Esta página descreve a operação atual do produto. Se o fluxo de dados mudar de forma relevante, o texto será revisado.
§ 01
Escopo desta política
Esta política explica como o RepoMind trata dados pessoais quando você usa a CLI, o dashboard, a API, os fluxos de autenticação, o billing e os emails transacionais do produto.
Ela vale para contas em teste e planos pagos. Se houver contrato específico com cliente corporativo, esse contrato complementa esta política.
§ 02
Quais dados coletamos
O RepoMind trata as categorias abaixo, conforme o fluxo usado:
- Conta e autenticação: nome, email, foto, identificador do usuário, provedor de login, status de verificação de email, sessões e metadados técnicos do acesso, como endereço IP e versão da CLI.
- Preferências do produto: configurações de commit, idioma e dados de onboarding vinculados à sua conta.
- Uso do serviço: operação executada, mensagens geradas, trecho inicial do diff, nome e URL do repositório quando há remote configurado, hash do commit criado, desfecho da geração (aceita, editada ou rejeitada) e a mensagem final quando você a edita.
- Conteúdo enviado: diff staged, conteúdo dos arquivos alterados, contexto do repositório e configurações locais enviados ao rodar
commitesplit. - Billing: identificadores de cliente e assinatura no Stripe, plano, status, períodos de billing, invoices, pagamentos, cupons e o endereço de cobrança informado no checkout.
- Tokens pessoais: nome do token, hash criptográfico do segredo, datas de criação, expiração e último uso. O token puro só aparece no momento da emissão e não fica armazenado em claro.
- Comunicações: email e emails transacionais necessários ao uso do produto.
- Analytics de uso: somente sob autorização da categoria Analíticos — páginas visitadas, eventos de uso e de conversão do funil (cadastro, início de checkout e compra), e a gravação da sua sessão de navegação pelo Microsoft Clarity: movimentos do cursor, cliques, rolagem e uma reconstrução visual das páginas, com campos de texto sensíveis mascarados automaticamente. Independentemente dessa autorização, coletamos métricas de uso agregadas e anônimas, sem cookies, pela Vercel.
- Publicidade e mensuração: somente sob autorização da categoria Marketing — identificadores dos cookies do Meta Pixel, endereço IP, user agent, páginas e ações relevantes do funil (visita, cadastro, início de checkout e compra) e o valor da compra.
§ 03
O que acontece com o código enviado
O diff e os arquivos enviados em uma geração são usados para produzir a resposta e não ficam gravados no banco de dados do produto. O histórico guarda a mensagem gerada e um trecho inicial do diff, limitado a 500 caracteres; no split, apenas a intenção identificada de cada grupo de mudanças.
As chamadas aos modelos passam por um gateway de IA operado na Cloudflare, que mantém registros operacionais de requisição e resposta usados para diagnóstico, segurança e controle de custo.
O RepoMind não usa seu código para treinar modelos de IA. O envio a OpenAI e Anthropic ocorre por APIs comerciais que, por padrão, não utilizam o conteúdo enviado para treinamento de modelos.
§ 04
Finalidades e bases legais
Tratamos dados pessoais para prestar o serviço, manter segurança operacional e cumprir obrigações legais. As bases legais principais são estas:
- Execução do contrato: autenticar usuários, gerar mensagens de commit e divisões sugeridas, sincronizar histórico, aplicar limites de plano e prestar suporte.
- Obrigação legal: guardar registros ligados a faturamento, auditoria e prevenção a fraude quando isso for exigido.
- Legítimo interesse: monitorar estabilidade, prevenir abuso, medir custo operacional, melhorar a qualidade técnica do serviço e medir o uso de forma agregada e anônima, sem cookies nem identificadores persistentes (métricas de uso da Vercel).
- Consentimento: a medição analítica de uso e a gravação de sessão (categoria Analíticos); a publicidade e a mensuração de conversão, incluindo o compartilhamento de dados com plataformas de anúncio (categoria Marketing); e comunicações opcionais que dependam de adesão voluntária. Salvo as métricas agregadas e cookieless descritas no legítimo interesse, nada disso ocorre sem autorização prévia e expressa: é sempre revogável, e a recusa não restringe o uso do produto.
§ 05
Com quem compartilhamos dados
Não vendemos dados pessoais. Compartilhamos informações com operadores e parceiros que ajudam a executar o serviço:
- Google Cloud / Firebase: autenticação, banco de dados e infraestrutura associada.
- Vercel: hospedagem e entrega do dashboard web e métricas de uso agregadas e cookieless (Vercel Web Analytics), sem cookies nem identificadores persistentes e sem identificar você individualmente.
- Stripe: processamento de pagamentos, assinaturas, invoices e eventos de billing.
- Resend: envio de emails transacionais, como verificação de email.
- Cloudflare: gateway que roteia as chamadas de IA e mantém os registros operacionais dessas requisições.
- OpenAI e Anthropic: processamento de prompts, diffs e contexto enviados para gerar a resposta solicitada.
- Sentry: monitoramento de erros e estabilidade da CLI, do dashboard e da API.
- Google (Google Analytics): métricas de uso, páginas visitadas e eventos de conversão do funil. Somente se você autorizar a categoria Analíticos. Grava os cookies
_gae_gid; os dados são tratados pelo Google fora do Brasil. - Microsoft (Clarity): gravação de sessão e mapas de calor para entender como o produto é usado. Somente se você autorizar a categoria Analíticos. Registra a navegação — cursor, cliques, rolagem e uma reconstrução visual das páginas — com campos de texto sensíveis mascarados automaticamente; grava os cookies
_clcke_clsk; os dados são tratados pela Microsoft fora do Brasil. - Meta Platforms: medição de campanhas publicitárias. Somente se você autorizar a categoria Marketing. Nesse caso enviamos: seu email de forma pseudonimizada, por hash criptográfico SHA-256, e nunca em texto legível; o endereço IP e o user agent do navegador; os identificadores dos cookies
_fbpe_fbc; e, na contratação de um plano, o valor e a moeda da compra. Se você não autorizar, nenhuma dessas informações é coletada nem transmitida.
Também podemos compartilhar dados quando houver obrigação legal, ordem de autoridade competente ou necessidade de proteger o produto e seus usuários.
§ 06
Transferências internacionais
Parte da infraestrutura e dos operadores usados pelo RepoMind pode processar dados fora do Brasil. Quando isso acontecer, adotaremos as medidas contratuais e operacionais cabíveis para manter um nível de proteção compatível com a LGPD.
Isso pode acontecer em fluxos de autenticação, hospedagem, email, observabilidade e geração de respostas por IA; quando você autoriza a categoria Analíticos, na medição de uso e na gravação de sessão, em que o Google e a Microsoft tratam esses dados fora do Brasil; e, quando você autoriza a categoria Marketing, na medição de campanhas publicitárias, em que a Meta Platforms trata esses dados fora do Brasil.
§ 08
Retenção e descarte
Mantemos dados pelo tempo necessário para prestar o serviço, cumprir obrigações legais, prevenir fraude e sustentar a operação.
- Dados de conta e configurações ficam armazenados enquanto a conta estiver ativa ou enquanto houver necessidade operacional legítima.
- O conteúdo enviado para geração não permanece no banco de dados do produto após o processamento, como descrito na seção sobre o código enviado.
- Registros de billing podem ser mantidos por prazos ligados a obrigações fiscais, contábeis e de auditoria.
- Tokens pessoais permanecem ativos até expiração, revogação ou exclusão pelo usuário.
- O contexto técnico usado para medir a conversão de uma compra — que inclui o endereço IP — é descartado automaticamente em até 7 dias, e só existe quando a categoria Marketing está autorizada.
- O cookie de consentimento expira em 180 dias. Os cookies
_ga,_gid,_clcke_clsk(Analíticos) e_fbpe_fbc(Marketing) são apagados assim que você revoga a categoria correspondente. - As métricas e gravações de uso mantidas pelo Google Analytics e pelo Microsoft Clarity seguem os prazos de retenção configurados nesses serviços.
§ 09
Seus direitos sob a LGPD
Nos termos da LGPD, você pode pedir confirmação da existência de tratamento, acesso, correção, eliminação, portabilidade e informações sobre compartilhamento, quando esses direitos forem aplicáveis ao caso.
Hoje, esses pedidos são tratados pelo canal de suporte. Nem todos os fluxos estão disponíveis em autoatendimento dentro do produto.
Para exercer seus direitos, envie a solicitação para support@repomind.dev. Podemos pedir dados adicionais para confirmar identidade e proteger a conta antes de responder.
§ 10
Segurança da informação
Adotamos medidas técnicas e organizacionais razoáveis para reduzir risco de acesso não autorizado, perda, alteração ou divulgação indevida. Isso inclui controle de acesso, segregação por ambiente, autenticação e armazenamento hasheado para tokens pessoais.
Nenhum sistema é totalmente invulnerável. Por isso, você também deve proteger credenciais, revisar o que envia ao serviço e evitar compartilhar conteúdo cujo tratamento seja proibido por contrato ou por lei.
§ 11
Contato, lei aplicável e atualizações
O canal de privacidade e atendimento LGPD do RepoMind é support@repomind.dev. Pedidos de titulares, notificações de incidente e solicitações formais devem ser enviados por esse canal.
Esta política é regida pelas leis brasileiras, em especial a LGPD (Lei 13.709/2018).
Esta política pode ser atualizada para refletir mudanças legais, operacionais ou de produto. Alterações relevantes serão comunicadas por email ou aviso no produto. A versão publicada nesta página passa a valer a partir da data de atualização indicada no topo.