Política de Privacidade

Regen Studio B.V. (KVK 90337948) é o controlador de dados responsável pelos dados pessoais de titulares na UE/EEE conforme descrito nesta política. Para titulares brasileiros, o controlador é a Regen Studio Consultoria LTDA (CNPJ 57.579.114/0001-55), uma pessoa jurídica distinta. O Regen Studio é um estúdio de design e inovação com atividades em Berg en Dal, Países Baixos, e São Paulo, Brasil.

Esta política de privacidade se aplica aos sites regenstudio.world e demos.regenstudio.world, e a todos os serviços oferecidos por meio desses domínios.

Contato: info@regenstudio.world

Este contato atua como ponto de contato designado para questões de proteção de dados sob o GDPR e a LGPD (encarregado, Art. 41 LGPD).

Coletamos dados pessoais apenas quando você os fornece ativamente, ou quando estritamente necessário para prestar um serviço que você solicitou.

Formulários de contato e inscrições na newsletter (regenstudio.world)

• Seu nome e endereço de e-mail
• Sua mensagem (se fornecida)
• A URL da página de onde você enviou o formulário

Finalidade: responder à sua solicitação, enviar newsletters e notificar nossa equipe. Base legal: interesse legítimo (LGPD Art. 10 / GDPR Art. 6(1)(f)) e consentimento (LGPD Art. 7(I) / GDPR Art. 6(1)(a)).

Para prevenir abuso, os envios de formulários de contato são limitados em quantidade. Um hash unidirecional do seu endereço IP (combinado com a data atual) é armazenado temporariamente por até 24 horas para contar envios por janela de tempo. O IP bruto nunca é armazenado. Base legal: interesse legítimo (LGPD Art. 10 / GDPR Art. 6(1)(f)).

Nossos formulários também utilizam medidas antispam no lado do cliente, incluindo um campo oculto para detectar envios automatizados, um limite mínimo de tempo, um desafio visual e uma verificação computacional de prova de trabalho. Essas medidas geram metadados técnicos (carimbos de data/hora, resultados de desafios) que são enviados junto com o envio do formulário e utilizados exclusivamente para distinguir visitantes genuínos de bots. Esses dados não são vinculados à sua identidade e não são retidos após a solicitação de envio. Nenhum dado pessoal é coletado por essas medidas.

Solicitações de acesso a demos e magic links (demos.regenstudio.world)

• Seu endereço de e-mail
• Um hash criptográfico do token de acesso (o token bruto nunca é armazenado no servidor)

Finalidade: verificar sua identidade e conceder acesso ao demo. Base legal: execução de contrato (LGPD Art. 7(V) / GDPR Art. 6(1)(b)).

Compras de relatórios (demos.regenstudio.world/cpr-dpp-tracker)

• Seu endereço de e-mail
• Tipo de relatório selecionado e família de produtos
• Código de desconto (se utilizado)
• Dados de faturamento: nome da empresa, número de identificação fiscal (VAT ID), endereço (se fornecido para faturamento)

Finalidade: processar seu pedido, gerar seu relatório, emitir uma fatura e fornecer acesso para download. Ao acessar um relatório ou fatura, você deve verificar seu endereço de e-mail para evitar divulgação não intencional de dados por meio de compartilhamento de URL. Base legal: execução de contrato (LGPD Art. 7(V) / GDPR Art. 6(1)(b)).

• Não definimos nenhum cookie em nossos sites
• Não utilizamos pixels de rastreamento, fingerprinting ou scripts de publicidade
• Não compartilhamos dados com anunciantes, corretores de dados ou plataformas de mídia social
• Não utilizamos seus dados para perfilamento ou tomada de decisão automatizada
• Não utilizamos seus dados para marketing, a menos que você opte explicitamente por isso (ex.: newsletter)

Em ambos os nossos sites, todas as fontes, scripts e folhas de estilo são auto-hospedados — nenhuma requisição a ativos de terceiros é feita quando você navega na página.

Um pequeno número de posts do blog contém vídeos incorporados (Vimeo) ou players de áudio (SoundCloud). Essas incorporações não são carregadas automaticamente. Em vez disso, você verá uma tela de consentimento informado explicando exatamente quais dados serão compartilhados com o terceiro (endereço IP, tipo de navegador, sistema operacional, URL da página). A incorporação só é carregada após você clicar explicitamente em “Eu entendo.”

Após o consentimento e o carregamento da incorporação, a política de privacidade do próprio terceiro se aplica aos dados que eles recebem. Não controlamos o tratamento que eles realizam.

Em ambos os nossos sites, coletamos dados de analytics para entender quais páginas são visitadas, como os visitantes navegam entre páginas e como interagem com o conteúdo. Este sistema foi projetado desde o início para preservar a privacidade:

Como não definimos cookies, não armazenamos endereços IP brutos e utilizamos um salt com rotação diária que impede o rastreamento entre dias, este sistema de analytics não requer consentimento sob a Diretiva ePrivacy (Art. 5(3)) ou a Telecommunicatiewet holandesa (Art. 11.7a(3)). A base legal para este tratamento é interesse legítimo (LGPD Art. 10 / GDPR Art. 6(1)(f)): compreender o uso agregado do site para melhorar nosso conteúdo e serviços. Esta arquitetura segue a abordagem reconhecida pela CNIL francesa como isenta dos requisitos de consentimento para cookies.

Utilizamos o localStorage do seu navegador nos seguintes casos:

• Tokens de acesso a demos — quando você acessa um demo usando um magic link ou senha, armazenamos um token de sessão contendo apenas o identificador do demo e um timestamp de expiração. Isso mantém você conectado para que não precise se autenticar novamente a cada carregamento de página.
• Tokens de desbloqueio de conteúdo — quando você fornece seu e-mail para acessar conteúdo restrito (ex.: detalhes de famílias de produtos), armazenamos um timestamp registrando quando você desbloqueou o acesso.
• Ferramenta de revisão pré-publicação — quando você é convidado a comentar um rascunho de artigo por meio de um link de revisão privado, o nome (ou pseudônimo) e o e-mail ou função opcionais que você informa, seus comentários e o timestamp do seu consentimento são armazenados apenas no localStorage do seu próprio navegador. Isso nunca é transmitido automaticamente aos nossos servidores — permanece no seu dispositivo até que você opte por nos enviar o relatório exportado por e-mail.

Nos dois primeiros casos, o valor armazenado não contém dados pessoais (sem e-mail, sem nome). Todos os tokens são programaticamente forçados a expirar após 24 horas: o código verifica o timestamp armazenado em relação ao horário atual e remove tokens expirados automaticamente.

Os dados da ferramenta de revisão pré-publicação são dados pessoais e permanecem exclusivamente no seu navegador. Eles chegam até nós somente se você enviar ativamente o relatório exportado por e-mail. Se o fizer, processamos esse retorno — incluindo qualquer nome real que você tenha informado — em fluxos de trabalho editoriais assistidos por IA (via Anthropic Claude, nosso subprocessador de IA divulgado) para melhorar o rascunho, sob o consentimento explícito que você dá na ferramenta. Informar um nome real apenas expõe esse nome a este fluxo de trabalho editorial assistido por IA; ele não é usado para creditar, atribuir ou mencionar você publicamente. Informe um pseudônimo e omita o e-mail para permanecer anônimo.

Também utilizamos sessionStorage (com escopo de aba, automaticamente limpo quando você fecha a aba) para armazenar o caminho da página anterior dentro da mesma sessão de navegação. Isso é usado exclusivamente para entender padrões de navegação interna em analytics agregados. Nenhum dado pessoal é armazenado.

Este armazenamento é estritamente necessário para fornecer o serviço que você solicitou e é isento de consentimento sob a Diretiva ePrivacy Art. 5(3).

Utilizamos os seguintes serviços de terceiros. Cada um é contratualmente obrigado a proteger seus dados de acordo com a legislação de proteção de dados aplicável.

O papel de cada subprocessador mapeia para um ou mais dos três cenários acima. Supabase EU e o stack estático se aplicam aos cenários 1, 2 e 3. Lettermint, Proton Mail e (quando relevante) Mollie + Exact Online se aplicam aos cenários 2 e 3. Anthropic se aplica apenas ao cenário 3 — consentimento explícito de processamento de IA.

Demos interativos — endpoints de dados abertos públicos externos: Quando você utiliza nossa demo Spatial Pipeline (/spatial-pipeline/), seu navegador faz buscas read-only diretas a APIs públicas holandesas de dados abertos: Luchtmeetnet (RIVM, NL — qualidade do ar em tempo real, licença CC0), ruimtelijkeplannen.nl (Geonovum/IPLO, NL — planos urbanísticos IMRO) e 3DBAG (TU Delft 3D Geoinformation Group — dados de edificações 3D, CC-BY 4.0). Estas são APIs públicas sem autenticação; nenhum dado pessoal é enviado. Verificável no painel Network do DevTools de seu navegador. Estes não são sub-processadores no sentido da LGPD (não processam dados pessoais em nosso nome) mas são divulgados aqui para total transparência sobre chamadas de rede de saída.

Seus dados pessoais (envios de formulários, pedidos) são armazenados na UE (Frankfurt, Alemanha) via Supabase. Pagamentos são processados pela Mollie nos Países Baixos. Faturas são gerenciadas pelo Exact Online (Países Baixos). E-mails são gerenciados pelo Proton Mail (Suíça, que possui uma decisão de adequação da UE).

Os sites estáticos são hospedados no GitHub Pages (Estados Unidos). O GitHub serve apenas arquivos estáticos e não processa dados pessoais em nosso nome; no entanto, logs padrão do servidor HTTP (incluindo endereços IP) podem ser temporariamente retidos pelo GitHub de acordo com sua declaração de privacidade.

A Supabase Inc. é incorporada nos Estados Unidos; no entanto, todos os dados de projetos do Regen Studio são hospedados na UE (Frankfurt, Alemanha). A Supabase é coberta pelo EU–US Data Privacy Framework.

Transferências para os Estados Unidos (Anthropic, GitHub, Supabase Inc.): cobertas pelo EU–US Data Privacy Framework onde a entidade é certificada, complementada por Cláusulas Contratuais Padrão (versão revisada de 2024, Módulo 2 controlador–processador) para relações de processador. Para a Anthropic especificamente, as SCCs estão incorporadas nos Termos Comerciais da Anthropic aceitos pela Regen Studio; uma Avaliação de Impacto de Transferência está em arquivo em nosso registro interno de runbooks.

Transferências entre União Europeia e Brasil: cobertas por adequação mútua a partir de 26 de janeiro de 2026 — a ANPD reconheceu a UE como adequada (Resolução CD/ANPD 32/2026), e a Comissão Europeia publicou uma decisão de adequação recíproca para o Brasil em 27 de janeiro de 2026. Fluxos de dados UE ↔ BR não requerem mais Cláusulas Contratuais Padrão ou salvaguardas adicionais.

Transferências do Brasil em geral: tratadas conforme LGPD Art. 33 (e Resolução ANPD 19/2024 para destinos não adequados) com salvaguardas documentadas.

• Para responder à sua solicitação ou pedido de acesso
• Para enviar e-mails de confirmação ou magic links
• Para processar compras de relatórios e entregar o relatório
• Para gerar e enviar faturas
• Para enviar newsletters (somente com seu consentimento explícito)
• Para notificar nossa equipe sobre envios e pedidos
• Para entender o uso agregado do site (analytics que preservam a privacidade, em ambos os sites)

Não utilizamos seus dados para marketing (além de newsletters com opt-in), perfilamento ou tomada de decisão automatizada.

Não vendemos, alugamos ou compartilhamos seus dados pessoais com terceiros além dos suboperadores listados acima. Abaixo está um detalhamento de exatamente o que cada parte pode acessar:

• Equipe do Regen Studio — acesso completo a todos os dados armazenados em nossos sistemas (envios de contato, pedidos, listas de newsletter, painéis de analytics).
• Supabase — hospeda todos os dados pessoais no servidor: entradas de formulários de contato (nome, e-mail, mensagem), pedidos de relatórios (e-mail, endereço de cobrança, VAT ID, registros de faturas), listas de assinantes de newsletter, tokens de magic link e hashes de analytics.
• Lettermint — recebe endereços de e-mail e conteúdo de mensagens para cada e-mail transacional que enviamos: confirmações de formulários de contato, magic links, recibos de compra, PDFs de faturas, links de download e edições de newsletter.
• Mollie — recebe apenas valores de pagamento, um ID de pedido interno e uma URL de redirecionamento. Dados pessoais do comprador (nome, endereço, VAT ID) não são enviados à Mollie e permanecem em nosso banco de dados.
• Proton Mail — nossa caixa de correio. E-mails de notificação interna (contendo envios de formulários de contato, alertas de pedidos e solicitações de magic link) são entregues aqui pelo Lettermint. Suas respostas para nós também são armazenadas nesta caixa de entrada.
• Blended Business (nosso contador, Haia) — recebe dados de faturas (nome, nome da empresa, VAT ID, valores) via Exact Online para fins de escrituração contábil e declaração de impostos.
• GitHub Pages — serve apenas arquivos estáticos (HTML, CSS, JS, fontes). Nenhum dado pessoal é transmitido ao GitHub pelo nosso código; no entanto, o GitHub pode registrar temporariamente endereços IP em logs padrão do servidor conforme sua própria declaração de privacidade.

• Envios de formulários de contato: automaticamente excluídos após 90 dias. Você pode solicitar a exclusão antecipada a qualquer momento.
• Assinantes da newsletter: mantidos até o cancelamento da inscrição. Registros de cancelamento são automaticamente excluídos após 30 dias (direito à eliminação pela LGPD/GDPR). Você pode solicitar a exclusão completa a qualquer momento.
• Logs de eventos de e-mail: payloads brutos de webhooks do nosso serviço de entrega de e-mail são automaticamente excluídos após 90 dias.
• Tokens de magic link: tokens com hash expiram após 15 minutos e não podem mais ser usados para autenticação. Links usados e expirados são automaticamente excluídos após 7 dias.
• Pedidos de relatórios e faturas: mantidos por pelo menos 7 anos conforme exigido pela legislação fiscal holandesa (Algemene wet inzake rijksbelastingen, Art. 52).
• Eventos brutos de analytics e hashes de visitantes: automaticamente excluídos após 48 horas. Apenas contadores agregados (sem nenhum detalhe em nível de visitante) persistem a longo prazo. O salt de hash é rotacionado diariamente via função agendada automatizada, tornando impossível a identificação de visitantes entre dias.
• Tokens de localStorage no navegador: expiram automaticamente após 24 horas, com aplicação programática.

Dependendo de onde você está localizado, você possui direitos específicos em relação aos seus dados pessoais.

Para visitantes de outras jurisdições, estendemos os mesmos direitos listados acima como boa prática, independentemente de a legislação local exigir.

Para exercer qualquer um dos seus direitos, entre em contato conosco em info@regenstudio.world. Confirmaremos o recebimento da sua solicitação em até 5 dias úteis e responderemos de forma substantiva em até 15 dias para solicitações LGPD (Art. 18 §5) ou em até um mês para solicitações GDPR (Art. 12(3)).

Se você solicitar a exclusão, apagaremos todos os dados pessoais que possuímos sobre você, exceto quando a retenção for exigida por lei (ex.: registros de faturas sob a legislação fiscal holandesa).

Nossos serviços são direcionados a empresas e profissionais. Não coletamos intencionalmente dados pessoais de crianças menores de 16 anos. Se você acredita que inadvertidamente coletamos dados de uma criança, entre em contato conosco e os excluiremos prontamente.

No espírito da transparência, divulgamos que ferramentas assistidas por IA (incluindo Claude da Anthropic) são utilizadas no desenvolvimento deste site e na criação e edição de conteúdo. Todo conteúdo gerado ou assistido por IA é revisado por nossa equipe quanto à precisão antes da publicação.

Nenhum dado pessoal que você forneça por meio de nossos formulários ou serviços é compartilhado com ferramentas de IA. A assistência de IA é limitada ao desenvolvimento do site, redação de conteúdo e pesquisa interna. Seus dados nunca entram em pipelines de treinamento de IA.

Para as informações regulatórias mais atuais publicadas em nosso blog, sempre recomendamos consultar fontes oficiais da UE, como o Jornal Oficial da União Europeia.

Marcar a caixa “newsletter” em qualquer formulário é seu consentimento explícito de marketing sob GDPR Art. 6(1)(a) / LGPD Art. 7(I). Usamos seu e-mail e nome para enviar nossa newsletter (cadência típica: 6–12 edições por ano) e atualizações ocasionais de serviços alinhadas aos seus interesses.

Não compartilhamos seu e-mail com redes de marketing de terceiros, plataformas de publicidade ou corretores de listas. Não vendemos, alugamos ou comercializamos dados de marketing.

• Subprocessador: Lettermint (Países Baixos) para entrega de e-mails.
• Retenção: até você cancelar a inscrição + 30 dias; após isso, seu registro é deletado automaticamente (GDPR Art. 17 propagação).
• Retirada: imediata, via o link de cancelamento em qualquer newsletter, ou via a página de auto-serviço de consentimento (link também incluído em todo e-mail transacional).

O consentimento de marketing é separado do seu consentimento de processamento de IA (acima) e de qualquer processamento baseado em contrato (resposta à sua consulta). Você pode manter qualquer combinação — por exemplo, opt-in para marketing sem processamento de IA, ou vice-versa.

Podemos atualizar esta política de privacidade periodicamente. Quaisquer alterações serão publicadas nesta página com uma data atualizada. Se fizermos alterações materiais que afetem a forma como tratamos seus dados pessoais, notificaremos os assinantes existentes da newsletter por e-mail.