Última atualização: 5 de maio de 2026
Política de Privacidade.
Esse documento conta como a Delas trata os dados das participantes. A gente escreveu em português direto, sem advoguês, porque você tem o direito de entender o que acontece com seus dados antes de aceitar.
1. Quem é responsável pelos seus dados
A Delas (delas.ai) está em fase pré-operacional. A constituição da pessoa jurídica responsável e o registro do CNPJ acontecem antes do lançamento aberto. Enquanto isso, as decisões de tratamento de dados são tomadas pela equipe fundadora (Xanda Fogaça e Ronaldo Lemos). Para qualquer dúvida sobre seus dados pessoais, fale com a gente pelo e-mail dpo@delas.ai. Quando a pessoa jurídica for constituída, esta política é atualizada com os dados completos da empresa controladora e da Encarregada de Proteção de Dados (DPO) formalmente designada.
Esta política segue a Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018, “LGPD”).
2. Quais dados a gente coleta
A Delas só pede o que precisa pra rede funcionar com segurança e qualidade. Os dados se dividem em três grupos.
Dados de cadastro (você fornece)
- Nome e sobrenome
- Data de nascimento (pra confirmar a idade mínima de 18 anos — ver seção 11)
- Telefone (opcional, pra recuperação de conta)
- Cidade e estado de residência
- Bio, foto de perfil, profissão e tags de interesse
- Código de convite que te trouxe pra rede
Dado biométrico (selfie de verificação)
Pra entrar na Delas você passa por uma verificação rápida com selfie e prova de vida. Esse é um dado pessoal sensível sob a LGPD. A gente usa a imagem só pra confirmar que existe uma pessoa real do outro lado da tela. O detalhamento sobre como esse dado é tratado, criptografado e descartado está na seção 5 abaixo.
Dados de uso (gerados enquanto você usa a rede)
- Posts, comentários, reactions e mensagens diretas que você envia
- Comunidades em que você participa, mulheres que você segue
- Conteúdo que você reporta ou que reportam sobre você
- Logs técnicos: data e hora dos acessos, endereço IP, navegador, sistema operacional, versão do app
- Métricas anônimas de uso (PostHog, na região europeia, com IP truncado), quando você consente
3. Por que coletamos cada dado
A LGPD pede que cada uso de dado tenha uma base legal. Aqui vai a tabela direta:
| O que | Pra que | Base legal |
|---|---|---|
| Cadastro (nome, e-mail, etc.) | Criar e manter a conta | Execução de contrato (art. 7º, V) |
| Data de nascimento | Confirmar idade mínima de 18 anos | Cumprimento de obrigação legal (art. 7º, II) e proteção de crianças e adolescentes (art. 14) |
| Selfie + prova de vida | Verificação de identidade | Consentimento específico para dado sensível (art. 11, I) |
| Posts, comentários, DMs | Operação da rede | Execução de contrato |
| Logs de acesso e IP | Segurança e auditoria | Legítimo interesse (art. 7º, IX) |
| Métricas PostHog | Melhorar a rede | Consentimento (art. 7º, I) |
| E-mail transacional | Avisos da rede (login, alertas de segurança) | Execução de contrato |
4. O que a gente não coleta
- Lista de contatos do telefone, agenda, fotos do rolo da câmera ou qualquer outra mídia local
- Localização precisa por GPS (só estado e cidade que você informa)
- Dados de saúde, religião, orientação sexual ou opinião política
- Histórico de navegação fora da Delas
- Dados financeiros (cartão, conta bancária, CPF para fins financeiros)
5. Como tratamos a sua selfie de verificação
A selfie é o dado mais sensível que pedimos. Ela merece tratamento especial.
- Criptografia em trânsito e em repouso. A imagem viaja por HTTPS e fica armazenada em bucket privado do Supabase Storage com criptografia simétrica.
- Análise por humano e por máquina. Uma curadora da equipe avalia visualmente para confirmar que se trata de uma mulher real. Em paralelo, a imagem é enviada à API da Anthropic (Claude Vision) que retorna uma classificação. A decisão final é sempre humana.
- Acesso restrito e auditado. Cada vez que uma curadora visualiza uma selfie, fica um registro em um log de auditoria com identidade da curadora, motivo do acesso e horário. Esse log é inspecionado periodicamente.
- Descarte da imagem original em até 90 dias. Após a aprovação da conta, mantemos a imagem por no máximo 90 dias para investigação de fraude. Depois disso, apagamos a imagem em si.
- Retenção de hash por 5 anos. Mantemos só um hash criptográfico (uma representação irreversível) da imagem por 5 anos, pra detectar se a mesma selfie é reutilizada por outra conta no futuro (anti-fraude). O hash não permite reconstruir a imagem.
- Você pode pedir o apagamento antes. Mesmo o hash. Veja como na seção 9.
6. Com quem a gente compartilha os seus dados
A Delas não vende dados. Os únicos terceiros com acesso são operadores que precisam executar parte da operação. Cada um deles tem contrato com cláusulas de proteção de dados.
- Supabase (banco de dados, autenticação e storage de mídia). Servidores na região São Paulo.
- Anthropic (Claude API, usado em revisão de selfie e moderação assistida). Servidores nos Estados Unidos. Detalhes na seção 7.
- Backblaze B2 (armazenamento de mídia compartilhada e backups criptografados).
- Vercel (hospedagem do site).
- Cloudflare (CDN e proteção contra bots via Turnstile).
- Resend (envio de e-mails transacionais como código de login e avisos).
- Sentry (monitoramento de erros, com escrubbing de campos sensíveis).
- PostHog (métricas anônimas opt-in, servidores na União Europeia).
7. Transferência internacional
Alguns operadores têm servidores fora do Brasil:
- Anthropic, Vercel, Cloudflare, Resend, Backblaze, Sentry: Estados Unidos
- PostHog: União Europeia
A LGPD permite essa transferência quando o país de destino oferece grau de proteção equivalente ou quando o operador adota cláusulas contratuais padrão. A gente prioriza fornecedores que mantêm certificações reconhecidas (SOC 2, ISO 27001) e que aceitam DPA (Data Processing Agreement) específico.
O banco de dados principal fica em São Paulo. Só dados específicos viajam para os operadores listados, e só na medida em que precisam executar sua função.
8. Por quanto tempo guardamos seus dados
- Dados de cadastro: enquanto sua conta estiver ativa
- Selfie original: até 90 dias após a aprovação
- Hash da selfie: 5 anos (anti-fraude)
- Posts e comentários: enquanto a rede existir, salvo pedido de apagamento. Posts de contas apagadas viram anônimos para preservar o contexto da conversa pra quem ficou.
- Mensagens diretas: até você ou a destinatária apagar
- Logs de acesso e segurança: 12 meses
- Logs de consentimento: 5 anos (exigência LGPD)
- Backups encriptados off-site: 90 dias rolling
Quando o prazo vence ou você pede o apagamento, os dados são removidos dos sistemas ativos e dos backups.
9. Seus direitos como titular dos dados
A LGPD garante que você pode:
- Confirmar se a Delas trata dados seus
- Acessar uma cópia desses dados
- Pedir correção de dados incompletos ou inexatos
- Pedir anonimização ou apagamento de dados desnecessários
- Pedir portabilidade (receber seus dados em formato estruturado pra levar pra outro serviço)
- Saber com quem a gente compartilha seus dados
- Revogar o consentimento a qualquer momento
- Apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD)
Pra exercer qualquer um desses direitos:
- Apagar conta: tem botão direto em /configuracoes. Apagamos seus dados pessoais, anonimizamos posts e mandamos confirmação por e-mail em até 15 dias.
- Exportar seus dados: também em /configuracoes. Você baixa um ZIP com seus posts, comentários, follows e perfil em JSON.
- Outros pedidos: e-mail pra dpo@delas.ai. A gente responde em até 15 dias úteis.
10. Cookies e tecnologias parecidas
A Delas usa basicamente dois tipos de cookies.
- Essenciais: cookie de sessão pra manter você logada e cookie de preferência de tema. Sem eles a rede não funciona.
- Analíticos (opt-in): PostHog mede de forma anônima quais telas as participantes usam mais, pra orientar melhorias. Você escolhe se quer ou não no banner que aparece na primeira visita, e pode mudar de ideia em /configuracoes.
A gente não usa pixel de Meta, Google Ads, retargeting cross-site nem qualquer rastreador de terceiro voltado pra publicidade.
11. Crianças e adolescentes
A Delas é uma rede para mulheres adultas. Idade mínima: 18 anos. Se descobrirmos que uma conta foi criada por menor de idade, a conta é encerrada e os dados são apagados.
12. Segurança
A gente aplica medidas técnicas e administrativas pra proteger seus dados:
- HTTPS em todas as conexões, com cabeçalhos de segurança modernos
- Banco de dados com Row Level Security ativa em todas as tabelas (cada participante vê só o que pode ver)
- 2FA TOTP obrigatório para a equipe administrativa
- Chaves de API rotacionadas regularmente, custodiadas em cofre dedicado
- Backup criptografado off-site com retenção de 90 dias
- Auditoria de acessos a dados sensíveis (selfies, conteúdo de DMs)
Se houver incidente de segurança que possa afetar você, a gente comunica em até 2 dias úteis pelo e-mail cadastrado e abre nota à ANPD nos termos do art. 48 da LGPD.
13. Como reportar problema de segurança
Pesquisadores de segurança e participantes podem reportar vulnerabilidades pelo e-mail seguranca@delas.ai. A gente responde em até 5 dias úteis e mantém canal aberto até a correção. Detalhes em /.well-known/security.txt.
14. Mudanças nesta política
Quando houver mudança relevante (ex.: novo operador, mudança em retenção, nova finalidade), a gente avisa pelo e-mail cadastrado com pelo menos 15 dias de antecedência. A versão sempre datada acima diz qual é a vigente. Versões anteriores ficam disponíveis sob pedido pelo e-mail dpo@delas.ai.
15. Contato
E-mail para questões de privacidade e LGPD: dpo@delas.ai
E-mail geral: contato@delas.ai