Pular para o conteúdo

Privacidade e dados

Política de Privacidade

Por Equipe adjus.ai · última atualização

1. Identificação do controlador

A Adjus.ai é uma plataforma desenvolvida e operada pela Kairos Lab, que figura como controladora dos dados pessoais aqui tratados. Toda referência a “nós”, “nosso” ou “Adjus.ai” nesta Política refere-se à Kairos Lab.

  • Controlador: Kairos Lab
  • CNPJ: 62.333.517/0001-50
  • Endereço: Rua Pais Leme, 215 — São Paulo, SP

Em atendimento ao artigo 41 da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — “LGPD”), a Kairos Lab designou um Encarregado pelo Tratamento de Dados Pessoais (DPO), responsável por receber comunicações dos titulares e da Autoridade Nacional de Proteção de Dados (ANPD), bem como por orientar internamente o cumprimento da LGPD. Por opção de governança interna, o nome do Encarregado não é divulgado publicamente; sua identificação completa pode ser fornecida à ANPD ou ao titular mediante solicitação formal devidamente justificada. O canal de contato oficial do Encarregado é o email contato@adjus.ai, ao qual recomendamos endereçar toda comunicação relativa a privacidade, exercício de direitos do titular e incidentes de segurança.

Esta política aplica-se exclusivamente ao tratamento de dados pessoais realizado pela Kairos Lab no contexto da operação da plataforma Adjus.ai e dos seus canais oficiais, incluindo o site https://adjus.ai. Tratamentos realizados por terceiros sob sua própria responsabilidade — por exemplo, dados que o usuário insere voluntariamente em sistemas externos — não estão cobertos por este documento.

Para fins de interpretação, adotamos os conceitos do artigo 5º da LGPD: titular é a pessoa natural a quem se referem os dados pessoais; controlador é a Kairos Lab, a quem competem as decisões referentes ao tratamento; operadores são os subprocessadores listados na Seção 5, que realizam o tratamento por nossa conta; e dados pessoais sensíveis são os definidos no art. 5º, II — tratados, quando necessário, sob as hipóteses específicas do art. 11.

2. Dados que coletamos

Coletamos diferentes categorias de dados pessoais conforme o caminho pelo qual o usuário interage com a plataforma. Buscamos coletar apenas o necessário para cada finalidade descrita na Seção 3, em observância ao princípio da necessidade (LGPD, art. 6º, III).

As subseções abaixo descrevem cada origem de coleta. Quando o usuário combina caminhos — por exemplo, faz login com Google SSO e em seguida envia um PDF para análise no chat — aplicam-se cumulativamente as descrições correspondentes. Nenhum dado é coletado por meios não declarados nesta política.

2.1. Cadastro tradicional (email e senha)

Ao criar uma conta diretamente com email e senha, coletamos: (i) nome completo; (ii) endereço de email; (iii) senha, que nunca é armazenada em texto puro — guardamos apenas o seu hash criptográfico, gerado por meio do algoritmo bcrypt com fator de custo adequado; e (iv) número de inscrição na OAB, de preenchimento opcional, utilizado para personalização da experiência e estatísticas internas de adoção.

2.2. Cadastro via Google SSO

Quando o usuário opta por entrar com sua conta Google, recebemos do Google, sob os escopos OAuth openid, email e profile, somente: (i) nome; (ii) endereço de email; (iii) foto de perfil pública; e (iv) identificador único da conta Google (Google account ID). Declaramos expressamente que não acessamos Gmail, Google Drive, Google Contacts, Google Calendar ou qualquer outro serviço, recurso ou escopo Google além dos três listados acima. Não solicitamos permissões adicionais e não armazenamos credenciais da conta Google do usuário.

2.3. Uso do chat e geração de petições

Durante o uso do assistente de IA coletamos: (i) as mensagens e prompts enviados ao chat; (ii) o histórico das sessões de conversa, persistido em banco de dados PostgreSQL para que o usuário possa retomar conversas anteriores; e (iii) anexos (PDFs) enviados temporariamente para análise contextual pelo modelo. Também armazenamos as minutas de petições geradas, suas versões editadas pelo usuário e o conjunto de jurisprudências citadas em cada documento.

2.4. Busca de jurisprudência

Ao utilizar a busca de jurisprudência, registramos: (i) as consultas digitadas; (ii) os filtros aplicados (tribunal, período, classe processual etc.); e (iii) as decisões que o usuário visualiza, salva, cita em minutas ou reutiliza. Esses registros permitem oferecer histórico de pesquisas, melhorar a relevância dos resultados e produzir estatísticas internas agregadas.

2.5. Uploads (PDFs)

Para cada arquivo PDF enviado, coletamos: (i) metadados básicos do arquivo (nome, tamanho, tipo MIME, timestamp de upload); (ii) o conteúdo textual extraído para que o modelo de IA possa analisá-lo; e (iii) um identificador opaco atribuído pelo provedor de IA, utilizado durante o ciclo de vida do anexo. Os arquivos são automaticamente removidos do provedor de IA conforme o prazo de retenção descrito na Seção 7.

2.6. Faturamento (Stripe)

Quando o usuário contrata um plano pago, coletamos dados de faturamento por meio da Stripe: (i) nome de cobrança; (ii) CPF ou CNPJ informados nos campos de nota fiscal; (iii) endereço de cobrança; (iv) últimos quatro dígitos do cartão e bandeira; e (v) histórico de pagamentos, faturas e reembolsos. O número completo do cartão de crédito é tokenizado pela Stripe diretamente no navegador do usuário — a Kairos Lab nunca recebe e nunca armazena o PAN (Primary Account Number).

2.7. Telemetria de produto

Para entender erros, medir adoção e iterar o produto, utilizamos: (i) Sentry, para captura de exceções e stack traces de erros que ocorram no frontend ou no backend; (ii) Statsig, para gestão de feature flags e experimentos controlados; e (iii) Contentsquare, para análise agregada de eventos de UX (cliques, scroll, navegação). A coleta de telemetria visa estritamente à melhoria do serviço, sem perfilagem comercial de terceiros.

2.8. Logs técnicos

Coletamos automaticamente logs técnicos contendo: (i) endereço IP de origem; (ii) user-agent (navegador e sistema operacional); (iii) timestamps de acesso e de ações sensíveis (login, logout, mudança de senha, alteração de plano, exclusão de conta); e (iv) identificadores de sessão. Esses logs cumprem, entre outras finalidades, a obrigação de guarda de registros de acesso a aplicações de internet prevista no artigo 15 do Marco Civil da Internet (Lei nº 12.965/2014).

2.9. Dados pessoais sensíveis

Em razão da natureza do trabalho jurídico, é possível que o usuário insira no chat ou em uploads informações classificadas como dados pessoais sensíveis (LGPD, art. 5º, II) referentes a si mesmo, a clientes ou a terceiros — por exemplo, dados de saúde em ações previdenciárias, dados raciais em ações de discriminação, dados religiosos em pedidos relacionados a feriados de guarda, ou orientação sexual em causas de família. Quando isso ocorrer, tais dados serão tratados sob a mesma diligência da Seção 10, sem perfilagem e sem compartilhamento adicional além dos subprocessadores listados na Seção 5. Recomendamos enfaticamente que dados sensíveis de terceiros sejam anonimizados ou pseudonimizados antes do envio sempre que a finalidade do uso permitir.

3. Como usamos seus dados

Utilizamos os dados pessoais coletados, individualmente ou em combinação, para as finalidades a seguir, sempre vinculadas a uma base legal específica (Seção 4). As finalidades estão descritas em conformidade com o princípio da finalidade (LGPD, art. 6º, I) e são compatíveis com o objeto contratual de uma plataforma SaaS de assistência jurídica.

  • Operar a plataforma e autenticar o usuário — uso dos dados de cadastro (§2.1, §2.2) e de logs técnicos (§2.8) para criar conta, iniciar e manter sessões autenticadas e disponibilizar as funcionalidades contratadas;
  • Processar pagamentos via Stripe — uso dos dados de faturamento (§2.6) para emitir cobranças, gerenciar assinaturas, processar reembolsos e prevenir chargebacks;
  • Prevenir fraude, abuso e violações dos Termos — uso combinado de logs técnicos (§2.8), telemetria (§2.7) e dados de cadastro (§2.1, §2.2) para detectar uso indevido, automação não autorizada, compartilhamento ilícito de credenciais e violações dos Termos de Uso;
  • Melhorar o produto — uso de telemetria agregada (§2.7), feature flags e eventos anonimizados de uso (§2.3, §2.4) para evoluir a interface, priorizar funcionalidades e corrigir falhas;
  • Cumprir obrigações fiscais, contábeis e legais — uso dos dados de faturamento (§2.6) e de cadastro (§2.1) para emissão de notas fiscais, escrituração contábil e atendimento a obrigações acessórias;
  • Responder a solicitações de titulares, autoridades e ordens judiciais — uso dos dados estritamente necessários para responder a pedidos da Seção 8 e a ordens emanadas de autoridades competentes;
  • Comunicar mudanças contratuais e atualizações de serviço — uso do endereço de email do cadastro (§2.1, §2.2) para enviar comunicações transacionais e avisos materiais sobre Termos, Política de Privacidade e funcionalidades.

Não utilizamos os dados pessoais do usuário nem o conteúdo dos seus prompts ou documentos para treinar modelos públicos de inteligência artificial, conforme detalhado na Seção 12. Tampouco vendemos dados pessoais a terceiros, nem cedemos dados a corretoras de dados (data brokers), redes de anúncios ou parceiros comerciais para finalidades alheias às descritas nesta política.

A combinação de finalidades acima não implica em decisão automatizada com efeitos significativos sobre o titular (LGPD, art. 20). Funcionalidades de IA da plataforma servem como assistência ao trabalho profissional do advogado, que mantém o controle integral da decisão final sobre conteúdo gerado, peças enviadas e estratégias adotadas; eventuais decisões automatizadas internas (por exemplo, bloqueio antifraude) são revistas por colaborador da Kairos Lab a pedido do titular.

4. Bases legais (LGPD, art. 7º)

O tratamento de dados pessoais pela Kairos Lab fundamenta-se nas seguintes hipóteses legais:

Bases legais por atividade de tratamento
Atividade Base legal Referência
Operação da plataforma e autenticação Execução de contrato LGPD, art. 7º, V
Cobrança e processamento de pagamentos Execução de contrato LGPD, art. 7º, V
Cumprimento de obrigações fiscais Cumprimento de obrigação legal LGPD, art. 7º, II
Prevenção de fraude e segurança Legítimo interesse LGPD, art. 7º, IX + art. 10
Telemetria de erros (Sentry) Legítimo interesse LGPD, art. 7º, IX
Feature flags (Statsig) Legítimo interesse LGPD, art. 7º, IX
Analytics de UX (Contentsquare) Consentimento (revogável) LGPD, art. 7º, I
Atendimento a solicitações do titular Cumprimento de obrigação legal LGPD, art. 7º, II (LGPD art. 18)
Guarda de registros de acesso Cumprimento de obrigação legal Marco Civil, art. 15

Sempre que adotamos o legítimo interesse como base legal (LGPD, art. 7º, IX, c/c art. 10), aplicamos um balancing test documentado internamente que considera: (a) a finalidade legítima — proteger o serviço contra fraude, garantir disponibilidade e melhorar o produto, finalidades concretas e compatíveis com a relação contratual; (b) a necessidade — só tratamos os dados estritamente necessários para atingir essas finalidades, descartando o restante; (c) a expectativa do titular — um profissional do Direito que contrata uma ferramenta SaaS razoavelmente espera que sua atividade na plataforma seja monitorada para fins de segurança e melhoria; e (d) as salvaguardas adotadas — minimização de dados, segregação multi-tenant, criptografia em trânsito e em repouso, controle de acesso por perfil e retenção limitada (Seção 7). O titular pode, a qualquer tempo, opor-se a tratamento fundado em legítimo interesse, na forma do art. 18, §2º.

Para tratamentos fundados em consentimento, em especial a analítica de UX via Contentsquare, o consentimento é solicitado de forma destacada, em linguagem clara e separadamente das demais cláusulas (LGPD, art. 8º, §1º), e pode ser revogado a qualquer tempo sem prejuízo da continuidade do serviço — desativada a coleta de analytics, a plataforma segue plenamente funcional. A revogação não afeta a licitude dos tratamentos realizados antes do exercício da revogação (LGPD, art. 8º, §5º).

5. Compartilhamento com terceiros (subprocessadores)

Compartilhamos os dados pessoais estritamente necessários com um conjunto curado de subprocessadores, todos vinculados por contrato a manter níveis adequados de segurança e privacidade compatíveis com a LGPD. A lista abaixo reflete a configuração atual da plataforma; alterações materiais nessa lista são comunicadas aos titulares na forma da Seção 13.

A seleção de cada subprocessador segue uma avaliação prévia de segurança e maturidade de governança — incluindo a análise de DPA, certificações relevantes (ISO 27001, SOC 2, quando disponíveis), localização da infraestrutura e práticas de retenção. Cada subprocessador recebe apenas o subconjunto de dados necessário ao seu papel: por exemplo, a Stripe recebe dados de faturamento (§2.6), mas não recebe o conteúdo do chat; o Google recebe os prompts e anexos (§2.3, §2.5), mas não recebe dados de cartão de crédito.

Subprocessadores, papéis e países
Subprocessador Papel País Documento
Google LLC Modelo de IA, armazenamento de arquivos, autenticação EUA DPA
Modal Labs Inc. Embeddings vetoriais para busca semântica EUA DPA
Zilliz, Inc. Índice vetorial de jurisprudência EUA Política de privacidade
Stripe, Inc. Pagamentos / faturamento EUA + Irlanda DPA
Functional Software, Inc. (Sentry) Monitoramento de erros EUA DPA
Amazon Web Services, Inc. Infraestrutura de produção EUA DPA
Upstash, Inc. Redis (sessões + cache) EUA / UE Política de privacidade
Neon, Inc. Postgres (staging) EUA / UE DPA
Hydra Tech, Inc. (Fly.io) API de staging EUA Política de privacidade
Netlify, Inc. Hospedagem do frontend de staging EUA DPA
Statsig, Inc. Feature flags EUA Política de privacidade
Contentsquare SA Analytics de UX França Política de privacidade

A relação acima poderá ser atualizada com a evolução do serviço — pela inclusão de novos fornecedores, substituição de provedores ou redefinição de papéis. Mudanças materiais (por exemplo, a inclusão de um novo subprocessador que receba conteúdo de chat ou anexos) são comunicadas nos termos da Seção 13, com antecedência razoável para que o titular possa exercer eventual oposição antes da entrada em vigor.

Não compartilhamos dados pessoais com autoridades públicas exceto: (i) em cumprimento de ordem judicial específica e fundamentada; (ii) em atendimento a requisição administrativa de autoridade competente nos termos da legislação aplicável; ou (iii) para proteger direitos, propriedade ou segurança da Kairos Lab, dos seus usuários ou de terceiros, quando estritamente necessário. Sempre que possível e juridicamente admissível, notificaremos o titular afetado antes do compartilhamento, salvo quando a notificação for vedada por sigilo legal ou ordem judicial.

6. Transferência internacional de dados

Vários dos subprocessadores listados na Seção 5 operam servidores localizados fora do território brasileiro, com destaque para os Estados Unidos e países da União Europeia. Tais transferências internacionais observam o regime do artigo 33 da LGPD, que admite a transferência para países que ofereçam grau de proteção de dados pessoais adequado ao previsto na lei brasileira, bem como mediante salvaguardas contratuais específicas e demais hipóteses do dispositivo.

A transferência ocorre, em regra, no momento em que o dado é submetido ao subprocessador — por exemplo, ao enviar um prompt ao chat (transferido ao Google nos EUA), ao processar um pagamento (transferido à Stripe na Irlanda/EUA) ou ao registrar um erro (transferido ao Sentry nos EUA). Não realizamos transferências para países adicionais sem que essa política seja atualizada.

Na ausência de decisão formal de adequação publicada pela ANPD para o país de destino, fundamentamos cada transferência em uma das hipóteses do art. 33, conforme aplicável: (i) cláusulas-padrão contratuais aprovadas pela ANPD, quando publicadas; (ii) cláusulas contratuais específicas negociadas com o subprocessador; (iii) consentimento específico e destacado do titular, com informação prévia sobre o caráter internacional da operação (art. 33, VIII); ou (iv) execução de contrato do qual o titular seja parte, a seu pedido (art. 33, V).

Adicionalmente, adotamos as salvaguardas contratuais previstas no art. 34 da LGPD em todos os Data Processing Addendums (DPAs) e contratos firmados com os subprocessadores. Tais instrumentos preveem, no mínimo, obrigações de confidencialidade, finalidade restrita, notificação de incidentes, auditoria e cooperação com solicitações de titulares.

Para os subprocessadores localizados nos Estados Unidos, monitoramos a evolução do quadro regulatório e a eventual publicação, pela ANPD, de decisões de adequação ou de cláusulas-padrão contratuais brasileiras (CCBs), de modo a alinhar continuamente a base de transferência aplicável. Sempre que houver fundamento mais protetivo ao titular previsto na legislação superveniente, este passará a prevalecer sobre as bases anteriormente adotadas. As cópias dos DPAs e demais salvaguardas contratuais podem ser disponibilizadas à ANPD ou ao titular, mediante solicitação fundamentada e observado o segredo comercial.

7. Retenção de dados

Aplicamos os seguintes prazos de retenção, balanceando obrigações legais, expectativa contratual e princípio da necessidade.

Prazos de retenção por categoria de dado
Categoria Período Base
Conta ativa Enquanto durar a relação contratual Execução do contrato (Art. 7º V)
Conta inativa (sem login) 12 meses → notificação prévia → exclusão Art. 15 LGPD
Sessões de chat / mensagens 24 meses Legítimo interesse + execução
Anexos enviados (PDFs) 7 dias Execução + rotina interna de limpeza
Dados fiscais (NFs, faturamento) 5 anos LC 116/03 + CTN art. 173
Logs de acesso 6 meses Marco Civil da Internet, art. 15
Erros de aplicação (Sentry) 90 dias Legítimo interesse

Encerrados os prazos acima, os dados são eliminados ou anonimizados de forma irreversível, salvo quando obrigação legal específica determinar retenção por prazo superior (LGPD, art. 16, I). Dados anonimizados nos termos do art. 12 da LGPD não são mais considerados dados pessoais e poderão ser conservados pela Kairos Lab para fins estatísticos e de melhoria do serviço. Em qualquer hipótese, o titular pode solicitar a antecipação da eliminação dos dados tratados com base em consentimento, conforme Seção 8.

A retenção em backups segue lógica própria: snapshots criptografados de banco de dados são mantidos por janelas curtas (rolling window) para fins de continuidade de negócio e podem conter dados além do prazo principal por período residual técnico, sendo automaticamente sobrescritos. Solicitações de eliminação são executadas sobre os sistemas de produção; em backups, a eliminação ocorre pela expiração natural da janela, sem possibilidade técnica de remoção pontual sem comprometer a integridade do snapshot.

8. Direitos do titular (LGPD, art. 18)

A LGPD garante ao titular dos dados pessoais nove direitos que pode exercer perante a Kairos Lab a qualquer tempo, gratuitamente e mediante requisição expressa. Os direitos podem ser exercidos diretamente pelo titular ou por seu representante legal devidamente comprovado; em ambos os casos, prevalece o princípio do menor esforço — não impomos formalidades além das estritamente necessárias para identificar o solicitante e dar resposta segura.

  • Confirmação da existência de tratamento dos seus dados pessoais;
  • Acesso aos dados;
  • Correção de dados incompletos, inexatos ou desatualizados;
  • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD;
  • Portabilidade dos dados a outro fornecedor de serviço ou produto, observados o segredo comercial e industrial;
  • Eliminação dos dados pessoais tratados com base em consentimento;
  • Informação sobre as entidades públicas e privadas com as quais a Kairos Lab compartilhou dados;
  • Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa;
  • Revogação do consentimento e oposição a tratamento realizado com fundamento em hipótese diversa do consentimento, em caso de descumprimento da LGPD.

Para exercer qualquer um desses direitos, o titular deve enviar uma solicitação por escrito ao Encarregado por meio do email contato@adjus.ai, acompanhada de cópia legível de documento oficial de identificação com foto. A confirmação prévia da identidade é necessária para evitar atendimento indevido a terceiros e proteger o próprio titular. Responderemos no prazo de 15 (quinze) dias contado da requisição, na forma do artigo 19, §1º, da LGPD. Em hipóteses que envolvam consulta a sistemas legados ou subprocessadores externos, poderemos justificar fundamentadamente o atraso e indicar uma nova previsão de resposta.

Em breve disponibilizaremos uma interface autenticada dentro da plataforma para que o titular abra e acompanhe solicitações de privacidade sem necessidade de envio por email.

Eventuais negativas a pedidos de exercício de direitos serão sempre fundamentadas e comunicadas ao titular junto com a indicação dos canais de revisão internos e externos — em especial a possibilidade de reclamação à ANPD descrita na Seção 14. Caso o titular não seja a pessoa cadastrada (por exemplo, terceiro mencionado em uma sessão de chat), encaminharemos a solicitação ao usuário cadastrado responsável pelo tratamento daqueles dados, na qualidade de controlador, conforme aplicável.

9. Cookies e armazenamento local

A plataforma Adjus.ai utiliza cookies e tecnologias de armazenamento local (localStorage, sessionStorage) estritamente necessários para autenticação e operação, além de tecnologias de analytics destinadas a melhorar a experiência do produto. A tabela abaixo descreve cada identificador atualmente em uso, classificando-os por tipo, finalidade e duração para que o titular possa fazer escolhas informadas:

Cookies e armazenamento local em uso
Identificador Tipo Finalidade Duração
Cookie de sessão HTTP-only adjus.sid Essencial Manter o usuário autenticado 24 horas (configurável)
theme (localStorage) Preferência Tema light/dark do app Persistente até limpar
adjus.petition-pane-width.v1 (localStorage) Preferência Largura do editor de petição Persistente
Statsig SDK (storage interno do SDK) Essencial Entrega de feature flags Sessão
Contentsquare (cookies próprios do provedor) Analytics Métricas de UX agregadas Conforme provedor
Sentry (storage interno do SDK) Essencial Instrumentação de erros Sessão

Cookies e armazenamentos classificados como Essenciais não admitem opt-out, pois sem eles a plataforma não funciona — a opção do titular é, neste caso, deixar de utilizar o serviço. Cookies de Analytics — atualmente representados pelo Contentsquare — são carregados por padrão a partir do primeiro acesso, com a finalidade exclusiva de produzir métricas agregadas de uso que orientam a evolução do produto, sem perfilagem comercial e sem compartilhamento com terceiros além do próprio provedor. O titular pode bloquear ou remover esses cookies a qualquer tempo nas configurações de privacidade do navegador (lista de cookies por domínio) e poderá fazê-lo, futuramente, por meio de um painel de preferências de privacidade dentro do produto. Cookies de Preferência ficam armazenados localmente no navegador do usuário e podem ser removidos pela função “limpar dados de navegação”.

10. Segurança

Adotamos um conjunto de medidas técnicas e organizacionais para proteger os dados pessoais sob nossa responsabilidade, em linha com os artigos 46 a 49 da LGPD e com boas práticas de mercado. As medidas listadas abaixo são revisadas periodicamente e podem ser atualizadas sem aviso individualizado, sempre no sentido de elevar — e nunca reduzir — o nível de proteção:

  • Senhas armazenadas exclusivamente sob hash bcrypt com fator de custo adequado — nunca em texto puro;
  • TLS 1.2+ obrigatório em todo tráfego HTTP entre cliente, API e subprocessadores;
  • Criptografia em repouso dos bancos de dados de produção (AWS RDS encrypted, snapshots criptografados);
  • Controle de acesso baseado em sessão autenticada, escopos de permissão e perfis por organização;
  • Segregação multi-tenant lógica — cada organização opera em um espaço de dados isolado por chave de tenant, com queries sempre filtradas pelo identificador da organização do usuário autenticado;
  • Backups automatizados e criptografados, com testes periódicos de restauração;
  • Auditoria interna periódica de logs, permissões e configurações de segurança;
  • Plano de resposta a incidentes documentado, com papéis definidos, procedimentos de contenção, comunicação e post-mortem.

Nenhuma medida de segurança é absoluta. Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, na forma do artigo 48 da LGPD, comunicaremos o ocorrido à ANPD e aos titulares afetados em prazo razoável — a LGPD não fixa prazo em dias, mas a ANPD orienta o uso, como parâmetro, de 2 (dois) dias úteis a partir do conhecimento do incidente. A comunicação incluirá, no mínimo, a descrição da natureza dos dados afetados, as medidas adotadas para reverter ou mitigar os efeitos e os riscos relacionados.

Internamente, o time de engenharia segue práticas de secure software development lifecycle que incluem code review obrigatório, rotação periódica de credenciais de produção, segregação de ambientes (dev, staging, produção), uso de gerenciador de segredos para variáveis sensíveis e princípio do menor privilégio na concessão de acessos administrativos. Colaboradores que tratam dados pessoais assinam termo de confidencialidade e recebem orientação sobre LGPD ao ingressar.

11. Crianças e adolescentes

A plataforma Adjus.ai destina-se exclusivamente a profissionais do Direito — advogadas e advogados regularmente inscritos nos quadros da OAB, estagiários habilitados e profissionais a eles equiparados — maiores de 18 anos. Em razão dessa natureza profissional, não coletamos intencionalmente dados pessoais de crianças ou adolescentes (LGPD, art. 14).

Reconhecemos que advogados podem, no exercício profissional, tratar dados de menores envolvidos em processos (por exemplo, em causas de família, infância e juventude). Nessas hipóteses, o controlador dos dados do menor é o próprio advogado perante seu cliente; a Kairos Lab atua como operadora, sob instrução do advogado, e aplica todas as salvaguardas técnicas e organizacionais previstas nesta política para proteger esses dados, com especial atenção à minimização e à retenção limitada.

O cadastro requer aceitação dos Termos de Uso e desta Política de Privacidade, atos que pressupõem capacidade civil plena. Caso identifiquemos, por nossa iniciativa ou por comunicação de terceiros, que dados pessoais de criança ou adolescente foram tratados em desconformidade com o art. 14 da LGPD — por exemplo, em uma sessão de chat criada por usuário adulto que tenha inserido dados de menor —, agiremos prontamente para interromper o tratamento e, se cabível, eliminar os dados.

Solicitamos que qualquer responsável legal ou terceiro que tome ciência desse tipo de situação envie comunicação ao Encarregado pelo email contato@adjus.ai, descrevendo o caso para que possamos adotar as providências necessárias.

Não direcionamos publicidade, comunicação ou interface a crianças ou adolescentes, nem desenhamos a experiência de uso para atrair esse público.

12. Inteligência artificial generativa — aviso específico

A Adjus.ai utiliza modelos de linguagem de grande porte (LLMs) fornecidos pelo Google (família Gemini) para processar os prompts e anexos enviados pelo usuário no chat. As requisições à API do Google Gemini são feitas pela Kairos Lab como cliente pagante e configuradas para que os dados enviados não sejam utilizados pelo Google para treinar modelos públicos, em conformidade com os controles e termos da Gemini API para clientes pagantes do Google Cloud.

A busca semântica de jurisprudência ocorre em infraestrutura contratada exclusivamente pela Kairos Lab — as consultas dos usuários são convertidas em embeddings vetoriais por subprocessador especializado (Modal Labs, conforme Seção 5) e cruzadas contra índice vetorial e base textual operados em ambiente dedicado. O conteúdo das consultas trafega criptografado e está sujeito aos mesmos prazos de retenção da Seção 7.

Algumas funcionalidades acessórias da plataforma — como sugestões de prompt, otimização redacional de minutas e identificação de placeholders — também são executadas via Gemini, sob os mesmos compromissos descritos acima. Não utilizamos modelos hospedados em provedores não listados nas Seções 5 e 12.

O usuário declara estar ciente de que não deve inserir dados pessoais sensíveis de terceiros (LGPD, art. 5º, II) sem base legal adequada — em especial, dados de clientes, partes adversas ou de processos que tramitem em segredo de justiça — devendo, sempre que possível, anonimizar ou pseudonimizar tais informações antes do envio. A Kairos Lab atua como operadora quanto ao conteúdo livremente inserido pelo advogado no contexto do exercício profissional, sendo o próprio advogado o controlador desses dados perante seus clientes e terceiros.

As respostas geradas pelo modelo podem conter erros, omissões, referências fictícias ou desatualizações — fenômeno conhecido como “alucinação”. A revisão profissional pelo advogado é indispensável antes de qualquer uso externo, especialmente em peças que serão protocoladas, enviadas a clientes ou apresentadas a tribunais. A responsabilidade pelo uso final das saídas do modelo é exclusiva do usuário profissional.

Não realizamos profiling publicitário com base no conteúdo dos prompts, e não submetemos o conteúdo do chat a sistemas de moderação humana de rotina — apenas aplicam-se filtros automatizados de segurança do próprio provedor de LLM (para evitar geração de conteúdo abusivo) e, em hipóteses excepcionais, revisão por equipe técnica da Kairos Lab para investigar incidentes, abusos ou violações dos Termos. Em qualquer revisão humana, são adotados os mesmos compromissos de confidencialidade descritos na Seção 10.

13. Alterações desta política

Esta Política de Privacidade pode ser atualizada para refletir mudanças no serviço, na legislação aplicável, na lista de subprocessadores ou nas práticas internas de tratamento de dados. Manteremos, no topo do documento e em metadados de versão, a data de última atualização (LAST_UPDATED), permitindo a comparação com versões anteriores.

Versões anteriores desta política poderão ser disponibilizadas mediante solicitação ao Encarregado, permitindo ao titular auditar a evolução das práticas de tratamento da Kairos Lab ao longo do tempo. Não consideramos como alteração material a mera atualização das referências legais (alteração de número de artigo da LGPD em decorrência de reforma legislativa, por exemplo), embora também sejam refletidas na versão publicada.

Alterações materiais — entendidas como aquelas que ampliem finalidades de tratamento, introduzam novos subprocessadores que recebam conteúdo de chat ou anexos, modifiquem prazos de retenção em prejuízo do titular ou alterem bases legais — serão comunicadas com antecedência mínima de 30 (trinta) dias da entrada em vigor, por meio de email ao endereço cadastrado do usuário e por banner persistente na plataforma. O uso continuado após o término desse prazo implica aceitação das novas condições.

Alterações não-materiais — correções tipográficas, atualização de URLs e endereços, esclarecimentos redacionais, ajustes de formatação ou mudanças de denominação social de subprocessadores que não alterem a substância do tratamento — entram em vigor imediatamente após a publicação, sem necessidade de aviso prévio individual, embora também sejam refletidas na data de última atualização do documento.

Em caso de divergência entre versões traduzidas desta política e a versão em português brasileiro, prevalece sempre a versão em português brasileiro, idioma oficial do contrato e jurisdição de regência da Kairos Lab.

14. Contato e ANPD

Para questões de privacidade, exercício dos direitos do titular previstos na Seção 8 e qualquer comunicação direcionada ao Encarregado pelo Tratamento de Dados Pessoais, o canal oficial é:

  • Email do Encarregado: contato@adjus.ai
  • Endereço físico: Rua Pais Leme, 215 — São Paulo, SP

Para questões de suporte geral ao produto que não envolvam privacidade — dúvidas operacionais, problemas de cobrança, sugestões de funcionalidades —, utilize o canal suporte@adjus.ai, atendido pelas equipes responsáveis. Solicitações de privacidade encaminhadas inadvertidamente ao canal de suporte serão redirecionadas internamente ao Encarregado, mas a contagem do prazo de resposta legal pode ser preservada melhor quando a comunicação é feita diretamente em contato@adjus.ai.

O titular tem ainda o direito de apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD), na forma do artigo 18, §1º, da LGPD, especialmente quando entender que sua solicitação não foi devidamente atendida pela Kairos Lab. A ANPD mantém canais oficiais de petição em https://www.gov.br/anpd/, onde também estão disponíveis orientações, regulamentações e formulários de denúncia.

Recomendamos que, antes de acionar a ANPD, o titular registre sua solicitação no canal contato@adjus.ai e aguarde o prazo legal de resposta — em muitos casos, esclarecimentos diretos resolvem dúvidas de forma mais célere. A possibilidade de acionar a ANPD, todavia, é direito autônomo do titular e independe de prévio esgotamento do canal interno.

Última atualização: 20 de maio de 2026.