Política de Privacidade — Finn

Última atualização: 14 de maio de 2026.

1. Quem é o controlador

O Finn é operado pela Aton ("nós"), CNPJ a ser informado. Contato do encarregado de dados: contato@aton-ai.com.

2. Quais dados o Finn trata

Quando um usuário interage com o Finn pelo Microsoft Teams, tratamos:

• Conteúdo das mensagens enviadas ao Finn e as respostas geradas pelo agente.
• Identificadores do usuário no Teams (nome, e-mail corporativo, ID de objeto do Microsoft Entra ID, ID da conversa).
• Identificador do tenant do Microsoft Entra ID da organização contratante.
• Metadados de uso (data, hora, latência da resposta, ferramentas chamadas pelo agente, identificador de rastreio para suporte).
• Dados financeiros consultados a partir dos sistemas autorizados pela organização contratante (ex.: RecebeMais), apenas durante a execução da pergunta — o Finn não duplica esses dados em base própria além de cache temporário e logs estruturados.

3. Base legal e finalidade

O tratamento é realizado com base na execução de contrato (Art. 7º, V, LGPD) celebrado entre a Aton e a organização contratante. A finalidade é prover o serviço Finn: responder perguntas sobre dados financeiros, manter contexto da conversa e melhorar a experiência do usuário.

4. Compartilhamento com terceiros (subprocessadores de IA)

Para gerar respostas, o Finn envia conteúdo de mensagens a provedores de modelos de IA atuando como operadores de dados:

• OpenAI (modelos GPT, ambientes de desenvolvimento e teste).
• Amazon Web Services (Bedrock) na região sa-east-1 (modelos Anthropic Claude, ambiente de produção — residência de dados no Brasil).
• Microsoft (Teams, Bot Framework, Microsoft Entra ID) como infraestrutura de mensageria.

A lista completa de subprocessadores consta no Adendo de Operadores de IA do contrato.

5. Retenção

Mensagens são retidas pelo prazo necessário para suporte e auditoria; sumarizações e fatos extraídos são mantidos enquanto durar a relação contratual. Solicitações de exclusão são tratadas conforme a Seção 7 abaixo.

6. Segurança

O Finn opera em infraestrutura gerenciada pela Aton na Oracle Cloud Infrastructure (OCI), com criptografia em trânsito e em repouso. Segredos (chaves de API, senhas de banco) são armazenados no OCI Vault. O acesso aos dados de cada cliente é isolado a nível de aplicação por customer_id; o Finn nunca atende a uma consulta em modo cliente externo com dados de outra organização.

7. Direitos do titular (Art. 18, LGPD)

O titular pode solicitar confirmação do tratamento, acesso aos dados, correção, anonimização, portabilidade, eliminação, informação sobre compartilhamento e revogação do consentimento, escrevendo para contato@aton-ai.com. O pedido é atendido em até 15 dias corridos.

8. Alterações

Esta política pode ser atualizada. Versões anteriores ficam disponíveis mediante solicitação.

English summary (informative)

Finn is a chat agent operated by Aton inside Microsoft Teams. When you message Finn, we process the message content, your Teams identifiers (name, work email, AAD object id), your organization's AAD tenant id, usage metadata (timestamps, latency, trace id), and the financial records Finn fetches on your behalf from your organization's authorized data sources. Processing is on the lawful basis of contract performance (LGPD Art. 7, V) between Aton and your organization. AI processing happens at OpenAI (dev/CI) and AWS Bedrock sa-east-1 (production, Brazil data residency). Tenant data is isolated at the application layer per customer_id. Data-subject requests under LGPD Art. 18 (access, correction, portability, deletion) go to contato@aton-ai.com.