é um serviço de transcrição de reuniões em português brasileiro, operado por:
[PLACEHOLDER: NOME COMPLETO DO TITULAR], MEI
CNPJ: [PLACEHOLDER: 00.000.000/0001-00]
Endereço: [PLACEHOLDER: Rua, número, bairro, cidade-UF, CEP]
Email: contato@callira.com.br
Para fins desta política, somos o controlador dos seus dados pessoais nos termos da Lei Geral de Proteção de Dados (LGPD — Lei 13.709/18).
2. Definições
Para facilitar a leitura, usamos os seguintes termos:
- Você ou titular: a pessoa física que usa o Callira (signatária da conta) ou tem dados processados por ele (participantes de reuniões transcritas).
- Dados pessoais: qualquer informação que possa identificar você, direta ou indiretamente. Exemplos: nome, email, voz gravada em reunião, conteúdo falado.
- Tratamento: qualquer operação com seus dados — coleta, armazenamento, uso, transferência, eliminação.
- Subprocessador: empresa terceira que processa dados pessoais em nome do Callira (ex: AssemblyAI processa áudio pra gerar transcrição).
- Reunião: qualquer videoconferência (Google Meet, Zoom, Microsoft Teams) que você opta por capturar via Callira.
3. Quais dados coletamos
Aqui vai a lista honesta. Se algo não está nessa lista, a gente não coleta.
3.1 Dados de cadastro
Quando você cria uma conta:
- Nome completo
- Senha (armazenada com hash bcrypt; nem nós conseguimos ler em texto puro)
- Foto de perfil (opcional)
- Empresa e cargo (opcional)
3.2 Dados de pagamento (apenas para planos pagos)
Quando você assina o plano Pro ou Empresa:
- Número do cartão (processado e armazenado apenas pelo Stripe, não temos acesso direto)
- Dados de cobrança (CPF/CNPJ, endereço para emissão de nota fiscal)
- Histórico de transações (para fins fiscais e contábeis)
3.3 Conteúdo das reuniões (dado sensível)
Esta é a parte mais delicada. Quando você captura uma reunião pelo Callira, processamos:
- Áudio da reunião (quando o bot do Recall.ai grava)
- Captions/legendas (quando você usa o modo "sem bot" via leitura de Closed Captions do Meet/Zoom/Teams)
- Transcrição em texto (gerada pelo AssemblyAI ou pela leitura direta de captions)
- Identificação de participantes (nomes que aparecem na reunião e diarização — quem disse o quê)
- Metadados da reunião: título, duração, data, link da videoconferência
- Resumos e action items (gerados por modelos de IA a partir da transcrição)
Importante: o conteúdo de uma reunião pode incluir dados pessoais de outras pessoas (clientes, colegas, fornecedores). Você é responsável por obter consentimento dessas pessoas antes de gravar (Art. 7º e 11 da LGPD). O Callira facilita isso oferecendo a opção "avisar participantes ao começar" que posta automaticamente uma mensagem no chat da reunião.
3.4 Dados de uso da plataforma
Para que o serviço funcione:
- Logs de acesso (data, hora, IP, navegador, sistema operacional)
- Eventos da extensão (quais reuniões detectou, qual modo de captura escolheu)
- Preferências (modo padrão, idioma, configurações de bot)
- Histórico de uso (quantas reuniões processadas no mês, duração total)
3.5 Dados técnicos
- Cookies estritamente necessários (sessão de login)
- Local Storage e Chrome Storage (apenas para a extensão funcionar)
- Identificadores de dispositivo (apenas para multi-device sync)
O Callira NÃO coleta:
- Cookies de publicidade ou tracking comportamental
- Dados de redes sociais sem sua autorização explícita
- Localização precisa (GPS)
- Lista de contatos do seu dispositivo
- Histórico de navegação fora das páginas de reunião
4. Por que coletamos esses dados (finalidades)
Cada dado tem uma finalidade específica:
| Dado | Finalidade |
|---|---|
| Cadastro | Identificar você e permitir login |
| Pagamento | Processar cobrança e emitir nota fiscal |
| Conteúdo de reuniões | Gerar transcrição, resumo e action items |
| Uso da plataforma | Operar o serviço e melhorar features |
| Logs de acesso | Segurança, auditoria e investigação de incidentes |
| Cookies de sessão | Manter você logado entre páginas |
Não usamos seus dados para:
- Treinar modelos de IA da Callira ou de terceiros
- Vender ou monetizar via anúncios
- Compartilhar com empresas de marketing
- Enviar email marketing sem você ter optado
5. Base legal para o tratamento
A LGPD exige uma base legal pra cada operação. Aqui vão as nossas:
| Tratamento | Base legal | Artigo |
|---|---|---|
| Cadastro e login | Execução de contrato | Art. 7º, V |
| Processamento de pagamento | Execução de contrato | Art. 7º, V |
| Transcrição de reuniões | Execução de contrato + Consentimento | Art. 7º, I e V |
| Análise de uso para melhoria | Legítimo interesse | Art. 7º, IX |
| Cumprimento de obrigações fiscais | Obrigação legal | Art. 7º, II |
| Marketing por email | Consentimento (você pode descadastrar a qualquer momento) | Art. 7º, I |
| Investigação de fraude | Legítimo interesse | Art. 7º, IX |
Para dados de reuniões com pessoas que NÃO são titulares da conta (ex: outros participantes), o Callira atua como operador, e você (cliente) é o controlador desses dados de terceiros. Você é responsável por:
- Obter consentimento dos participantes
- Informá-los sobre a gravação
- Garantir que a finalidade é legítima
6. Com quem compartilhamos seus dados (subprocessadores)
Para o Callira funcionar, precisamos compartilhar dados com algumas empresas. Lista completa e atualizada:
| Empresa | Função | Dados compartilhados | Localização |
|---|---|---|---|
| Supabase | Banco de dados, autenticação e storage | Todos os dados de cadastro, transcrições, metadados | EUA |
| AssemblyAI | Transcrição de áudio em texto | Áudio das reuniões (modo bot) | EUA |
| OpenAI (via Lovable AI Gateway) | Geração de resumos e análise por IA | Trechos de transcrições | EUA |
| Recall.ai | Bot que entra em reuniões e grava | Link da reunião, áudio gravado | EUA |
| Stripe | Processamento de pagamento (cartão internacional) | Dados de pagamento e cobrança | EUA |
| Asaas ou Pagar.me | Processamento de pagamento (Pix, boleto) | Dados de pagamento e cobrança | Brasil |
| Cloudflare | CDN, segurança e DNS | Logs de acesso, IP | Global (incluindo Brasil) |
| Lovable | Hospedagem da aplicação web | Dados que passam pela aplicação | EUA |
| Resend ou Postmark | Envio de emails transacionais | Email do destinatário, conteúdo do email | EUA |
Cada subprocessador tem contrato de processamento de dados (DPA) com proteções alinhadas à LGPD. Lista atualizada disponível mediante solicitação.
Se quisermos adicionar um novo subprocessador, avisamos com 30 dias de antecedência por email para clientes do plano Empresa.
7. Transferência internacional de dados
Como você viu na lista acima, a maioria dos nossos subprocessadores está nos Estados Unidos. Isso significa que seus dados podem ser transferidos pra fora do Brasil.
A LGPD permite isso quando:
- O país destino tem nível adequado de proteção (Art. 33, I), ou
- O controlador oferece garantias contratuais (Art. 33, II), ou
- Há consentimento específico do titular (Art. 33, VIII)
No Callira, baseamos a transferência em garantias contratuais (Standard Contractual Clauses ou equivalente) firmadas com cada subprocessador.
Se você não concorda com a transferência internacional, você pode optar por não usar o serviço. Não temos atualmente uma alternativa 100% nacional para todas as funcionalidades.
8. Por quanto tempo guardamos seus dados
Tempo de retenção depende do tipo de dado e do plano:
| Tipo de dado | Plano Free | Plano Pro / Empresa |
|---|---|---|
| Cadastro | Enquanto sua conta existir | Enquanto sua conta existir |
| Transcrições e gravações | 90 dias após criação | Ilimitado (até você deletar) |
| Logs de acesso | 12 meses | 24 meses |
| Dados financeiros | 5 anos (obrigação fiscal) | 5 anos (obrigação fiscal) |
| Logs de auditoria | 5 anos | 5 anos |
Se você excluir sua conta, deletamos seus dados em até 30 dias (período de "arrependimento" para o caso de exclusão acidental). Após esse período, dados são apagados, exceto:
- Dados que precisamos manter por obrigação legal (fiscal, contábil)
- Dados anonimizados em estatísticas agregadas (não identificam você)
9. Cookies e tecnologias similares
Usamos apenas cookies estritamente necessários:
- Cookie de sessão (mantém você logado)
- Cookie de preferência (lembra idioma, tema)
- Cookie de segurança CSRF (previne ataques)
Não usamos:
- Cookies de tracking comportamental
- Cookies do Google Analytics ou similares (pelo menos não sem opt-in)
- Cookies de publicidade
- Cookies de redes sociais
Você pode bloquear cookies no seu navegador, mas isso pode quebrar o login.
10. Seus direitos como titular dos dados
A LGPD (Art. 18) garante que você tem 9 direitos sobre seus dados pessoais. Aqui estão, traduzidos do legalês:
- Confirmar se tratamos seus dados — você pode perguntar e a gente responde sim ou não.
- Acessar seus dados — você pode pedir uma cópia de tudo que temos sobre você.
- Corrigir dados incorretos — se algo está errado ou desatualizado, você pode mandar consertar.
- Anonimizar, bloquear ou eliminar dados desnecessários ou tratados em desconformidade com a LGPD.
- Portabilidade — pedir cópia dos seus dados em formato estruturado (JSON) pra levar pra outro serviço.
- Eliminar dados tratados com seu consentimento — pode revogar e mandar deletar.
- Saber com quem compartilhamos seus dados (já listamos na seção 6).
- Saber sobre a possibilidade de não consentir e quais consequências disso (você pode não usar o serviço, simples).
- Revogar consentimento a qualquer momento (Art. 8º, §5º).
11. Como exercer seus direitos
Pra exercer qualquer direito acima:
Email: privacidade@callira.com.br
Assunto: "Solicitação LGPD - [seu direito]"
Vamos responder em até 15 dias (Art. 19, §1º da LGPD).
Para confirmar sua identidade, podemos pedir documentos. Não fazemos isso pra burocratizar — é pra impedir que alguém se passe por você e peça seus dados.
Se não ficar satisfeito com nossa resposta, você pode reclamar diretamente à Autoridade Nacional de Proteção de Dados (ANPD):
- Site: gov.br/anpd
- Email: comunicacao@anpd.gov.br
12. Segurança da informação
Levamos segurança a sério. Medidas que adotamos:
Técnicas
- Criptografia em trânsito (TLS 1.2+)
- Criptografia em repouso (AES-256 no banco Supabase)
- Senhas com hash bcrypt (não armazenamos senhas em texto puro)
- Tokens de autenticação com expiração e refresh
- Row Level Security (RLS) no banco — cada usuário só vê os próprios dados
- Webhooks autenticados com HMAC e validação timing-safe
- Rate limiting para prevenir abuso e DoS
- WAF (Web Application Firewall) via Cloudflare
- Auditorias de segurança periódicas
Organizacionais
- Princípio do menor privilégio (acesso a dados sensíveis só pra quem precisa)
- Logs de acesso a dados sensíveis
- Política de senhas fortes para a equipe
- Treinamento sobre LGPD para colaboradores
Em caso de incidente de segurança que possa causar risco aos titulares, comunicamos:
- A ANPD em prazo razoável
- Os titulares afetados por email
- Medidas tomadas pra mitigar o problema
13. A extensão Chrome Callira
A extensão Chrome do Callira tem requisitos específicos pela Chrome Web Store. Detalhamos:
13.1 Permissões requisitadas
| Permissão | Por que precisamos |
|---|---|
storage | Armazenar token de autenticação e suas preferências localmente |
activeTab | Acessar URL da reunião atual quando você clica em gravar |
scripting | Injetar script que captura legendas (Closed Captions) na página |
notifications | Avisar quando a transcrição estiver pronta |
host_permissions (Meet, Zoom, Teams) | Detectar e capturar reuniões nessas plataformas |
host_permissions (callira.com.br, supabase.co) | Comunicar com nossos servidores |
13.2 O que a extensão coleta
A extensão só processa dados quando você decide capturar uma reunião. Antes disso, fica em "modo de espera" sem coletar nada além de logs internos para debug.
Quando você grava uma reunião:
- Modo Captions: lê o texto das legendas que aparecem na tela. Não acessa áudio, vídeo ou microfone.
- Modo Bot: dispara o bot do Recall.ai pra entrar na reunião e gravar áudio.
13.3 O que a extensão NÃO faz
- Não lê dados de outras abas além da reunião ativa
- Não acessa histórico de navegação
- Não rastreia atividade fora de Meet/Zoom/Teams
- Não envia dados pra serviços de tracking
- Não modifica páginas além de inserir o botão flutuante na reunião
13.4 Como revogar acesso
Se quiser parar de usar a extensão:
- Abra
chrome://extensions/ - Localize "Callira"
- Clique em Remover
Ao remover, todos os dados locais da extensão (token, preferências) são apagados imediatamente. Os dados já enviados aos nossos servidores ficam armazenados conforme a política de retenção descrita na seção 8.
14. Crianças e adolescentes
O Callira não é destinado a menores de 18 anos. Não coletamos intencionalmente dados de crianças ou adolescentes.
Se você for responsável legal por um menor e descobrir que ele se cadastrou no Callira, entre em contato em privacidade@callira.com.br e excluiremos a conta e dados associados.
15. Encarregado de dados (DPO)
Conforme Art. 41 da LGPD, designamos um Encarregado de Dados:
[PLACEHOLDER: NOME DO DPO]
Email: dpo@callira.com.br
O DPO é o canal de comunicação entre você, a Callira e a ANPD para tudo relacionado à proteção de dados.
16. Alterações nesta política
Esta política pode ser atualizada conforme o serviço evolui. Quando alterarmos:
- Mudanças menores (correção de texto, atualização de subprocessador): publicamos a nova versão e atualizamos a data no topo.
- Mudanças relevantes (nova finalidade de tratamento, nova categoria de dados): notificamos por email com 30 dias de antecedência.
Versões anteriores ficam arquivadas em [PLACEHOLDER: callira.com.br/privacidade/historico].
17. Lei aplicável e foro
Esta política é regida pelas leis da República Federativa do Brasil, em especial:
- Lei 13.709/18 (LGPD)
- Lei 12.965/14 (Marco Civil da Internet)
- Lei 8.078/90 (Código de Defesa do Consumidor)
Qualquer disputa relacionada a esta política será resolvida no foro da Comarca de [PLACEHOLDER: cidade do MEI], com renúncia expressa a qualquer outro, por mais privilegiado que seja.
18. Contato
Para qualquer dúvida sobre esta política ou sobre como tratamos seus dados:
Email geral: contato@callira.com.br
Email LGPD: privacidade@callira.com.br
Suporte: suporte@callira.com.br
Esta política foi escrita pra ser clara. Se algo não está, é falha nossa — nos avisa que melhoramos.
Versão 1.0 — 29 de abril de 2026