SeloVivo
Política · LGPD

Política de Privacidade

Última atualização: 17 de maio de 2026

Esta política descreve, em linguagem direta, como o SeloVivo trata dados pessoais. Foi escrita para atender à Lei Geral de Proteção de Dados (LGPD, Lei nº 13.709/2018) e ao princípio de privacidade desde a concepção.

1. Quem somos

O SeloVivo é desenvolvido e mantido pela DeegaLabs, com sede em Florianópolis/SC. Para fins da LGPD, somos o controlador dos dados pessoais tratados durante o piloto.

Em parceria com a TokenEconomy (Curitiba/PR), produto direcionado a advogados e correspondentes jurídicos brasileiros.

2. O que coletamos e por quê

  • E-mail da advogada — para autenticação por magic link e comunicação operacional. Base legal: execução de contrato (art. 7º, V).
  • Registro OAB — informado pela advogada no painel. Usado para consulta de status na OAB no momento da emissão (RN-04). Base legal: legítimo interesse (art. 7º, IX) na prevenção de fraude.
  • Segredo TOTP (criptografado) — gerado durante o cadastro do segundo fator. Nunca sai do servidor.
  • Dados do correspondente (nome, documento, finalidade, local) — informados pela advogada para emitir a credencial. Tratados como dados de terceiro, sob responsabilidade da advogada emissora.
  • Trilha de auditoria — registro append-only de cada emissão, verificação e revogação, com timestamp, atores e resultado. Base legal: legítimo interesse na auditabilidade e prevenção de fraude.

Não coletamos: CPF da advogada, endereço residencial, telefone, dados bancários, dados de geolocalização, dados sensíveis (saúde, religião, biométricos).

3. O que vai para a blockchain

A blockchain pública cheqd recebe apenas o hash SHA-256 do payload da credencial e o ponteiro de status (ativa/revogada). Nenhum dado pessoal chega à blockchain — nem nome, nem documento, nem e-mail. Esta é uma decisão arquitetural intencional (RN-03), pois transações on-chain são imutáveis e incompatíveis com o direito ao apagamento (art. 18, VI).

4. Com quem compartilhamos

  • Resend (provedor de e-mail transacional, EUA): envio de magic links. Apenas o e-mail destinatário e o conteúdo da mensagem.
  • Neon (banco de dados Postgres, região São Paulo): armazenamento operacional. Dados ficam em território nacional.
  • Vercel (hospedagem da aplicação, infraestrutura global): execução do código e cache de respostas públicas (página de verificação).
  • cheqd (blockchain pública): apenas hashes e ponteiros, conforme descrito acima.

5. Por quanto tempo guardamos

  • Credenciais emitidas + auditoria: mantidas pelo tempo do piloto e por 5 anos após o encerramento da relação, para fins de auditoria e prevenção de fraude (art. 16, II).
  • Sessões e cookies: expiram automaticamente em 30 dias.
  • E-mails enviados pelo Resend: conforme a política do Resend (90 dias por padrão).

6. Cookies

Usamos apenas cookies estritamente necessários: um único cookie de sessão (HttpOnly, Secure, SameSite=Lax) emitido pelo Auth.js para manter você autenticada. Não usamos cookies de analytics, marketing ou rastreio entre sites.

7. Seus direitos (art. 18 LGPD)

Você pode, a qualquer momento, solicitar:

  • Confirmar se tratamos seus dados
  • Acessar uma cópia dos dados que mantemos sobre você
  • Corrigir dados incompletos ou desatualizados
  • Solicitar a anonimização, bloqueio ou eliminação de dados desnecessários (com a ressalva de que registros on-chain são imutáveis — só armazenamos hashes lá)
  • Portar seus dados para outro fornecedor
  • Saber com quem compartilhamos
  • Revogar consentimento, quando aplicável

Pra exercer qualquer direito, escreva pro encarregado: daniel@deegalabs.com.br. Respondemos em até 15 dias.

8. Segurança

Aplicamos HTTPS obrigatório, HSTS de 2 anos, cookies HttpOnly, dois fatores obrigatórios para emissão, e PII fica fora da blockchain. Detalhes técnicos em SECURITY.md.

9. Alterações

Esta política pode mudar conforme o produto evolui. Sempre que alterarmos materialmente, comunicamos por e-mail aos usuários ativos com pelo menos 15 dias de antecedência.

10. Contato

Encarregado pelo Tratamento de Dados (DPO): daniel@deegalabs.com.br
DeegaLabs · Florianópolis/SC · Brasil