This Privacy Policy describes how DEVFORCE SOFTWARE ENGINEERING LTDA, a Brazilian limited liability company registered under Brazilian Taxpayer ID (CNPJ/MF) No. 44.887.924/0001-27, with offices at Rua General Liberato Bittencourt, No. 1885, Suite 501, Estreito, Florianópolis/SC, Brazil, ZIP 88.070-800 (hereinafter "DEVFORCE", "XMentor AI", "we", or "the platform"), collects, uses, stores, shares, and protects personal data of users of the XMentor AI mentoring platform (accessible at xmentorai.com and derived domains, including white-label tenant subdomains).

XMentor AI is a brand and software platform developed and operated by DEVFORCE SOFTWARE ENGINEERING LTDA, which acts as the data controller under the Brazilian General Data Protection Law (Law No. 13.709/2018 — "LGPD") and as the equivalent role under other applicable data protection laws (e.g., GDPR data controller).

By using the platform, you agree to the practices described in this policy. If you do not agree, please do not use the service.

1. Who we are

XMentor AI is a mentoring platform that connects mentors and mentees, with tools for session management, communication, progress tracking, and credit-based billing. We serve corporate clients with environments segregated by organization (a multi-tenant white-label model). The platform is maintained by DEVFORCE SOFTWARE ENGINEERING LTDA, a Brazilian software engineering company headquartered in Florianópolis/SC, whose corporate information is also available at www.devforce.com.br.

2. What data we collect

2.1. Data you provide directly

• Identification: name, email, phone (verified via code), profile picture.
• Professional: role, area of expertise, competencies, bio.
• Payment: billing data is processed by our payment partner; we only store transaction identifiers and the last 4 digits of the card for history.
• Communication: chat messages exchanged inside the platform, attachments, session notes.

2.2. Data we collect automatically

• Usage: pages accessed, actions taken, dates and times, IP address, user agent.
• Cookies: session identifiers, language preferences. Details in section 11.

2.3. Data from third-party integrations

When you connect an integration, we receive data specific to that provider:

• WhatsApp Business Platform (Meta): described in detail in section 4.
• Calendars (Google / Microsoft): calendar events related to scheduled sessions (with your authorization).
• Payments: transaction confirmations, status.

3. How we use the data

We use the collected data to:

• Operate the platform: authentication, session management, communication between mentor and mentee, scheduling.
• Billing: calculation of consumed credits, invoice generation, payment processing.
• Communicate with you: notifications about sessions, balance alerts, product updates.
• Improve the service: aggregate usage analysis to evolve the platform.
• Legal compliance: meeting tax, regulatory, and judicial obligations.
• Security: detecting fraud, abuse, and breaches of terms.

We do not use your data for third-party targeted advertising, and we do not sell your data.

4. WhatsApp Business Platform integration (Meta)

This section specifically describes the integration with the WhatsApp Business Platform (Cloud API), provided by Meta Platforms, Inc.

4.1. What we use the integration for

The integration allows the mentor to connect their WhatsApp Business number to the platform so that messages exchanged with their mentees are counted and billed in credits. Counting is optional and per-mentee, with explicit consent.

4.2. What data we receive from Meta

We receive the following metadata for each exchanged message via Meta webhooks:

• Message ID (generated by Meta).
• Sender and recipient phone numbers (in E.164 format).
• Direction (inbound or outbound).
• Date and time.
• Status (delivered, read, etc., when applicable).

4.3. What we do not collect

• We do not store message content (text, audio, images, documents, videos, stickers, location).
• We do not read message content at any time.
• We do not use WhatsApp data for any purpose other than the counting and billing described above.

4.4. Connection mode

The mentor can choose between:

• Coexistence (recommended): keeps the WhatsApp Business app on the phone active. The platform only receives metadata via webhook in parallel.
• Migration: the number becomes exclusive to Cloud API. In this case the mentor replies to messages via Meta Business Suite or an integrated tool.

In both cases, collection is limited to the metadata described in 4.2.

4.5. Mentee consent

Messages are only counted after:

1. The mentor activates monitoring for that mentee on the platform.
2. The mentee accepts the monitoring terms via explicit acceptance on the platform.

Before this double acceptance, messages are ignored by the counting.

4.6. Disconnection

The mentor can disconnect the WhatsApp integration at any time in Integrations → WhatsApp → Disconnect. Disconnection:

• Cancels the link between the number and our application on Cloud API.
• Stops counting immediately.
• Keeps the history of counted messages for billing audit purposes (see retention in section 7).
• Can be followed by a request for complete deletion of metadata (section 8).

5. Sharing with third parties

The platform's operation involves sub-processors that provide essential services (hosting, payment processing, communication, integrations). The current list of sub-processors is available at xmentorai.com/sub-processors and is updated when material changes occur.

We do not sell, rent, or transfer personal data to third parties for commercial purposes unrelated to the platform's operation.

We may disclose data in response to legal obligation, court order, or to protect platform and user rights.

6. International transfers

Your data may be stored and processed on servers outside Brazil/your country of residence. We adopt standard contractual clauses and protection mechanisms required by LGPD and GDPR for such transfers.

7. Data retention

Category	Retention period
User account	While the account is active + 30 days after cancellation
Session history and internal messages	Until deletion request, subject to legal retention obligations
WhatsApp metadata (counting)	24 months, for billing audit
Operational and security logs	For as long as necessary for security monitoring, fraud detection, and legal compliance
Payment data	As required by regulation

After these periods, data is deleted or anonymized.

8. Your rights

You have the following rights over your personal data (LGPD art. 18, GDPR art. 15-22):

• Access: confirm that we process your data and obtain a copy.
• Correction: update incomplete, inaccurate, or outdated data.
• Deletion: request data removal (subject to legal retention obligations).
• Portability: receive your data in a structured format.
• Withdrawal of consent: for processing based on consent.
• Objection: to processing under certain circumstances.

To exercise any right, write to privacy@xmentorai.com or use the form at xmentorai.com/data-deletion. We respond within 15 (fifteen) days, in accordance with article 19 of the LGPD, extendable upon justification.

9. Security

We adopt appropriate technical and organizational measures:

• Encryption in transit (TLS 1.2+) and at rest (AES-256).
• Multi-factor authentication available.
• Access controls restricting data to users authorized by the organization to which they belong.
• Authentication mechanisms designed to mitigate session hijacking.
• Audit logging of sensitive data access.
• Security testing and code review program.

No system is 100% secure. In the event of an incident affecting your personal data, we will notify the affected parties and competent authority as required by law.

10. Children and adolescents

The platform is intended exclusively for individuals 18 (eighteen) years of age or older. We do not knowingly collect personal data from children or adolescents, in accordance with article 14 of the LGPD, the Brazilian Statute of Children and Adolescents (Law No. 8.069/1990) and applicable equivalent legislation (e.g., COPPA, GDPR art. 8). If you are a legal guardian and have identified that a minor has submitted data, please write to privacy@xmentorai.com so we can promptly delete it.

11. Cookies

We use strictly necessary cookies (session, preferences) and aggregate analytics (platform usage). We do not use third-party advertising cookies.

You can manage cookies in your browser settings. Essential cookies cannot be disabled without compromising functionality.

12. Changes to this policy

We may update this Policy to reflect changes in the service, legislation, or best practices. We will notify users at least 15 days in advance by email and/or in-platform notice. The latest version is always at this URL.

13. Contact and Privacy Channel

In accordance with article 41 of the LGPD and with ANPD Resolution No. 2/2022 (applicable to small-sized data processing agents), DEVFORCE SOFTWARE ENGINEERING LTDA provides the following dedicated channels for data protection matters:

• Data controller: DEVFORCE SOFTWARE ENGINEERING LTDA — CNPJ 44.887.924/0001-27
• General privacy email: privacy@xmentorai.com
• Data Protection Officer (DPO) channel: dpo@xmentorai.com
• Postal address: Rua General Liberato Bittencourt, No. 1885, Suite 501, Estreito, Florianópolis/SC, Brazil, ZIP 88.070-800
• Data protection authority (Brazil): ANPD — https://www.gov.br/anpd
• Data protection authority (EU): contact your local DPA — https://edpb.europa.eu/about-edpb/about-edpb/members_en

The nominal identification of the Data Protection Officer is available upon written request to the channel above.

14. Governing law and jurisdiction

This Policy is governed by the laws of the Federative Republic of Brazil, in particular the Brazilian General Data Protection Law (Law No. 13.709/2018), the Brazilian Internet Civil Framework (Law No. 12.965/2014) and the Brazilian Consumer Protection Code (Law No. 8.078/1990), where applicable. The courts of the District of Florianópolis, State of Santa Catarina, Brazil, are elected as the competent forum to resolve any disputes arising from this Policy, without prejudice to the consumer's domicile forum, where applicable.

Esta Política de Privacidade descreve como a DEVFORCE SOFTWARE ENGINEERING LTDA, sociedade empresária limitada inscrita no CNPJ/MF sob o nº 44.887.924/0001-27, com sede na Rua General Liberato Bittencourt, nº 1885, Sala 501, Bairro Estreito, Florianópolis/SC, CEP 88.070-800, doravante denominada "DEVFORCE", "XMentor AI", "nós" ou "plataforma", coleta, usa, armazena, compartilha e protege os dados pessoais dos usuários da plataforma de mentoria XMentor AI (acessível em xmentorai.com e domínios derivados, incluindo subdomínios de tenants white-label).

XMentor AI é uma marca e plataforma de software desenvolvida e operada pela DEVFORCE SOFTWARE ENGINEERING LTDA, que figura como controladora dos dados pessoais nos termos do art. 5º, VI, da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — "LGPD").

Ao usar a plataforma, você concorda com as práticas descritas nesta Política. Se não concordar, por favor não utilize o serviço.

1. Quem somos

XMentor AI é uma plataforma de mentoria que conecta mentores e mentees, com ferramentas para gestão de sessões, comunicação, acompanhamento de progresso e cobrança baseada em créditos. Atendemos clientes corporativos com ambientes segregados por organização (modelo multi-tenant white-label). A plataforma é mantida pela DEVFORCE SOFTWARE ENGINEERING LTDA, empresa brasileira de engenharia de software sediada em Florianópolis/SC, cujas demais informações institucionais podem ser consultadas em www.devforce.com.br.

2. Quais dados coletamos

2.1. Dados que você nos fornece diretamente

• Identificação: nome, e-mail, telefone (verificado por código), foto de perfil.
• Profissionais: cargo, área de atuação, competências, biografia.
• Pagamento: dados de cobrança são processados por nosso parceiro de pagamento; nós armazenamos apenas identificadores de transação e últimos 4 dígitos do cartão (para histórico).
• Comunicação: mensagens de chat trocadas dentro da plataforma, anexos, anotações de sessão.

2.2. Dados que coletamos automaticamente

• Uso: páginas acessadas, ações realizadas, datas e horários, endereço IP, agente de usuário.
• Cookies: identificadores de sessão, preferências de idioma. Detalhes na seção 11.

2.3. Dados de integrações com terceiros

Quando você conecta uma integração, recebemos dados específicos do provedor:

• WhatsApp Business Platform (Meta): descrito em detalhe na seção 4.
• Calendários (Google / Microsoft): eventos de calendário relacionados a sessões agendadas (com sua autorização).
• Pagamentos: confirmações de transação, status.

3. Como usamos os dados

Usamos os dados coletados para:

• Operar a plataforma: autenticação, gestão de sessões, comunicação entre mentor e mentee, agendamentos.
• Cobrança: cálculo de créditos consumidos, geração de faturas, processamento de pagamentos.
• Comunicação com você: notificações sobre sessões, alertas de saldo, atualizações do produto.
• Melhorias do serviço: análise agregada de uso para evolução da plataforma.
• Cumprimento legal: atendimento a obrigações fiscais, regulatórias e judiciais.
• Segurança: detecção de fraudes, abuso e violações dos termos.

Não usamos seus dados para publicidade direcionada de terceiros e não vendemos seus dados.

4. Integração com WhatsApp Business Platform (Meta)

Esta seção descreve especificamente a integração com a WhatsApp Business Platform (Cloud API), oferecida pela Meta Platforms, Inc.

4.1. Para que usamos a integração

A integração permite ao mentor conectar seu número WhatsApp Business à plataforma para que mensagens trocadas com seus mentees sejam contadas e cobradas em créditos. A contagem é opcional e por mentee, com consentimento explícito.

4.2. Quais dados recebemos da Meta

Recebemos via webhook da Meta os seguintes metadados de cada mensagem trocada:

• ID da mensagem (gerado pela Meta).
• Número de telefone do remetente e do destinatário (em formato E.164).
• Direção (recebida ou enviada).
• Data e hora.
• Status (entregue, lida, etc., quando aplicável).

4.3. O que não coletamos

• Não armazenamos o conteúdo das mensagens (texto, áudio, imagens, documentos, vídeos, stickers, localização).
• Não lemos o conteúdo das mensagens em momento algum.
• Não usamos dados do WhatsApp para nenhuma finalidade que não seja a contagem e cobrança descritas acima.

4.4. Modo de conexão

O mentor pode escolher entre:

• Coexistence (recomendado): mantém o WhatsApp Business app no celular ativo. A plataforma apenas recebe metadados via webhook em paralelo.
• Migração: o número passa a ser exclusivo da Cloud API. Nesse caso o mentor responde mensagens via Meta Business Suite ou ferramenta integrada.

Em ambos os casos, a coleta limita-se aos metadados descritos em 4.2.

4.5. Consentimento do mentee

Mensagens só são contadas após:

1. O mentor ativar o monitoramento daquele mentee na plataforma.
2. O mentee aceitar os termos de monitoramento via aceite explícito na plataforma.

Antes desse duplo aceite, mensagens são ignoradas pela contagem.

4.6. Desconexão

O mentor pode desconectar a integração WhatsApp a qualquer momento em Integrações → WhatsApp → Desconectar. A desconexão:

• Cancela o vínculo entre o número e nossa aplicação na Cloud API.
• Para a contagem imediatamente.
• Mantém o histórico de mensagens contadas para fins de auditoria de cobrança (vide retenção em seção 7).
• Pode ser seguida de solicitação de exclusão completa dos metadados (seção 8).

5. Compartilhamento com terceiros

A operação da plataforma envolve sub-processadores que prestam serviços essenciais (hospedagem, processamento de pagamento, comunicação, integrações). A lista atualizada de sub-processadores está disponível em xmentorai.com/sub-processors e é atualizada quando há mudanças relevantes.

Não vendemos, alugamos ou cedemos dados pessoais a terceiros para finalidades comerciais alheias à operação da plataforma.

Podemos divulgar dados em resposta a obrigação legal, ordem judicial ou para proteger direitos da plataforma e dos usuários.

6. Transferências internacionais

Seus dados podem ser armazenados e processados em servidores fora do Brasil/seu país de residência. Adotamos cláusulas contratuais padrão e mecanismos de proteção exigidos pela LGPD e GDPR para essas transferências.

7. Retenção de dados

Categoria	Tempo de retenção
Conta de usuário	Enquanto a conta estiver ativa + 30 dias após cancelamento
Histórico de sessões e mensagens internas	Até a solicitação de exclusão, observadas obrigações legais de retenção
Metadados de WhatsApp (contagem)	24 meses, para auditoria de cobrança
Logs operacionais e de segurança	Pelo tempo necessário para monitoramento de segurança, detecção de fraude e cumprimento de obrigações legais
Dados de pagamento	Conforme exigência regulatória

Após esses prazos, dados são excluídos ou anonimizados.

8. Seus direitos

Você tem os seguintes direitos sobre seus dados pessoais (LGPD art. 18, GDPR art. 15-22):

• Acesso: confirmar que tratamos seus dados e obter cópia.
• Correção: atualizar dados incompletos, inexatos ou desatualizados.
• Exclusão: solicitar a remoção de dados (sujeito a obrigações legais de retenção).
• Portabilidade: receber seus dados em formato estruturado.
• Revogação de consentimento: para tratamentos baseados em consentimento.
• Oposição: ao tratamento em determinadas circunstâncias.

Para exercer qualquer direito, escreva para privacy@xmentorai.com ou use o formulário em xmentorai.com/data-deletion. Responderemos em até 15 (quinze) dias, conforme prazo do art. 19 da LGPD, prorrogável mediante justificativa.

9. Segurança

Adotamos medidas técnicas e organizacionais adequadas:

• Criptografia em trânsito (TLS 1.2+) e em repouso (AES-256).
• Autenticação multi-fator disponível.
• Controles de acesso restringindo dados a usuários autorizados pela organização à qual pertencem.
• Mecanismos de autenticação projetados para mitigar sequestro de sessão.
• Auditoria de acesso a dados sensíveis.
• Programa de testes de segurança e revisão de código.

Nenhum sistema é 100% seguro. Em caso de incidente que afete seus dados pessoais, notificaremos os titulares e a autoridade competente conforme exigido por lei.

10. Crianças e adolescentes

A plataforma é destinada exclusivamente a maiores de 18 (dezoito) anos. Não coletamos intencionalmente dados pessoais de crianças e adolescentes, nos termos do art. 14 da LGPD e do Estatuto da Criança e do Adolescente (Lei nº 8.069/1990). Se você é responsável legal e identificou que um menor de idade enviou dados, escreva para privacy@xmentorai.com para que possamos providenciar a exclusão imediata.

11. Cookies

Usamos cookies estritamente necessários (sessão, preferências) e analíticos agregados (uso da plataforma). Não usamos cookies de publicidade de terceiros.

Você pode gerenciar cookies nas configurações do seu navegador. Cookies essenciais não podem ser desativados sem comprometer o funcionamento.

12. Alterações desta política

Podemos atualizar esta Política para refletir mudanças no serviço, na legislação ou em melhores práticas. Avisaremos com pelo menos 15 dias de antecedência por e-mail e/ou aviso na plataforma. A versão mais recente sempre está nesta URL.

13. Contato e Canal de Privacidade

Em conformidade com o art. 41 da LGPD e com a Resolução CD/ANPD nº 2/2022, aplicável aos agentes de tratamento de pequeno porte, a DEVFORCE SOFTWARE ENGINEERING LTDA disponibiliza canais específicos para comunicações em matéria de proteção de dados pessoais:

• Controlador: DEVFORCE SOFTWARE ENGINEERING LTDA — CNPJ 44.887.924/0001-27
• E-mail geral de privacidade: privacy@xmentorai.com
• Canal do Encarregado pelo Tratamento de Dados Pessoais (DPO): dpo@xmentorai.com
• Endereço postal: Rua General Liberato Bittencourt, nº 1885, Sala 501, Bairro Estreito, Florianópolis/SC, CEP 88.070-800
• Autoridade Nacional de Proteção de Dados (Brasil): ANPD — https://www.gov.br/anpd

A identificação nominal do Encarregado pode ser obtida mediante solicitação por escrito enviada para o canal acima.

14. Lei aplicável e foro

Esta Política rege-se pelas leis da República Federativa do Brasil, em especial pela Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018), pelo Marco Civil da Internet (Lei nº 12.965/2014) e pelo Código de Defesa do Consumidor (Lei nº 8.078/1990), quando aplicável. Fica eleito o foro da Comarca de Florianópolis/SC para dirimir quaisquer controvérsias decorrentes desta Política, sem prejuízo do foro do domicílio do consumidor, quando aplicável.

Esta Política de Privacidad describe cómo DEVFORCE SOFTWARE ENGINEERING LTDA, una sociedad limitada brasileña inscrita en el CNPJ/MF bajo el nº 44.887.924/0001-27, con domicilio en Rua General Liberato Bittencourt, nº 1885, Sala 501, Estreito, Florianópolis/SC, Brasil, CEP 88.070-800 (en adelante "DEVFORCE", "XMentor AI", "nosotros" o "la plataforma"), recopila, utiliza, almacena, comparte y protege los datos personales de los usuarios de la plataforma de mentoría XMentor AI (accesible en xmentorai.com y dominios derivados, incluyendo subdominios de inquilinos white-label).

XMentor AI es una marca y plataforma de software desarrollada y operada por DEVFORCE SOFTWARE ENGINEERING LTDA, que actúa como responsable del tratamiento bajo la Ley General Brasileña de Protección de Datos (Ley nº 13.709/2018 — "LGPD") y como rol equivalente bajo otras leyes de protección de datos aplicables (p. ej., responsable del tratamiento del RGPD).

Al utilizar la plataforma, usted acepta las prácticas descritas en esta política. Si no está de acuerdo, no utilice el servicio.

1. Quiénes somos

XMentor AI es una plataforma de mentoría que conecta a mentores y mentorados, con herramientas para gestión de sesiones, comunicación, seguimiento del progreso y facturación basada en créditos. Atendemos clientes corporativos con entornos segregados por organización (modelo multi-inquilino white-label). La plataforma es mantenida por DEVFORCE SOFTWARE ENGINEERING LTDA, empresa brasileña de ingeniería de software con sede en Florianópolis/SC, cuya información corporativa también está disponible en www.devforce.com.br.

2. Qué datos recopilamos

2.1. Datos que usted nos proporciona directamente

• Identificación: nombre, correo electrónico, teléfono (verificado por código), foto de perfil.
• Profesionales: cargo, área de actuación, competencias, biografía.
• Pago: los datos de facturación son procesados por nuestro socio de pagos; solo almacenamos identificadores de transacción y los últimos 4 dígitos de la tarjeta para historial.
• Comunicación: mensajes de chat intercambiados dentro de la plataforma, archivos adjuntos, notas de sesión.

2.2. Datos que recopilamos automáticamente

• Uso: páginas accedidas, acciones realizadas, fechas y horas, dirección IP, agente de usuario.
• Cookies: identificadores de sesión, preferencias de idioma. Detalles en la sección 11.

2.3. Datos de integraciones con terceros

Cuando conecta una integración, recibimos datos específicos de ese proveedor:

• WhatsApp Business Platform (Meta): descrito en detalle en la sección 4.
• Calendarios (Google / Microsoft): eventos de calendario relacionados con sesiones programadas (con su autorización).
• Pagos: confirmaciones de transacción, estado.

3. Cómo utilizamos los datos

Utilizamos los datos recopilados para:

• Operar la plataforma: autenticación, gestión de sesiones, comunicación entre mentor y mentorado, programación.
• Facturación: cálculo de créditos consumidos, generación de facturas, procesamiento de pagos.
• Comunicarnos con usted: notificaciones sobre sesiones, alertas de saldo, actualizaciones del producto.
• Mejorar el servicio: análisis agregado de uso para evolucionar la plataforma.
• Cumplimiento legal: cumplimiento de obligaciones fiscales, regulatorias y judiciales.
• Seguridad: detección de fraudes, abusos y violaciones de los términos.

No utilizamos sus datos para publicidad dirigida de terceros y no vendemos sus datos.

4. Integración con WhatsApp Business Platform (Meta)

Esta sección describe específicamente la integración con la WhatsApp Business Platform (Cloud API), proporcionada por Meta Platforms, Inc.

4.1. Para qué usamos la integración

La integración permite al mentor conectar su número de WhatsApp Business a la plataforma para que los mensajes intercambiados con sus mentorados sean contabilizados y facturados en créditos. La contabilización es opcional y por mentorado, con consentimiento explícito.

4.2. Qué datos recibimos de Meta

Recibimos los siguientes metadatos de cada mensaje intercambiado a través de webhooks de Meta:

• ID del mensaje (generado por Meta).
• Números de teléfono del remitente y destinatario (en formato E.164).
• Dirección (entrante o saliente).
• Fecha y hora.
• Estado (entregado, leído, etc., cuando aplique).

4.3. Lo que no recopilamos

• No almacenamos el contenido de los mensajes (texto, audio, imágenes, documentos, videos, stickers, ubicación).
• No leemos el contenido de los mensajes en ningún momento.
• No utilizamos datos de WhatsApp para ningún propósito distinto al de la contabilización y facturación descritos arriba.

4.4. Modo de conexión

El mentor puede elegir entre:

• Coexistence (recomendado): mantiene la aplicación WhatsApp Business activa en el teléfono. La plataforma solo recibe metadatos vía webhook en paralelo.
• Migración: el número pasa a ser exclusivo de la Cloud API. En este caso el mentor responde mensajes vía Meta Business Suite o herramienta integrada.

En ambos casos, la recopilación se limita a los metadatos descritos en 4.2.

4.5. Consentimiento del mentorado

Los mensajes solo se contabilizan después de:

1. El mentor active el monitoreo de ese mentorado en la plataforma.
2. El mentorado acepte los términos de monitoreo mediante aceptación explícita en la plataforma.

Antes de esa doble aceptación, los mensajes son ignorados por el conteo.

4.6. Desconexión

El mentor puede desconectar la integración de WhatsApp en cualquier momento en Integraciones → WhatsApp → Desconectar. La desconexión:

• Cancela el vínculo entre el número y nuestra aplicación en Cloud API.
• Detiene la contabilización inmediatamente.
• Mantiene el historial de mensajes contabilizados para fines de auditoría de facturación (ver retención en sección 7).
• Puede ir seguida de una solicitud de eliminación completa de metadatos (sección 8).

5. Compartir con terceros

La operación de la plataforma involucra subprocesadores que prestan servicios esenciales (alojamiento, procesamiento de pagos, comunicación, integraciones). La lista actualizada de subprocesadores está disponible en xmentorai.com/sub-processors y se actualiza cuando ocurren cambios relevantes.

No vendemos, alquilamos ni transferimos datos personales a terceros para fines comerciales ajenos a la operación de la plataforma.

Podemos divulgar datos en respuesta a obligación legal, orden judicial o para proteger los derechos de la plataforma y de los usuarios.

6. Transferencias internacionales

Sus datos pueden ser almacenados y procesados en servidores fuera de Brasil/su país de residencia. Adoptamos cláusulas contractuales tipo y mecanismos de protección requeridos por la LGPD y el RGPD para tales transferencias.

7. Retención de datos

Categoría	Período de retención
Cuenta de usuario	Mientras la cuenta esté activa + 30 días después de la cancelación
Historial de sesiones y mensajes internos	Hasta la solicitud de eliminación, sujeto a obligaciones legales de retención
Metadatos de WhatsApp (conteo)	24 meses, para auditoría de facturación
Registros operativos y de seguridad	El tiempo necesario para monitoreo de seguridad, detección de fraudes y cumplimiento legal
Datos de pago	Según exigencia regulatoria

Tras esos plazos, los datos son eliminados o anonimizados.

8. Sus derechos

Usted tiene los siguientes derechos sobre sus datos personales (LGPD art. 18, RGPD art. 15-22):

• Acceso: confirmar que tratamos sus datos y obtener una copia.
• Rectificación: actualizar datos incompletos, inexactos o desactualizados.
• Supresión: solicitar la eliminación de datos (sujeto a obligaciones legales de retención).
• Portabilidad: recibir sus datos en formato estructurado.
• Retirada del consentimiento: para tratamientos basados en consentimiento.
• Oposición: al tratamiento bajo determinadas circunstancias.

Para ejercer cualquier derecho, escriba a privacy@xmentorai.com o utilice el formulario en xmentorai.com/data-deletion. Responderemos en un plazo de 15 (quince) días, de acuerdo con el artículo 19 de la LGPD, prorrogable previa justificación.

9. Seguridad

Adoptamos medidas técnicas y organizativas apropiadas:

• Cifrado en tránsito (TLS 1.2+) y en reposo (AES-256).
• Autenticación multifactor disponible.
• Controles de acceso que restringen los datos a usuarios autorizados por la organización a la que pertenecen.
• Mecanismos de autenticación diseñados para mitigar el secuestro de sesión.
• Registro de auditoría de acceso a datos sensibles.
• Programa de pruebas de seguridad y revisión de código.

Ningún sistema es 100% seguro. En caso de un incidente que afecte sus datos personales, notificaremos a las partes afectadas y a la autoridad competente según lo exija la ley.

10. Niños y adolescentes

La plataforma está destinada exclusivamente a personas mayores de 18 (dieciocho) años. No recopilamos a sabiendas datos personales de niños o adolescentes, conforme al artículo 14 de la LGPD, al Estatuto del Niño y Adolescente brasileño (Ley nº 8.069/1990) y a la legislación equivalente aplicable (p. ej., COPPA, RGPD art. 8). Si usted es responsable legal y ha identificado que un menor ha enviado datos, escriba a privacy@xmentorai.com para que podamos eliminarlos rápidamente.

11. Cookies

Utilizamos cookies estrictamente necesarias (sesión, preferencias) y analíticas agregadas (uso de la plataforma). No utilizamos cookies publicitarias de terceros.

Puede gestionar las cookies en la configuración de su navegador. Las cookies esenciales no pueden ser desactivadas sin comprometer la funcionalidad.

12. Cambios a esta política

Podemos actualizar esta Política para reflejar cambios en el servicio, en la legislación o en mejores prácticas. Notificaremos a los usuarios con al menos 15 días de antelación por correo electrónico y/o aviso en la plataforma. La versión más reciente está siempre en esta URL.

13. Contacto y Canal de Privacidad

De acuerdo con el artículo 41 de la LGPD y con la Resolución ANPD nº 2/2022 (aplicable a agentes de tratamiento de pequeño porte), DEVFORCE SOFTWARE ENGINEERING LTDA proporciona los siguientes canales dedicados para asuntos de protección de datos:

• Responsable del tratamiento: DEVFORCE SOFTWARE ENGINEERING LTDA — CNPJ 44.887.924/0001-27
• Correo general de privacidad: privacy@xmentorai.com
• Canal del Delegado de Protección de Datos (DPO): dpo@xmentorai.com
• Dirección postal: Rua General Liberato Bittencourt, nº 1885, Sala 501, Estreito, Florianópolis/SC, Brasil, CEP 88.070-800
• Autoridad de protección de datos (Brasil): ANPD — https://www.gov.br/anpd
• Autoridad de protección de datos (UE): contacte con su autoridad local — https://edpb.europa.eu/about-edpb/about-edpb/members_en

La identificación nominal del Delegado de Protección de Datos está disponible mediante solicitud por escrito al canal anterior.

14. Ley aplicable y jurisdicción

Esta Política se rige por las leyes de la República Federativa de Brasil, en particular la Ley General Brasileña de Protección de Datos (Ley nº 13.709/2018), el Marco Civil de Internet brasileño (Ley nº 12.965/2014) y el Código de Defensa del Consumidor (Ley nº 8.078/1990), cuando aplicable. Se elige el foro de la Comarca de Florianópolis/SC, Brasil, como competente para dirimir cualquier controversia derivada de esta Política, sin perjuicio del foro del domicilio del consumidor, cuando aplicable.

Cette Politique de Confidentialité décrit comment DEVFORCE SOFTWARE ENGINEERING LTDA, société à responsabilité limitée brésilienne immatriculée au CNPJ/MF sous le n° 44.887.924/0001-27, dont le siège est situé Rua General Liberato Bittencourt, n° 1885, Suite 501, Estreito, Florianópolis/SC, Brésil, CEP 88.070-800 (ci-après « DEVFORCE », « XMentor AI », « nous » ou « la plateforme »), collecte, utilise, stocke, partage et protège les données personnelles des utilisateurs de la plateforme de mentorat XMentor AI (accessible sur xmentorai.com et domaines dérivés, y compris les sous-domaines des locataires en marque blanche).

XMentor AI est une marque et plateforme logicielle développée et exploitée par DEVFORCE SOFTWARE ENGINEERING LTDA, qui agit en tant que responsable du traitement au sens de la Loi Générale Brésilienne sur la Protection des Données (Loi n° 13.709/2018 — « LGPD ») et en tant que rôle équivalent au titre d'autres lois applicables sur la protection des données (par exemple, responsable du traitement RGPD).

En utilisant la plateforme, vous acceptez les pratiques décrites dans cette politique. Si vous n'acceptez pas, veuillez ne pas utiliser le service.

1. Qui sommes-nous

XMentor AI est une plateforme de mentorat qui met en relation mentors et mentorés, avec des outils de gestion de séances, communication, suivi de progression et facturation par crédits. Nous servons des clients corporatifs avec des environnements segmentés par organisation (modèle multi-locataires en marque blanche). La plateforme est maintenue par DEVFORCE SOFTWARE ENGINEERING LTDA, société brésilienne d'ingénierie logicielle dont le siège est à Florianópolis/SC, dont les informations corporatives sont également disponibles sur www.devforce.com.br.

2. Quelles données nous collectons

2.1. Données que vous nous fournissez directement

• Identification : nom, e-mail, téléphone (vérifié par code), photo de profil.
• Professionnelles : poste, domaine d'expertise, compétences, biographie.
• Paiement : les données de facturation sont traitées par notre partenaire de paiement ; nous ne stockons que des identifiants de transaction et les 4 derniers chiffres de la carte pour l'historique.
• Communication : messages de chat échangés au sein de la plateforme, pièces jointes, notes de séance.

2.2. Données que nous collectons automatiquement

• Utilisation : pages consultées, actions effectuées, dates et heures, adresse IP, agent utilisateur.
• Cookies : identifiants de session, préférences de langue. Détails à la section 11.

2.3. Données provenant d'intégrations tierces

Lorsque vous connectez une intégration, nous recevons des données spécifiques à ce fournisseur :

• WhatsApp Business Platform (Meta) : décrit en détail à la section 4.
• Calendriers (Google / Microsoft) : événements de calendrier liés aux séances planifiées (avec votre autorisation).
• Paiements : confirmations de transaction, statut.

3. Comment nous utilisons les données

Nous utilisons les données collectées pour :

• Exploiter la plateforme : authentification, gestion des séances, communication entre mentor et mentoré, planification.
• Facturation : calcul des crédits consommés, génération de factures, traitement des paiements.
• Communiquer avec vous : notifications sur les séances, alertes de solde, mises à jour produit.
• Améliorer le service : analyse agrégée d'utilisation pour faire évoluer la plateforme.
• Conformité légale : respect des obligations fiscales, réglementaires et judiciaires.
• Sécurité : détection de fraudes, abus et violations des conditions.

Nous n'utilisons pas vos données pour de la publicité ciblée par des tiers, et nous ne vendons pas vos données.

4. Intégration WhatsApp Business Platform (Meta)

Cette section décrit spécifiquement l'intégration avec la WhatsApp Business Platform (Cloud API), fournie par Meta Platforms, Inc.

4.1. À quoi sert l'intégration

L'intégration permet au mentor de connecter son numéro WhatsApp Business à la plateforme afin que les messages échangés avec ses mentorés soient comptés et facturés en crédits. Le comptage est optionnel et par mentoré, avec consentement explicite.

4.2. Quelles données nous recevons de Meta

Nous recevons les métadonnées suivantes pour chaque message échangé via les webhooks Meta :

• ID du message (généré par Meta).
• Numéros de téléphone de l'expéditeur et du destinataire (au format E.164).
• Direction (entrant ou sortant).
• Date et heure.
• Statut (livré, lu, etc., le cas échéant).

4.3. Ce que nous ne collectons pas

• Nous ne stockons pas le contenu des messages (texte, audio, images, documents, vidéos, autocollants, localisation).
• Nous ne lisons pas le contenu des messages à aucun moment.
• Nous n'utilisons pas les données WhatsApp à d'autres fins que le comptage et la facturation décrits ci-dessus.

4.4. Mode de connexion

Le mentor peut choisir entre :

• Coexistence (recommandé) : maintient l'application WhatsApp Business active sur le téléphone. La plateforme reçoit uniquement les métadonnées via webhook en parallèle.
• Migration : le numéro devient exclusif à Cloud API. Dans ce cas, le mentor répond aux messages via Meta Business Suite ou un outil intégré.

Dans les deux cas, la collecte se limite aux métadonnées décrites en 4.2.

4.5. Consentement du mentoré

Les messages ne sont comptés qu'après :

1. Que le mentor active la surveillance de ce mentoré sur la plateforme.
2. Que le mentoré accepte les conditions de surveillance via une acceptation explicite sur la plateforme.

Avant cette double acceptation, les messages sont ignorés par le comptage.

4.6. Déconnexion

Le mentor peut déconnecter l'intégration WhatsApp à tout moment dans Intégrations → WhatsApp → Déconnecter. La déconnexion :

• Annule le lien entre le numéro et notre application sur Cloud API.
• Arrête le comptage immédiatement.
• Conserve l'historique des messages comptés à des fins d'audit de facturation (voir rétention en section 7).
• Peut être suivie d'une demande de suppression complète des métadonnées (section 8).

5. Partage avec des tiers

L'exploitation de la plateforme implique des sous-traitants ultérieurs qui fournissent des services essentiels (hébergement, traitement des paiements, communication, intégrations). La liste actualisée des sous-traitants ultérieurs est disponible sur xmentorai.com/sub-processors et est mise à jour lorsque des changements importants surviennent.

Nous ne vendons, ne louons et ne transférons pas de données personnelles à des tiers à des fins commerciales étrangères à l'exploitation de la plateforme.

Nous pouvons divulguer des données en réponse à une obligation légale, une décision judiciaire ou pour protéger les droits de la plateforme et des utilisateurs.

6. Transferts internationaux

Vos données peuvent être stockées et traitées sur des serveurs hors du Brésil/de votre pays de résidence. Nous adoptons des clauses contractuelles types et des mécanismes de protection exigés par la LGPD et le RGPD pour ces transferts.

7. Conservation des données

Catégorie	Durée de conservation
Compte utilisateur	Tant que le compte est actif + 30 jours après l'annulation
Historique des séances et messages internes	Jusqu'à la demande de suppression, sous réserve des obligations légales de conservation
Métadonnées WhatsApp (comptage)	24 mois, pour audit de facturation
Journaux opérationnels et de sécurité	Aussi longtemps que nécessaire pour la surveillance de la sécurité, la détection des fraudes et la conformité légale
Données de paiement	Selon exigence réglementaire

Après ces périodes, les données sont supprimées ou anonymisées.

8. Vos droits

Vous disposez des droits suivants sur vos données personnelles (LGPD art. 18, RGPD art. 15-22) :

• Accès : confirmer que nous traitons vos données et obtenir une copie.
• Rectification : mettre à jour des données incomplètes, inexactes ou obsolètes.
• Effacement : demander la suppression des données (sous réserve des obligations légales de conservation).
• Portabilité : recevoir vos données dans un format structuré.
• Retrait du consentement : pour les traitements basés sur le consentement.
• Opposition : au traitement dans certaines circonstances.

Pour exercer un droit, écrivez à privacy@xmentorai.com ou utilisez le formulaire sur xmentorai.com/data-deletion. Nous répondons sous 15 (quinze) jours, conformément à l'article 19 de la LGPD, prorogeable sur justification.

9. Sécurité

Nous adoptons des mesures techniques et organisationnelles appropriées :

• Chiffrement en transit (TLS 1.2+) et au repos (AES-256).
• Authentification multifacteur disponible.
• Contrôles d'accès limitant les données aux utilisateurs autorisés par l'organisation à laquelle ils appartiennent.
• Mécanismes d'authentification conçus pour atténuer le détournement de session.
• Journalisation d'audit de l'accès aux données sensibles.
• Programme de tests de sécurité et de revue de code.

Aucun système n'est sûr à 100 %. En cas d'incident affectant vos données personnelles, nous notifierons les parties concernées et l'autorité compétente comme l'exige la loi.

10. Enfants et adolescents

La plateforme est destinée exclusivement aux personnes âgées d'au moins 18 (dix-huit) ans. Nous ne collectons pas sciemment de données personnelles d'enfants ou d'adolescents, conformément à l'article 14 de la LGPD, au Statut brésilien de l'Enfant et de l'Adolescent (Loi n° 8.069/1990) et à la législation équivalente applicable (par exemple, COPPA, RGPD art. 8). Si vous êtes responsable légal et avez identifié qu'un mineur a soumis des données, écrivez à privacy@xmentorai.com afin que nous puissions les supprimer rapidement.

11. Cookies

Nous utilisons des cookies strictement nécessaires (session, préférences) et analytiques agrégés (utilisation de la plateforme). Nous n'utilisons pas de cookies publicitaires tiers.

Vous pouvez gérer les cookies dans les paramètres de votre navigateur. Les cookies essentiels ne peuvent pas être désactivés sans compromettre le fonctionnement.

12. Modifications de cette politique

Nous pouvons mettre à jour cette Politique pour refléter des changements dans le service, la législation ou les meilleures pratiques. Nous notifierons les utilisateurs au moins 15 jours à l'avance par e-mail et/ou avis dans la plateforme. La dernière version est toujours à cette URL.

13. Contact et Canal de Confidentialité

Conformément à l'article 41 de la LGPD et à la Résolution ANPD n° 2/2022 (applicable aux agents de traitement de petite taille), DEVFORCE SOFTWARE ENGINEERING LTDA fournit les canaux dédiés suivants pour les questions de protection des données :

• Responsable du traitement : DEVFORCE SOFTWARE ENGINEERING LTDA — CNPJ 44.887.924/0001-27
• E-mail général de confidentialité : privacy@xmentorai.com
• Canal du Délégué à la Protection des Données (DPO) : dpo@xmentorai.com
• Adresse postale : Rua General Liberato Bittencourt, n° 1885, Suite 501, Estreito, Florianópolis/SC, Brésil, CEP 88.070-800
• Autorité de protection des données (Brésil) : ANPD — https://www.gov.br/anpd
• Autorité de protection des données (UE) : contactez votre autorité locale — https://edpb.europa.eu/about-edpb/about-edpb/members_en

L'identification nominale du Délégué à la Protection des Données est disponible sur demande écrite au canal ci-dessus.

14. Loi applicable et juridiction

Cette Politique est régie par les lois de la République Fédérative du Brésil, notamment la Loi Générale Brésilienne sur la Protection des Données (Loi n° 13.709/2018), le Cadre Civil de l'Internet brésilien (Loi n° 12.965/2014) et le Code brésilien de Protection du Consommateur (Loi n° 8.078/1990), le cas échéant. Le tribunal de la Comarca de Florianópolis/SC, Brésil, est élu comme for compétent pour résoudre tout litige découlant de cette Politique, sans préjudice du for du domicile du consommateur, le cas échéant.