Política de Privacidade - Grimace Score

Versão: 2026-05-24

Esta política cobre os aplicativos móveis Grimace Score para iOS e Android, as páginas web de fallback e a API do Grimace Score. Ela deve ser publicada após o preenchimento e a revisão dos dados do controlador.

Controlador e contato

• Controlador: FaceLab SAS
• Contato de privacidade: contact@facelab.me
• URL pública da política: https://staging.facelab.me/grimaces/privacy

Se a estrutura final exigir encarregado, DPO, representante UE/Reino Unido ou responsável de privacidade de Quebec, os dados devem ser publicados pelo mesmo contato ou adicionados aqui.

Idade mínima

Grimace Score é destinado a usuários com 13 anos ou mais e não é direcionado a menores de 13 anos. Se a lei local exigir autorização parental para usuários acima de 13 anos, mas abaixo da idade local de consentimento digital, o uso só deve ocorrer com essa autorização.

Resumo

• Fotos e quadros da câmera ficam no dispositivo.
• O backend recebe apenas valores numéricos de movimento facial, idioma e ID local de captura.
• O app não cria contas de usuário.
• Histórico, fotos locais e apelido opcional ficam no dispositivo e podem ser excluídos no app.
• O backend não mantém banco de dados de análises de usuários em produção.
• OpenAI recebe apenas valores numéricos quando comentários de IA estão ativados.
• Anúncios e assinaturas são modos opcionais; se ativados, AdMob, Apple, Google Play e RevenueCat podem tratar dados de anúncio ou compra, mas Grimace Score não envia fotos, apelidos, pontuações ou mapas completos de movimento como metadados personalizados.
• Grimace Score não vende informações pessoais e não usa data brokers.

Dados tratados

No dispositivo

• Quadros da câmera usados para detectar rosto e calcular movimentos.
• Foto capturada para gerar o cartão de compartilhamento e o histórico local.
• Histórico de resultados, incluindo pontuação, comentário, data e caminho local da imagem.
• Apelido opcional usado apenas no cartão compartilhado.
• Escolhas locais de consentimento, idade e privacidade.
• Estado da assinatura quando Grimace Plus está ativo.

Enviados ao backend

• Idioma.
• ID local de captura.
• Valores numéricos normalizados dos movimentos faciais suportados.
• Nenhuma foto, vídeo, áudio, EXIF ou quadro bruto é enviado.

Gerados pelo backend

• Tipo de resultado: normal, sem rosto ou sem careta.
• Pontuação opcional.
• Comentário curto.
• Logs técnicos mínimos: método, rota, status, duração, idioma e origem IA/fallback.

Monetização opcional

Se anúncios ou assinaturas forem ativados em produção:

• AdMob pode tratar dados técnicos de solicitação de anúncio, identificadores de dispositivo, estado de consentimento, localização aproximada e interações conforme as regras do Google.
• Apple App Store, Google Play e RevenueCat podem tratar recibos, identificadores de produto, estado de assinatura e metadados da conta necessários para Grimace Plus.
• O código do app não deve enviar fotos, cartões de resultado, apelidos, mapas faciais completos ou pontuações ao AdMob ou RevenueCat como metadados personalizados.
• Os termos comerciais do Grimace Plus são publicados separadamente: https://staging.facelab.me/grimaces/subscription.

Finalidades

Tratamos dados para detectar movimentos faciais no dispositivo, gerar pontuação e comentário, fornecer histórico e exclusão local, permitir compartilhamento voluntário, fornecer Grimace Plus e restaurar compras, exibir anúncios apenas quando o modo e o consentimento permitirem, e proteger, depurar e operar a API.

Bases legais e consentimento

A base legal depende da região do usuário e da configuração final. Antes da análise pela câmera, o app deve pedir confirmação de idade, explicar que fotos ficam no dispositivo, informar que apenas números de movimento são enviados ao backend e obter consentimento para esse tratamento de entretenimento.

Na UE, EEE, Reino Unido e Suíça, a análise de dados derivados do rosto deve ser tratada de modo conservador como sensível em contexto e baseada em consentimento explícito ou outra base confirmada por assessoria jurídica. Anúncios personalizados e armazenamento publicitário não essencial exigem CMP certificada pelo Google ou UMP quando aplicável. No iOS, ATT deve ser solicitado antes de tracking segundo a Apple.

Nos Estados Unidos, Grimace Score não vende informações pessoais nem as compartilha para publicidade comportamental entre contextos, salvo futura implementação com avisos, opt-outs e controles. Valores de movimento facial devem ser tratados conservadoramente como dados biometric-like ou sensíveis, especialmente em Illinois, Texas, Washington e leis semelhantes.

No Canadá e Quebec, o consentimento deve ser significativo e expresso quando exigido para dados sensíveis ou biometric-like. No Brasil, a LGPD exige transparência, base legal adequada e direitos do titular.

Aviso sobre dados faciais e biometric-like

Grimace Score não identifica pessoas, não verifica identidade, não autentica usuários, não compara rostos e não cria modelos de reconhecimento facial. O app calcula valores numéricos de movimento a partir de um rosto visível para a câmera; algumas leis podem tratar isso como biometria, geometria facial ou dado sensível.

A postura conservadora é obter consentimento prévio no app, enviar apenas números normalizados, não enviar imagens ou vídeo, não guardar mapas faciais em banco de produção, não vender nem divulgar dados derivados do rosto para fins não relacionados, permitir exclusão local e manter o monitor de desenvolvimento desativado em produção.

Retenção

• Quadros da câmera: efêmeros no dispositivo.
• Fotos capturadas: só no dispositivo até exclusão pelo usuário.
• Histórico e apelido: no dispositivo até exclusão.
• Corpo da requisição API: usado para responder e não armazenado em produção.
• Logs de produção: técnicos e minimizados conforme o provedor.
• Monitor local de desenvolvimento: desativado em produção; se ativo, retenção por MONITOR_RETENTION.
• OpenAI: sujeito aos controles de dados da OpenAI; requisições com store: false.
• AdMob, Apple, Google Play e RevenueCat: retenção conforme obrigações e políticas próprias.

Destinatários e transferências

Dados podem ser tratados pelo provedor de hospedagem backend, OpenAI quando IA estiver ativa, Google AdMob se anúncios estiverem ativos, Apple App Store, Google Play e RevenueCat se Grimace Plus estiver ativo, e provedores de infraestrutura. Não fornecemos fotos, vídeos, apelidos, imagens locais ou mapas completos de movimento a SDKs de anúncio ou assinatura como metadados personalizados.

Esses fornecedores podem tratar dados fora do país ou região do usuário. Quando exigido, o controlador deve usar salvaguardas adequadas como cláusulas contratuais padrão, acordos de tratamento, configurações de residência de dados ou outros mecanismos legais antes do lançamento.

Direitos

Dependendo da localização, usuários podem ter direitos de acesso, informação, correção, exclusão, limitação, oposição, revogação de consentimento, portabilidade, opt-out de venda/compartilhamento ou publicidade direcionada, limitação de dados sensíveis e reclamação a autoridade. A maioria dos dados visíveis fica apenas no dispositivo e pode ser excluída no app. Para solicitações não resolvidas localmente: contact@facelab.me.

Escolhas de anúncios

Se anúncios forem ativados, usuários do EEE, Reino Unido e Suíça devem receber a mensagem de consentimento aplicável antes de anúncios personalizados ou outros tratamentos que exigem consentimento. Deve haver ponto de entrada para opções de privacidade quando exigido. Usuários iOS devem receber ATT antes de tracking. Usuários abaixo da idade aplicável de consentimento não devem receber publicidade comportamental.

Segurança

Minimização de dados é a principal proteção: fotos no dispositivo, payloads pequenos e validados, rejeição de campos imagem/base64 desconhecidos, logs sem corpo de requisição e respostas API com no-store. Nenhum app é perfeitamente seguro; usuários devem manter dispositivo e sistema atualizados.

Declarações de privacidade nas lojas

Antes do lançamento, App Store Privacy Nutrition Labels e Google Play Data Safety devem corresponder a esta política e ao build de produção: câmera/fotos tratadas localmente, valores numéricos derivados do rosto enviados para funcionalidade, dados de compra se assinaturas ativadas, dados de anúncio se AdMob ativo, sem venda de informações pessoais, sem upload de fotos e sem contas na v1.

Alterações

Podemos atualizar esta política quando app, regiões, fornecedores ou sistemas de consentimento mudarem. A data de versão indica o último rascunho. Mudanças relevantes devem aparecer no app, site e lojas antes ou no lançamento.