POLÍTICA DE PRIVACIDADE

Ecossistema AI Tutor

Última Atualização: 3 de março de 2026

Esta Política de Privacidade (“Política”) descreve como a Expandel trata Dados Pessoais no contexto do acesso e uso da Plataforma AI Tutor, de seus websites, aplicativos, integrações, ambientes institucionais, canais de suporte e demais serviços relacionados.

A presente Política deverá ser lida em conjunto com os Termos de Uso, contratos institucionais, DPA e demais instrumentos específicos eventualmente aplicáveis.

1. Quem Somos

A operação do AI Tutor é conduzida, conforme o território e a estrutura contratual aplicável, por:

EXPANDEL TECNOLOGIA LTDA, inscrita no CNPJ sob nº 22.724.566/0001-07, com sede em R. Francisco Rocha, 198 – Batel, Curitiba – PR, 80420-130, Brasil, para usuários e Clientes Institucionais no território brasileiro (“Operação Brasil”); e/ou

EXPANDEL LLC, registrada sob EIN nº 35-2900120, com mailing address em 7345 W Sand Lake Rd Ste 210 Office 2098, Orlando, FL 32819, United States, para usuários e Clientes Institucionais fora do Brasil (“Operação Global”).

Para fins desta Política, tais entidades poderão atuar como controladoras, co-controladoras ou operadoras/processadoras, conforme o caso concreto e a legislação aplicável.

2. Abrangência

Esta Política se aplica ao tratamento de Dados Pessoais realizado quando você:

I. acessa ou utiliza a Plataforma;

II. cria Conta ou autentica-se por terceiros;

III. contrata plano ou recebe acesso institucional;

IV. entra em contato com atendimento, suporte, comercial ou jurídico;

V. participa de demonstrações, testes, trials, onboarding ou capacitações;

VI. navega em nossos websites ou ambientes digitais relacionados ao AI Tutor;

VII. habilita integrações com serviços de terceiros, incluindo, sem limitação, Google Classroom, Google Drive, Google Calendar, Google Workspace, Microsoft 365, Microsoft Graph ou outros serviços equivalentes.

3. Categorias de Dados Tratados

Poderemos tratar, conforme o contexto:

3.1. Dados cadastrais e de identificação
Nome, e-mail, telefone, cargo, instituição, identificadores internos, perfil de acesso, país, idioma, dados de faturamento e informações correlatas.

3.2. Dados de autenticação
Credenciais, tokens, dados de login federado, dados de sessão, histórico de acesso, IP aproximado, identificadores de dispositivo e registros correlatos.

3.3. Conteúdo submetido à Plataforma
Prompts, arquivos, textos, respostas, perguntas, documentos, parâmetros, comentários, mensagens, Inputs e demais materiais inseridos por Usuários ou Clientes Institucionais.

3.4. Dados de uso e telemetria
Registros de navegação, cliques, eventos, logs, metadados técnicos, consumo de funcionalidades, métricas de desempenho, erros, travamentos, timestamps e indicadores de utilização.

3.5. Dados de suporte e relacionamento
Mensagens enviadas ao suporte, solicitações, reclamações, feedbacks, tickets, gravações ou registros de atendimento, quando aplicável.

3.6. Dados financeiros e comerciais
Informações de contratação, plano, histórico de cobrança, notas fiscais, recibos, status de pagamento e dados necessários à gestão comercial, sem prejuízo do processamento por intermediários de pagamento.

3.7. Dados provenientes de integrações e escopos de acesso
Informações obtidas a partir de integrações e permissões concedidas pelo Usuário ou Cliente Institucional em provedores terceiros, inclusive dados oriundos de escopos OAuth, APIs, recursos de autenticação federada, metadados de integração, identificadores de conta, listas de turmas, arquivos, calendários, permissões administrativas e outros dados estritamente necessários às funcionalidades habilitadas.

4. Finalidades do Tratamento

Poderemos tratar Dados Pessoais para:

I. viabilizar cadastro, autenticação e acesso seguro à Plataforma;

II. prestar, operar, manter, personalizar e aprimorar os Serviços;

III. executar contratos, propostas, trials, pedidos, renovações e faturamento;

IV. fornecer suporte, atendimento, onboarding, comunicação operacional e treinamento;

V. prevenir fraudes, abusos, incidentes de segurança, uso indevido e violações contratuais;

VI. cumprir obrigações legais, regulatórias, fiscais, contábeis e administrativas;

VII. exercer direitos em processos judiciais, administrativos ou arbitrais;

VIII. gerar métricas, estatísticas, telemetria e inteligência operacional;

IX. manter logs, trilhas, rastreabilidade e controles internos;

X. responder a solicitações de titulares, autoridades e parceiros legítimos;

XI. enviar comunicações institucionais, operacionais e, quando permitido, comerciais;

XII. habilitar, operar e manter integrações com provedores terceiros, inclusive Google e Microsoft, observados os escopos e permissões efetivamente concedidos.

5. Bases Legais

Quando aplicável à legislação brasileira, o tratamento poderá se fundamentar, conforme o caso, em:

I. execução de contrato ou de procedimentos preliminares relacionados a contrato;

II. cumprimento de obrigação legal ou regulatória;

III. exercício regular de direitos em processo judicial, administrativo ou arbitral;

IV. legítimo interesse, observados os direitos e liberdades fundamentais do titular;

V. proteção do crédito;

VI. consentimento, quando necessário ou adotado como base adequada.

Quando aplicável a outras jurisdições, o tratamento observará as bases legais equivalentes previstas na legislação pertinente.

6. Compartilhamento de Dados

Poderemos compartilhar Dados Pessoais, na medida necessária e adequada, com:

I. provedores de nuvem, hospedagem e infraestrutura;

II. provedores de autenticação e gestão de identidade;

III. processadores de pagamento, faturamento, ERP e emissão fiscal;

IV. prestadores de monitoramento, suporte, analytics, mensageria e segurança;

V. consultores, auditores, advogados e prestadores especializados vinculados a dever de confidencialidade;

VI. autoridades públicas, regulatórias, judiciais ou administrativas, quando exigido por lei ou ordem válida;

VII. empresas do mesmo grupo econômico ou sucessores empresariais, no contexto de reorganização societária, fusão, incorporação, aquisição ou cessão de ativos;

VIII. provedores integrados e subprocessadores necessários à execução de integrações habilitadas, respeitadas as permissões concedidas e a finalidade do tratamento.

7. Transferência Internacional de Dados

7.1. O AI Tutor poderá utilizar infraestrutura, sistemas, prestadores de serviço e fluxos operacionais localizados em mais de um país.

7.2. Em razão disso, Dados Pessoais poderão ser transferidos internacionalmente para hospedagem, autenticação, suporte, segurança, monitoramento, backup, prestação dos Serviços, execução contratual e operação de integrações com provedores terceiros.

7.3. Sempre que aplicável, a Expandel adotará mecanismos jurídicos adequados para a transferência internacional, incluindo cláusulas contratuais padrão, cláusulas-padrão contratuais, decisões de adequação, instrumentos equivalentes ou outros mecanismos reconhecidos pela legislação pertinente.

8. Papéis de Controlador e Operador

8.1. Em algumas situações, a Expandel atuará como controladora, especialmente em relação a:

I. gestão de cadastro próprio;

II. segurança da Plataforma;

III. prevenção a fraude;

IV. métricas operacionais;

V. faturamento e cobrança;

VI. cumprimento legal;

VII. relacionamento comercial.

8.2. Em cenários de contratação institucional, a Expandel poderá atuar como operadora/processadora em nome do Cliente Institucional, quando este definir as finalidades e meios essenciais do tratamento de Dados Pessoais inseridos na Plataforma.

8.3. Nessas hipóteses, o tratamento observará também o DPA e as instruções documentadas aplicáveis.

9. Crianças e Adolescentes

9.1. A Plataforma pode ser utilizada em contextos educacionais. Quando houver tratamento de dados de crianças ou adolescentes, a Expandel espera que o Cliente Institucional ou responsável legal possua base legal adequada, mecanismos de governança e medidas compatíveis com a legislação aplicável.

9.2. Recomendamos fortemente a observância de minimização, controle de acesso, segregação por perfis e revisão periódica de permissões em ambientes que envolvam menores.

10. Segurança da Informação

10.1. Adotamos medidas técnicas, administrativas e organizacionais razoáveis para proteger os Dados Pessoais contra acessos não autorizados, destruição, perda, alteração, comunicação ou difusão indevida.

10.2. Tais medidas podem incluir, conforme aplicável, controle de acesso, autenticação reforçada, logs, criptografia em trânsito, criptografia em repouso, backups, segregação lógica, monitoramento e gestão de incidentes.

10.3. Nenhum ambiente é totalmente invulnerável. Por isso, recomendamos que Usuários e Clientes Institucionais também adotem controles de segurança próprios, inclusive gestão segura de credenciais, segregação de permissões e revisão de conteúdos inseridos na Plataforma.

11. Uso de Dados Oriundos de APIs e Integrações do Google e Microsoft

11.1. Quando o Usuário ou Cliente Institucional autorizar escopos e permissões de acesso em provedores como Google e Microsoft, a Expandel tratará os dados obtidos apenas na extensão necessária para fornecer as funcionalidades habilitadas e solicitadas.

11.2. A Expandel observará, quando aplicável, as políticas dos provedores integrados relativas à tela de consentimento, uso limitado de dados, verificação de escopos sensíveis ou restritos, segurança e transparência.

11.3. A Expandel não venderá dados obtidos por meio de APIs de provedores integrados nem os utilizará para publicidade personalizada baseada nesses dados.

11.4. O acesso humano a dados oriundos dessas integrações ocorrerá apenas quando necessário para suporte solicitado, cumprimento legal, manutenção da segurança, prevenção a fraude ou investigação de incidentes técnicos, sempre sujeito a controles de acesso e confidencialidade.

12. Retenção e Eliminação

12.1. Os Dados Pessoais serão mantidos pelo prazo necessário para:

I. prestação dos Serviços;

II. cumprimento contratual;

III. atendimento a obrigações legais, regulatórias, fiscais e contábeis;

IV. prevenção a fraude e segurança;

V. exercício regular de direitos.

12.2. Após o término da finalidade ou da relação contratual, os dados poderão ser eliminados, anonimizados ou mantidos bloqueados, conforme a natureza do dado, os prazos legais e os interesses legítimos aplicáveis.

13. Direitos dos Titulares

Nos termos da legislação aplicável, o titular poderá solicitar, conforme cabível:

I. confirmação da existência de tratamento;

II. acesso aos dados;

III. correção de dados incompletos, inexatos ou desatualizados;

IV. anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade;

V. portabilidade, quando aplicável;

VI. informação sobre compartilhamentos;

VII. revogação do consentimento, quando esta for a base legal;

VIII. oposição ao tratamento, quando cabível.

Solicitações poderão ser encaminhadas para o canal indicado no item 17, podendo ser exigidos elementos razoáveis de verificação de identidade e legitimidade.

14. Cookies e Tecnologias Semelhantes

14.1. Poderemos utilizar cookies, pixels, local storage, SDKs e tecnologias semelhantes para autenticação, segurança, funcionamento técnico, desempenho, preferências e analytics.

14.2. O Usuário poderá gerenciar preferências por meio das configurações de navegador, dispositivo ou mecanismos disponibilizados na Plataforma, ciente de que a desativação de certos recursos poderá afetar funcionalidades essenciais.

15. Comunicação e Marketing

15.1. A Expandel poderá enviar comunicações transacionais, técnicas, operacionais, contratuais e de segurança relacionadas aos Serviços.

15.2. Comunicações promocionais ou institucionais de natureza não essencial observarão a legislação aplicável e os mecanismos de opt-out cabíveis.

16. Alterações desta Política

16.1. Esta Política poderá ser atualizada para refletir mudanças legais, regulatórias, operacionais, contratuais ou tecnológicas.

16.2. A data de atualização será sempre informada no cabeçalho do documento.

17. Canal de Privacidade

Solicitações relativas a Dados Pessoais, exercício de direitos e dúvidas sobre esta Política podem ser encaminhadas para:

Privacidade / Dados Pessoais: [email protected]

Atendimento Geral: [email protected]

Se houver encarregado formalmente designado, seus dados poderão ser divulgados em canal oficial da Plataforma ou em instrumento específico.