Política de Privacidade

Vulcan (By Vulcan Sistemas Ltda.) é o controlador dos seus dados pessoais coletados por meio do Vulcan Notebook.

Contato do DPO (Encarregado de Proteção de Dados):

E-mail: privacidade@byvulcan.com

Endereço: São Paulo, SP, Brasil

Coletamos apenas os dados necessários para a prestação do Serviço:

• Dados de conta: nome, endereço de e-mail, senha (armazenada com hash bcrypt);

• Dados de uso: notas, abas, tags, preferências de interface criadas por você;

• Dados técnicos: endereço IP (anonimizado), tipo de navegador, sistema operacional, logs de acesso;

• Dados de autenticação terceiros: se você usar login Google, recebemos seu nome e e-mail do provedor OAuth.

Tratamos seus dados com base nas seguintes finalidades e bases legais:

• Prestação do Serviço (LGPD art.7,II / GDPR art.6,1,b): autenticação, armazenamento de notas, sincronização;

• Segurança e prevenção a fraudes (LGPD art.7,VI / GDPR art.6,1,f – interesse legítimo): detecção de acessos suspeitos, logs de auditoria;

• Cumprimento de obrigações legais (LGPD art.7,III / GDPR art.6,1,c): retenção de dados fiscais e de auditoria;

• Melhorias do produto (interesse legítimo): análise anonimizada de uso para aprimorar funcionalidades — nunca identificamos usuários individualmente neste processo.

Não vendemos seus dados pessoais. Compartilhamos apenas com:

• Supabase (infraestrutura de banco de dados e autenticação) — DPA executado;

• Vercel (hospedagem da aplicação) — DPA executado;

• Google (autenticação OAuth, quando utilizada) — regida pela política de privacidade do Google;

• Autoridades governamentais: somente mediante ordem judicial ou obrigação legal.

Todos os fornecedores operam sob acordos de processamento de dados (DPA) compatíveis com LGPD e GDPR.

Conforme a LGPD (art.18), GDPR (art.15–22) e CCPA, você tem direito a:

• Acesso: saber quais dados temos sobre você;

• Correção: corrigir dados inexatos ou desatualizados;

• Eliminação: solicitar a exclusão dos seus dados (exceto quando há obrigação legal de retenção);

• Portabilidade: exportar seus dados em formato estruturado (JSON/CSV);

• Revogação de consentimento: quando o tratamento se basear em consentimento;

• Oposição ao tratamento: quando baseado em interesse legítimo;

• Limitação: solicitar a restrição do tratamento em casos específicos;

• Não discriminação (CCPA): não seremos negados serviços por exercer seus direitos.

Para exercer seus direitos: privacidade@byvulcan.com — respondemos em até 15 dias.

Mantemos seus dados pelo tempo necessário para prestação do Serviço:

• Dados de conta e notas: enquanto a conta estiver ativa;

• Após exclusão da conta: soft-delete imediato, hard-delete em até 30 dias;

• Logs de auditoria: 90 dias;

• Dados fiscais e contábeis: conforme obrigação legal (tipicamente 5 anos).

Após os prazos, os dados são eliminados de forma segura e irreversível.

Adotamos medidas técnicas e organizacionais para proteger seus dados:

• Transmissão via TLS 1.3;

• Senhas armazenadas com hash bcrypt (fator de custo 12);

• Tokens de autenticação com validade e rotação automática;

• Banco de dados com criptografia em repouso (AES-256);

• Controles de acesso por função (RBAC) na infraestrutura;

• Revisões de segurança periódicas.

Em caso de incidente de segurança que afete seus dados, notificaremos as autoridades competentes em até 72h (GDPR) e os usuários afetados sem demora injustificada.

Utilizamos apenas cookies estritamente necessários para o funcionamento do Serviço:

• Cookie de sessão: mantém você autenticado durante o uso;

• Cookie de preferências: armazena configurações de idioma e tema.

Não utilizamos cookies de rastreamento, publicidade ou análise comportamental de terceiros. Não há necessidade de banner de consentimento de cookies, pois não usamos cookies não essenciais.

Seus dados podem ser processados fora do Brasil, especificamente nos servidores da Vercel (EUA/UE) e Supabase (EUA/UE). Essas transferências são realizadas com base em:

• Cláusulas contratuais padrão (SCCs) aprovadas pela Comissão Europeia;

• Acordo de Proteção de Dados (DPA) com cada provedor.

Garantimos que o nível de proteção é equivalente ao exigido pela LGPD e pelo GDPR.

O Serviço não é direcionado a crianças menores de 13 anos. Não coletamos intencionalmente dados de menores de 13 anos. Usuários entre 13 e 18 anos devem ter consentimento dos responsáveis legais.

Se você identificar que coletamos dados de uma criança menor de 13 anos sem o devido consentimento, entre em contato imediatamente: privacidade@byvulcan.com.

Podemos atualizar esta Política periodicamente. Notificaremos mudanças materiais por e-mail ou mediante aviso em destaque no Serviço, com pelo menos 15 dias de antecedência. O uso continuado do Serviço após a notificação constitui aceitação da Política atualizada.

Para exercer seus direitos ou esclarecer dúvidas sobre privacidade:

Encarregado de Proteção de Dados (DPO)

E-mail: privacidade@byvulcan.com

Resposta em até: 15 dias (LGPD) / 30 dias (GDPR) / 45 dias (CCPA)

Para reclamações: você também pode contatar a ANPD (Brasil) em gov.br/anpd ou a autoridade de proteção de dados do seu país.