aprovado.xyz · política de privacidade

Em uma frase: coleto o mínimo (email, nome, progresso de estudos), uso só pra fazer o produto funcionar, não vendo pra ninguém, e você pode pedir pra apagar tudo a qualquer momento.

01Resumo executivo

O que coleto: email, nome, senha (criptografada), progresso de módulos, respostas em simulados.
O que NÃO coleto: CPF, telefone, endereço, dados de cartão, dados sensíveis (raça, religião, saúde etc).
Compartilho com: processador de pagamento (Stripe), provedor de email transacional. Lista completa abaixo. Não usamos analytics de terceiros no momento.
Vendo dados: nunca.
Quanto tempo guardo: enquanto sua conta existir + 6 meses depois (obrigação fiscal). Você pode pedir exclusão antes.

02Quem é o controlador dos dados

Renato Moraes Natali, pessoa física, brasileiro, contato: renato@aprovado.xyz. Não há encarregado de proteção de dados (DPO) formalmente constituído por ser operação individual; eu mesmo cumpro a função e respondo solicitações da LGPD.

03O que coletamos

Dados que você fornece ativamente

No cadastro: nome (ou apelido) e email.
Senha: gerenciada inteiramente pelo Clerk; nunca é armazenada por mim em texto puro nem fica visível pra mim.
Na compra (premium): os dados de pagamento são coletados diretamente pelo processador (Stripe) — eu recebo apenas: identificador da transação, plano, valor, data, e os 4 últimos dígitos do cartão (pra mostrar no recibo).
Em emails que você manda: o conteúdo da mensagem.

Dados gerados pelo seu uso

Quais módulos você abriu e quanto progrediu.
Suas respostas em quizzes e simulados (incluindo erros — uso pra calcular sua nota e pra melhorar o conteúdo, em forma agregada).
Logs técnicos: IP, user-agent, horário do acesso. Mantidos por 6 meses por exigência do Marco Civil (Art. 15).

Dados coletados por terceiros

Hoje não rodamos analytics de terceiros (Google Analytics, pixel etc.). Se isso mudar no futuro, será com consentimento explícito via banner — ver Política de Cookies.

04Por que coletamos (bases legais da LGPD)

Execução do contrato (LGPD art. 7º, V): nome, email, progresso, respostas — sem isso o serviço não funciona.
Cumprimento de obrigação legal (art. 7º, II): logs de IP/acesso (Marco Civil), dados fiscais de pagamento.
Consentimento (art. 7º, I): cookies não-essenciais e analytics (caso venham a ser adicionados) e emails de marketing (ainda não envio nenhum, mas se um dia for enviar, será opt-in).

05Com quem compartilhamos

Apenas com fornecedores estritamente necessários pra fazer o serviço funcionar:

Stripe (processador de pagamento) — processa cartões em PCI-DSS Level 1; eu não armazeno dados de cartão.
Provedor de email transacional (Resend ou similar) — envia emails de confirmação de cadastro, recuperação de senha, recibos.
Clerk (autenticação) — armazena nome, email e gerencia sessões. Hospedado em infraestrutura própria, com criptografia em trânsito e em repouso.
Hospedagem (Vercel ou similar) — servidores onde o site roda.

Nunca vendo, alugo ou cedo seus dados pra terceiros pra fins de marketing. Caso isso mude (não pretendo), seria opt-in com consentimento explícito.

06Tempo de retenção

Dados de cadastro e progresso: enquanto sua conta existir.
Após exclusão de conta: dados removidos em até 30 dias, exceto registros fiscais (compras) que ficam por 5 anos por obrigação legal.
Logs de acesso (IP, user-agent): 6 meses (Marco Civil).
Emails enviados pra mim: até 2 anos.

07Seus direitos (LGPD art. 18)

Você pode, a qualquer momento, solicitar:

Confirmação de que estou tratando seus dados.
Acesso aos dados que tenho sobre você (em formato legível).
Correção de dados incorretos ou desatualizados.
Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade.
Portabilidade dos dados pra outro fornecedor.
Eliminação dos dados tratados com base em consentimento.
Informação sobre com quem compartilhei seus dados.
Revogação do consentimento, quando aplicável.

08Como exercer seus direitos

Email pra renato@aprovado.xyz com o assunto “LGPD” e descrição do pedido. Respondo em até 15 dias úteis, conforme exige a LGPD. Se eu negar (raro), explico por quê.

Pra exclusão de conta: o pedido é processado em até 30 dias. Após isso, dados ficam retidos só pelo prazo fiscal de 5 anos pra eventuais compras feitas, conforme Receita Federal exige.

09Segurança

Autenticação delegada ao Clerk (provedor especializado, com SOC 2 Type II e criptografia em repouso). Conexões em HTTPS (TLS 1.3). Backups criptografados. Acesso a dados restrito a mim. Pagamentos processados em PCI-DSS Level 1 pelo Stripe.

Em caso de incidente que comprometa dados pessoais (vazamento), comunico pelos canais cabíveis (email aos afetados, ANPD se grave) em prazo razoável.

10Crianças e adolescentes

O serviço é destinado a maiores de 16 anos. Não coleto deliberadamente dados de menores. Se identificar cadastro de menor, removo. Se você é responsável e identificou cadastro do menor sob sua tutela, me avise por email.

11Mudanças nesta política

Posso atualizar esta política. Mudanças relevantes (novo terceiro com quem compartilho dados, mudança de finalidade) são comunicadas por email com 30 dias de antecedência. A versão sempre fica visível no topo desta página.

12Contato

Renato Moraes Natali — renato@aprovado.xyz.

Você também pode reclamar diretamente à ANPD (Autoridade Nacional de Proteção de Dados) em gov.br/anpd.