Política de Privacidade do Livretto
1. Quem somos
O Livretto é um produto da Selo7 Lab. Aqui, sempre que dissermos "nós", estamos falando da Selo7 Lab.
Você confia o seu livro a nós quando usa o Livretto (https://livretto.online). Por isso esta política existe: para deixar claro o que fazemos com os seus dados, o que não fazemos e como você pode pedir contas.
Sob a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018), somos a controladora dos seus dados pessoais. Controladora é a empresa que decide o que se faz com os dados — ou seja, a responsável.
A Selo7 Lab opera atualmente como iniciativa pré-constituição formal; quando houver registro de CNPJ, esta seção será atualizada com a razão social completa. Até lá, a responsabilidade pessoal pelo tratamento dos dados é do CEO, identificado no canal de contato abaixo.
Canal para falar com a gente sobre privacidade: brunobrm@gmail.com.
2. Que dados coletamos
Coletamos só o que é necessário para o Livretto funcionar. Nada além disso.
2.1 Cadastro e acesso
- O seu e-mail.
- A sua senha, guardada em formato hash bcrypt. Hash é uma operação que embaralha a senha de um jeito que nem nós conseguimos reverter. A senha em texto claro nunca chega ao nosso banco.
Hoje o Livretto usa apenas e-mail e senha (via Supabase Auth). Não há login por Google ou outra rede social nesta versão.
2.2 O seu manuscrito
- O texto do livro, título, autor, sinopse, classificações e demais metadados que você digita no editor.
- A estrutura: capítulos, capa, intercapas, e configurações de formato (KDP, A5 e outros).
- Imagens que você envia, quando envia (capas, ilustrações).
2.3 Registros de uso (logs operacionais)
- IP, navegador, data e hora dos seus eventos de autenticação — login, logout, recuperação de senha.
- Data e hora das suas operações sobre o livro — criar, salvar, exportar.
- Mensagens de erro do servidor (qual rota, qual exceção). Esses logs não incluem o corpo do seu manuscrito.
2.4 O que nós não coletamos
- CPF, RG, endereço residencial, telefone, dados bancários.
- Cookies de terceiros, pixels de rastreamento, trackers de publicidade.
3. Por que podemos tratar esses dados (base legal LGPD)
A LGPD exige que toda coleta de dados tenha uma base legal. Aqui estão as nossas.
| Dado | Para quê | Base legal |
|---|---|---|
| E-mail e senha | Autenticar e proteger a sua conta | Execução de contrato (Art. 7º, V) |
| Manuscrito (texto, capítulos, capa) | Salvar, versionar e exportar o seu livro | Execução de contrato (Art. 7º, V) |
| Registros de uso | Operar e manter a segurança do serviço | Legítimo interesse (Art. 7º, IX), limitado ao mínimo necessário |
| Comunicações de marketing | Avisar sobre novidades, conteúdo opcional | Consentimento explícito (Art. 7º, I) — sempre opt-in, nunca presumido |
Hoje não enviamos marketing. Se um dia passarmos a enviar, será só com a sua autorização explícita. Cada e-mail terá um link claro para descadastrar.
4. Para que usamos os seus dados
Usamos os seus dados estritamente para:
- Deixar você entrar na sua conta e impedir acessos indevidos.
- Salvar, versionar, recuperar e exportar o seu livro nos formatos suportados (PDF e EPUB).
- Operar a infraestrutura — monitorar erros, prevenir abuso e fraudes, cumprir obrigações legais.
- Atender as suas solicitações sobre os seus próprios dados (acesso, correção, exclusão, portabilidade).
O que nós não fazemos com o seu manuscrito:
- Não usamos para treinar modelos de IA.
- Não geramos produtos derivados.
- Não vendemos para terceiros.
- Não usamos para nenhuma finalidade que não esteja na lista acima.
5. Por quanto tempo guardamos
Mantemos cada categoria de dado só pelo tempo necessário.
| Categoria | Retenção |
|---|---|
| Conta (e-mail e hash da senha) | Enquanto a sua conta existir. Quando você apaga a conta, removemos em até 30 dias. |
| Manuscrito (texto, capítulos, capa, imagens) | Enquanto a sua conta existir. Quando você apaga a conta ou o livro, removemos em até 30 dias. |
| Registros de uso | 90 dias. Rotina automática de expurgo. |
| Registros de exportação (PDF / EPUB) | 30 dias. |
| Dados retidos por obrigação legal | Pelo prazo mínimo que a lei exigir. |
Os backups do banco (no Supabase) podem reter dados por um período adicional limitado, só para recuperação de desastres. Esses backups expiram no ciclo de retenção do provedor e não são usados para nenhuma outra finalidade.
6. Os seus direitos como titular (LGPD, Art. 18)
Você é o titular dos seus dados — ou seja, a pessoa a quem os dados se referem. A LGPD garante a você os seguintes direitos, a qualquer momento:
- Confirmação e acesso. Saber se tratamos os seus dados e receber uma cópia deles.
- Correção. Pedir que corrijamos dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação. Pedir a remoção de dados desnecessários, excessivos ou tratados em desacordo com a LGPD.
- Portabilidade. Receber os seus dados em formato estruturado. A exportação do seu livro em PDF e EPUB já está disponível dentro do Livretto.
- Eliminação de dados tratados por consentimento. Revogar o consentimento e pedir a exclusão dos dados respectivos.
- Informação sobre compartilhamento. Saber com quem compartilhamos os seus dados (ver Seção 8).
- Revogação de consentimento quando aplicável.
- Oposição ao tratamento, caso identifique descumprimento da LGPD.
Como pedir: envie um e-mail para brunobrm@gmail.com com o assunto "LGPD — [tipo de solicitação]". Use o mesmo e-mail que você cadastrou no Livretto.
Responderemos em até 15 dias corridos.
7. Cookies e armazenamento no seu navegador
O Livretto guarda no seu navegador só o estritamente necessário para o serviço funcionar:
- Cookies de sessão e autenticação do Supabase Auth — mantêm você logado entre páginas.
localStorage— preserva o estado do editor entre recargas (o rascunho não-salvo e as suas preferências de interface).
O que nós não usamos:
- Cookies de terceiros.
- Cookies analíticos (Google Analytics, Hotjar e similares).
- Pixels de remarketing (Meta, Google Ads e similares).
- Trackers de publicidade.
Se um dia passarmos a usar analytics ou ferramentas de marketing, atualizaremos esta política e adicionaremos um banner de consentimento, como manda a LGPD.
8. Com quem compartilhamos (subprocessadores)
Para operar o Livretto, contamos com alguns serviços externos. Cada um deles é um subprocessador — uma empresa que trata dados em nosso nome, sob obrigação contratual de proteção. A lista completa, hoje:
| Subprocessador | O que faz | Que dados acessa | Política de privacidade dele |
|---|---|---|---|
| Supabase, Inc. | Banco de dados, autenticação, armazenamento de arquivos e envio de e-mails transacionais (recuperação de senha) via SMTP padrão do Supabase Auth | E-mail, hash da senha, manuscrito, registros de uso | supabase.com/privacy |
| Vercel Inc. | Hospedagem da aplicação e rede de distribuição (CDN) | Logs HTTP, IP, navegador (durante as requisições) | vercel.com/legal/privacy-policy |
Não compartilhamos os seus dados com terceiros para publicidade ou marketing. Ponto.
9. Transferência internacional de dados
A infraestrutura do Livretto está fora do Brasil. O Supabase hospeda o banco e os arquivos na região US-East (Estados Unidos). O Vercel distribui a aplicação por uma rede global, com armazenamento primário também nos Estados Unidos.
Isso significa que os seus dados são transferidos para fora do país. A LGPD permite essa transferência sob duas hipóteses combinadas: o Art. 33, IX (a transferência é necessária para executar o contrato que você firmou conosco ao criar a conta) e o Art. 33, II (cláusulas contratuais específicas com os subprocessadores garantem o cumprimento dos princípios da LGPD).
10. Segurança
Adotamos as seguintes medidas técnicas para proteger os seus dados:
- Criptografia em trânsito. Todo o tráfego entre você e o Livretto passa por HTTPS / TLS.
- Senhas protegidas com hash. Usamos bcrypt. A sua senha em texto claro nunca é gravada e nunca é devolvida por nenhuma resposta da API.
- Isolamento por conta. O banco de dados usa Row-Level Security (RLS) — uma regra do próprio banco que impede uma conta de ler ou alterar os dados de outra. Cada autor enxerga só os seus livros.
- Controle estrito das chaves de administração. As credenciais com acesso pleno ao banco ficam restritas a um único responsável técnico autorizado. A aplicação pública não usa essas chaves.
- Princípio do menor privilégio. O backend e os processos auxiliares operam com credenciais limitadas — só leem e escrevem o estritamente necessário para a função que executam.
Não detalhamos integralmente os nossos controles internos, para não fornecer um roteiro a quem quiser nos atacar. Em caso de pedido legítimo de auditoria, oferecemos acesso supervisionado sob acordo de confidencialidade.
11. Incidente de segurança
Se um dia identificarmos um incidente de segurança que possa trazer risco ou dano relevante a você, este é o nosso protocolo:
- Contenção e investigação imediatas pelo responsável técnico.
- Aviso por e-mail aos autores afetados, com a descrição do incidente, quais dados foram envolvidos, os riscos possíveis e as medidas que estamos adotando para conter o impacto. Faremos isso em prazo razoável a partir do momento em que identificarmos o incidente.
- Comunicação à Autoridade Nacional de Proteção de Dados (ANPD — o órgão público que regula a LGPD), conforme o Art. 48, em prazo razoável a contar da identificação do incidente, observada a recomendação da ANPD de comunicação tempestiva.
- Registro interno do incidente, das lições aprendidas e das medidas preventivas adicionadas.
12. Atualizações desta política
Esta política pode mudar. Quando mudar, atualizamos o histórico de versões logo abaixo, na própria página.
| Versão | Data | Resumo |
|---|---|---|
| 1.0 | a preencher na data da assinatura do CEO | Versão inicial. |
Quando a mudança for relevante — por exemplo, um novo subprocessador, uma nova finalidade ou um novo tipo de dado coletado — avisaremos você com pelo menos 15 dias de antecedência. O aviso sai por e-mail e também aparece dentro do próprio Livretto, antes de a nova versão entrar em vigor.
Selo7 Lab — Livretto