Cx
Cortex

Política de Privacidade

Última atualização: 13 de maio de 2026

Esta Política de Privacidade descreve como a Xtreme Cursos e Desenvolvimento Profissional Ltda ("Cortex", "nós") coleta, usa, compartilha e protege os dados pessoais tratados na plataforma Cortex (cortex.mbr.education) e em suas integrações com WhatsApp, email e sistemas de inteligência artificial.

Estamos em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018) e respeitamos os princípios de finalidade, adequação, necessidade, transparência e segurança.

1. Quem é o controlador dos dados

Xtreme Cursos e Desenvolvimento Profissional Ltda — pessoa jurídica responsável pelo tratamento dos dados pessoais coletados pelo Cortex.

  • CNPJ: 06.020.149/0001-19
  • Endereço: Rua Prof. Francisco Assis Madeira, 234, Sala 01, Centro, Tietê/SP, CEP 18.530-000
  • Email para questões de privacidade: privacidade@xtremecursos.com.br
  • Email de suporte geral: suporte@xtremecursos.com.br

2. Quais dados coletamos

2.1. Dados de usuários do painel (administradores das escolas)

  • Nome completo, email, telefone
  • Cargo e escola/unidade vinculada
  • Senha (armazenada com criptografia bcrypt — nunca em texto claro)
  • Logs de acesso (data/hora, IP, ações realizadas no painel) para fins de auditoria e segurança

2.2. Dados das famílias atendidas via WhatsApp

  • Número de telefone WhatsApp
  • Nome (quando informado pela família)
  • Conteúdo das mensagens trocadas (texto, áudio, imagem, documento)
  • Mídia enviada pela família (áudios são transcritos para texto)
  • Email (quando informado pela família)
  • Idade do aluno e curso de interesse (quando informados)
  • Metadados da conversa: data/hora, status, classificação de objeções, probabilidade de matrícula calculada por IA

2.3. Dados técnicos

  • Endereço IP (para rate limiting e detecção de fraude)
  • User agent do navegador
  • Cookies estritamente necessários para autenticação

3. Para que usamos os dados (finalidades)

  • Operar a plataforma: autenticar usuários, exibir conversas, organizar leads em pipeline, gerar relatórios
  • Atendimento automatizado via WhatsApp: permitir que o agente de IA do Cortex responda às famílias, qualifique leads, agende visitas e acompanhe o funil de matrícula
  • Inteligência e analytics: identificar padrões de conversão, detectar objeções, sugerir melhorias no atendimento
  • Comunicação transacional: enviar emails de confirmação, recuperação de senha, alertas de sistema
  • Segurança e auditoria: investigar incidentes, prevenir fraudes, atender requisições legais
  • Aprimoramento do serviço: análise estatística agregada (sem identificar indivíduos) para melhorar funcionalidades

4. Base legal do tratamento

Tratamos dados com fundamento nas seguintes bases legais da LGPD:

  • Execução de contrato (art. 7º, V) — para operar a plataforma contratada pela escola
  • Consentimento (art. 7º, I) — quando a família inicia conversa pelo WhatsApp anunciado da escola, consente em ser atendida pelo agente de IA
  • Legítimo interesse (art. 7º, IX) — para análise estatística agregada e aprimoramento do serviço, sempre respeitando os direitos do titular
  • Cumprimento de obrigação legal (art. 7º, II) — para atender requisições de autoridades competentes

5. Com quem compartilhamos dados

O Cortex compartilha dados estritamente necessários com os seguintes operadores, todos sob contrato e obrigados a manter sigilo:

  • Meta Platforms Inc. (WhatsApp Business Platform): processamento das mensagens trocadas via WhatsApp oficial. Sujeito à Política de Privacidade do WhatsApp Business.
  • OpenAI (gpt-4o-mini, Whisper): processamento de conteúdo das conversas para gerar respostas do agente de IA e transcrever áudios. Operamos via API com retenção zero de dados (zero-data-retention) — a OpenAI não armazena nem usa as mensagens para treinar seus modelos.
  • Google (Gemini Flash): processamento secundário como fallback quando OpenAI indisponível. Mesma política de não-uso para treinamento.
  • Vercel Inc.: hospedagem da aplicação (servidores na região de Frankfurt, União Europeia)
  • Neon (PostgreSQL): banco de dados gerenciado (servidores em Frankfurt, União Europeia)
  • Upstash: filas de mensagens e rate limiting (servidores em Frankfurt, União Europeia)
  • Resend: envio de emails transacionais

Não vendemos dados pessoais a terceiros. Não compartilhamos dados para fins de publicidade externa.

6. Onde os dados são armazenados

Os dados são armazenados em servidores localizados em Frankfurt, União Europeia (região eu-central-1 da AWS / fra1 da Vercel), sujeitos ao Regulamento Geral sobre a Proteção de Dados (GDPR) e à LGPD.

A transferência internacional de dados ocorre com base nas Cláusulas Contratuais Padrão e nos compromissos de proteção equivalente previstos na LGPD (art. 33).

7. Por quanto tempo retemos os dados

  • Dados de conversas WhatsApp: mantidos enquanto a escola for cliente ativa do Cortex. Após cancelamento, retidos por até 90 dias para fins de exportação e auditoria, depois excluídos.
  • Dados de usuários do painel: mantidos enquanto a conta estiver ativa. Excluídos em até 30 dias após desativação.
  • Logs de auditoria e segurança: retidos por até 12 meses para investigação de incidentes.
  • Dados financeiros e fiscais: retidos por até 5 anos conforme legislação fiscal brasileira.

8. Seus direitos como titular dos dados (LGPD art. 18)

Você tem o direito de:

  • Confirmar a existência de tratamento dos seus dados
  • Acessar os dados que temos sobre você
  • Corrigir dados incompletos, inexatos ou desatualizados
  • Solicitar anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade com a LGPD
  • Solicitar a portabilidade dos seus dados a outro fornecedor
  • Solicitar a exclusão dos seus dados pessoais tratados com base em consentimento — veja a página /excluir-dados
  • Obter informação sobre as entidades públicas e privadas com as quais compartilhamos seus dados
  • Revogar o consentimento a qualquer momento

9. Como exercer seus direitos

Envie sua solicitação para privacidade@xtremecursos.com.br informando:

  • Nome completo
  • Email ou telefone WhatsApp usado na plataforma
  • Qual direito está exercendo
  • Documento de identificação (para validação)

Respondemos em até 15 dias úteis. Solicitações complexas podem ser estendidas com justificativa formal.

10. Segurança dos dados

Adotamos medidas técnicas e organizacionais incluindo:

  • Criptografia em trânsito (HTTPS/TLS 1.3)
  • Senhas com hash bcrypt (nunca em texto claro)
  • Controle de acesso por papel (RBAC) com isolamento multi-tenant
  • Tokens de autenticação com expiração curta
  • Rate limiting para prevenção de força bruta
  • Logs de auditoria com proteção contra adulteração
  • Backup diário do banco de dados
  • Monitoramento de incidentes e plano de resposta

11. Cookies

Usamos apenas cookies estritamente necessários para autenticação e funcionamento da plataforma (sessão NextAuth, preferência de idioma, escola selecionada). Não usamos cookies de rastreamento publicitário nem compartilhamos dados com plataformas de adtech.

12. Crianças e adolescentes

O Cortex é uma ferramenta operada pelas escolas para captação de novos alunos. As mensagens são trocadas com responsáveis legais (pais, mães, avós), não diretamente com menores. Quando o nome ou idade do aluno é mencionado, o tratamento ocorre no melhor interesse da criança/adolescente, conforme art. 14 da LGPD, e é mediado pela responsabilidade do responsável legal que iniciou o contato.

13. Encarregado de Proteção de Dados (DPO)

Para questões específicas de proteção de dados, contate nosso Encarregado em privacidade@xtremecursos.com.br.

14. Autoridade Nacional de Proteção de Dados (ANPD)

Caso entenda que seus direitos não foram atendidos, você pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) em www.gov.br/anpd.

15. Atualizações desta política

Esta política pode ser atualizada periodicamente. A data de última atualização aparece no topo. Mudanças relevantes serão comunicadas por email aos usuários da plataforma com pelo menos 15 dias de antecedência.

16. Contato

Xtreme Cursos e Desenvolvimento Profissional Ltda
CNPJ: 06.020.149/0001-19
Endereço: Rua Prof. Francisco Assis Madeira, 234, Sala 01, Centro, Tietê/SP, CEP 18.530-000
Email privacidade: privacidade@xtremecursos.com.br
Email suporte: suporte@xtremecursos.com.br
Site: cortex.mbr.education