Política de Privacidade
1. Controlador e Encarregado
Controlador dos dados:
Ratio Sistemas Educacionais
CNPJ 65.560.944/0001-69
Blumenau, Santa Catarina, Brasil
Encarregado de Proteção de Dados (DPO) — art. 41, LGPD:
Herbert B. R. Sorg Ludka
E-mail dedicado: dponormaapp@gmail.com
O encarregado é o canal oficial para solicitações de titulares, reclamações e comunicações da ANPD.
2. Dados coletados
Dados coletados diretamente
| Dado | Finalidade | Base legal | Retenção |
|---|---|---|---|
| Endereço de e-mail | Autenticação e associação de pagamento | Execução de contrato (art. 7º, V) | Enquanto a conta existir |
| Identificador de usuário | Controle de acesso ao plano | Execução de contrato (art. 7º, V) | Enquanto a conta existir |
| Histórico de downloads | Controle do limite gratuito e verificação de plano | Execução de contrato (art. 7º, V) | 90 dias |
| Endereço IP | Prevenção de abuso do sistema | Legítimo interesse (art. 7º, IX) — ver § abaixo | Até 1 hora |
| Nome e CPF (apenas PIX) | Geração de cobrança PIX via AbacatePay | Execução de contrato (art. 7º, V) | Não armazenado — transmitido ao gateway no ato |
| Fingerprint de dispositivo | Controle de uso gratuito anônimo; prevenção de abuso do limite sem cadastro | Legítimo interesse (art. 7º, IX) — ver § abaixo | Até 1 hora |
Legítimo interesse — balanceamento (art. 10, LGPD)
Endereço IP: o interesse legítimo consiste em garantir a integridade operacional do serviço mediante prevenção de uso abusivo (ataques, requisições automatizadas em volume). O tratamento é necessário para esse interesse e proporcional: o IP é armazenado apenas por até 1 hora e não é utilizado para nenhuma outra finalidade, perfil comportamental ou identificação do titular. Os direitos do titular não prevalecem sobre esse interesse dado o caráter estritamente temporário e a ausência de qualquer uso secundário.
Fingerprint de dispositivo: o interesse legítimo consiste em assegurar o uso equitativo do limite de downloads gratuitos, impedindo que um mesmo dispositivo consuma o limite de forma repetida sem cadastro. O tratamento é necessário para esse interesse: sem algum meio de identificação anônima de dispositivo, o limite seria contornável trivialmente. É proporcional: os sinais coletados (canvas, WebGL) não são armazenados de forma associada a um perfil permanente, são eliminados após 1 hora e não são compartilhados com terceiros. Os direitos do titular não prevalecem dado o impacto mínimo e a retenção ultrabreve.
Dados coletados por terceiros
Clerk (autenticação): e-mail, senha criptografada, histórico de login. Política: clerk.com/privacy
Stripe (pagamentos via cartão): dados de cartão, informações de cobrança, histórico de transações. O Norma não recebe dados completos de pagamento — apenas a confirmação da transação. Política: stripe.com/privacy
AbacatePay (pagamentos via PIX): nome completo e CPF do pagador, informados no momento do pagamento. O CPF é exigido pelo sistema bancário brasileiro para gerar cobranças PIX. O Norma não armazena o CPF — ele é transmitido à AbacatePay apenas durante a criação da cobrança. Política: abacatepay.com/privacy
3. Dados que NÃO são coletados
O Norma não coleta: conteúdo de documentos, textos digitados, imagens inseridas, número de páginas ou palavras, localização precisa, dados biométricos, dados de navegação para publicidade.
O texto do documento permanece exclusivamente no dispositivo do usuário, salvo no IndexedDB do navegador — um banco de dados local, isolado, que não é acessível por nenhum servidor.
4. Armazenamento e retenção
| Dado | Retenção | Motivo |
|---|---|---|
| Enquanto a conta existir | Necessário para operar o plano | |
| Histórico de downloads | 90 dias | Sem finalidade após verificação do limite |
| IP | Até 1 hora | Eliminado automaticamente |
| Fingerprint anônimo | Até 1 hora | Eliminado automaticamente após verificação do limite |
| Logs de acesso a downloads (IP, timestamp, user-agent, ID de sessão) | 90 dias | Prova de entrega do serviço para fins de disputa junto a processadores de pagamento e autoridades (art. 7º, VI, LGPD — exercício regular de direito) |
| Dados financeiros | Conforme política do Stripe / legislação fiscal | Obrigação legal (art. 7º, II, LGPD) |
5. Transferência internacional
Dados operacionais são processados por fornecedores nos Estados Unidos. A transferência é amparada pelo art. 33, II da LGPD — os fornecedores oferecem garantias suficientes de proteção mediante cláusulas contratuais de dados (Data Processing Agreements) compatíveis com as exigências da lei brasileira:
- Clerk (EUA): autenticação — DPA disponível em clerk.com/dpa; certificação SOC 2 Type II
- Stripe (EUA): pagamentos — DPA disponível em stripe.com/legal/dpa; certificação PCI-DSS nível 1
- Vercel (EUA): hospedagem — DPA disponível em vercel.com/legal/dpa
- Neon (EUA): banco de dados — DPA disponível em neon.tech/dpa
- AbacatePay (Brasil): pagamentos PIX — dado permanece em território nacional
Solicitações: normaappmail@gmail.com · Respondemos em até 5 dias úteis.
======= >>>>>>> 7f166c80f237e52aa5e8c783d1033a93229b40906. Direitos do titular (art. 18, LGPD)
O titular pode exercer os seguintes direitos a qualquer momento, mediante solicitação ao encarregado:
- Confirmação: saber se o Norma trata dados pessoais seus
- Acesso: consultar os dados tratados — disponível pelo painel de conta
- Correção: corrigir dados incorretos ou desatualizados — disponível pelo painel de conta
- Anonimização, bloqueio ou eliminação: de dados desnecessários ou tratados em desconformidade
- Portabilidade: seus documentos estão no seu dispositivo; para dados operacionais (histórico de downloads, e-mail), solicite ao encarregado
- Eliminação: exclua sua conta e todos os dados associados pelo painel; para dados residuais, solicite ao encarregado
- Informação sobre compartilhamento: saber com quais entidades seus dados foram compartilhados (Clerk, Stripe, AbacatePay, Vercel, Neon — conforme seções 2 e 5)
- Informação sobre consequências: caso não forneça determinado dado, o serviço correspondente não estará disponível (ex: sem e-mail, não é possível criar conta; sem CPF, não é possível gerar cobrança PIX)
- Revogação do consentimento: o Norma não utiliza consentimento como base legal principal — o tratamento é fundado em execução de contrato e legítimo interesse. Encerrar a conta equivale a cessar o tratamento contratual
Solicitações: dponormaapp@gmail.com · Respondemos em até 5 dias úteis para formato simplificado e em até 15 dias corridos para declaração completa (art. 19, LGPD).
7. Decisões automatizadas (art. 20, LGPD)
O sistema utiliza endereço IP e fingerprint de dispositivo para decidir automaticamente se um usuário sem cadastro tem acesso ao download gratuito. Essa decisão é baseada em critérios objetivos (registro de uso recente do mesmo dispositivo ou IP) e não envolve avaliação de perfil, pontuação de crédito ou qualquer categorização do titular.
O titular tem direito de solicitar revisão dessa decisão quando entender que foi incorretamente bloqueado. Solicitações de revisão: dponormaapp@gmail.com
8. Registro de operações de tratamento e RIPD
Nos termos do art. 37 da LGPD, o Norma mantém registro interno das operações de tratamento de dados pessoais realizadas, contendo: categoria de dados, finalidade, base legal, agentes envolvidos e prazo de retenção. Esse registro não é público, mas pode ser apresentado à ANPD mediante requisição formal.
O tratamento de fingerprint de dispositivo com base em legítimo interesse (art. 7º, IX) é passível de solicitação de Relatório de Impacto à Proteção de Dados Pessoais (RIPD) pela ANPD, nos termos do art. 10, §3º da LGPD. O Norma mantém documentação interna de avaliação de impacto desse tratamento, atualizada a cada revisão relevante da arquitetura do sistema.
9. Exclusão de conta
Disponível pelo painel de conta. O encerramento remove: dados de autenticação no Clerk, histórico de downloads e registros associados ao identificador do usuário no banco de dados. Logs de acesso a downloads são eliminados ao término do prazo de 90 dias.
O identificador interno de usuário (user_id) pode permanecer armazenado de forma residual em registros de billing e auditoria por até 90 dias adicionais após o encerramento, exclusivamente para fins de reconciliação financeira e cumprimento de obrigações legais (art. 7º, II e VI, LGPD). Após esse prazo, é eliminado ou anonimizado de forma irreversível.
Dados financeiros permanecem sob retenção do Stripe conforme legislação fiscal aplicável (obrigação legal — art. 7º, II, LGPD; art. 16, I).
10. Segurança e notificação de incidentes
Veja a Política de Segurança da Informação para detalhes técnicos sobre as medidas de proteção implementadas.
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, o Norma comunicará a ANPD e os titulares afetados nos termos do art. 48 da LGPD. A comunicação aos titulares será feita pelo e-mail cadastrado na conta, com descrição do incidente, dados afetados, riscos envolvidos e medidas adotadas.
<<<<<<< HEAD9. Contato
Ratio Sistemas Educacionais · CNPJ 65.560.944/0001-69
E-mail: normaappmail@gmail.com
=======
11. Alterações nesta política
Alterações relevantes — que ampliem o escopo do tratamento, alterem a base legal ou modifiquem direitos do titular — serão comunicadas por e-mail cadastrado com antecedência mínima de 15 dias antes de entrarem em vigor. Para alterações que exijam novo consentimento, será solicitado aceite explícito. A data de última atualização no topo deste documento é atualizada a cada revisão.
12. Comunicações de marketing
O Norma poderá enviar comunicações de marketing — incluindo newsletter, novidades do produto e conteúdo do blog — exclusivamente para usuários que tenham concedido consentimento explícito para essa finalidade (art. 7º, I, LGPD). O consentimento é coletado por meio de opt-in específico, separado do aceite dos Termos de Serviço, e não é condição para uso do serviço.
O titular pode revogar o consentimento a qualquer momento pelo link de cancelamento presente em toda comunicação de marketing ou pelo painel de conta. A revogação não afeta o tratamento realizado com base no consentimento antes de sua retirada (art. 8º, §5º, LGPD).
Comunicações transacionais — confirmações de pagamento, notificações de plano, respostas a suporte — são enviadas com base em execução de contrato (art. 7º, V) e não estão sujeitas a opt-out enquanto a conta estiver ativa.
13. Contato
Encarregado de Proteção de Dados:
Herbert B. R. Sorg Ludka
dponormaapp@gmail.com
Ratio Sistemas Educacionais
CNPJ 65.560.944/0001-69 · Blumenau, Santa Catarina, Brasil
E-mail geral: normaappmail@gmail.com
>>>>>>> 7f166c80f237e52aa5e8c783d1033a93229b4090
Telefone: (47) 9 9783-3118