Privacidade.

O que é coletado.

Coletamos apenas o mínimo necessário para operar o selo de autoria:

• Dados de cadastro: e-mail, nome de exibição, handle único. Usados para identificar o autor público do selo.
• Chave pública criptográfica (Ed25519): derivada no seu dispositivo. A chave privada nunca sai do seu navegador.
• Dados biométricos (opcional): usados apenas para verificação de vivacidade (liveness) em tiers de confiança superiores. Processados 100% on-device via face-api.js; nenhuma imagem da sua face é transmitida ou armazenada em nossos servidores.
• Hash não-reversível de IP: SHA-256 do endereço IP para rate-limiting e detecção de abuso. O IP bruto nunca é persistido.
• Metadata de selos: conteúdo do selo, timestamp, assinatura Ed25519, hash BLAKE3 do conteúdo. Ancorado na blockchain Polygon pelo próprio autor.

Para que servem.

Os dados são tratados com base legal no consentimento expresso (LGPD art. 7º, I) e, nos casos de dados biométricos, no consentimento específico e destacado (art. 11, I c/c art. 9º).

• Autenticar: confirmar que é você quem está selando o conteúdo.
• Provar autoria: o selo vincula conteúdo + autor + timestamp + ancoragem on-chain.
• Elevar tier de confiança: cada verificação adicional (telefone, biometria, governo, certificado) aumenta a confiança pública no selo — sempre sob consentimento.
• Prevenir fraude: rate-limiting e detecção de padrões abusivos por hash de IP.

Nunca usamos seus dados para publicidade, perfilamento comportamental ou venda a terceiros.

Por quanto tempo.

• Cadastro: mantido enquanto sua conta estiver ativa. Excluído em até 30 dias após requisição explícita (art. 18, VI LGPD).
• Biometria: processada em memória no seu navegador. Apenas o resultado binário (liveness OK / falha) é persistido, junto ao seu tier de confiança. Nenhum template facial é salvo.
• Selos publicados: ancorados on-chain, portanto persistem enquanto a rede Polygon operar. Você pode revogar um selo — isso atualiza o estado revoked em nossa base, e o hash original continua registrado na chain para histórico de auditoria.
• Hash de IP: mantido por até 90 dias, apenas para rate-limiting. Após isso é descartado.
• Logs técnicos: retidos por 180 dias para investigação de incidentes, sem identificação pessoal.

Seus direitos.

Conforme art. 18 da LGPD, a qualquer momento você pode:

• Confirmar o tratamento dos seus dados pessoais;
• Acessar os dados que mantemos sobre você;
• Corrigir dados incompletos, inexatos ou desatualizados;
• Portar seus dados para outro fornecedor;
• Revogar consentimento e solicitar exclusão — inclusive dos dados biométricos — com efeito em até 30 dias. Selos já ancorados on-chain permanecem registrados na chain para fins de auditoria pública, mas são marcados como revogados em nossa base e na interface de verificação;
• Reclamar à Autoridade Nacional de Proteção de Dados (ANPD) se entender que algum direito foi violado.

Como falar com a gente.

Dúvidas, requisições de direitos ou denúncias podem ser enviadas ao Encarregado de Tratamento de Dados (DPO):

Respondemos requisições LGPD em até 15 dias (art. 19). Em casos complexos, podemos estender para 30 dias com justificativa.

Fail-closed por design.

Nossos controles seguem o princípio fail-closed: se o formulário de consentimento falhar, nenhum dado biométrico é processado. O código do gate é auditável e segue o padrão abertoBiometricConsentGate.

A última revisão desta política foi em 2026-04-24. Qualquer mudança material será comunicada por e-mail antes de entrar em vigor, com prazo mínimo de 30 dias para você revisar e manter ou revogar o consentimento.