Política de Privacidade - Stepyo

Introdução

O Stepyo é uma ferramenta de documentação automática que captura suas interações com websites para criar guias visuais passo a passo. Levamos sua privacidade a sério e queremos que você entenda exatamente quais dados coletamos, como os usamos e seus direitos sobre eles.

Esta política se aplica ao uso da extensão do navegador Stepyo e da plataforma web em app.stepyo.com.br.

Aplicabilidade

Esta Política de Privacidade se aplica a todos os usuários que acessam ou utilizam os serviços do Stepyo, incluindo:

Usuários da extensão do navegador Chrome
Usuários da plataforma web (app.stepyo.com.br)
Visitantes do site institucional (stepyo.com.br)
Membros de workspaces e equipes

Independentemente de sua localização geográfica, tratamos todos os dados de acordo com a Lei Geral de Proteção de Dados (LGPD - Lei 13.709/2018) do Brasil e, quando aplicável, com o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia.

Definições

Para fins desta Política, os seguintes termos possuem os significados descritos abaixo, conforme a LGPD (Art. 5):

Dados Pessoais: Informação relacionada a pessoa natural identificada ou identificável.

Titular: Pessoa natural a quem se referem os dados pessoais (você, nosso usuário).

Controlador: Pessoa responsável pelas decisões referentes ao tratamento de dados pessoais. Nesta política, o Stepyo.

Operador: Pessoa que realiza o tratamento de dados pessoais em nome do controlador.

Encarregado (DPO): Pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, os titulares e a ANPD.

Tratamento: Toda operação realizada com dados pessoais, como coleta, armazenamento, uso, compartilhamento ou eliminação.

ANPD: Autoridade Nacional de Proteção de Dados, órgão responsável por fiscalizar o cumprimento da LGPD no Brasil.

Consentimento: Manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados.

Controlador, Operador e Encarregado de Dados

Controlador dos Dados

Razão Social: Stepyo Tecnologia LTDA

CNPJ: 49.391.867/0001-04

Endereço: São Paulo, SP - Brasil

E-mail: [email protected]

Papel de Controlador e Operador

O Stepyo atua como Controlador quando trata dados de conta (cadastro, autenticação, preferências) e dados de uso da plataforma. Quando o usuário cria guias contendo dados de sua organização ou de terceiros, o Stepyo atua como Operador, processando os dados conforme as instruções do usuário (que é o Controlador do conteúdo dos guias).

Encarregado de Proteção de Dados (DPO)

Para exercer seus direitos ou esclarecer dúvidas sobre o tratamento de dados pessoais, entre em contato com nosso Encarregado:

Nome: Paulo Henrique Reis

E-mail: [email protected]

Tempo de resposta: Até 15 dias, conforme LGPD (Art. 18, § 5º)

1. Quais Dados Coletamos

1.1 Durante a Gravação

Quando você usa a extensão Stepyo para gravar um processo, coletamos:

Screenshots automáticos: Capturamos imagens da página a cada interação (clique, digitação, scroll)
Metadados de interação: Tipo de ação (clique, input, navegação), coordenadas do elemento, texto do elemento
Informações da página: URL, título da página, favicon
Tamanho do viewport: Para posicionar corretamente os highlights nos screenshots
Gravação de áudio (opcional): Quando você ativa a narração por voz, capturamos áudio do seu microfone para adicionar narração aos passos do guia. A gravação só ocorre quando você explicitamente ativa essa função e pode ser interrompida a qualquer momento. O áudio é armazenado de forma segura e associado ao seu guia.

1.2 Dados de Conta

Quando você se cadastra no Stepyo, coletamos:

Endereço de e-mail
Nome (se fornecido)
Senha (criptografada com hash bcrypt)
Foto de perfil (se autenticado via Google OAuth)
Data de criação da conta

1.3 Dados Coletados Automaticamente

Ao utilizar nossos serviços, coletamos automaticamente:

Endereço IP
Tipo e versão do navegador
Sistema operacional
Páginas acessadas na plataforma e horário de acesso
Logs de erros e desempenho

1.4 Dados de Uso

Guias criados e modificados
Estatísticas de acesso aos guias públicos
Preferências de interface

2. Bases Legais para Tratamento (LGPD Art. 7)

De acordo com a Lei Geral de Proteção de Dados (Lei 13.709/2018), utilizamos as seguintes bases legais para o tratamento dos seus dados:

Execução de Contrato (Art. 7, V)

Para fornecer os serviços contratados: criação de guias, armazenamento de screenshots e áudio, processamento com IA e funcionalidades da plataforma.

Consentimento (Art. 7, I)

Para envio de comunicações de marketing, newsletters e notificações opcionais. Para gravação de áudio via microfone (consentimento explícito no navegador). Você pode revogar a qualquer momento.

Legítimo Interesse (Art. 7, IX)

Para análise agregada de uso, melhoria do serviço, prevenção de fraudes e segurança da plataforma.

Cumprimento de Obrigação Legal (Art. 7, II)

Para atender requisitos legais, fiscais e regulatórios aplicáveis.

3. Como Usamos Seus Dados

3.1 Processamento com IA

Utilizamos modelos de inteligência artificial para aprimorar seus guias:

OpenAI GPT-4o-mini Vision: Analisa os screenshots capturados e gera descrições automáticas de cada passo. Os screenshots são enviados temporariamente para a API da OpenAI e não são armazenados pelos servidores da OpenAI após o processamento.
Anthropic Claude: Utilizado para análise de contexto e recuperação inteligente de passos (AI Recovery). Os dados são processados temporariamente e não são retidos pela Anthropic após o processamento.

Nenhum dado enviado para processamento de IA é utilizado para treinar modelos de terceiros. Nossos contratos com OpenAI e Anthropic garantem que os dados enviados via API não são usados para treinamento.

3.2 Armazenamento

Seus dados são armazenados de forma segura no Supabase (infraestrutura hospedada na AWS). Os screenshots e gravações de áudio são armazenados em formato otimizado e associados à sua conta. Todos os dados são criptografados em trânsito (TLS/SSL) e em repouso (AES-256).

3.3 Finalidades

Fornecer o serviço de documentação automática
Gerar descrições inteligentes com IA
Permitir compartilhamento e colaboração
Melhorar a qualidade do serviço
Comunicações sobre o produto (com seu consentimento)

4. Decisões Automatizadas (LGPD Art. 20)

O Stepyo utiliza processamento automatizado com inteligência artificial para:

Gerar descrições automáticas dos passos capturados
Classificar e organizar conteúdo dos guias
Detectar dados sensíveis em screenshots (senhas, cartões de crédito)
Recuperação inteligente de passos perdidos

Nenhuma dessas decisões automatizadas produz efeitos jurídicos ou afeta significativamente seus interesses. Todas as descrições geradas por IA podem ser editadas ou removidas por você a qualquer momento.

Conforme o Art. 20 da LGPD, você tem o direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado. Para isso, entre em contato com nosso Encarregado de Dados pelo e-mail [email protected].

5. Transferência Internacional de Dados

Alguns de nossos provedores de serviço estão localizados fora do Brasil. Garantimos que essas transferências ocorram com proteção adequada, conforme a LGPD (Art. 33) e a Resolução CD/ANPD nº 19/2024:

OpenAI (Estados Unidos)

Processamento de IA para geração de descrições. Dados processados temporariamente e não armazenados.

Anthropic (Estados Unidos)

Processamento de IA para análise de contexto e recuperação inteligente. Dados processados temporariamente e não armazenados.

Supabase/AWS (Estados Unidos)

Armazenamento seguro de dados, screenshots e gravações de áudio. Infraestrutura com certificações SOC 2 e ISO 27001.

Google (Estados Unidos)

Autenticação via Google OAuth (quando o usuário escolhe login com Google). Apenas dados de perfil público (nome, e-mail, foto).

Garantias: Utilizamos cláusulas contratuais padrão (SCCs) aprovadas pela ANPD e verificamos que nossos provedores mantêm níveis adequados de proteção de dados conforme exigido pela LGPD (Art. 33) e pela Resolução CD/ANPD nº 19/2024.

6. Sub-processadores

Conforme exigido pela LGPD (Art. 5, VII), listamos abaixo todos os operadores (sub-processadores) que tratam dados pessoais em nosso nome:

Provedor	Finalidade	Localização	Dados tratados
Supabase (AWS)	Banco de dados, autenticação e storage	EUA (São Paulo)	Dados de conta, guias, screenshots, áudio
Vercel	Hospedagem da aplicação web	EUA	Logs de acesso, IP, user-agent
OpenAI	Geração de descrições com IA (GPT-4o-mini)	EUA	Screenshots (processamento temporário, sem retenção)
Anthropic	Análise de contexto e recuperação inteligente	EUA	Contexto de guias (processamento temporário, sem retenção)
Groq	Transcrição de áudio (Whisper)	EUA	Gravações de áudio (processamento temporário, sem retenção)
Stripe	Processamento de pagamentos	EUA	Dados de pagamento (PCI DSS compliant)
Doppler	Gestão de secrets e variáveis de ambiente	EUA	Chaves de API e configurações (sem dados de usuário)
Google	Autenticação OAuth 2.0	EUA	Nome, e-mail, foto de perfil (quando login via Google)

Todos os sub-processadores possuem contratos que garantem nível adequado de proteção de dados. Esta lista é atualizada sempre que um novo sub-processador é adicionado. Última atualização: 21 de fevereiro de 2026.

7. Compartilhamento de Dados

Nós NÃO vendemos seus dados para terceiros. Compartilhamos dados apenas nas seguintes situações:

Com sua permissão: Quando você compartilha um guia publicamente ou com membros do seu workspace
Provedores de serviço: OpenAI (descrições com IA), Anthropic (análise de contexto), Supabase (armazenamento de dados, screenshots e áudio), Google (autenticação OAuth)
Requisitos legais: Se exigido por lei, ordem judicial ou para proteger direitos legais
Proteção de direitos: Para investigar ou prevenir fraudes, violações de segurança ou atividades ilegais

O uso das informações recebidas de APIs do Google obedece à Política de Uso Limitado da Chrome Web Store, incluindo os requisitos de uso limitado.

8. Seus Direitos (LGPD Art. 18)

De acordo com a Lei Geral de Proteção de Dados (LGPD), você tem os seguintes direitos:

Confirmação e Acesso (Art. 18, I e II)

Ver quais dados temos sobre você através do painel de controle ou solicitação ao DPO

Correção (Art. 18, III)

Editar ou atualizar suas informações pessoais

Anonimização, Bloqueio ou Eliminação (Art. 18, IV)

Solicitar que dados desnecessários, excessivos ou tratados em desconformidade sejam anonimizados, bloqueados ou excluídos

Portabilidade (Art. 18, V)

Exportar seus guias em formatos padrão (JSON, Markdown, PDF)

Eliminação de Dados com Consentimento (Art. 18, VI)

Solicitar a eliminação dos dados pessoais tratados com base no seu consentimento

Informação sobre Compartilhamento (Art. 18, VII)

Saber com quais entidades públicas e privadas seus dados foram compartilhados

Informação sobre Não Consentimento (Art. 18, VIII)

Ser informado sobre a possibilidade de não fornecer consentimento e as consequências dessa negativa

Revogação de Consentimento (Art. 18, IX)

Cancelar permissões a qualquer momento, de forma gratuita e facilitada

Oposição (Art. 18, § 2º)

Opor-se ao tratamento realizado com base em legítimo interesse, caso haja descumprimento da LGPD

Revisão de Decisões Automatizadas (Art. 20)

Solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados

Como exercer seus direitos: Envie um e-mail para [email protected] ou use as funcionalidades disponíveis no painel de configurações da sua conta. Responderemos em até 15 dias, conforme previsto na LGPD (Art. 18, § 5º).

9. Como Deletar Seus Dados

Deletar Guias Individuais

Acesse o painel de guias em app.stepyo.com.br/dashboard
Clique no guia que deseja deletar
Clique em "Deletar Guia" no menu de opções

Deletar Conta Completa

Acesse Configurações da Conta
Role até "Zona de Perigo"
Clique em "Deletar Minha Conta"
Confirme a ação

Atenção: A exclusão da conta é permanente e irreversível. Todos os seus guias, screenshots, gravações de áudio e dados pessoais serão deletados de nossos servidores conforme os prazos descritos na seção de Retenção de Dados.

10. Cookies e Tecnologias Similares

Utilizamos cookies e tecnologias similares para melhorar sua experiência. Abaixo detalhamos cada categoria:

Cookies Essenciais (Necessários)

Indispensáveis para o funcionamento do site. Incluem cookies de autenticação e sessão. Não podem ser desativados.

Exemplos: sb-access-token, sb-refresh-token (Supabase Auth), next-auth.session-token (NextAuth)

Cookies Funcionais (Preferências)

Lembram suas preferências como tema (claro/escuro), idioma e configurações de interface.

Exemplos: theme, sidebar-collapsed

Cookies Analíticos (Estatísticas)

Coletam dados agregados e anônimos sobre o uso do serviço para melhorias. Não identificam você pessoalmente.

Exemplos: session_id (analytics interno)

Cookies de Marketing (Não Utilizados)

Atualmente não utilizamos cookies de marketing ou publicidade de terceiros.

Armazenamento Local (Extensão)

A extensão do navegador utiliza o Chrome Storage API para armazenar localmente:

Estado da gravação (ativa/pausada/parada)
Rascunhos de guias em andamento
Preferências do usuário
Dados de autenticação da sessão

Esses dados ficam armazenados apenas no seu dispositivo e podem ser limpos a qualquer momento nas configurações da extensão ou removendo a extensão do navegador.

Gerenciamento: Você pode desabilitar cookies não essenciais nas configurações do seu navegador. Note que isso pode afetar algumas funcionalidades do serviço.

11. Segurança

Implementamos medidas técnicas e organizacionais para proteger seus dados:

Criptografia TLS/SSL em todas as transmissões de dados
Criptografia AES-256 para dados em repouso
Senhas armazenadas com hash bcrypt
Infraestrutura hospedada em provedores com certificações SOC 2 e ISO 27001
Row Level Security (RLS) no banco de dados para isolamento de dados entre usuários
Acesso restrito aos dados por parte da equipe, com princípio do menor privilégio
Backups regulares e seguros
Monitoramento contínuo de segurança e logs de acesso

12. Incidentes de Segurança

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares de dados, o Stepyo se compromete a:

Comunicar a Autoridade Nacional de Proteção de Dados (ANPD) em prazo razoável, conforme regulamentação vigente
Notificar os titulares afetados por e-mail e/ou aviso na plataforma
Descrever a natureza dos dados afetados, os riscos envolvidos e as medidas adotadas para mitigar os efeitos do incidente
Manter registro interno de todos os incidentes, com documentação de causas, efeitos e providências adotadas

13. Retenção de Dados

Mantemos seus dados enquanto sua conta estiver ativa e pelo período necessário para cumprir as finalidades descritas nesta política.

Conta ativa

Dados de conta, guias, screenshots e áudio: mantidos enquanto a conta existir
Logs de acesso: mantidos por 6 meses (Marco Civil da Internet, Art. 15)
Logs de uso de IA: mantidos por 12 meses para controle de custos

Após exclusão da conta

Dados pessoais e guias: deletados em até 30 dias
Screenshots e áudio no storage: deletados em até 30 dias
Dados anonimizados: podem ser mantidos para análise agregada (não identificam o usuário)
Backups: sobrescritos dentro do ciclo normal de 90 dias
Logs de sistema: mantidos por 6 meses para fins de segurança e cumprimento legal

14. Menores de Idade

O Stepyo é destinado a usuários maiores de 18 anos. Não coletamos intencionalmente dados de menores de idade. Se você acredita que coletamos dados de um menor, entre em contato conosco imediatamente em [email protected].

Caso identifiquemos dados de menores de 18 anos em nosso sistema, procederemos com a exclusão imediata, conforme previsto na LGPD (Art. 14).

15. Conformidade com a Chrome Web Store

A extensão Stepyo está publicada na Chrome Web Store e cumpre integralmente as políticas do programa para desenvolvedores do Google:

Uso Limitado

Os dados coletados pela extensão são usados exclusivamente para fornecer e melhorar a funcionalidade de documentação automática. Não utilizamos dados da extensão para publicidade, venda a terceiros ou qualquer finalidade não relacionada ao propósito da ferramenta.

Permissões Mínimas

Solicitamos apenas as permissões estritamente necessárias para o funcionamento da extensão. Cada permissão possui justificativa documentada e disponível na Chrome Web Store.

Manuseio Seguro

Todos os dados são transmitidos via HTTPS e armazenados com criptografia. Não utilizamos código remoto. A extensão segue as práticas de segurança exigidas pelo Manifest V3.

16. Alterações nesta Política

Podemos atualizar esta política periodicamente. Mudanças significativas serão notificadas por e-mail ou através de aviso na plataforma com pelo menos 30 dias de antecedência.

O uso continuado do serviço após alterações constitui aceitação da nova política. Recomendamos revisar esta página periodicamente.

Histórico de Versões

v2.121/02/2026Adicionada seção de Sub-processadores (LGPD Art. 5, VII) com lista completa de operadores: Supabase, Vercel, OpenAI, Anthropic, Groq, Stripe, Doppler, Google.

v2.008/02/2026Adicionadas seções de gravação de áudio, Anthropic Claude, decisões automatizadas, incidentes de segurança, definições LGPD, compliance Chrome Web Store e distinção controlador/operador.

v1.026/12/2024Versão inicial da Política de Privacidade.

17. Contato

Para questões sobre privacidade, exercer seus direitos ou reportar preocupações:

Encarregado (DPO): Paulo Henrique Reis

E-mail: [email protected]

Site: stepyo.com.br

Responderemos sua solicitação em até 15 dias, conforme previsto na LGPD (Art. 18, § 5º).

Autoridade Nacional: Caso não esteja satisfeito com nossa resposta, você pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) em www.gov.br/anpd.

18. Responsabilidade do Usuário

Importante: Use com Responsabilidade

Você é responsável pelo conteúdo que grava. Não capture informações confidenciais, senhas, dados de pagamento ou informações de terceiros sem permissão expressa. Os screenshots e gravações podem inadvertidamente conter dados pessoais de terceiros visíveis na tela — certifique-se de ter autorização antes de compartilhar guias que contenham tais informações. O Stepyo não se responsabiliza pelo uso inadequado da ferramenta.