Política de Privacidade

• Identificação: nome, email e foto via Google OAuth (provedor: Logto).
• Fiscal: CPF ou CNPJ — coletado apenas no momento da primeira cobrança (recarga PIX ou cadastro de cartão). Não exigido pra criar conta.
• Pagamento: dados de cartão não são armazenados pelo Tokia. Ao adicionar cartão, os dados vão direto pro Asaas (operador de pagamento), que retorna um token. Tokia armazena apenas: token, últimos 4 dígitos, bandeira e vencimento.
• Uso técnico: logs de chamadas IA (modelo, tokens, custo, timestamp) pra cobrança e dashboard de uso.

Base legal: execução de contrato (Art. 7º V da Lei 13.709/2018).

• Email + CPF/CNPJ: necessários pra emitir cobrança e nota fiscal.
• Logs de uso: necessários pra debitar o saldo correto e mostrar consumo.
• Token de cartão: necessário pra Auto Top-Up (recarga automática) quando o cliente solicita.

• Asaas (operador de pagamento, BR) — recebe nome, CPF/CNPJ, email e dados de cartão pra processar PIX e cobranças no cartão. Asaas é o controlador desses dados pra fim de pagamento.
• Provedores de IA (OpenRouter, Fal.ai, Anthropic, etc) — recebem o conteúdo das chamadas IA que você faz, conforme o modelo escolhido. Não enviamos seu CPF/CNPJ ou nome — só o conteúdo da requisição. Nunca usamos esses dados pra treinar modelos próprios.
• Logto (provedor de auth, self-hosted IT Booster) — autentica o login Google.
• SimplesZap (produto IT Booster Global, controlador WhatsApp Business) — quando você é cliente SimplesZap, o SimplesZap roteia mensagens pela infraestrutura Tokia internamente (Tokia atua como gateway IA pro SimplesZap, ver DR-030). Conteúdo passa pelos provedores de IA listados acima nas mesmas condições. SimplesZap é o controlador dos dados WhatsApp; Tokia é apenas operador da IA.

Não vendemos dados a terceiros. Não compartilhamos com fins de marketing.

• Dados de conta + uso IA: enquanto a conta estiver ativa.
• Dados fiscais (cobranças, notas): 5 anos após encerramento da conta — exigência da Receita Federal.
• Tokens de cartão: removidos imediatamente quando o cliente revoga o cartão pelo dashboard.

• Acesso: solicitar cópia dos dados que armazenamos sobre você.
• Correção: pedir alteração de dados incorretos.
• Anonimização ou exclusão: pedir remoção dos dados (sujeito ao prazo fiscal de 5 anos pra cobranças).
• Portabilidade: pedir exportação dos dados em formato estruturado.
• Revogação de consentimento: encerrar conta a qualquer momento.

Pra exercer qualquer direito, envie email pra contato@usetokia.com com o assunto "LGPD". Respondemos em até 15 dias úteis.

• HTTPS em todos os endpoints (TLS 1.2+).
• Tokens de cartão criptografados em repouso pelo Asaas (PCI-DSS).
• Senhas: não usamos — auth é via OAuth Google (Google é responsável).
• Logs de aplicação: não registramos PAN, CVC, CPF/CNPJ ou conteúdo de chamadas IA.

Usamos cookies estritamente necessários pra manter sua sessão de login. Sem cookies de tracking ou marketing.

Mudanças relevantes serão comunicadas por email + banner no dashboard. A versão vigente sempre está em usetokia.com/privacy.

DPO (Data Protection Officer) — IT Booster Global
Email: contato@usetokia.com
CNPJ: 40.949.316/0001-49 (IT Booster Global)