Política de Privacidade — XTRI EdTech
Última atualização: 16 Versão: 1.0
1. Quem somos e nosso compromisso
A XTRI EdTech ("XTRI") é uma empresa de tecnologia educacional sediada em Natal/RN, Brasil, comprometida com a proteção da privacidade e dos dados pessoais de seus Usuários. Esta Política de Privacidade descreve como coletamos, utilizamos, armazenamos, compartilhamos e protegemos dados pessoais no âmbito de nossas plataformas e serviços.
Nosso tratamento de dados observa estritamente:
- Lei nº 13.709/2018 — Lei Geral de Proteção de Dados Pessoais (LGPD);
- Lei nº 15.211/2025 — Estatuto Digital da Criança e do Adolescente (ECA Digital);
- Lei nº 8.069/1990 — Estatuto da Criança e do Adolescente (ECA);
- Lei nº 12.965/2014 — Marco Civil da Internet;
- O documento orientador "Inteligência Artificial na Educação Básica" do Ministério da Educação (2026);
- O Guia de Classificação Indicativa do Ministério da Justiça e Segurança Pública (2025).
2. Controlador e Encarregado pelo Tratamento de Dados (DPO)
Controlador: XTRI EdTech, CNPJ:42.535.768/0001-00 Endereço: R. Cel. Revoredo Filho, 45 - Neópolis, Natal - RN, 59088-755E-mail: [contato@xtri.online]
Encarregado de Proteção de Dados (DPO): Nome: ALEXANDRE EMERSON M ARAUJO E-mail: xtrienem@gmail.com Canal exclusivo para exercício de direitos: xtrienem@gmail.com
3. Quais dados coletamos
Coletamos diferentes categorias de dados conforme o perfil do Usuário e a natureza do serviço:
3.1. Dados de alunos
- Identificação: nome completo, data de nascimento, e-mail, número de matrícula, escola, série/ano;
- Dados educacionais: respostas a questões, redações, simulados, tempo de resposta, histórico de acertos e erros, estimativas de proficiência TRI por área de conhecimento;
- Dados de uso: registros de acesso (logs), interações com a Plataforma, recursos utilizados;
- Dados técnicos: endereço IP, tipo de dispositivo, navegador, sistema operacional, identificadores de sessão.
3.2. Dados de professores e gestores escolares
- Identificação profissional: nome, e-mail institucional, escola, cargo, disciplinas/áreas;
- Dados de uso pedagógico: turmas atribuídas, materiais elaborados, interações com a Plataforma.
3.3. Dados de responsáveis legais
- Nome, e-mail e telefone para fins de comunicação, autorização e exercício de direitos relativos ao menor sob sua responsabilidade.
3.4. Dados que NÃO coletamos
A XTRI não realiza, em suas plataformas educacionais:
- Reconhecimento facial ou detecção de emoções para vigilância de comportamento dos alunos;
- Coleta de localização precisa em tempo real;
- Coleta de dados biométricos para fins de identificação contínua;
- Perfilamento de alunos para publicidade comercial direcionada (vedado pelo Art. 22 do ECA Digital);
- Coleta de dados sensíveis (origem racial/étnica, convicção religiosa, opinião política, saúde, orientação sexual) sem base legal específica e consentimento qualificado.
4. Tratamento de dados de crianças e adolescentes
Esta seção é especialmente importante: a maior parte dos Usuários da Plataforma é composta por estudantes menores de 18 anos.
4.1. Princípios aplicáveis
O tratamento de dados de crianças (até 12 anos incompletos) e adolescentes (12 a 17 anos) observa:
- Princípio do melhor interesse: todas as decisões sobre tratamento de dados de menores priorizam seu bem-estar e desenvolvimento (LGPD Art. 14; ECA Digital);
- Privacidade por padrão: configurações mais protetivas são adotadas por padrão (ECA Digital Art. 7º);
- Minimização de dados: coletamos apenas o estritamente necessário para a finalidade pedagógica;
- Consentimento qualificado: o tratamento de dados de crianças exige consentimento específico e em destaque dos pais ou responsáveis (LGPD Art. 14, § 1º).
4.2. Operacionalização do consentimento
Para alunos menores, o consentimento ao tratamento de dados é colhido por meio de:
a) Adesão da Escola Parceira mediante contrato, que declara ter obtido autorização dos responsáveis para uso de ferramentas pedagógicas digitais; e/ou
b) Termo de Consentimento específico assinado pelo responsável legal, quando aplicável.
4.3. Garantias adicionais
- Vedação de publicidade direcionada: não realizamos perfilamento de menores para fins de publicidade comercial;
- Vedação de venda de dados: dados de menores não são comercializados sob nenhuma hipótese;
- Mecanismos de supervisão parental: responsáveis podem solicitar relatórios de uso, exercer direitos em nome do menor e solicitar exclusão de dados a qualquer momento;
- Filtros de conteúdo: sistemas de IA generativa utilizados pela XTRI possuem filtros para evitar geração ou exposição a conteúdos inadequados à faixa etária.
5. Finalidades do tratamento
Tratamos dados pessoais para as seguintes finalidades:
| Finalidade | Categoria de dados | Base legal (LGPD) |
|---|---|---|
| Cadastro e autenticação | Identificação | Execução de contrato (Art. 7º, V) |
| Correção de simulados e estimativa de proficiência TRI | Dados educacionais | Execução de contrato (Art. 7º, V); legítimo interesse pedagógico (Art. 7º, IX) |
| Geração de questões adaptadas por IA | Respostas e desempenho | Execução de contrato (Art. 7º, V) |
| Geração de feedbacks e recomendações de estudo | Dados educacionais | Execução de contrato (Art. 7º, V) |
| Comunicação com Usuários e responsáveis | Identificação e contato | Execução de contrato (Art. 7º, V) |
| Apoio a professores e gestores | Dados educacionais agregados | Execução de contrato (Art. 7º, V) |
| Calibração e melhoria de modelos pedagógicos (TRI) | Dados educacionais anonimizados ou pseudonimizados | Legítimo interesse (Art. 7º, IX) |
| Cumprimento de obrigações legais e regulatórias | Conforme aplicável | Obrigação legal (Art. 7º, II) |
| Segurança e prevenção a fraudes | Dados de uso e técnicos | Legítimo interesse (Art. 7º, IX) |
5.1. O que NÃO fazemos com os dados
- Não treinamos modelos de IA generativa de terceiros com dados pessoais identificáveis sem consentimento específico em destaque;
- Não vendemos, alugamos ou comercializamos dados pessoais a terceiros;
- Não utilizamos dados de Usuários para publicidade de produtos não educacionais;
- Não realizamos decisões exclusivamente automatizadas que produzam efeitos relevantes sobre a trajetória educacional do aluno sem possibilidade de revisão humana (LGPD Art. 20).
6. Compartilhamento de dados e operadores
Compartilhamos dados pessoais nas seguintes hipóteses e com os seguintes destinatários:
6.1. Escolas Parceiras
Dados de desempenho e uso dos alunos são acessíveis aos profissionais autorizados pela Escola Parceira (professores, coordenadores, gestores), exclusivamente para finalidades pedagógicas.
6.2. Operadores (subprocessadores)
Utilizamos serviços de terceiros para infraestrutura, hospedagem e funcionalidades específicas. Cada operador é submetido a contrato de proteção de dados (DPA) compatível com a LGPD:
| Categoria | Operadores |
|---|---|
| Hospedagem e infraestrutura | Hostinger |
| Banco de dados e autenticação | Supabase, MySQL |
| Modelos de IA generativa para geração e adaptação de questões | Maritaca AI, OpenAI |
| Comunicação e e-mail transacional | Hostinger |
| Analytics agregado e não identificável | Google Search Console |
A lista atualizada de subprocessadores está disponível em [simulado.xtri.online].
6.3. Transferência internacional
Alguns operadores possuem infraestrutura fora do Brasil. Nestes casos, a transferência ocorre observando as garantias previstas no Capítulo V da LGPD, mediante cláusulas contratuais específicas e adoção de salvaguardas técnicas (criptografia em trânsito e em repouso).
6.4. Autoridades públicas
Podemos compartilhar dados com autoridades públicas em cumprimento a obrigação legal, ordem judicial ou requisição da ANPD, comunicando ao titular sempre que legalmente permitido.
7. Tempo de retenção
Os dados pessoais são mantidos pelo tempo necessário ao cumprimento das finalidades para as quais foram coletados, observando:
- Dados ativos do Usuário: durante a vigência do vínculo com a Escola Parceira;
- Dados educacionais históricos: mantidos por até 5 anos após o encerramento, para fins de análises pedagógicas longitudinais e cumprimento de obrigações legais;
- Dados anonimizados (agregados, sem possibilidade de reidentificação): podem ser mantidos indefinidamente para fins estatísticos e calibração de modelos TRI;
- Logs de acesso: 6 meses, conforme Marco Civil da Internet (Art. 15);
- Dados de comunicação e relacionamento: 5 anos após o último contato, salvo solicitação de exclusão.
Após o término dos prazos, os dados são eliminados de forma segura ou anonimizados de modo irreversível.
8. Direitos dos titulares
Conforme a LGPD (Art. 18), você (ou seu responsável legal, em caso de menor) tem direito a:
a) Confirmação da existência de tratamento; b) Acesso aos dados pessoais tratados; c) Correção de dados incompletos, inexatos ou desatualizados; d) Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade; e) Portabilidade dos dados a outro fornecedor; f) Eliminação dos dados tratados com base no consentimento; g) Informação sobre entidades públicas e privadas com as quais houve compartilhamento; h) Informação sobre a possibilidade de não fornecer consentimento e suas consequências; i) Revogação do consentimento; j) Revisão de decisões automatizadas que produzam efeitos sobre seus interesses (LGPD Art. 20).
8.1. Como exercer seus direitos
Os direitos podem ser exercidos gratuitamente por meio do canal:
- E-mail: [dpo@xtri.online]
- Formulário online: [link]
Solicitações são respondidas em até 15 dias corridos, podendo ser prorrogado em casos justificados, com comunicação ao titular.
9. Segurança da informação
Adotamos medidas técnicas e administrativas para proteger os dados pessoais, incluindo:
- Criptografia em trânsito (TLS) e em repouso para dados sensíveis;
- Row-Level Security (RLS) em bancos de dados multitenant para isolamento de dados por Escola Parceira;
- Controle de acesso baseado em perfis e princípio do menor privilégio;
- Autenticação segura com proteção contra ataques de força bruta;
- Backups regulares com testes de restauração;
- Monitoramento contínuo de acessos e anomalias;
- Auditorias periódicas dos sistemas e fornecedores;
- Treinamento da equipe em proteção de dados e segurança da informação.
Apesar das medidas adotadas, nenhum sistema é absolutamente imune a incidentes. Em caso de violação de dados pessoais, comunicaremos a ANPD e os titulares afetados em prazo razoável, conforme determina a LGPD (Art. 48).
10. Cookies e tecnologias similares
A Plataforma utiliza cookies e tecnologias similares para:
- Cookies essenciais: autenticação, segurança, funcionamento básico (não podem ser desativados);
- Cookies de preferência: memorização de configurações de usabilidade;
- Cookies de análise agregada: entendimento de uso da plataforma para melhoria dos serviços (dados não identificáveis individualmente).
Não utilizamos cookies de publicidade direcionada nem compartilhamos identificadores de cookies para fins comerciais.
Você pode gerenciar cookies por meio das configurações do seu navegador ou da central de preferências disponível na Plataforma.
11. Alterações desta Política
Esta Política pode ser atualizada para refletir mudanças legais, regulatórias ou operacionais. Alterações materiais serão comunicadas com antecedência mínima de 15 dias, por meio da Plataforma e/ou por e-mail.
A versão vigente está sempre disponível em [link permanente], com indicação da data da última atualização.
12. Canal de comunicação com a ANPD
Caso entenda que seus direitos não foram adequadamente atendidos, você pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD):
- Site: https://www.gov.br/anpd
- Canais de atendimento conforme disponibilizado pela autoridade.
13. Contato
Para questões relativas a esta Política:
- Encarregado de Proteção de Dados (DPO): [dpo@xtri.online]
- Atendimento geral: [contato@xtri.online]
- Endereço: [endereço completo, Natal/RN]
Esta Política de Privacidade integra o conjunto documental de governança da XTRI EdTech, juntamente com os Termos de Uso e a Política de Compliance e Uso Ético de Inteligência Artificial.