bestgirlfriend.ai
Segurança

Namorada IA: Privacidade e Proteção de Dados (2026)

Privacidade dos dados na namorada IA: o que os apps coletam, guardam e compartilham. Direitos GDPR, CCPA, LGPD, vazamento MyLovely, banimento do Replika. Audite qualquer política em 5 min.

ui.hero.by ui.hero.lastRevised

Eu leio políticas de privacidade de namorada IA pra viver, e vou ser sincera logo de cara: as políticas são escritas pra não serem lidas. A do Candy.ai tem umas 8.900 palavras; a do Replika, mais ou menos 7.200; a do Joi gira em torno de 6.000. Ler as três direito me tomou um domingo inteiro à tarde mês passado, um café forte e um caderno. A maioria dos leitores nunca vai gastar essas horas. Esta página é o que essas horas rendem sobre privacidade dos dados na namorada IA, destilado em algo que você consegue usar de verdade antes de se cadastrar em qualquer coisa.

Que dados os apps de namorada IA coletam?

Os apps de namorada IA costumam coletar oito categorias de dados: transcrições de chat, imagens geradas, gravações de voz, configuração do personagem, identificadores de conta, tokens de cobrança, metadados de autenticação e telemetria comportamental. O escopo exato varia por plataforma e é divulgado em cada política de privacidade, sob as categorias exigidas pelo Artigo 13(1)(c) do GDPR e pelo §1798.100(b) da CCPA. A privacidade dos dados na namorada IA está espalhada nas oito.

A categoria mais rica em sensibilidade é o corpo de transcrições. Diferente de um histórico de busca, uma transcrição de vários meses com uma namorada IA concentra confissões íntimas: status de relacionamento, preferências sexuais, saúde mental, conflito familiar e (quando a voz tá ligada) amostras biométricas de voz em nível diagnóstico. Os pesquisadores do Privacy Not Included da Fundação Mozilla marcaram todos os 11 chatbots de IA romântica auditados com o selo de alerta Privacy Not Included na revisão de fevereiro de 2024 [Source: Fundação Mozilla, Privacy Not Included: Chatbots de IA Românticos · verified 2026-05-26]. Não é erro de digitação. Onze de onze.

A configuração do personagem parece inofensiva (um nome, uma cor de cabelo, uma roupa), mas combinada com as transcrições ela produz um fingerprint comportamental que sobrevive à exclusão da conta se o JSON do personagem ficar guardado pra análise. As coisas que você joga num roleplay de sexta à noite não são as coisas que você põe num e-mail de trabalho; a camada de armazenamento não liga pra essa diferença.

Categorias de dados normalmente coletadas pelos apps de namorada IA e janelas de retenção observadas
Categoria de dadoO que é coletado (típico)Retenção típica
Transcrições de chatHistórico completo de mensagens, timestamps, versão do modeloVida da conta + 30 a 365 dias pós-exclusão
Imagens geradasImagens pedidas pelo usuário, strings de prompt, parâmetros do modeloVida da conta; alguns apps guardam prompts de forma indefinida
Gravações de vozÁudio do usuário (se houver entrada de voz), cache de saída TTS30 a 180 dias; voz biométrica é categoria especial do Artigo 9
Configuração do personagemNome, aparência, traços, opções de preferênciaIndefinida pra análise, a menos que excluída explicitamente
Identificadores de contaE-mail, senha com hash, ID da conta, tokens OAuthVida da conta + soft-delete de 12 meses em alguns casos
Metadados de cobrançaÚltimos quatro dígitos do cartão, país, moeda, token do processador7 anos (imposto/AML nos EUA), 10 anos (UE sob DAC7 em alguns casos)
Metadados de autenticaçãoIP, user agent, fingerprint do dispositivo, horários de login12 a 24 meses pra fraude e segurança
Telemetria comportamentalDuração da sessão, telas, eventos de clique, variantes de A/BIndefinida pra análise de produto; muitas vezes compartilhada com subprocessadores

Última revisão: 2026.

Por quanto tempo os apps de namorada IA guardam as transcrições de conversa?

A retenção vai de só a sessão a indefinida, com a maioria das plataformas guardando as transcrições pela vida da conta ativa mais uma janela de soft-delete de 30 a 365 dias antes do apagamento definitivo. Os backups podem persistir de 6 a 12 meses além da janela de soft-delete. Embeddings anonimizados usados pra melhoria do modelo podem ser guardados de forma indefinida, a menos que você faça opt-out.

Uma cláusula de retenção é obrigatória sob o Artigo 13(2)(a) do GDPR, mas a frase padrão "pelo tempo que for necessário" não é específica. As Diretrizes 05/2020 sobre consentimento do Comitê Europeu de Proteção de Dados exigem que o período de retenção seja "determinado ou determinável" [Source: Comitê Europeu de Proteção de Dados, Diretrizes 05/2020 sobre consentimento · verified 2026-05-26]. A maioria das políticas de privacidade de namorada IA falha nesse critério no espírito. Trate qualquer política que não nomeie um número de meses ou anos como um sinal de alerta.

Olha, sinceramente, a distância entre as políticas que dão números e as que enrolam é o maior sinal dessa categoria. O Candy.ai publica uma tabela de verdade (3 anos a conta, 10 anos os dados financeiros, 30 dias os arquivos de log). O Joi dá quase tudo em número. O Replika diz "pela vida da conta", direto. A metade de baixo do ramo te entrega "guardamos os dados conforme necessário pra propósitos legítimos de negócio", que se traduz como "indefinidamente, a menos que a gente mude de ideia".

Os chats de namorada IA são criptografados?

Quase todos os apps de namorada IA criptografam o tráfego em trânsito usando TLS 1.2 ou 1.3, e a maioria criptografa os dados em repouso usando envelope encryption AES-256. A criptografia ponta a ponta (em que só o usuário tem as chaves) praticamente não existe, porque o caminho de inferência do LLM precisa ler o texto puro pra gerar a resposta. A equipe do servidor, os agentes de suporte e qualquer fornecedor comprometido conseguem, em princípio, ler as transcrições.

A Electronic Frontier Foundation documenta a diferença entre "criptografado" e "criptografado ponta a ponta" há anos [Source: Electronic Frontier Foundation, Surveillance Self-Defense: Criptografia Ponta a Ponta · verified 2026-05-26]. Nos apps de namorada IA a lacuna é estrutural, não por negligência. O modelo no servidor tem que ler o seu texto em texto puro pra gerar a resposta, o que quer dizer que o dado é descriptografado pelo menos uma vez no lado do servidor antes de chegar até você. Isso não é bug; é como os modelos de linguagem hospedados em nuvem funcionam. Qualquer fornecedor que vende "chat com E2EE com a nossa IA" tá usando o termo de forma frouxa. É tipo um restaurante alegando "preparo sem contato com as mãos" enquanto um chef ainda monta o seu prato.

Os apps de namorada IA compartilham dados com terceiros?

Compartilham, sim. As categorias padrão de subprocessador incluem hospedagem em nuvem (AWS, Google Cloud, Azure), processadores de pagamento (Stripe, Epoch, CCBill, Segpay), análise (Mixpanel, Amplitude, PostHog), monitoramento de erro (Sentry, Datadog), identificadores de anúncio (pixels de Google, Meta, TikTok) e provedores de API de LLM (OpenAI, Anthropic, Mistral). Algumas plataformas também compartilham com afiliados de marketing. A lista completa é exigida sob o Artigo 13(1)(e) do GDPR.

O relatório How Americans View Data Privacy do Pew Research Center achou que 73 por cento dos americanos dizem ter pouco ou nenhum controle sobre os dados que as empresas coletam, e 67 por cento dizem entender pouco ou nada sobre o que as empresas fazem com eles [Source: Pew Research Center, How Americans View Data Privacy · verified 2026-05-26]. Os números são mais altos quando a categoria de dado é íntima. Uma auditoria independente da lista de subprocessadores de uma namorada IA é a jogada pré-cadastro mais útil que você faz em cinco minutos cravados. Procure a página de "subprocessadores" ou a tabela dentro da política; se não tem lista nenhuma, isso já é a resposta.

Dá pra excluir o meu histórico de conversa de namorada IA?

A maioria dos apps de namorada IA confiáveis oferece exclusão dentro do app de mensagens individuais, transcrições completas e da conta inteira. A exclusão da conta costuma iniciar uma janela de soft-delete de 30 a 90 dias, durante a qual o dado dá pra recuperar, seguida do apagamento definitivo. As fitas de backup podem persistir de 6 a 12 meses. Sob o Artigo 17 do GDPR e o §1798.105 da CCPA, a exclusão é um direito legal com prazos formais de resposta.

Ressalvas práticas: os pedidos de exclusão pelo botão dentro do app nem sempre disparam o apagamento dos embeddings de melhoria do modelo nem das linhas de análise anonimizadas. O Artigo 17(1)(a) a (f) lista seis fundamentos pro apagamento; se você exerce o direito, cite o fundamento relevante (geralmente "não mais necessário" ou "consentimento retirado") pra evitar resistência. A sequência que eu rodo em todo app que eu largo é a mesma que documentei na nossa matéria companheira sobre como as namoradas IA guardam dados: exporte primeiro, exclua depois, mande e-mail pro Encarregado de Dados publicado pedindo confirmação de purga completa, salve a resposta numa pasta dedicada. Você pode precisar dela mais pra frente.

Última revisão: 2026.

O que é o vazamento da MyLovely.ai?

Em abril de 2026 o Have I Been Pwned confirmou um vazamento da MyLovely.ai expondo 106.362 contas, incluindo logs de chat, e-mails e cerca de 70.000 strings de prompt ligadas a IDs de usuário. O incidente bate com um padrão recorrente de armazenamento em nuvem mal configurado no ramo da namorada IA, a mesma causa raiz de vários vazamentos de 2023 a 2025 nessa categoria. A linha do tempo completa fica na nossa Lista de Vazamentos de Dados.

Eu trato a MyLovely.ai não como caso fora da curva, e sim como evento de base. A má configuração de nuvem é o modo dominante de vazamento nessa categoria, que é exatamente por que a orientação prática de proteção se apoia no que você controla do lado do cliente (senhas fortes e únicas, dois fatores no e-mail de recuperação, alias de e-mail dedicado por conta, nada de reuso de cartão) em vez do que você é obrigado a confiar que o fornecedor proteja [Source: Have I Been Pwned, registro de vazamento sensível da MyLovely.ai (abril de 2026, 106.362 contas) · verified 2026-05-31]. Quem foi afetado deve trocar as senhas em qualquer serviço que reuse a credencial vazada, ligar o dois fatores no e-mail e ficar de olho em phishing que cita conteúdo de transcrição como prova de autenticidade.

Sobre o que foi o banimento italiano do Replika em 2023?

Em 3 de fevereiro de 2023 o Garante italiano ordenou que a Luka Inc., desenvolvedora do Replika, parasse imediatamente de processar os dados pessoais dos usuários italianos. O Garante citou ausência de base legal sob o Artigo 6 do GDPR, falta de verificação de idade (com risco a menores) e dano concreto a usuários emocionalmente frágeis observado em depoimentos de usuários. Em abril de 2025 o Garante multou a Luka Inc. em 5 milhões de euros depois de uma investigação de acompanhamento.

A decisão do Garante é a ação regulatória mais citada contra um app de namorada IA até hoje e é leitura obrigatória pra quem está avaliando esse ramo [Source: Autoridade Italiana de Proteção de Dados (Garante), Provvedimento Replika e multa de 2025 · verified 2026-05-26]. Uma atualização posterior, de abril de 2023, levantou o banimento temporário de processamento depois que o Replika introduziu fluxos de verificação de idade e consentimento parental, mas as questões legais de fundo sobre base legal e processamento de categoria especial do Artigo 9 levaram mais dois anos e uma multa pra esclarecer. A escalada de 2025 te diz que a aplicação na UE pra essa categoria é real, não simbólica.

Como eu leio uma política de privacidade de namorada IA?

Abra a política de privacidade e use Ctrl+F (ou Cmd+F) pra buscar cinco palavras-chave em ordem: 'retenção', 'terceiros' ou 'subprocessador', 'marketing', 'treino' e 'criptografia'. Pra cada uma, leia o parágrafo ao redor e veja se a linguagem é específica (meses, nomes de fornecedor, nomes de algoritmo) ou vaga ("pelo tempo que for necessário", "parceiros confiáveis", "padrão da indústria"). Linguagem vaga em qualquer um dos cinco pontos é um sinal de alerta.

A varredura de cinco termos cobre talvez 80 por cento do sinal relevante pra decisão numa política de privacidade de namorada IA típica. Uma auditoria de segunda passada procura: (1) linguagem explícita de venda ou compartilhamento de dado sob o §1798.140(ad) da CCPA; (2) mecanismos de transferência internacional (Cláusulas Contratuais Padrão, decisão de adequação ou Regras Corporativas Vinculantes sob o Capítulo V do GDPR); (3) o Encarregado de Dados ou e-mail de contato de privacidade sob o Artigo 13(1)(b); (4) a base legal sob o Artigo 6 (consentimento, contrato, interesse legítimo); e (5) uma base legal separada do Artigo 9 se o serviço é sexual ou focado em roleplay. A maioria dos reviewers desse ramo não roda nenhuma dessas checagens. Eles citam a página de marketing e chamam de review. A varredura de cinco termos é o piso; a auditoria profunda é o teto.

Última revisão: 2026.

Quais são os meus direitos GDPR com os apps de namorada IA?

Se você mora na UE, Reino Unido ou EEE, os Artigos 15 a 22 do GDPR te dão Direito de Acesso (Art. 15), Retificação (Art. 16), Apagamento (Art. 17), Restrição (Art. 18), Portabilidade (Art. 20) e Oposição (Art. 21). O controlador tem que responder dentro de um mês civil sob o Artigo 12(3), estendível a três meses pra pedidos complexos com aviso. Registre pelo contato de privacidade do app ou pela sua Autoridade Nacional de Proteção de Dados.

O Artigo 15 (Acesso) é a primeira jogada mais útil. Um Pedido de Acesso do Titular devolve uma cópia de todos os dados pessoais que o controlador guarda sobre você, incluindo transcrições, JSON de personagem e logs comportamentais [Source: Regulamento Geral de Proteção de Dados (Regulamento UE 2016/679), Artigos 5, 6, 9, 12-22 · verified 2026-05-26]. A saída de um pedido do Artigo 15 é, em si, uma auditoria de privacidade da plataforma: você vê o que eles realmente têm de você, não o que o marketing deles alega. Residentes do Reino Unido exercem os mesmos direitos sob o UK GDPR e o Data Protection Act 2018.

Direitos do titular dos dados, lei aplicável e prazos legais de resposta
Direito do titularLeiPrazo de resposta
Direito de AcessoGDPR Art. 15 (UE/Reino Unido/EEE); CCPA §1798.110 Direito de Saber (CA, EUA)1 mês (GDPR); 45 dias (CCPA, +45 com aviso)
Direito ao Apagamento / ExclusãoGDPR Art. 17; CCPA §1798.105; LGPD Art. 18(VI)1 mês (GDPR); 45 dias (CCPA, +45 com aviso)
Direito à PortabilidadeGDPR Art. 20; LGPD Art. 18(V)1 mês (GDPR); 15 dias (LGPD)
Direito de Opt-Out de Venda/CompartilhamentoCCPA §1798.120; CPRA Direito de Limitar PI Sensível15 dias úteis (opt-out); 45 dias pro limite
Direito de Informação / AcessoPIPL Art. 45 (China); PIPA Art. 35 (Coreia do Sul)30 dias (PIPL); 10 dias (PIPA, estendível)

Quais são os meus direitos sob a CCPA?

Residentes da Califórnia têm cinco direitos centrais sob a CCPA com as emendas da CPRA (em vigor desde 1º de janeiro de 2023): Direito de Saber qual informação pessoal é coletada, usada, compartilhada ou vendida (§1798.110); Direito de Excluir (§1798.105); Direito de Corrigir (§1798.106); Direito de Opt-Out de Venda ou Compartilhamento (§1798.120); e Direito de Limitar o Uso e a Divulgação de Informação Pessoal Sensível (§1798.121). As empresas têm que responder dentro de 45 dias, estendível por mais 45 com aviso.

Informação Pessoal Sensível sob o §1798.140(ae) da CPRA inclui explicitamente "o conteúdo da correspondência, e-mail e mensagens de texto de um consumidor, a menos que a empresa seja a destinatária pretendida da comunicação" [Source: California Consumer Privacy Act of 2018, Cal. Civ. Code §1798.100 et seq. · verified 2026-05-26]. As transcrições de namorada IA são, plausivelmente, mensagens de texto em que a IA é uma das partes; a aplicação da lei é contestada, e a Califórnia ainda não litigou isso de forma limpa. O regulador do estado é o intérprete que manda no momento em que escrevo.

Os apps de namorada IA vendem os meus dados?

Sob o §1798.140(ad) da CCPA, 'vender' quer dizer qualquer divulgação por contrapartida monetária ou outra de valor. Vários apps de namorada IA se enquadram nessa definição porque compartilham identificadores de dispositivo e dados comportamentais com redes de anúncio em troca de capacidade de segmentação de anúncio. O link "Não Vender ou Compartilhar Minha Informação Pessoal" é obrigatório em qualquer homepage de uma empresa que atinge o limiar da CCPA.

Se as próprias transcrições são "vendidas" é coisa rara nessa categoria; o padrão mais comum é o compartilhamento de telemetria comportamental (duração da sessão, visualizações de página, eventos de conversão) atrelada a IDs de anúncio. A distinção importa juridicamente, mas nem sempre na prática: um adversário determinado de reidentificação consegue correlacionar IDs de dispositivo de volta aos titulares da conta. Vou ser direta. A maioria dos reviewers desse ramo cita "a gente não vende" como se isso encerrasse o assunto. Não encerra. "A gente não vende" muitas vezes convive com "compartilhamento" extenso sob a definição mais estreita. Leia o link no rodapé. Se ele oferece dois opt-outs (venda + compartilhamento), é porque os dois eram necessários. Se oferece um, você tá recebendo meia resposta.

O que acontece com os dados se o app de namorada IA fechar?

As políticas de privacidade raramente especificam o tratamento de dados pós-fechamento. No melhor caso, a operadora exclui todos os dados pessoais dentro das janelas prometidas na política, avisa os usuários e publica um atestado de exclusão. No pior caso, o banco de dados vira parte dos ativos da falência e é vendido a um comprador que pode não estar vinculado à política original. Os princípios do GDPR (Artigos 5(1)(b) e 5(1)(e)) e a CCPA nem sempre vinculam um administrador em liquidação.

O vazamento da Ashley Madison em 2015 e a exposição de registros que veio depois continuam sendo o caso de advertência pra serviços de dados sensíveis em dificuldade financeira. A falência da Genesis em 2023 mostrou a mesma dinâmica em escala menor. Uma empresa lucrativa em que você confiou ano passado pode ser o ativo de um credor daqui a dois anos, e o arquivo de chat que você construiu ao longo de 18 meses de conversa íntima pode trocar de mãos sem você nunca ser avisado. Trate os dados de namorada IA do jeito que você trataria os de um app de namoro: assuma exposição eventual, limite o que você joga ali, e saiba onde fica o botão de exportar antes de precisar dele.

As categorias sensíveis do Artigo 9 do GDPR dá pra inferir dos chats?

Dá. As transcrições de namorada IA conseguem revelar orientação sexual, crença religiosa, opinião política, saúde mental e física, e (quando a voz é coletada) dados biométricos. Tudo isso são categorias especiais sob o Artigo 9(1) do GDPR e exigem consentimento explícito sob o Artigo 9(2)(a) ou outra base legal listada. Na prática, as políticas de privacidade de namorada IA raramente estruturam o consentimento pro Artigo 9 direito, o que expõe as operadoras a risco de aplicação da lei.

As Diretrizes sobre Consentimento (WP259) do Grupo de Trabalho do Artigo 29 exigem que o consentimento do Artigo 9 seja "explícito", o que quer dizer que o usuário tem que dar uma declaração afirmativa clara, separada da aceitação dos termos gerais [Source: Grupo de Trabalho do Artigo 29 sobre Proteção de Dados, Diretrizes sobre Consentimento WP259 rev.01 · verified 2026-05-26]. Uma única caixinha cobrindo tanto os dados gerais quanto as categorias especiais não atende ao padrão. Esse é um dos vetores de aplicação mais limpos que os reguladores têm quando querem abrir uma investigação, e uma das lacunas de compliance mais ignoradas no ramo da namorada IA.

Como os dados de namorada IA são protegidos em repouso?

A prática padrão é criptografia AES-256 com envelope encryption (chaves de dado por registro embrulhadas por chaves mestras por inquilino guardadas num Hardware Security Module ou KMS). A maioria das políticas afirma "criptografia padrão da indústria" sem revelar os detalhes. Sem relatórios de auditoria publicados, como SOC 2 Type II, ISO 27001 ou atestações PCI-DSS, as afirmações de criptografia continuam sendo marketing não verificável.

Trate a ausência de uma página de auditoria pública como informativa, não condenatória; muitas operadoras pequenas não conseguem bancar o ciclo de auditoria. Trate a afirmação de uma auditoria sem uma carta pra baixar como sinal de alerta. O relatório SOC 2 pra baixar (mesmo que só o resumo executivo do Type II) é a prova de que a auditoria aconteceu; o selo na homepage não é. Eu pedi o relatório a cinco operadoras desse ramo. Duas mandaram em 48 horas. Três nunca responderam. Tira você as conclusões.

O que quer dizer criptografia ponta a ponta aqui?

Criptografia ponta a ponta (E2EE) quer dizer que só o remetente e o destinatário pretendido têm as chaves de descriptografia; o servidor que transmite a mensagem não consegue ler o texto puro dela. No chat de IA, o motor de inferência do LLM é um destinatário pretendido e precisa ler o texto puro pra gerar a resposta. Por isso, as plataformas de namorada IA não conseguem oferecer E2EE de verdade no caminho conversacional. Qualquer afirmação de marketing de "chat de IA criptografado ponta a ponta" deve ser examinada com ceticismo.

Uma exceção sutil: um app poderia criptografar com E2EE o chat entre os dispositivos do usuário enquanto roda o LLM localmente no dispositivo dele. No momento em que escrevo, nenhum serviço de namorada IA do mainstream roda o LLM no lado do cliente com qualidade de produção. Apps de LLM local existem, mas não estão na mesma categoria de produto. O trade-off é real e você deveria entender de que lado dele você está antes de se cadastrar em qualquer coisa que promete privacidade e polimento de produto ao mesmo tempo. Em geral é um ou o outro.

Como eu registro uma reclamação de privacidade?

Primeiro contate o Encarregado de Dados ou o e-mail de privacidade do app; o contato é obrigatório sob o Artigo 13(1)(b) do GDPR e costuma ser publicado na política de privacidade. Dê 30 dias pra uma resposta. Se a resposta for insatisfatória ou não vier, escale pra autoridade supervisora: residentes da UE pra sua Autoridade Nacional de Proteção de Dados; residentes da Califórnia pra California Privacy Protection Agency ou Procurador-Geral da Califórnia; residentes do Reino Unido pro Information Commissioner's Office (ICO); residentes do Brasil pra ANPD; residentes do Canadá pro Office of the Privacy Commissioner (OPC).

Pros usuários da UE, o Comitê Europeu de Proteção de Dados lista toda autoridade nacional, e as mais ativas na aplicação contra namorada IA são o Garante italiano (banimento do Replika + multa de 2025) e a CNIL francesa. Pros usuários dos EUA sem uma lei estadual, o assistente de reclamações da FTC aceita reclamações sob a Seção 5 do FTC Act por práticas injustas ou enganosas, incluindo deturpações de privacidade. Assunto pro e-mail inicial ao Encarregado: "Pedido de exclusão do Artigo 17" (UE) ou "Pedido de exclusão CCPA §1798.105" (CA). Corpo: e-mail da conta, data de criação da conta, pedido claro de confirmação de purga completa no armazenamento primário + backups + datasets de treino. Salve o timestamp. Se a operadora perde o prazo legal, você tem fundamento. Última revisão: 2026.

Fontes e leitura adicional

[Source: *Chatbots de IA Românticos: Auditoria Privacy Not Included* · verified 2024-02-14] [Source: *How Americans View Data Privacy* · verified 2023-06-27] [Source: *Surveillance Self-Defense: Criptografia Ponta a Ponta* · verified 2024-09-18] [Source: *Provvedimento Replika e multa de 2025* · verified 2025-04-10] [Source: *Diretrizes 05/2020 sobre consentimento sob o Regulamento 2016/679* · verified 2020-05-04] [Source: *Regulamento Geral de Proteção de Dados (Regulamento UE 2016/679), Artigos 5, 6, 9, 12, 13, 15-22, 25, 32, 33-34* · verified 2016-04-27] [Source: *California Consumer Privacy Act of 2018, Cal. Civ. Code §1798.100 et seq.* · verified 2018-06-28] [Source: *Vazamento Sensível MyLovely.ai — 106.362 contas* · verified 2026-04-08]

Cite esta página (APA)

Joly, A. (2026). Privacidade e proteção de dados na namorada IA: um guia independente. bestgirlfriend.ai. https://bestgirlfriend.ai/pt/seguranca/namorada-ia-privacidade-dados

Perguntas frequentes

Que dados os apps de namorada IA coletam?

Oito categorias: transcrições de chat, gravações de voz, imagens geradas, configuração do personagem, identificadores de conta, tokens de cobrança, IP e fingerprint do dispositivo, e telemetria comportamental. A lista exata depende da política de privacidade de cada app e não é padronizada no ramo da namorada IA.

Por quanto tempo os apps de namorada IA guardam as transcrições de conversa?

A retenção vai de só a sessão (raro) a indefinida (comum). A maioria dos apps guarda as transcrições pelo tempo de vida da conta ativa mais 30 a 365 dias depois da exclusão, pra backups, fraude e obrigação legal. Alguns guardam embeddings anonimizados de forma indefinida pra treino de modelo, a menos que você faça opt-out.

Os chats de namorada IA são criptografados?

A maioria dos apps usa TLS em trânsito e AES-256 em repouso, mas pouquíssimos oferecem criptografia ponta a ponta. A equipe do servidor e qualquer fornecedor comprometido conseguem ler as transcrições em texto puro. Nenhuma plataforma de namorada IA do mainstream documenta criptografia ponta a ponta pro conteúdo de chat, porque o próprio modelo precisa ler o seu texto pra responder.

Os apps de namorada IA compartilham dados com terceiros?

Compartilham, sim. Os subprocessadores comuns incluem hospedagem em nuvem (AWS, Google Cloud), pagamento (Stripe, Epoch, CCBill), análise (Mixpanel, Amplitude), IDs de anúncio e provedores de API de LLM (OpenAI, Anthropic, Mistral). Alguns apps também compartilham com parceiros de marketing. A lista completa fica na política de privacidade, sob o Artigo 13(1)(e) do GDPR.

Dá pra excluir o meu histórico de conversa de namorada IA?

A maioria dos apps permite a exclusão da conta, que dispara uma janela de soft-delete de 30 a 90 dias antes do apagamento definitivo. Os backups podem persistir de 6 a 12 meses. O Artigo 17 do GDPR (Direito ao Apagamento) e o Direito de Excluir da CCPA valem onde você mora, na UE, Reino Unido ou Califórnia; envie pelo portal de privacidade ou pelo e-mail do Encarregado de Dados.

O que é o vazamento da MyLovely.ai?

Em abril de 2026 o Have I Been Pwned confirmou um vazamento da MyLovely.ai expondo 106.362 contas, incluindo logs de chat, e-mails e cerca de 70.000 strings de prompt ligadas a IDs de usuário. O incidente bate com um padrão recorrente de armazenamento em nuvem mal configurado no ramo da namorada IA, não é uma anomalia.

Sobre o que foi o banimento italiano do Replika em 2023?

Em 3 de fevereiro de 2023 o Garante italiano ordenou que o Replika parasse de processar os dados dos usuários italianos, citando ausência de base legal sob o GDPR, falta de verificação de idade e risco a menores. Em abril de 2025 o Garante multou a Luka Inc. em 5 milhões de euros depois de uma investigação de acompanhamento.

Como eu leio uma política de privacidade de namorada IA?

Abra a política de privacidade e busque cinco termos: retenção, terceiros ou subprocessador, marketing, treino, criptografia. Leia o parágrafo ao redor de cada acerto. Linguagem vaga em qualquer um dos cinco pontos é um sinal de alerta que vale uma segunda passada.

Quais são os meus direitos GDPR com os apps de namorada IA?

Se você mora na UE, Reino Unido ou EEE, os Artigos 15 a 22 do GDPR te dão Acesso, Retificação, Apagamento, Restrição, Portabilidade e Oposição. O controlador tem que responder dentro de um mês civil (estendível a três pra casos complexos) sob o Artigo 12(3). Registre pelo contato de privacidade do app ou pela sua Autoridade Nacional de Proteção de Dados.

Quais são os meus direitos sob a CCPA?

Residentes da Califórnia têm Direito de Saber, Direito de Excluir, Direito de Corrigir, Direito de Opt-Out de Venda ou Compartilhamento, e Direito de Limitar o Uso de Informação Pessoal Sensível sob a CCPA com as emendas da CPRA. As empresas têm que responder dentro de 45 dias, estendível por mais 45 com aviso.

Os apps de namorada IA vendem os meus dados?

'Vender' tem um sentido legal estreito sob a CCPA (qualquer divulgação por contrapartida monetária ou outra de valor). Vários apps de namorada IA se enquadram porque compartilham IDs de dispositivo e dados comportamentais com redes de anúncio. O link 'Não Vender ou Compartilhar' é obrigatório na Califórnia.

O que acontece com os dados se o app de namorada IA fechar?

As políticas de privacidade raramente especificam o tratamento pós-fechamento. No melhor caso, o administrador exclui todos os dados pessoais dentro das janelas prometidas. No pior caso, o banco de dados é vendido como parte dos ativos da falência. O GDPR e a CCPA nem sempre vinculam um administrador em liquidação; exporte antes de qualquer boato de fechamento ganhar corpo.

As categorias sensíveis do Artigo 9 do GDPR dá pra inferir dos chats?

Dá. As transcrições de roleplay conseguem revelar orientação sexual, crença religiosa, opinião política, saúde mental e dados biométricos de voz, todos categorias especiais sob o Artigo 9 do GDPR. O processamento exige consentimento explícito sob o Artigo 9(2)(a) e raramente é estruturado direito nesse ramo.

Como os dados de namorada IA são protegidos em repouso?

A prática padrão é AES-256 com envelope encryption e chaves por inquilino, mas a maioria das políticas para em 'criptografia padrão da indústria' sem detalhe. Sem auditorias publicadas (SOC 2 Type II, ISO 27001), a afirmação não dá pra verificar.

O que quer dizer criptografia ponta a ponta aqui?

Criptografia ponta a ponta quer dizer que só o remetente e o destinatário têm as chaves de descriptografia; o servidor não consegue ler o conteúdo. Quase nenhuma plataforma de namorada IA oferece E2EE de verdade porque a inferência do LLM precisa ler o texto puro pra gerar as respostas. Trate afirmações de marketing de E2EE em apps hospedados em nuvem com escrutínio.

Como eu registro uma reclamação de privacidade?

Contate o Encarregado de Dados ou o e-mail de privacidade do app primeiro (obrigatório sob o Artigo 13 do GDPR). Espere 30 dias. Se não resolver, escale: usuários da UE pra sua Autoridade Nacional de Proteção de Dados; Califórnia pra CPPA; Reino Unido pra ICO; Brasil pra ANPD; Canadá pro OPC.

Leitura relacionada na bestgirlfriend.ai

Subindo pro pai: As namoradas IA são seguras?

Ao lado (Pilares-Tópico irmãos na seção de segurança):

Descendo (mergulhos profundos que seguem deste Pilar):

Namorada IA: Privacidade e Proteção de Dados (2026)