Política de Privacidade
Última atualização: 17 de maio de 2026
Esta política descreve, em linguagem direta, como o SeloVivo trata dados pessoais. Foi escrita para atender à Lei Geral de Proteção de Dados (LGPD, Lei nº 13.709/2018) e ao princípio de privacidade desde a concepção.
1. Quem somos
O SeloVivo é desenvolvido e mantido pela DeegaLabs, com sede em Florianópolis/SC. Para fins da LGPD, somos o controlador dos dados pessoais tratados durante o piloto.
Em parceria com a TokenEconomy (Curitiba/PR), produto direcionado a advogados e correspondentes jurídicos brasileiros.
2. O que coletamos e por quê
- E-mail da advogada — para autenticação por magic link e comunicação operacional. Base legal: execução de contrato (art. 7º, V).
- Registro OAB — informado pela advogada no painel. Usado para consulta de status na OAB no momento da emissão (RN-04). Base legal: legítimo interesse (art. 7º, IX) na prevenção de fraude.
- Segredo TOTP (criptografado) — gerado durante o cadastro do segundo fator. Nunca sai do servidor.
- Dados do correspondente (nome, documento, finalidade, local) — informados pela advogada para emitir a credencial. Tratados como dados de terceiro, sob responsabilidade da advogada emissora.
- Trilha de auditoria — registro append-only de cada emissão, verificação e revogação, com timestamp, atores e resultado. Base legal: legítimo interesse na auditabilidade e prevenção de fraude.
Não coletamos: CPF da advogada, endereço residencial, telefone, dados bancários, dados de geolocalização, dados sensíveis (saúde, religião, biométricos).
3. O que vai para a blockchain
A blockchain pública cheqd recebe apenas o hash SHA-256 do payload da credencial e o ponteiro de status (ativa/revogada). Nenhum dado pessoal chega à blockchain — nem nome, nem documento, nem e-mail. Esta é uma decisão arquitetural intencional (RN-03), pois transações on-chain são imutáveis e incompatíveis com o direito ao apagamento (art. 18, VI).
4. Com quem compartilhamos
- Resend (provedor de e-mail transacional, EUA): envio de magic links. Apenas o e-mail destinatário e o conteúdo da mensagem.
- Neon (banco de dados Postgres, região São Paulo): armazenamento operacional. Dados ficam em território nacional.
- Vercel (hospedagem da aplicação, infraestrutura global): execução do código e cache de respostas públicas (página de verificação).
- cheqd (blockchain pública): apenas hashes e ponteiros, conforme descrito acima.
5. Por quanto tempo guardamos
- Credenciais emitidas + auditoria: mantidas pelo tempo do piloto e por 5 anos após o encerramento da relação, para fins de auditoria e prevenção de fraude (art. 16, II).
- Sessões e cookies: expiram automaticamente em 30 dias.
- E-mails enviados pelo Resend: conforme a política do Resend (90 dias por padrão).
6. Cookies
Usamos apenas cookies estritamente necessários: um único cookie de sessão (HttpOnly, Secure, SameSite=Lax) emitido pelo Auth.js para manter você autenticada. Não usamos cookies de analytics, marketing ou rastreio entre sites.
7. Seus direitos (art. 18 LGPD)
Você pode, a qualquer momento, solicitar:
- Confirmar se tratamos seus dados
- Acessar uma cópia dos dados que mantemos sobre você
- Corrigir dados incompletos ou desatualizados
- Solicitar a anonimização, bloqueio ou eliminação de dados desnecessários (com a ressalva de que registros on-chain são imutáveis — só armazenamos hashes lá)
- Portar seus dados para outro fornecedor
- Saber com quem compartilhamos
- Revogar consentimento, quando aplicável
Pra exercer qualquer direito, escreva pro encarregado: daniel@deegalabs.com.br. Respondemos em até 15 dias.
8. Segurança
Aplicamos HTTPS obrigatório, HSTS de 2 anos, cookies HttpOnly, dois fatores obrigatórios para emissão, e PII fica fora da blockchain. Detalhes técnicos em SECURITY.md.
9. Alterações
Esta política pode mudar conforme o produto evolui. Sempre que alterarmos materialmente, comunicamos por e-mail aos usuários ativos com pelo menos 15 dias de antecedência.
10. Contato
Encarregado pelo Tratamento de Dados (DPO): daniel@deegalabs.com.br
DeegaLabs · Florianópolis/SC · Brasil