Board Companion
← Back to app

Privacy Policy

Effective 27 June 2026. Board Companion is operated by HAG Partners OÜ (Estonia). This policy is written to align with the EU GDPR and Brazil's LGPD.
Board Companion is operated by HAG Partners OÜ, a company registered in Estonia. The service is subject to the laws and regulations of Estonia.
The principle behind this product: your record is yours. We are the custodian of a workspace you own and can take with you. We design to hold as little as possible, and to give you what we hold on request.

1. Who we are

The data controller is HAG Partners OÜ, Estonia ("we", "us"). For any privacy question or to exercise your rights, contact us at the support address shown in the app.

2. What we collect, and what we deliberately don't

Account & identity

When you sign in we process your email address and basic profile information from the method you choose (magic-link, email + password, Google, or LinkedIn). Authentication is handled by our processor, Supabase. We deliberately favour personal, portable sign-in so your account stays yours independent of any company.

Your records

We store the records you create — your boards (mandates), decision-log entries, notes, and similar — under your account. These are protected by row-level security so that only your account can access them.

Uploaded board materials — not stored

When you upload a board pack, it is processed in memory to extract text for your question or draft, and is not written to our database. We keep the work you derive and confirm (e.g. a decision entry), not the company file itself. This is intentional: analyse, don't hoard.

What we don't do

We do not sell your data, we do not use it to advertise to you, and we do not use your board materials or records to train AI models.

3. AI processing

To answer questions and draft entries, the relevant text is sent to our AI provider (currently Anthropic) solely to generate that response. Your content is not used to train AI models. The provider may retain content only briefly to operate the service and for trust-and-safety purposes, after which it is deleted; we are pursuing a zero-retention configuration to remove even that. How the AI is constrained is explained in How the AI works.

4. Legal bases (GDPR) / hypotheses of treatment (LGPD)

  • Performance of a contract — to provide the service you signed up for.
  • Legitimate interests — to secure, maintain, and improve the service, balanced against your rights.
  • Consent — where we ask for it explicitly (e.g. optional features); you may withdraw it at any time.

5. Where data is processed

Our processors (hosting: Railway; database & auth: Supabase; AI: Anthropic; sign-in providers you choose) may process data outside your country, including in the EU and the United States. Where required, transfers rely on appropriate safeguards such as Standard Contractual Clauses.

6. How long we keep it

We keep your records for as long as your account is active, or until you delete them. Uploaded board files are not retained beyond the moment of processing. When you delete your account, we delete your records (subject to any limited retention required by law).

7. Your rights

Under the GDPR and LGPD you may request to access, correct, export (portability), delete, or restrict the processing of your personal data, and to object to certain processing. Because your record is designed to be portable, export and deletion are core features, not exceptions. To exercise any right, contact us at the support address in the app. You also have the right to complain to your supervisory authority (e.g. the ANPD in Brazil, or your EU data protection authority).

8. Security

Data is encrypted in transit. Access to your records is enforced at the database level by row-level security tied to your authenticated identity. No system is perfectly secure, but we apply reasonable technical and organisational measures appropriate to the sensitivity of the data.

9. Changes

We may update this policy as the product develops. We will change the effective date above and, for material changes, notify you in the app.

Política de Privacidade

Em vigor a partir de 27 de junho de 2026. O Board Companion é operado pela HAG Partners OÜ (Estônia). Esta política foi redigida em alinhamento com o GDPR (UE) e a LGPD (Brasil).
O Board Companion é operado pela HAG Partners OÜ, empresa registrada na Estônia. O serviço está sujeito às leis e à regulação da Estônia.
O princípio por trás deste produto: o seu registro é seu. Somos os custodiantes de um espaço de trabalho que pertence a você e que você pode levar consigo. Projetamos para reter o mínimo possível e para lhe entregar, quando solicitado, aquilo que mantemos.

1. Quem somos

O controlador de dados é a HAG Partners OÜ, Estônia ("nós"). Para qualquer questão de privacidade ou para exercer os seus direitos, fale conosco no endereço de suporte exibido no aplicativo.

2. O que coletamos — e o que deliberadamente não coletamos

Conta e identidade

Ao entrar, processamos o seu endereço de e-mail e informações básicas de perfil do método que você escolher (link mágico, e-mail + senha, Google ou LinkedIn). A autenticação é feita pelo nosso operador, a Supabase. Damos preferência deliberada a um login pessoal e portátil, para que a sua conta continue sua, independentemente de qualquer empresa.

Os seus registros

Armazenamos os registros que você cria — seus conselhos (mandatos), registros de decisão, notas e afins — na sua conta. Eles são protegidos por segurança em nível de linha (row-level security), de modo que apenas a sua conta possa acessá-los.

Materiais de conselho enviados — não armazenados

Quando você envia um material de reunião, ele é processado na memória para extrair texto para a sua pergunta ou rascunho, e não é gravado no nosso banco de dados. Guardamos o trabalho que você deriva e confirma (por exemplo, um registro de decisão), não o arquivo da empresa em si. Isso é intencional: analisar, não acumular.

O que não fazemos

Não vendemos os seus dados, não os usamos para lhe exibir anúncios e não usamos os seus materiais de conselho ou registros para treinar modelos de IA.

3. Processamento por IA

Para responder perguntas e redigir registros, o texto pertinente é enviado ao nosso provedor de IA (atualmente a Anthropic) exclusivamente para gerar aquela resposta. O seu conteúdo não é usado para treinar modelos de IA. O provedor pode reter o conteúdo apenas por breve período para operar o serviço e para fins de confiança e segurança, após o que ele é excluído; estamos buscando uma configuração de retenção zero para eliminar até isso. Como a IA é restringida está explicado em Como a IA funciona.

4. Bases legais (GDPR) / hipóteses de tratamento (LGPD)

  • Execução de contrato — para prestar o serviço que você contratou.
  • Legítimo interesse — para proteger, manter e melhorar o serviço, equilibrado com os seus direitos.
  • Consentimento — quando o solicitamos explicitamente (por exemplo, recursos opcionais); você pode retirá-lo a qualquer momento.

5. Onde os dados são processados

Nossos operadores (hospedagem: Railway; banco de dados e autenticação: Supabase; IA: Anthropic; provedores de login que você escolher) podem processar dados fora do seu país, inclusive na UE e nos Estados Unidos. Quando exigido, as transferências se apoiam em salvaguardas apropriadas, como as Cláusulas Contratuais Padrão.

6. Por quanto tempo guardamos

Guardamos os seus registros enquanto a sua conta estiver ativa, ou até que você os exclua. Os arquivos de conselho enviados não são retidos além do momento do processamento. Quando você exclui a sua conta, excluímos os seus registros (ressalvada qualquer retenção limitada exigida por lei).

7. Os seus direitos

Sob o GDPR e a LGPD, você pode solicitar acesso, correção, exportação (portabilidade), exclusão ou restrição do tratamento dos seus dados pessoais, além de se opor a determinados tratamentos. Como o seu registro foi projetado para ser portátil, exportação e exclusão são recursos centrais, não exceções. Para exercer qualquer direito, fale conosco no endereço de suporte do aplicativo. Você também tem o direito de reclamar à sua autoridade de proteção de dados (por exemplo, a ANPD no Brasil, ou a autoridade competente na UE).

8. Segurança

Os dados são criptografados em trânsito. O acesso aos seus registros é imposto no nível do banco de dados por segurança em nível de linha, vinculada à sua identidade autenticada. Nenhum sistema é perfeitamente seguro, mas aplicamos medidas técnicas e organizacionais razoáveis e adequadas à sensibilidade dos dados.

9. Alterações

Podemos atualizar esta política conforme o produto evolui. Atualizaremos a data de vigência acima e, para mudanças relevantes, avisaremos você no aplicativo.