Termo de Consentimento Facial

Termo de Consentimento Específico para Tratamento de Dados Biométricos Faciais

Versão: 2.1 Data de vigência: 2026-04-29 (sugestão: 2026-04-29) Última revisão: 2026-04-29

1. Identificação do Controlador

Este Termo regula o tratamento de dados pessoais sensíveis — especificamente, fotografias faciais ("Imagens Faciais") — realizado pela plataforma PostFeito, operada por PROMOVASE MENTORIA E SERVIÇOS LTDA, inscrita no CNPJ sob o nº 60.594.613/0001-26, com sede em Av. Paulista, 1106 - sala 01 - andar 16 - Bela Vista - São Paulo-SP - CEP 01310-914, Brasil ("Controlador").

  • Encarregado pelo Tratamento de Dados (DPO): suporte@postfeito.com.br

2. Definição e Natureza Jurídica do Dado

2.1. Imagem Facial pode ser considerada dado pessoal sensível nos termos do art. 5º, II, da Lei nº 13.709/2018 (LGPD), quando utilizada para identificação inequívoca da pessoa natural (uso biométrico). Embora a interpretação jurídica majoritária no Brasil entenda que a fotografia isolada não configura, por si só, dado biométrico — sendo este caracterizado por templates/embeddings matemáticos extraídos da imagem —, o PostFeito adota postura conservadora e protetiva, tratando as Imagens Faciais sob o regime de dados pessoais sensíveis desde o momento do upload, em benefício do Titular.

2.2. Em razão da classificação adotada, o tratamento das Imagens Faciais é realizado com base em consentimento específico e destacado, na forma do art. 11, I, da LGPD, motivo pelo qual este Termo é firmado.

3. O que é Coletado e Tratado

3.1. Dados objeto deste Termo:

  • Até 6 (seis) fotografias faciais por sócio cadastrado pelo Titular da conta PostFeito;
  • Formatos aceitos: PNG ou JPEG, com tamanho máximo definido nas especificações técnicas da Plataforma;
  • Metadados associados às imagens (nome do arquivo, timestamp do upload, identificador interno do partner).

3.2. Não coletamos vetores biométricos (face embeddings) persistentes, templates de reconhecimento facial nem indicadores antropométricos. As Imagens Faciais permanecem como arquivos visuais no bucket de armazenamento.

4. Finalidades Específicas do Tratamento

O Titular, ao firmar este Termo, autoriza o Controlador a tratar suas Imagens Faciais exclusivamente para as seguintes finalidades:

4.1. Geração de Conteúdo Visual com Sobreposição da Imagem do Sócio

Utilização das Imagens Faciais como referência visual para a geração de imagens de marketing, posts institucionais e conteúdos para redes sociais por meio do modelo gpt-image-2 da OpenAI, em que a fisionomia do sócio aparece composta no resultado final solicitado pelo Titular.

Observação: esta funcionalidade encontra-se em desenvolvimento e poderá não estar disponível em todos os planos no momento da assinatura deste Termo. As Imagens Faciais permanecem armazenadas para uso futuro mediante autorização do Titular.

4.2. Identificação Visual em Materiais Institucionais

Composição da Imagem Facial em peças visuais geradas pela Plataforma quando o Titular indicar expressamente o sócio em questão como persona da campanha.

4.3. NÃO São Finalidades Autorizadas

O Controlador NÃO utiliza as Imagens Faciais para:

  • Treinamento de modelos de IA proprietários do PostFeito;
  • Construção de bancos de reconhecimento facial;
  • Identificação ou rastreamento em ambientes físicos;
  • Compartilhamento com terceiros que não sejam estritamente os processadores listados na seção 6;
  • Uso publicitário do PostFeito sem autorização adicional;
  • Quaisquer fins não autorizados expressamente pelo Titular.

5. Base Legal

5.1. O tratamento descrito é realizado com fundamento em consentimento específico e destacado do Titular, na forma do art. 11, I, da LGPD, manifestado por meio da aceitação eletrônica deste Termo.

5.2. O consentimento é livre, informado, inequívoco e específico para as finalidades descritas na seção 4.

6. Onde os Dados São Armazenados e Quem Tem Acesso

6.1. Armazenamento primário:

  • Bucket privado facial-photos na infraestrutura Supabase, região sa-east-1 (São Paulo, Brasil);
  • Acesso protegido por políticas de Row Level Security (RLS) que garantem que apenas o Titular da conta que cadastrou o sócio tem acesso de leitura/escrita às suas Imagens Faciais.

6.2. Processamento via OpenAI (transferência internacional):

  • Quando o Titular solicita uma geração que utilize o sócio, a(s) Imagem(ns) Facial(is) é(são) enviada(s) ao endpoint da OpenAI (Estados Unidos), via parâmetro image[] da API gpt-image-2;
  • O envio ocorre em conexão criptografada (TLS);
  • O tratamento pela OpenAI segue os termos contratuais aplicáveis ao plano de API/Enterprise utilizado pelo PostFeito; quando contratualmente disponível, é adotada a configuração de não utilização dos dados para treinamento de modelos e/ou de retenção zero (zero data retention);
  • A transferência é amparada nas hipóteses do art. 33 da LGPD, com cláusulas contratuais padrão e garantias técnicas adequadas.

6.3. Acesso interno PostFeito:

  • Equipe técnica do PostFeito não acessa rotineiramente Imagens Faciais. Acesso técnico é restrito a casos de suporte mediante chamado do próprio Titular ou investigação de incidente, sempre com audit log.

7. Tempo de Retenção

7.1. Vigência ativa: as Imagens Faciais permanecem armazenadas enquanto:

  • (a) O sócio (partner) estiver cadastrado na conta do Titular e
  • (b) O consentimento estiver vigente (não revogado).

7.2. Exclusão imediata mediante:

  • Revogação do consentimento (vide seção 8);
  • Exclusão do partner pelo Titular através da rota /conta/socios;
  • Encerramento da conta do Titular.

7.3. Janela de backup: após o gatilho de exclusão, as Imagens Faciais podem permanecer em backups de segurança por até 30 (trinta) dias, ao final dos quais serão definitivamente eliminadas dos backups.

7.4. Não há retenção legal obrigatória que justifique manter Imagens Faciais após esse prazo.

8. Direito de Revogação do Consentimento

8.1. O Titular pode revogar este consentimento a qualquer momento, sem justificativa, e sem qualquer ônus.

8.2. Como revogar:

  • Auto-atendimento: rota https://postfeito.com.br/conta/socios → ação "Excluir sócio" ou "Remover fotos faciais";
  • E-mail ao DPO: suporte@postfeito.com.br com solicitação clara de revogação.

8.3. Efeitos da revogação:

  • Remoção imediata das Imagens Faciais do bucket facial-photos;
  • Atualização do campo facial_consent para false na tabela de partners;
  • Confirmação por e-mail ao Titular;
  • Exclusão dos backups em até 30 (trinta) dias.

8.4. A revogação não afeta a licitude do tratamento realizado anteriormente com base no consentimento então válido (art. 8º, § 5º, LGPD).

8.5. Conteúdos previamente gerados (posts/imagens já criados) podem ter sido baixados pelo Titular ou publicados em redes sociais — esses materiais externos não estão sob controle direto do PostFeito após a publicação.

9. Outros Direitos do Titular

Além da revogação, o Titular pode exercer os direitos previstos no art. 18 da LGPD:

DireitoComo Exercer
Confirmar o tratamento e acessar as imagens armazenadasPainel /conta/socios ou e-mail ao DPO
Corrigir / substituir imagensUpload de novas imagens substituindo as anteriores
Solicitar anonimização ou eliminaçãoE-mail ao DPO
Solicitar portabilidade (download)E-mail ao DPO
Obter informações sobre uso compartilhadoE-mail ao DPO
Apresentar reclamação à ANPDhttps://www.gov.br/anpd

Prazo de resposta: 15 (quinze) dias úteis a contar da solicitação devidamente identificada.

10. Garantias e Compromissos do Controlador

O Controlador compromete-se a:

  • (i) Tratar as Imagens Faciais apenas para as finalidades descritas na seção 4;
  • (ii) Não comercializar, alugar ou ceder as Imagens Faciais a terceiros não relacionados na seção 6;
  • (iii) Não utilizar as Imagens Faciais para treinamento de modelos próprios de IA;
  • (iv) Implementar medidas técnicas adequadas: criptografia em repouso (AES-256), TLS em trânsito, RLS Postgres, audit logs de acesso;
  • (v) Comunicar incidentes de segurança que envolvam Imagens Faciais à ANPD e ao Titular afetado, conforme art. 48 da LGPD;
  • (vi) Excluir as imagens nos prazos previstos na seção 7;
  • (vii) Manter este Termo acessível e atualizado em https://postfeito.com.br/legal/termo-consentimento-facial.

11. Registro Eletrônico do Consentimento

11.1. A aceitação eletrônica deste Termo gera um registro auditável com os seguintes campos, mantidos na tabela de partners do banco de dados:

  • consent_timestamp — data e hora UTC do aceite;
  • consent_version — versão deste Termo aceita (atualmente: 2.0);
  • consent_ip — endereço IP do aceite (registro técnico para fins de prova);
  • facial_consentflag booleano indicando consentimento ativo (true) ou revogado (false).

11.2. Este registro tem valor probatório nos termos da Lei nº 14.063/2020 e do art. 10 da Medida Provisória nº 2.200-2/2001 (assinatura eletrônica).

11.3. Em caso de atualização material deste Termo, o Titular receberá nova solicitação de aceite, com a versão anterior preservada para fins históricos.

12. Declarações do Titular

Ao aceitar eletronicamente este Termo, o Titular declara que:

  • (a) Leu, compreendeu e concorda integralmente com seus dispositivos;
  • (b) Está ciente de que a coleta envolve dados sensíveis biométricos;
  • (c) É o titular das Imagens Faciais ou possui autorização expressa, prévia e por escrito das pessoas retratadas (sócios cadastrados) para upload, armazenamento e processamento conforme este Termo;
  • (d) Compromete-se a obter consentimento equivalente do(s) sócio(s) retratado(s) antes de carregar as Imagens Faciais, e a apresentar prova desse consentimento ao PostFeito caso solicitado;
  • (e) Compreende que pode revogar este consentimento a qualquer momento, sem ônus.

Importante: o Titular da conta PostFeito é o responsável primário por garantir que cada sócio retratado tenha consentido com a coleta. O PostFeito poderá, em caso de questionamento ou reclamação por terceiro, suspender o uso das Imagens Faciais e exigir comprovação do consentimento do retratado.

12.1. Responsabilização integral do Titular e indenização regressiva: o Titular se responsabiliza integralmente por eventuais reclamações, ações judiciais, autuações administrativas ou indenizações reivindicadas por terceiros (incluindo, mas não limitado aos sócios retratados) em razão de uso indevido de imagem, ausência de consentimento do retratado, falsidade das declarações desta seção 12 ou descumprimento das obrigações deste Termo. Caso o PostFeito venha a ser responsabilizado, condenado ou compelido a pagar qualquer valor a terceiro em razão de fato imputável ao Titular, fica desde já garantido direito de regresso integral contra o Titular, abrangendo o valor pago, custas processuais, honorários advocatícios e demais despesas correlatas.

13. Sanções e Cooperação com Autoridades

13.1. O Controlador coopera com as autoridades competentes (ANPD, Ministério Público, Poder Judiciário) em investigações ou procedimentos relativos ao tratamento de Imagens Faciais.

13.2. Violações comprovadas a este Termo por parte do Titular (ex.: upload não autorizado de imagem de terceiro) podem resultar em suspensão da conta e responsabilização nos termos da LGPD e demais legislações aplicáveis.

14. Alterações neste Termo

14.1. Atualizações materiais a este Termo serão comunicadas com antecedência mínima de 15 (quinze) dias por e-mail e na Plataforma. O uso continuado após a vigência da nova versão exigirá novo aceite.

14.2. O Titular pode, em caso de discordância, revogar o consentimento e remover o sócio do cadastro.

15. Foro e Legislação

15.1. Este Termo é regido pela legislação da República Federativa do Brasil, em especial pela Lei nº 13.709/2018 (LGPD).

15.2. Foro: Comarca de São Paulo/SP, ressalvado o foro do consumidor pessoa física, quando aplicável.

16. Contato

  • Encarregado (DPO): suporte@postfeito.com.br
  • Suporte: suporte@postfeito.com.br
  • Endereço: Av. Paulista, 1106 - sala 01 - andar 16 - Bela Vista - São Paulo-SP - CEP 01310-914, Brasil

17. Glossário

TermoDefinição
Bucket privadoRepositório de arquivos com acesso restrito por políticas de autorização.
Dado biométricoDado relacionado às características físicas, fisiológicas ou comportamentais únicas de uma pessoa (LGPD, art. 5º, II). Imagens faciais podem ser consideradas dados biométricos, dependendo do contexto de uso (especialmente quando empregadas para identificação inequívoca da pessoa natural).
DPOEncarregado pelo Tratamento de Dados Pessoais (LGPD, art. 41).
gpt-image-2Modelo de geração de imagem da OpenAI utilizado pela Plataforma.
LGPDLei nº 13.709/2018 — Lei Geral de Proteção de Dados Pessoais.
Partner / SócioPessoa cadastrada pelo Titular como sócio, fundador ou figura institucional.
RLSRow Level Security — política de segurança no Postgres que restringe acesso a registros conforme regras por linha.
TitularPessoa natural a quem se referem os dados pessoais. Neste Termo, refere-se ao titular da conta PostFeito que assume responsabilidade pelas Imagens Faciais carregadas.

Aceite Eletrônico

Ao clicar em "Aceito o Termo de Consentimento Facial" na Plataforma, o Titular manifesta consentimento livre, informado, específico e inequívoco para o tratamento descrito.

  • Versão aceita: 2.0
  • Data e hora: registrada eletronicamente (consent_timestamp)
  • Endereço IP: registrado para fins probatórios (consent_ip)

PROMOVASE MENTORIA E SERVIÇOS LTDA CNPJ 60.594.613/0001-26 Av. Paulista, 1106 - sala 01 - andar 16 - Bela Vista - São Paulo-SP - CEP 01310-914, Brasil DPO: suporte@postfeito.com.br