Política de Privacidade e Proteção de Dados | Summya
1. OBJETO E ÂMBITO DE APLICAÇÃO
Esta Política define como a Summya de Colombia S.A.S. e suas filiais ou entidades relacionadas ("Summya", "nós") tratam dados pessoais e dados empresariais no contexto de sua operação como marketplace global de agentes de IA e fluxos de automação.
Aplica-se a: usuários registrados, compradores, vendedores, clientes finais de nossos clientes, visitantes do site e qualquer pessoa cujos dados sejam tratados por meio da Plataforma, produtos próprios ou de terceiros, bem como a tratamentos realizados por serviços internos de análise, suporte e operações.
2. CONTROLADOR DO TRATAMENTO E ENCARREGADO DE PROTEÇÃO DE DADOS
A Summya de Colombia S.A.S., identificada com NIT 902.003.625-9 e domicílio principal na Calle 83 #5-57, Bogotá, Colômbia, atua como controladora do tratamento de dados pessoais quando determina as finalidades e os meios do tratamento.
Para garantir o cumprimento de padrões internacionais (Lei 1581 de 2012, GDPR, LGPD, UK GDPR, CPRA, entre outros), a Summya designou um Encarregado de Proteção de Dados (DPO):
O DPO atua como ponto de contato para titulares, autoridades e terceiros; coordena avaliações de impacto (DPIA/PIA); supervisiona a implementação desta Política; e assessora sobre novos produtos e funcionalidades.
3. MODELO HÍBRIDO DE RESPONSABILIDADE E PAPÉIS
A Summya opera sob um modelo híbrido de responsabilidade, alinhado aos seus Termos e Condições:
Em Produtos Próprios (First-Party), a Summya atua como Controladora de Dados em relação aos dados do usuário e, quando o produto processa dados de clientes finais do comprador, como controladora e operadora conforme o caso.
Em Produtos de Terceiros (Third-Party), o Comprador é o Controlador de Dados; o Vendedor e a Summya atuam como Operadores conjuntos, limitando sua atuação ao cumprimento das instruções do Comprador e dos acordos de tratamento aplicáveis.
É obrigatório que as partes formalizem o Acordo de Tratamento de Dados (DPA) pré-aprovado e disponível na Plataforma antes de iniciar qualquer tratamento de dados pessoais de clientes finais, a fim de distribuir obrigações, garantias e responsabilidades conforme as normas vigentes.
4. GOVERNANÇA DE DADOS E TRANSPARÊNCIA ALGORÍTMICA EM IA
A Summya mantém um marco de governança de dados e IA que inclui: registro de modelos, AI Fact Sheets, avaliação de vieses, métricas de desempenho, restrições de uso e procedimentos de supervisão humana para decisões automatizadas de alto impacto.
Inferências e resultados gerados por agentes de IA são considerados dados pessoais quando possam identificar ou perfilar uma pessoa, e estão sujeitos aos direitos ARCO/ARCO+ (acesso, retificação, cancelamento/supressão, oposição, portabilidade, limitação e outros direitos específicos). Garante-se o princípio de human-in-the-loop para decisões suscetíveis de gerar efeitos legais ou impacto significativo nos titulares.
É estritamente proibido utilizar dados de clientes finais para treinar modelos próprios ou de terceiros sem consentimento explícito (opt-in) informado e verificável; qualquer treinamento com dados de usuários deve ser realizado sobre dados anonimizados e com técnicas de proteção avançadas (p. ex., k-anonimato, l-diversidade, privacidade diferencial) quando aplicável.
A Summya classifica seus agentes de IA e fluxos de automação em três níveis de risco (baixo, médio, alto), considerando o tipo de uso, a natureza dos dados tratados, a presença de perfilamento e decisões automatizadas com efeitos significativos, a escala do tratamento e o contexto regulatório do setor. Para cada nível de risco aplicam-se controles de governança diferenciados, incluindo registro de produto, documentação técnica, AI Fact Sheets, avaliação de impacto na proteção de dados (DPIA) quando necessária e requisitos de supervisão humana reforçada nos casos de alto risco. Nenhum agente de IA que possa ser considerado de alto risco segundo as normas aplicáveis (p. ex., GDPR e EU AI Act) será implantado ou listado na Plataforma sem ter superado uma revisão formal de privacidade e conformidade, conduzida pelo DPO e pelas equipes de compliance, e sem documentação suficiente para que Compradores e Vendedores possam cumprir suas próprias obrigações regulatórias.
5. CATEGORIAS DE DADOS E FINALIDADES
A Summya trata, entre outros, os seguintes tipos de dados:
Dados de cadastro e conta: nome, e-mail, telefone, país, setor, credenciais, papel (comprador, vendedor), informação fiscal mínima para faturamento.
Dados de uso da Plataforma: produtos visualizados, tempos de sessão, logs de interação, configuração de agentes, preferências, métricas de desempenho.
Dados de pagamento: tokens de pagamento fornecidos por gateways certificados (a Summya não armazena dados completos de cartões), informações necessárias para conciliação e faturamento.
Dados de clientes finais processados por agentes de IA (nome, e-mail, telefone, histórico de compras, mensagens de atendimento, preferências) quando o Comprador utiliza a Plataforma para prestar serviços aos seus próprios clientes.
As finalidades principais incluem: prestação do serviço, gestão de contas, suporte técnico, segurança da Plataforma, cumprimento legal e regulatório, melhoria contínua de produtos (sobre dados agregados ou anonimizados), análise de uso, moderação e prevenção de fraude.
6. DIREITOS DOS TITULARES E PROCEDIMENTOS
Os titulares podem exercer, conforme sua jurisdição, os direitos de acesso, retificação, cancelamento/supressão, oposição, portabilidade, limitação do tratamento, esquecimento e qualquer outro direito reconhecido pela norma aplicável.
A Summya dispõe de canais específicos para solicitações de direitos:
Formulário em /pt-BR/contacto?intent=privacy&topic=data_rights.
Os prazos de resposta ajustam-se à regulamentação correspondente (p. ex., 15 dias úteis sob a Lei 1581, 30 dias sob GDPR/LGPD), e mantêm-se registros internos das solicitações e respostas para fins de auditoria e accountability.
7. COOKIES E TECNOLOGIAS DE RASTREAMENTO
A Plataforma utiliza cookies e tecnologias similares classificadas em: essenciais, analíticas, funcionais e publicitárias/personalização.
A Summya oferece um mecanismo granular de gestão e revogação de consentimento para cookies não essenciais, visível e acessível na interface, em cumprimento de práticas de privacy-by-design e regulamentações aplicáveis (p. ex., GDPR/Diretiva ePrivacy, CPRA).
8. TRANSFERÊNCIAS INTERNACIONAIS E MARCO GLOBAL
A Summya realiza transferências internacionais de dados a provedores cloud (p. ex., AWS, Google Cloud), gateways de pagamento (p. ex., Stripe, dLocal) e outros encarregados localizados em distintas jurisdições, sempre sob contratos que assegurem um nível de proteção equivalente ao exigido pelas normas de origem do dado (Lei 1581, GDPR, LGPD, UK GDPR, CPRA, etc.).
Essas transferências são protegidas por meio de medidas como:
Cláusulas Contratuais Padrão (SCCs) para a UE/EEE.
Acordos de tratamento de dados (DPA) com encarregados.
Avaliações de impacto de transferências e, quando necessário, medidas suplementares técnicas e organizacionais.
A Summya não transferirá dados pessoais a jurisdições consideradas sem nível adequado de proteção, salvo que exista consentimento explícito do titular ou que a norma aplicável preveja uma exceção específica para a transferência, devidamente documentada.
9. SEGURANÇA DA INFORMAÇÃO E GESTÃO DE INCIDENTES
A Summya aplica medidas técnicas e organizacionais de segurança apropriadas ao risco, incluindo criptografia em trânsito e em repouso, controles de acesso baseados em papéis (RBAC), autenticação multifator em acessos administrativos, monitoramento contínuo, testes de segurança e programas periódicos de formação em proteção de dados.
Diante de qualquer incidente de segurança que possa gerar risco para os direitos e liberdades dos titulares, a Summya executará um protocolo de resposta estruturado (detecção, contenção, avaliação, notificação, remediação e prevenção), notificando autoridades competentes e usuários afetados em prazo máximo de 72 horas desde a detecção, quando assim o exigir a norma aplicável (p. ex., GDPR, Lei 1581, LGPD).
10. RETENÇÃO DE DADOS
A Summya retém dados pessoais apenas durante o tempo necessário para cumprir as finalidades para as quais foram coletados, cumprir obrigações legais e contratuais ou proteger interesses legítimos devidamente ponderados, de acordo com a norma.
Os prazos de retenção são geridos por meio de tabelas internas, que podem incluir, a título de exemplo:
Dados de cadastro e conta: vigência da relação e até 5 anos posteriores para cumprimento legal e defesa de reclamações.
Dados de faturamento: períodos exigidos pela legislação fiscal aplicável.
Logs de interação de IA: 6 meses ou anonimização, salvo que seja necessário prazo maior para segurança ou auditoria, caso em que as razões serão documentadas.
Dados de clientes finais: conforme instruções do Controlador (Comprador), com capacidade de exportação e supressão conforme o DPA e o marco legal.
11. MENORES DE IDADE
A Plataforma Summya destina-se exclusivamente a usuários maiores de 18 anos (ou idade mínima equivalente conforme a jurisdição).
A Summya não coleta nem trata intencionalmente dados de menores de idade. Se for detectado o tratamento involuntário de dados de um menor, proceder-se-á à eliminação imediata e definitiva dessa informação e revisar-se-ão os controles existentes para evitar recorrências.
12. ATUALIZAÇÕES DA POLÍTICA E NOTIFICAÇÕES
A Summya poderá modificar esta Política para refletir mudanças regulatórias, tecnológicas ou organizacionais.
Toda modificação significativa será comunicada com aviso prévio razoável (p. ex., 15–30 dias) pelos canais habituais (e-mail, avisos na Plataforma). O uso continuado da Plataforma após a entrada em vigor da nova versão implica a aceitação da Política atualizada, sem prejuízo dos direitos irrenunciáveis do titular sob a legislação aplicável.
A versão vigente e as anteriores serão conservadas em um registro de versões acessível, indicando número de versão e data de entrada em vigor.
13. CONTATO E RECLAMAÇÕES
Para exercer direitos, apresentar consultas ou reclamações em matéria de proteção de dados, os titulares podem contatar:
Os titulares também conservam o direito de recorrer à autoridade de controle competente (p. ex., SIC na Colômbia, autoridades de proteção de dados na UE, ANPD no Brasil, etc.), conforme seu país de residência e norma aplicável.