Política de privacidade

O MailTwin é publicado pela Smilodon AS, uma empresa norueguesa. Esta política explica que dados o MailTwin manipula, para onde eles vão e que escolhas você tem. O produto é desenhado para que a parte sensível da sua vida de e-mail nunca saia do seu Mac.

Resumo em um parágrafo

O MailTwin roda no seu Mac. Suas chaves de API ficam no Acesso às Chaves do macOS; o MailTwin nunca transmite elas. Quando você dispara uma ação de IA, o corpo do e-mail selecionado mais um pequeno fragmento de contexto de estilo, tirado dos seus próprios e-mails enviados, vai direto do seu Mac para o provedor de IA que você escolheu (Anthropic, OpenAI, Google, xAI, Groq, DeepSeek ou seu Ollama local). O MailTwin não opera um backend para tráfego de IA — não existe servidor MailTwin nesse caminho. A gente hospeda um feed de atualizações automáticas (updates.mailtwin.ai), um endpoint de telemetria opcional (telemetry.mailtwin.ai) e usa os endpoints de licença da LemonSqueezy — e é só isso.

Dados que ficam no seu Mac

• Chaves de API — Acesso às Chaves do macOS, serviço ai.mailtwin.keys. Nunca transmitidas pelo MailTwin.
• Chave de licença e o instance ID da LemonSqueezy — Acesso às Chaves, mesmo serviço. Usados para validar sua ativação contra a LemonSqueezy.
• Perfis de estilo indexados — e-mails de amostra da sua caixa de Enviados, com o corpo comprimido em LZFSE, armazenados em ~/Library/Application Support/MailTwin/.
• Log de requisições — prévias censuradas das últimas 200 requisições de IA, visíveis em Ajustes → Privacidade.
• Contador de custo — totais diários de tokens para os limites suaves funcionarem.
• Identidade (nome + e-mail coletados no onboarding) — UserDefaults. Usados em modelos de saudação. Nunca transmitidos pela telemetria.

Dados que vão para o provedor de IA que você escolheu

Quando você dispara uma ação de IA (responder, resumir, melhorar rascunho etc.), a gente manda para o provedor:

• O corpo do e-mail em que você está agindo (ou o seu rascunho).
• Um prompt curto descrevendo a ação.
• Um fragmento de contexto de estilo montado a partir de até 5 das suas mensagens enviadas anteriores, escopadas para o mesmo destinatário / assunto / conta quando disponível.

A política de privacidade do provedor se aplica a esse tráfego. A sua chave de API com o provedor é o que autentica a chamada; do ponto de vista do provedor a requisição parece idêntica a qualquer outra requisição da sua conta.

O MailTwin nunca manda para o provedor: assuntos, endereços de destinatários além do que estiver no corpo, conteúdo de outras contas suas, seu Acesso às Chaves, sua chave de licença, seu nome e seu e-mail.

Atualização automática (updates.mailtwin.ai)

O MailTwin usa o Sparkle 2 para checar atualizações aproximadamente a cada 24 horas. A checagem busca um appcast XML em https://updates.mailtwin.ai/appcast.xml. A requisição carrega um User-Agent no formato MailTwin/<build>. A Cloudflare (que serve o arquivo) registra o IP da requisição e o User-Agent em logs padrão de CDN. A gente não associa essas buscas a nenhum outro identificador.

As atualizações são assinadas com uma chave privada EdDSA guardada pela Smilodon AS. O Sparkle verifica a assinatura contra a chave pública embutida no MailTwin antes de instalar — mesmo se o nosso host de atualizações fosse comprometido, um atacante não conseguiria te empurrar uma atualização maliciosa.

Configuração remota (updates.mailtwin.ai)

O MailTwin busca um pequeno documento JSON em https://updates.mailtwin.ai/config.json aproximadamente a cada quatro horas. O propósito dele é acionar um botão de emergência em uma combinação específica de provedor/modelo se uma API de terceiros mandar uma mudança quebrando compatibilidade. A requisição carrega o mesmo User-Agent do appcast acima e nenhuma outra informação do cliente.

Telemetria opcional (telemetry.mailtwin.ai)

Opt-in apenas — desligada por padrão. Se você ligar em Ajustes → Privacidade, o MailTwin manda eventos anônimos de uso para https://telemetry.mailtwin.ai/events. Cada evento contém:

• Um nome de evento, tipo action.invoked ou action.failed.
• Propriedades como o provedor de IA usado, tipo de ação (responder/resumir/...), classe de erro, duração em milissegundos.
• Um install ID anônimo (UUID aleatório gerado no primeiro opt-in; rotacionado quando você desliga).
• O número do build do MailTwin e a string de versão do macOS.

A telemetria nunca inclui conteúdo de e-mail, endereços, assuntos, prompts livres que você digitou, respostas da IA, seu nome ou seu e-mail. A lista completa de eventos no código-fonte é o TelemetryEvent; os eventos que o MailTwin efetivamente enfileirou nesta sessão ficam visíveis em Ajustes → Privacidade → "Mostrar o que foi enviado".

Os eventos de telemetria são recebidos por um Cloudflare Worker e armazenados no Cloudflare D1 (um banco SQLite). A Smilodon AS usa para entender quais recursos são usados, quais provedores de IA dão problema e que versões de app / macOS precisam de atenção. Eles não são vendidos, alugados ou compartilhados com terceiros.

Você pode desligar a telemetria a qualquer momento. Fazer isso limpa a fila local, rotaciona o install ID anônimo e para o envio.

Relatórios de crash

O MailTwin grava dumps de crash em ~/Library/Logs/MailTwin/. Eles ficam no seu Mac, a menos que você configure um endpoint de upload em Ajustes → Privacidade. A gente não embarca um endpoint padrão; o campo fica vazio até você preencher.

Pagamentos e licenciamento (LemonSqueezy)

As compras são feitas pela LemonSqueezy como merchant of record. Quando você compra uma licença, a LemonSqueezy coleta os dados necessários para processar o pagamento e cumprir obrigações fiscais (seu nome, e-mail, país e dados de pagamento). A política de privacidade deles se aplica. A Smilodon AS recebe seu nome, e-mail, país e detalhes do pedido da LemonSqueezy via webhook.

A ativação de licença chama https://api.lemonsqueezy.com/v1/licenses/* a partir do seu Mac com a sua chave de licença e uma impressão digital da máquina em hash (derivada do IOPlatformUUID mais o bundle id). A impressão digital é usada para garantir o limite de assentos. A Smilodon AS não opera um servidor de licenças próprio.

O que a gente nunca coleta

• Conteúdo de e-mail de qualquer tipo, exceto na requisição que você faz para o provedor de IA escolhido.
• Endereços de e-mail (seus ou de terceiros).
• Assuntos.
• Prompts livres que você digitou.
• Respostas dos provedores de IA.
• Seu IP atrelado a qualquer outro identificador que a gente tenha.

Seus direitos (LGPD, GDPR, CCPA)

Você pode exportar suas configurações locais para um arquivo JSON (Ajustes → Privacidade → Exportar configurações) e apagar todos os dados locais com um clique (Ajustes → Privacidade → Apagar tudo). Para os dados que a Smilodon AS guarda (seu registro de compra na LemonSqueezy, linhas de telemetria opt-in atreladas ao seu install ID anônimo), manda um e-mail para [email protected] e a gente responde em até 30 dias, conforme exigem a LGPD, o GDPR e a CCPA.

Como as linhas de telemetria estão atreladas só a um install ID rotativo, sem ligação com o e-mail da compra, pedidos de deleção de telemetria precisam incluir o install ID, que você encontra em Ajustes → Privacidade → "Mostrar o que foi enviado".

Crianças

O MailTwin não é direcionado a crianças menores de 13 anos. A gente não processa, conscientemente, dados de ninguém com menos de 13 anos.

Alterações nesta política

Mudanças relevantes serão postadas aqui e mencionadas nas notas de release do app. A data "Última atualização" no topo reflete a alteração mais recente.

Contato

Smilodon AS
Noruega
[email protected] para dúvidas de privacidade, [email protected] para dúvidas sobre o produto.