MeuTCCAppSite institucional
Abrir navegação
AjudaTutorialFAQDepoimentosContato
EntrarCriar conta

Proteção de dados

Política de privacidade

Entenda quais dados são coletados, por que eles são tratados e como exercer seus direitos.

Versao 2026-03-30Vigencia 30/03/2026

Esta Política explica, em linguagem direta, quais dados pessoais o MeuTCCApp coleta, por que precisa deles, com quem compartilha e como você pode controlar tudo isso.

Seguimos a Lei Geral de Proteção de Dados (LGPD) e tratamos seus dados como tratamos os nossos: com cuidado, transparência e o mínimo necessário para o Serviço funcionar.

1. Controlador, operadores e contato

Quem é o responsável pelo tratamento dos seus dados no MeuTCCApp e como falar conosco:

  • Controlador (art. 5º, VI LGPD): Ryuki Alex Katsurem — atua também como encarregado (DPO) declarado, conforme permitido para operações de pequeno porte (art. 41 LGPD + Resolução CD/ANPD 2/2022).
  • Operadores (art. 5º, VII LGPD): provedores listados na seção 5, contratados sob Acordo de Processamento de Dados (DPA) com obrigações LGPD vinculantes.
  • Contato oficial: meutccappsuporte@gmail.com — único canal para exercer direitos do titular e reportar incidentes.
  • Prazo de resposta: até 15 dias corridos para solicitações LGPD (acesso, correção, exclusão, portabilidade).
  • Identificação: para atender pedidos de direitos, podemos solicitar comprovação de identidade (e-mail cadastrado + dado adicional) para evitar fraude.

Use sempre o canal oficial. Nunca compartilhe dados sensíveis em redes sociais ou e-mails não verificados.

2. Dados coletados

Coletamos apenas o necessário para o Serviço funcionar bem e para cumprir obrigações legais. Nada de coleta indiscriminada.

  • Cadastro: nome, e-mail, nome de usuário, senha (em hash bcrypt, nunca em texto puro), tipo de conta (estudante ou professor), versão dos termos aceitos.
  • Acesso e segurança: endereço IP, user-agent do navegador, horários de login, tentativas falhas, dispositivos vinculados.
  • Conteúdo: arquivos, textos, comentários, referências bibliográficas e qualquer dado inserido por você na Plataforma.
  • Pagamento: NÃO armazenamos cartão, CVV ou dados bancários. Apenas o status da assinatura e o identificador do gateway (Kiwify) ficam no sistema.
  • Identificação fiscal (CPF): coletado apenas para emissão de nota fiscal. Armazenado de forma criptografada e nunca exibido após cadastrado.
  • Telemetria de uso: páginas visitadas dentro da Plataforma, ações executadas (criar TCC, exportar PDF), eventos de erro técnico. Não usamos session replay, heatmaps ou rastreamento entre sites de terceiros — apenas event tracking agregado em telemetria interna.

3. Finalidades do tratamento

Cada dado coletado tem uma finalidade específica. Não usamos seus dados para algo que não esteja listado abaixo:

  • Criar e autenticar sua conta, manter sua sessão segura e proteger contra acesso não autorizado.
  • Entregar as funcionalidades contratadas (editor, exportação, colaboração, gestão de referências).
  • Processar pagamentos e gerir o ciclo da sua assinatura.
  • Prevenir fraude, abuso, ataques automatizados e uso indevido do Serviço.
  • Cumprir obrigações legais, regulatórias e fiscais (emissão de nota, retenção contábil, atendimento a autoridades).
  • Enviar comunicações operacionais (verificação de e-mail, recuperação de senha, avisos de segurança e atualizações relevantes do plano).
  • Melhorar o produto a partir de telemetria agregada e anonimizada — nunca individualizada para fins de marketing externo.

4. Bases legais

Cada tratamento se ampara em uma base legal específica da LGPD:

  • Execução de contrato (art. 7º, V) — para criar conta, entregar o Serviço, processar pagamentos e enviar comunicações operacionais.
  • Obrigação legal (art. 7º, II) — para emitir nota fiscal, atender ordens judiciais e cumprir exigências regulatórias.
  • Interesse legítimo (art. 7º, IX) — para prevenir fraude, proteger a Plataforma e melhorar o produto com telemetria agregada.
  • Consentimento (art. 7º, I) — para qualquer uso fora das bases acima, com pedido explícito e direito de revogação a qualquer momento.

Marketing direto e cookies não essenciais dependem do seu consentimento expresso. Sem opt-in, não enviamos.

5. Compartilhamento

Não vendemos seus dados. Compartilhamos apenas com provedores estritamente necessários para operar o Serviço, e cada um deles é contratualmente vinculado a tratá-los conforme a LGPD.

  • Pagamento: Kiwify (processamento de checkout e gateway) e provedores bancários intermediários.
  • Infraestrutura: Render (hospedagem da API), Supabase (banco de dados e armazenamento de arquivos), Vercel (frontend), CDN para entrega de assets.
  • E-mail transacional: Resend (verificação, recuperação de senha, avisos operacionais). Nunca para marketing sem consentimento.
  • Observabilidade: Sentry (rastreamento de erros, com sanitização de dados pessoais nas stack traces).
  • Autoridades públicas: quando exigido por lei, ordem judicial ou requisição oficial fundamentada.

Não compartilhamos seu trabalho acadêmico ou conteúdo do editor com terceiros sob nenhuma hipótese comercial.

6. Segurança

Segurança não é um item de checklist — é um compromisso operacional contínuo. Aplicamos defesa em camadas e revisamos os controles regularmente.

  • Senhas armazenadas em hash criptográfico moderno — não temos como ver sua senha em texto puro.
  • Sessões protegidas por tokens em cookies seguros (HttpOnly, Secure em produção, SameSite) para resistir a XSS e CSRF.
  • Bloqueio automático da conta após múltiplas tentativas de login falhas, com janela de cooldown.
  • Rate limiting em endpoints sensíveis (login, recuperação de senha, cadastro) para reduzir ataques automatizados.
  • CPF armazenado em formato criptografado, jamais exibido após o cadastro inicial.
  • Logs de segurança e auditoria de eventos relevantes (login, troca de senha, alterações de plano) para investigação de incidentes.
  • HTTPS obrigatório em todas as conexões com a Plataforma.
  • Revisões periódicas de dependências e SAST automatizado para identificar vulnerabilidades.

Nenhum sistema é 100% seguro. Faça sua parte: senha forte, não compartilhe credenciais e ative a verificação de e-mail.

7. Resposta a incidentes de segurança

Se ocorrer um incidente de segurança que comprometa dados pessoais — vazamento, acesso não autorizado ou perda de informação —, agimos conforme o protocolo previsto na Resolução CD/ANPD nº 15/2024.

  • Notificação à ANPD em até 3 dias úteis a partir da constatação, conforme a regulamentação vigente.
  • Notificação direta ao titular quando houver risco ou dano relevante aos seus direitos, pelos canais de contato cadastrados.
  • Comunicação clara sobre: natureza dos dados afetados, escopo do incidente, medidas tomadas e ações que o titular pode adotar para mitigar danos.
  • Após contenção, publicamos relatório de pós-incidente com causa-raiz e correções implementadas.

Suspeita de incidente envolvendo sua conta? Avise imediatamente pelo canal oficial com o assunto [URGENTE - INCIDENTE].

8. Retenção e descarte

Mantemos seus dados apenas pelo tempo necessário a cada finalidade. Depois disso, anonimizamos ou descartamos.

  • Conta ativa: dados mantidos enquanto a conta existir.
  • Conta encerrada: dados pessoais excluídos em até 90 dias, salvo retenção legal obrigatória (ex: nota fiscal por 5 anos).
  • Logs de segurança: retidos por até 12 meses para investigação de incidentes.
  • Backups: ciclo de retenção de até 30 dias após a exclusão da conta primária.
  • Dados anonimizados (sem possibilidade de re-identificação) podem ser mantidos indefinidamente para análise agregada.

9. Direitos do titular

A LGPD garante a você um conjunto de direitos sobre seus dados pessoais. Todos podem ser exercidos diretamente conosco, sem custo.

  • Confirmação e acesso — saber se tratamos seus dados e obter cópia.
  • Correção — atualizar dados incompletos, inexatos ou desatualizados.
  • Anonimização, bloqueio ou eliminação — pedir descarte de dados desnecessários ou tratados em desacordo com a lei.
  • Portabilidade — receber seus dados em formato estruturado e interoperável (JSON ou CSV).
  • Eliminação dos dados tratados com consentimento — exceto quando houver outra base legal aplicável.
  • Informação sobre compartilhamento — saber com quais terceiros seus dados foram compartilhados.
  • Revogação de consentimento — desfazer o opt-in a qualquer momento, sem prejuízo da legalidade do tratamento anterior.
  • Reclamação à ANPD — direito de reclamar à Autoridade Nacional de Proteção de Dados sobre tratamento que considere irregular.

Para exercer qualquer direito acima, envie e-mail para meutccappsuporte@gmail.com. Respondemos em até 15 dias.

10. Cookies e rastreamento

Usamos cookies em duas categorias bem definidas:

  • Essenciais — autenticação, manutenção da sessão, prevenção de CSRF, balanceamento de carga. Não há como desabilitar sem quebrar o Serviço.
  • Analíticos e marketing (opcionais) — só são carregados após o seu consentimento explícito no banner de cookies. Você pode revogar a qualquer momento.

Não usamos rastreadores entre sites (cross-site tracking) sem consentimento. Respeitamos o sinal Do Not Track quando enviado pelo navegador.

11. Transferência internacional

Alguns provedores que utilizamos processam dados fora do Brasil (Render nos EUA, Supabase variável conforme região contratada). Esses casos seguem as garantias previstas no art. 33 da LGPD: cláusulas-padrão contratuais, certificações reconhecidas e avaliação prévia do nível de proteção do país de destino.

Você pode solicitar a qualquer momento a lista atualizada de subprocessadores e suas localizações pelo e-mail de suporte.

12. Contato do encarregado

Para dúvidas, reclamações, exercício de direitos ou qualquer assunto relacionado à proteção dos seus dados pessoais:

  • E-mail principal: meutccappsuporte@gmail.com.
  • Responsável: Ryuki Alex Katsurem (controlador e encarregado).
  • Prazo de resposta: até 15 dias corridos, conforme a LGPD.
  • Para incidentes de segurança graves, identifique o assunto como [URGENTE - LGPD] para priorização.
Política de privacidade | MeuTCCApp