Última atualização: 13/07/2026 Versão: 3
A WayFy ("nós") leva a proteção de dados pessoais a sério. Esta Política descreve, de forma transparente, como coletamos, utilizamos, compartilhamos, armazenamos e protegemos dados pessoais tratados por meio da Plataforma WayFy, em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD), o Marco Civil da Internet (Lei nº 12.965/2014), o Estatuto da Criança e do Adolescente (Lei nº 8.069/1990) e as orientações da Autoridade Nacional de Proteção de Dados (ANPD).
1. Papéis: Controlador e Operador
A WayFy atua em duas qualidades distintas, conforme a categoria do dado:
- Operadora dos dados de Alunos e de dados pedagógicos inseridos por Usuários Autorizados. O Controlador é o Cliente (Secretaria de Educação, escola pública ou particular, ou rede de ensino), a quem cabem as decisões sobre finalidade e essenciais do tratamento.
- Controladora dos dados dos próprios Usuários Autorizados (professores, gestores) coletados para fins de identificação, autenticação, suporte, faturamento e segurança da Plataforma.
Esta Política endereça ambos os papéis. As obrigações específicas entre WayFy e Cliente enquanto Operadora/Controladora são detalhadas em Acordo de Tratamento de Dados (DPA), anexo ao Contrato.
2. Encarregado pelo Tratamento de Dados (DPO)
- E-mail: [dpo@wayfyapp.com]
- Canal preferencial para exercício de direitos e comunicação da ANPD.
3. Categorias de dados tratados
3.1 Usuários Autorizados (Controladora: WayFy)
- Identificação e contato: nome, e-mail, telefone (opcional), papel, escola/secretaria vinculada.
- Credenciais e sessão: hash de senha, tokens, MFA (quando ativo), horários de login.
- Uso e logs: endereço IP, tipo de navegador, ações executadas na Plataforma, timestamps.
3.2 Alunos (Operadora: WayFy | Controlador: Cliente)
- Identificação escolar: nome, matrícula (quando fornecida), turma, série, ano letivo.
- Produção pedagógica: respostas de avaliações, imagens/PDFs de provas manuscritas, textos digitados.
- Resultados: notas, feedbacks, competências avaliadas, devolutivas geradas por IA e homologadas por professor.
3.3 Dados institucionais
- Dados cadastrais do Cliente (razão social, CNPJ, município, UF, contato).
Não coletamos deliberadamente dados sensíveis de alunos (raça, religião, saúde, biometria, orientação sexual). Se surgirem incidentalmente em respostas discursivas, o Cliente é orientado a orientar seus Usuários Autorizados a não solicitá-los.
4. Bases legais (art. 7º e 11 da LGPD)
| Tratamento | Base legal | |---|---| | Provisionamento, autenticação e operação da conta do Usuário Autorizado | Execução de contrato (art. 7º, V) | | Processamento pedagógico de dados de alunos em escolas públicas | Execução de política pública / cumprimento de obrigação legal do Cliente (art. 7º, II e III) | | Processamento pedagógico de dados de alunos em escolas particulares | Execução do contrato educacional firmado pelo Cliente com os responsáveis (art. 7º, V) | | Segurança, prevenção a fraude, logs de auditoria | Legítimo interesse (art. 7º, IX) | | Comunicações de marketing (opcionais) | Consentimento (art. 7º, I) — revogável a qualquer tempo | | Cumprimento de obrigações fiscais e regulatórias | Obrigação legal (art. 7º, II) |
5. Finalidades, dados e retenção
| Finalidade | Dados envolvidos | Retenção | |---|---|---| | Autenticação e operação | Usuários Autorizados | durante contrato + 12 meses (logs) | | Correção assistida por IA | Respostas, imagens, prompts derivados | durante contrato; prompts não retidos pelo provedor de IA | | Devolutiva ao aluno | Notas, feedbacks | durante contrato + retenção legal do Cliente | | Analytics agregado (produto) | Métricas anonimizadas | indefinido, sem reidentificação | | Faturamento e obrigações fiscais | Dados institucionais | mínimo 5 anos após término | | Auditoria de segurança | Logs de acesso | 12 meses |
6. Compartilhamento e sub-operadores
A WayFy contrata sub-operadores de confiança, sob acordos que exigem padrão de proteção equivalente:
A lista atualizada é mantida pelo DPO e pode ser solicitada a qualquer tempo. A substituição de sub-operador crítico é comunicada ao Cliente.
Não vendemos, alugamos ou cedemos dados pessoais para terceiros para fins comerciais.
7. Retenção e eliminação
- Dados operacionais são mantidos durante a vigência do Contrato.
- Após o término: prazo de 30 dias para exportação pelo Cliente e até 90 dias para eliminação dos sistemas produtivos.
- Backups criptografados expiram em ciclo máximo de 90 dias.
- Retenções superiores ocorrem apenas para cumprimento de obrigação legal, exercício regular de direitos em processo, ou anonimização definitiva.
8. Segurança da informação
Adotamos medidas técnicas e administrativas apropriadas, incluindo:
- Criptografia em trânsito (TLS 1.2 ou superior) e em repouso (AES-256 gerenciado pelo provedor de infraestrutura).
- Segregação no banco de dados, garantindo que cada Cliente acesse apenas seus próprios dados.
- Controle de acesso baseado em papéis e princípio do menor privilégio.
- Autenticação com hash de senha e suporte a MFA quando habilitado pelo Cliente.
- Logs de auditoria de ações sensíveis, com retenção mínima de 12 meses.
- Backups automatizados e ambiente segregado de produção.
- Monitoramento contínuo e resposta a incidentes com notificação à ANPD e aos titulares em até 72 horas quando aplicável.
- Revisão periódica de acessos e política interna de treinamento.
Nenhum sistema é 100% imune. A WayFy trabalha com melhoria contínua e aceita relatos de vulnerabilidade por [seguranca@watfyapp.com].
10. Direitos dos titulares (art. 18 LGPD)
Todo titular pode exercer, sem custo, os direitos de:
- Confirmação da existência de tratamento;
- Acesso aos dados;
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade;
- Portabilidade;
- Eliminação dos dados tratados com base em consentimento;
- Informação sobre entidades com as quais os dados são compartilhados;
- Informação sobre a possibilidade de não fornecer consentimento e suas consequências;
- Revogação do consentimento;
- Revisão de decisões automatizadas que afetem seus interesses.
Como exercer: contate o DPO em [dpo@wayfyapp.com]. Prazo de resposta: 15 dias.
Quando o titular for Aluno, as solicitações devem ser encaminhadas primariamente ao Cliente (Controlador). A WayFy apoia o Cliente no atendimento.
11. Dados de crianças e adolescentes
O tratamento de dados de menores segue o princípio do melhor interesse (art. 14 LGPD e ECA). A WayFy:
- trata dados de menores exclusivamente para a finalidade pedagógica definida pelo Cliente;
- não realiza perfilamento comercial, publicidade direcionada ou tomada de decisão automatizada que afete o menor sem revisão humana;
- não compartilha dados de menores fora dos sub-operadores estritamente necessários;
- disponibiliza aos responsáveis legais, por meio do Cliente, os canais de exercício de direitos.
12. Cookies e tecnologias similares
Utilizamos apenas cookies essenciais para autenticação e funcionamento da Plataforma e, quando aplicável, cookies analíticos de primeira parte para métricas de uso agregadas. Não utilizamos cookies publicitários de terceiros. O gerenciamento pode ser feito nas configurações do navegador do Usuário.
13. Uso de Inteligência Artificial
- Os provedores de modelos de IA contratados operam sob contrato de retenção zero (zero-retention): os prompts e respostas não são armazenados por eles para fins de treinamento.
- A WayFy não utiliza o Conteúdo do Cliente para treinar modelos de terceiros nem modelos proprietários.
- Métricas internas de qualidade são calculadas sobre dados anonimizados e agregados.
- Toda saída de IA passa por revisão humana obrigatória do professor antes de qualquer devolutiva ao aluno.
14. Incidentes de segurança
Em caso de incidente que possa acarretar risco ou dano relevante aos titulares, a WayFy:
- comunica o Cliente afetado imediatamente após confirmação;
- comunica a ANPD e os titulares em prazo compatível com o regulamento vigente (referência: 72 horas);
- fornece informações sobre natureza, dados afetados, medidas adotadas e mitigação.
15. Alterações desta Política
Poderemos atualizar esta Política para refletir mudanças legais, técnicas ou de produto. Alterações materiais serão comunicadas com 30 dias de antecedência por e-mail e/ou aviso na Plataforma. Todas as versões ficam arquivadas e podem ser consultadas mediante solicitação ao DPO.
16. Contato
- Encarregado (DPO): [dpo@wayfyapp.com]
- Autoridade Nacional (ANPD): https://www.gov.br/anpd
