Política de Privacidade
- Versão: 1.0
- Vigência: 2026-05-18
- Última atualização: 2026-05-18
- Controlador: [Razão social — A DEFINIR] ("MomMem", "nós", "nossa")
- Endereço: São Paulo, Brasil
- Encarregado (DPO): dpo@mommem.com
Este documento existe em duas versões oficiais: português brasileiro (pt-BR) e inglês americano (en-US). Em caso de divergência interpretativa, a versão em português prevalece para usuários no Brasil; a versão em inglês prevalece para usuários nos Estados Unidos.
1. Quem somos
O MomMem é um cofre digital privado de memórias da infância. A nossa proposta é permitir que pais — sobretudo mães de primeiro filho — registrem momentos importantes da vida dos seus filhos de forma rápida (foto + 15-30 segundos de áudio), com a inteligência artificial cuidando da curadoria, transcrição e organização cronológica.
O MomMem é operado por [Razão social — A DEFINIR], com sede em São Paulo, Brasil. Para qualquer assunto relacionado a esta Política ou aos seus dados, fale com a nossa Encarregada de Tratamento de Dados (DPO) em dpo@mommem.com.
2. Esta política em uma frase
Coletamos o mínimo necessário para o produto funcionar, nunca vendemos seus dados nem dados dos seus filhos, criptografamos tudo em trânsito e em repouso, e você pode pedir para apagar tudo a qualquer momento.
3. Dados que tratamos
3.1. Dados que você nos fornece
| Categoria | Exemplos | Para quê |
|---|---|---|
| Identificação da conta | Nome, e-mail, telefone (opcional), idioma preferido | Criar e operar a conta da família |
| Perfil das crianças | Nome (ou apelido), data de nascimento, gênero (opcional), foto de perfil | Organizar memórias por filho e calcular marcos por idade |
| Conteúdo de memórias | Fotos, vídeos curtos, áudios de 15–30s, textos digitados, tags | É o produto — é o que você está guardando |
| Convidados da família | Nome e e-mail de pessoas que você convida (avós, padrinhos, coparentes) | Permitir co-curadoria e compartilhamento limitado |
| Suporte | Mensagens enviadas para atendimento, prints, descrições de bug | Resolver problemas relatados |
3.2. Dados gerados pelo seu uso
| Categoria | Exemplos |
|---|---|
| Metadados de mídia | Data/hora do registro, geolocalização aproximada (apenas se você autorizar), formato, duração |
| Saída de IA | Transcrição do áudio, resumo gerado, tags sugeridas, marcos detectados |
| Telemetria de produto | Telas vistas, ações realizadas, performance, erros — sem conteúdo de memórias |
| Dispositivo | Modelo, sistema operacional, idioma, identificadores publicitários somente se você consentir |
3.3. Dados que NÃO coletamos
- Não lemos a sua agenda, mensagens, contatos ou outras fotos do dispositivo sem ação explícita sua.
- Não pedimos CPF, RG ou documentos de identificação dos seus filhos.
- Não rastreamos você fora do app/site MomMem.
- Não vendemos publicidade comportamental.
4. Crianças e adolescentes
Esta seção é a mais importante deste documento.
O MomMem é um produto para pais e responsáveis, não para crianças. Quem cria a conta, aceita os termos e fornece consentimento é sempre uma pessoa maior de 18 anos, na posição de detentor do poder familiar.
Como o conteúdo guardado é, por natureza, sobre crianças, tratamos esses dados com proteções reforçadas em conformidade com:
- LGPD Art. 14 — tratamento de dados pessoais de crianças e adolescentes;
- COPPA (US) — proteção de dados de menores de 13 anos;
- GDPR Art. 8 — consentimento parental para menores de 16 anos na UE.
Em concreto, isso significa que:
- Apenas o detentor do poder familiar pode criar e administrar a conta da criança.
- Não há login da criança. A criança não é "usuária" do produto.
- Não há perfilamento publicitário das crianças, em nenhuma circunstância.
- Os dados das crianças não são usados para treinar modelos de IA de terceiros. Sub-processadores (OpenAI/Whisper, por exemplo) são contratualmente obrigados a não reter ou treinar com o conteúdo enviado.
- Você pode exportar ou excluir todo o material da sua criança a qualquer momento.
- Ao convidar avós, padrinhos ou coparentes, você é responsável por garantir que essas pessoas estão autorizadas a ver e contribuir.
5. Bases legais para o tratamento (LGPD / GDPR)
| Finalidade | Base legal (LGPD) | Base legal (GDPR) |
|---|---|---|
| Criar e operar a sua conta | Execução de contrato (Art. 7º V) | Performance of contract (Art. 6(1)(b)) |
| Processar suas memórias com IA | Execução de contrato | Performance of contract |
| Cobrança e gestão de assinatura | Execução de contrato; obrigação legal fiscal | Contract + legal obligation |
| Comunicações transacionais (boas-vindas, cobrança, segurança) | Execução de contrato | Contract |
| Comunicações de marketing opcionais | Consentimento | Consent |
| Geolocalização da mídia | Consentimento | Consent |
| Dados de crianças | Consentimento dos pais + interesse legítimo na proteção do menor (LGPD Art. 14, §3º) | Parental consent (Art. 8) |
| Telemetria de produto e correção de bugs | Legítimo interesse (Art. 7º IX) | Legitimate interest (Art. 6(1)(f)) |
| Prevenção a fraude e abuso | Legítimo interesse | Legitimate interest |
| Cumprimento de ordem judicial / obrigação legal | Obrigação legal (Art. 7º II) | Legal obligation (Art. 6(1)(c)) |
Você pode revogar o consentimento a qualquer momento sem prejuízo da legalidade do tratamento anterior à revogação.
6. Como tratamos suas memórias com IA
Quando você grava um momento (foto + áudio de 15–30s), a seguinte cadeia acontece:
- Upload criptografado (TLS 1.2+) do arquivo para o nosso armazenamento (Cloudflare R2).
- Transcrição do áudio via OpenAI Whisper API sob contrato Zero Data Retention — a OpenAI não retém o áudio enviado nem usa para treinar modelos.
- Estruturação (extração de tags, marcos, sentimento) via Anthropic Claude API — também sob contrato de não-retenção e não-treinamento.
- Armazenamento do conteúdo original + metadados estruturados no nosso banco (Postgres / Supabase), com Row-Level Security: apenas a sua família vê os seus dados.
- Você revisa a sugestão. Se editar ou apagar, propagamos a mudança.
Nenhuma memória sua é vista por humanos do MomMem, exceto se você ativamente abrir um chamado de suporte e anexar a memória.
7. Compartilhamento e sub-processadores
O MomMem trabalha com os seguintes sub-processadores. Cada um foi avaliado quanto à conformidade com LGPD/GDPR/COPPA e mantém contrato (DPA) com cláusulas-padrão de proteção de dados.
| Sub-processador | Função | Localização dos dados |
|---|---|---|
| Supabase | Banco de dados Postgres, autenticação | EUA (com possibilidade futura de região São Paulo) |
| Cloudflare R2 | Armazenamento de fotos, vídeos, áudios | Multi-região global; objeto armazenado na região mais próxima do usuário |
| Cloudflare (CDN/WAF) | Entrega de conteúdo, proteção contra ataques | Borda global |
| Fly.io | Servidores de aplicação | Multi-região, sendo São Paulo (GRU) o padrão para usuários BR |
| OpenAI | Transcrição de áudio (Whisper) | EUA, sob acordo Zero Data Retention |
| Anthropic | Estruturação de memórias com IA (Claude) — extração de tags, marcos e resumos | EUA, sob acordo de não-retenção e não-treinamento |
| Apple In-App Purchase | Processamento de pagamentos no iOS | EUA (Apple) |
| Google Play Billing | Processamento de pagamentos no Android | EUA (Google) |
| PostHog | Analytics de produto (sem conteúdo de memória) | EUA; opção self-host EU sob avaliação |
| Sentry | Monitoramento de erros (sem conteúdo de memória) | EUA |
A lista atualizada está disponível em mommem.com/subprocessors e notificaremos com pelo menos 30 dias de antecedência qualquer adição.
Não vendemos, alugamos ou trocamos seus dados pessoais com terceiros para fins publicitários ou comerciais.
8. Transferências internacionais de dados
Como nossos sub-processadores operam em sua maioria nos EUA, dados pessoais são transferidos internacionalmente. As salvaguardas que aplicamos:
- LGPD: transferência baseada em garantias contratuais específicas (cláusulas-padrão), execução de contrato com você e, quando aplicável, consentimento.
- GDPR: uso das Cláusulas Contratuais Padrão (SCC) da Comissão Europeia e/ou EU-US Data Privacy Framework.
- EUA → BR / EUA → UE: os sub-processadores que utilizamos são certificados ou contratados sob frameworks reconhecidos de adequação.
9. Retenção e exclusão
| Tipo de dado | Tempo de retenção |
|---|---|
| Conteúdo de memórias (fotos, áudios, vídeos, transcrições) | Enquanto a sua conta estiver ativa |
| Conta após cancelamento da assinatura | 12 meses para permitir reativação. Após esse prazo, exclusão completa. |
| Dados de cobrança | 5 anos após o fim da relação (obrigação fiscal brasileira) |
| Logs de segurança | 180 dias |
| Telemetria agregada e anônima | Mantida indefinidamente para análise de produto |
Exclusão imediata por solicitação: se você pedir formalmente a exclusão antes dos 12 meses, processamos em até 15 dias úteis (LGPD) ou 30 dias corridos (GDPR). Backups são purgados em rotações de até 90 dias.
10. Seus direitos como titular
Você tem o direito de, a qualquer momento:
- Acessar os dados que tratamos sobre você e sua família.
- Corrigir dados incompletos, inexatos ou desatualizados.
- Solicitar a exclusão dos seus dados e dos dados das suas crianças.
- Portar seus dados em formato estruturado (JSON + arquivos originais).
- Revogar consentimento para tratamentos baseados em consentimento.
- Opor-se a tratamentos baseados em legítimo interesse.
- Solicitar revisão de decisões automatizadas significativas (não usamos decisões automatizadas significativas no produto atualmente).
- Reclamar à ANPD (Brasil) ou à autoridade de proteção de dados da sua jurisdição.
Como exercer: dentro do app, em Ajustes → Privacidade → Meus Dados, ou por e-mail para dpo@mommem.com. Respondemos em até 15 dias úteis.
11. Segurança
- Criptografia em trânsito: TLS 1.2 ou superior em todas as conexões.
- Criptografia em repouso: AES-256 nos arquivos em R2 e no banco de dados.
- Controle de acesso: Row-Level Security no Postgres; cada família só consegue ver os próprios dados.
- Autenticação: senha + MFA opcional + tokens de sessão com expiração.
- Acesso da equipe: princípio do menor privilégio; logs de acesso a dados de produção; nenhum engenheiro pode ler conteúdo de memórias sem trilha de auditoria.
- Resposta a incidentes: em caso de incidente de segurança que afete seus dados, comunicaremos a ANPD em até 48h e você em até 72h, conforme exige a LGPD.
12. Cookies e tecnologias similares
O app móvel não usa cookies. Usa identificadores de instalação para autenticação e telemetria de produto (somente se você consentir).
O site mommem.com usa:
- Cookies essenciais (sempre): sessão de login, preferência de idioma.
- Cookies de analytics (PostHog, opt-in): contagem de visitantes e funil de cadastro.
- Nenhum cookie de publicidade comportamental.
Banner de consentimento ativo na primeira visita; preferências revisáveis em mommem.com/cookies.
13. Alterações nesta política
Atualizamos esta política sempre que houver mudança material em como tratamos seus dados. Quando isso acontecer:
- Avisamos por e-mail e dentro do app com pelo menos 30 dias de antecedência.
- Mantemos versões anteriores acessíveis em mommem.com/privacy/history.
- Para mudanças que requerem novo consentimento, você precisará aceitá-las explicitamente antes da entrada em vigor.
14. Contato
- E-mail geral: suporte@mommem.com
- Encarregada de Dados (DPO): dpo@mommem.com
- Endereço postal: [Endereço completo — A DEFINIR], São Paulo, Brasil
- Reclamações à autoridade: ANPD (Brasil) — gov.br/anpd