Política de Privacidade

HEILLON · Versão 2.0 · Vigência: Abril 2026 · LGPD + GDPR + DIFC

Esta política aplica-se a todos os produtos HEILLON: heillon.com, hpc.heillon.com, hdr.heillon.com, vitrine.heillon.com e a API HEILLON LC²S. A HEILLON trata dados pessoais em conformidade com a Lei Geral de Proteção de Dados (LGPD, Lei nº 13.709/2018), o Regulamento Geral de Proteção de Dados da União Europeia (GDPR, Reg. 2016/679) e o DIFC Data Protection Law 2020.

1. Controlador e Encarregado de Dados (DPO)

Controlador: HEILLON — Infraestrutura de Legitimidade Computacional
Email: privacy@heillon.com
Endereço: Joinville, Santa Catarina, Brasil

Encarregado de Proteção de Dados (DPO):
Email dedicado: dpo@heillon.com
Tempo de resposta: até 15 dias úteis (LGPD Art. 18)

2. Dados Que Coletamos

A HEILLON recolhe apenas os dados estritamente necessários para a prestação dos serviços (princípio da minimização, LGPD Art. 6, VI; GDPR Art. 5, 1c).

Categoria	Dados	Finalidade	Base Legal
Identificação	Endereço de e-mail	Emitir código de acesso HPC	LGPD Art. 7, V (execução de contrato)
Técnico / Dispositivo	Device ID (UUID gerado no browser), plataforma, hostname	Isolar dados por utilizador no painel HPC	LGPD Art. 7, V (execução de contrato)
Atividade de IA	Nomes de processos/aplicações de IA, estimativa de tokens, ficheiros tocados	Gerar métricas de soberania computacional no painel HPC	LGPD Art. 7, V (execução de contrato) + Art. 7, IX (legítimo interesse)
Acesso Soberano	Código de acesso, timestamp de acesso	Controlar acesso autenticado ao painel HPC	LGPD Art. 7, V (execução de contrato)
Logs de Decisão (HDR)	Actor ID, intenção declarada, resultado da decisão, hash criptográfico	Registrar prova imutável de decisões no Ledger soberano	LGPD Art. 7, II (cumprimento de obrigação legal) + V (contrato)
Analítica	Eventos de navegação anónimos (sem IP), idioma, perfil selecionado	Melhorar a experiência do produto	LGPD Art. 7, IX (legítimo interesse)

Dados que NÃO coletamos: passwords, cartões de crédito, documentos de identificação, dados biométricos, dados de saúde, dados de crianças (menores de 18 anos).

3. Finalidade e Base Legal do Tratamento

Todo tratamento de dados pessoais pela HEILLON tem finalidade determinada, explícita e legítima (LGPD Art. 6, I). As bases legais utilizadas são:

Art. 7, V LGPD Execução de contrato ou procedimentos preliminares — acesso ao HPC, emissão de códigos soberanos
Art. 7, II LGPD Cumprimento de obrigação legal ou regulatória — registros auditáveis exigidos por BACEN 4.557, LGPD, GDPR
Art. 7, IX LGPD Legítimo interesse do controlador — análise de uso para melhoria do produto (nunca para publicidade)
Art. 7, I LGPD Consentimento explícito — quando solicitado (ex: comunicações de marketing, se aplicável)

4. Retenção e Eliminação de Dados

Dado	Período de Retenção	Justificativa
E-mail (código de acesso)	90 dias após expiração do acesso	Suporte e auditoria interna
Device ID + atividade HPC	Enquanto o acesso for ativo + 30 dias	Funcionalidade do serviço
Registros HDR (Ledger)	Permanente — por design	O Ledger é imutável por arquitetura. O HDR é a prova soberana. A remoção comprometeria a cadeia criptográfica. LGPD Art. 16, I (cumprimento de obrigação legal).
Logs de acesso	12 meses	Segurança e auditoria
Analytics anônimos	24 meses (agregados)	Melhoria do produto

Nota sobre o Ledger Imutável: Por design constitucional, os HDRs registrados no ledger soberano HEILLON são permanentes e não podem ser apagados individualmente sem comprometer a cadeia de integridade criptográfica. Esta característica é fundamental ao produto e está em conformidade com o Art. 16, I da LGPD (manutenção obrigatória de registros para cumprimento de obrigação legal). Antes de registrar dados no ledger, certifique-se de não incluir dados pessoais nos campos de intenção ou contexto.

5. Direitos dos Titulares de Dados

Nos termos do Art. 18 da LGPD e Art. 15-22 do GDPR, o titular tem direito a:

Confirmação e Acesso: saber se tratamos seus dados e obter cópia
Correção: retificar dados inexatos ou incompletos
Anonimização, bloqueio ou eliminação: de dados desnecessários ou tratados em desconformidade
Portabilidade: receber seus dados em formato estruturado e interoperável
Eliminação: dos dados tratados com base em consentimento (exceto Ledger imutável — ver seção 4)
Informação: sobre os terceiros com quem compartilhamos dados
Revogação do consentimento: a qualquer momento, sem prejuízo ao passado
Reclamação à ANPD: Autoridade Nacional de Proteção de Dados (gov.br/anpd)

Para exercer qualquer direito: dpo@heillon.com — prazo de resposta: 15 dias úteis.

6. Compartilhamento de Dados

A HEILLON não vende dados pessoais. Compartilhamos apenas nas situações abaixo:

Infraestrutura de hospedagem: AWS (sa-east-1, São Paulo) — servidor backend e banco de dados PostgreSQL.os processados sob acordo de proteção de dados.
CDN / Frontend: Vercel Inc. — hospedagem estática dos sites. Apenas logs de acesso HTTP anônimos.
Autoridades competentes: quando exigido por lei, ordem judicial ou regulatório (BACEN, ANPD, etc.)

Não há transferência de dados para fins publicitários, perfis de comportamento ou terceiros não listados acima.

7. Transferência Internacional de Dados

O backend da HEILLON está hospedado no Brasil (AWS sa-east-1, São Paulo). Esta transferência é realizada com base nas cláusulas contratuais padrão (LGPD Art. 33, II; GDPR Art. 46) e garantias equivalentes de proteção.

Para utilizadores no Espaço Europeu / DIFC: os dados são processados sob salvaguardas adequadas nos termos do GDPR Art. 46 e DIFC Data Protection Law 2020, Art. 20.

8. Segurança

A HEILLON implementa medidas técnicas e organizacionais adequadas para proteger dados pessoais:

Criptografia TLS 1.2+ em todas as comunicações
Autenticação por chave soberana (X-Heillon-Key) em todos os endpoints privados
Isolamento de dados por device_id — nenhum utilizador acede dados de outro
Ledger imutável com SHA-256 — qualquer adulteração detectada
Sem logs de stack trace expostos em produção
Headers de segurança HTTP: HSTS, X-Frame-Options, X-Content-Type-Options, CSP
Rate limiting em endpoints de autenticação

9. Cookies e Tecnologias Similares

A HEILLON usa localStorage do browser (não cookies de terceiros) para:

hpc_device_id — identificador único de dispositivo (UUID gerado localmente, nunca enviado a terceiros)
hpc_token — token de sessão soberana (temporário, expirado com o acesso)
hpc_lang, hpc_profile — preferências de interface

Não utilizamos cookies de rastreamento, Analytics de terceiros (Google Analytics, Meta Pixel, etc.) nem publicidade comportamental.

10. Menores de Idade

Os serviços HEILLON são destinados exclusivamente a maiores de 18 anos ou pessoas jurídicas. Não coletamos intencionalmente dados de menores. Se tomarmos conhecimento de coleta inadvertida, procederemos à eliminação imediata (LGPD Art. 14).

11. Alterações a Esta Política

Notificaremos alterações materiais por email (para utilizadores HPC ativos) e publicaremos nova versão nesta página com a data de vigência. O uso continuado após 30 dias da notificação implica aceitação da nova versão.

12. Contato e Reclamações

Privacidade e DPO: dpo@heillon.com
Suporte geral: contact@heillon.com
ANPD (reclamações BR): gov.br/anpd
AEPD (reclamações EU): Autoridade supervisora do estado-membro competente