Política de Privacidade
Última atualização: 31 de maio de 2026.
Esta Política descreve como o aplicativo e o serviço Aurora Arcana coleta, usa, armazena, compartilha e protege seus dados pessoais. Foi escrita para cumprir simultaneamente a Lei Geral de Proteção de Dados Pessoais brasileira (LGPD, Lei 13.709/2018), o Regulamento Geral de Proteção de Dados europeu (GDPR, Regulamento UE 2016/679) e o California Consumer Privacy Act (CCPA/CPRA).
1. Controlador de dados
O controlador dos dados pessoais tratados pelo Aurora Arcana é:
- Marcos da Silva de Souza (pessoa física, empresário individual, enquanto a constituição de pessoa jurídica estiver pendente)
- Endereço de contato: a ser fornecido sob solicitação formal por escrito ao e-mail abaixo.
- E-mail de contato: [email protected]
2. Encarregado pelo Tratamento de Dados (DPO)
Por enquanto, o papel de Encarregado (DPO) previsto no Art. 41 da LGPD e nos Art. 37–39 do GDPR é exercido provisoriamente pelo próprio controlador, pelo canal:
3. Dados que coletamos
Coletamos apenas o necessário para o funcionamento do app.
3.1. Identificadores
- anonId — UUID gerado no dispositivo, armazenado localmente. Liga seu histórico ao backend sem exigir login.
- Nome (opcional) — se você preencher em Ajustes.
- E-mail (opcional) — se assinar o Aurora+ ou ativar recuperação de conta.
3.2. Dados sensíveis
Os dados desta subseção são dados pessoais sensíveis nos termos do Art. 5, II da LGPD e do Art. 9 do GDPR. Exigem consentimento específico e destacado.
- Dados de nascimento usados para o mapa natal: data, hora, cidade, latitude/longitude, fuso horário.
- Bem-estar emocional capturado pelo mood tracker: emoji, escala de energia, nota textual opcional.
- Conversas com a Aurora: tudo o que você digita ao chat, incluindo contexto emocional.
3.3. Conteúdo gerado por você
- Tiradas de cartas, humor diário, conversas, leituras compartilhadas, feed social (se opt-in).
3.4. Localização
- Cidade de nascimento: você fornece manualmente; geocodificada.
- Localização atual: somente se ativar astrocartografia.
- País pelo IP via Cloudflare: usado uma vez para pré-marcar o picker de país; o IP não é armazenado.
3.5. Dispositivo e push
- Token de push (APNs/FCM), plataforma, versão do app.
3.6. Pagamento
- IDs do Stripe (customer, subscription, payment intent). Não armazenamos número de cartão.
3.7. Telemetria
- Mínima e opt-out.
4. Base legal por finalidade
Cada finalidade tem base legal específica, conforme Art. 7 da LGPD e Art. 6 do GDPR (e Art. 9 quando se trata de dados sensíveis):
- Operar o app (sortear cartas, salvar histórico): execução de contrato (LGPD Art. 7, V · GDPR Art. 6(1)(b)).
- Mapa natal e chat com a Aurora: consentimento específico (LGPD Art. 7, I e Art. 11, I · GDPR Art. 9(2)(a)).
- Astrocartografia e push: consentimento via prompt do SO.
- Pré-seleção de país pelo IP: legítimo interesse, baixo risco (LGPD Art. 7, IX · GDPR Art. 6(1)(f)).
- Assinatura Aurora+: execução de contrato.
- Segurança e prevenção de fraude: legítimo interesse.
- Obrigações fiscais e judiciais: obrigação legal.
Você pode revogar qualquer consentimento a qualquer momento.
5. Compartilhamento com terceiros (processadores)
Não vendemos seus dados. Compartilhamos apenas com processadores estritamente necessários, sob contrato (Art. 33 LGPD / Art. 28 GDPR):
- Stripe — pagamentos e assinaturas (EUA, sob SCC).
- OpenAI — geração de respostas da Aurora, com
store=falseobrigatório (EUA, sob SCC). - Cloudflare — CDN, proxy reverso, proteção (rede global, sob SCC).
- Apple e Google — distribuição, notificações push.
Como o app é operado a partir do Brasil e usa processadores nos Estados Unidos, há transferência internacional, amparada por Cláusulas Contratuais Padrão (Art. 46 GDPR; Art. 33–36 LGPD).
6. Retenção
- Dados mantidos enquanto a conta estiver ativa.
- Após exclusão (
DELETE /api/users/me) ou desinstalação, mantemos 30 dias para disputas de pagamento. - Após esse período, dados são eliminados ou anonimizados.
- Logs de segurança e dados fiscais podem ser retidos pelo prazo legal mínimo.
7. Seus direitos como titular
Conforme Art. 18 da LGPD e Art. 15–21 do GDPR, você tem direito a:
- Acesso e portabilidade —
GET /api/users/me/export. - Correção —
PATCH /api/users/meou em Ajustes. - Eliminação —
DELETE /api/users/me. - Anonimização ou bloqueio — por solicitação ao e-mail.
- Revogação de consentimento — em Ajustes ou por e-mail.
- Informação sobre compartilhamento — Seção 5.
- Oposição a tratamento baseado em legítimo interesse.
- Reclamação à ANPD (Brasil) ou autoridade nacional no EEE.
Atendemos solicitações em até 15 dias (LGPD) e 30 dias (GDPR).
8. Crianças e adolescentes
O Aurora Arcana não é destinado a menores de 13 anos.
- Brasil: 13–17 anos exigem consentimento de pais ou responsáveis (LGPD Art. 14).
- União Europeia: GDPR Art. 8 — limite padrão 16 anos.
- EUA: COPPA — proibido tratamento de menores de 13 sem consentimento parental verificável.
9. Segurança
- TLS 1.2+ em todo o tráfego.
- Segredos rotacionados a cada 90 dias.
- Senhas e tokens nunca em texto claro.
- Auditoria de acesso administrativo.
- Princípio de menor privilégio.
- Pseudonimização em telemetria — o
anonIdnunca é enviado a terceiros, incluindo OpenAI.
10. Cookies e armazenamento local
No app: apenas armazenamento técnico estritamente necessário. Sem SDKs de tracking, fingerprinting ou ads comportamental.
No site: apenas cookies/localStorage estritamente necessários (sessão e idioma). Sem marketing, analytics cross-site ou pixels de redes sociais.
11. Inteligência Artificial
O recurso Aurora usa o modelo gpt-5-nano da OpenAI:
- Respostas são geradas estatisticamente — podem conter imprecisões.
- Conteúdo é simbólico. Não use para decisões médicas, jurídicas, financeiras ou de segurança.
- Conversas não são usadas para treinar modelos —
store=falseobrigatório. anonIdnunca é enviado à OpenAI.
11.a. Decisões Automatizadas (Art. 22 GDPR / Art. 20 LGPD)
A Aurora gera respostas usando IA, mas nenhuma decisão com efeitos jurídicos é tomada exclusivamente por processamento automatizado. Suas leituras são simbólicas e contemplativas. Você tem direito a revisão humana — escreva para [email protected] com o assunto Art. 20 LGPD / Art. 22 GDPR review.
12. Residentes da Califórnia (CCPA / CPRA)
Se você é residente da Califórnia, a CCPA/CPRA garante direitos específicos. Para exercê-los visite Your Privacy Choices ou escreva para [email protected].
13. Alterações nesta política
Podemos atualizar esta política. A versão vigente é sempre a publicada nesta página. Alterações materiais serão comunicadas no app antes de entrar em vigor.
14. Contato
- E-mail: [email protected]
- ANPD: gov.br/anpd