Última atualização: 28 de maio de 2026 · Versão 2.0 · Em conformidade com a LGPD (Lei 13.709/18)
1. Controlador e Encarregado (DPO)
Controlador dos dados: Palavra do Dia, com sede no Brasil, contato: contato@palavradodia.app.
Encarregado pela Proteção de Dados (DPO, LGPD art. 41): equipe operacional do Palavra do Dia, contato direto: contato@palavradodia.app. Solicitações de titular respondidas em até 15 dias.
2. Quais dados coletamos
- Cadastro: e-mail, nome, foto de perfil (opcional), provedor de autenticação (Google ou e-mail/senha).
- Assinatura: identificadores Mercado Pago (ID da assinatura/preapproval, ID do pagador), status (trial/active/canceled), datas. Não armazenamos número, validade ou CVV do cartão — esses dados ficam exclusivamente no Mercado Pago (PCI-DSS Level 1).
- Uso do app: datas em que abriu o app, streak, completions diárias, momento de vida, horário do lembrete, canal de missa preferido, obra de caridade preferida.
- Intenções pessoais: texto que você escreve em “Acender vela pessoal”. Criptografado em repouso com AES-256-GCM, com o ID do usuário como AAD (additional authenticated data). Decifração possível apenas no servidor com a chave mestra.
- Push notifications (se você ativar): endpoint do navegador/dispositivo, chaves p256dh/auth necessárias pra entrega.
- Logs técnicos: IP (anonimizado a /24), user-agent, timestamps, mensagens de erro. Retenção máxima 90 dias.
- Cookies: apenas estritamente necessários (sessão de autenticação Supabase). Não usamos cookies de marketing ou rastreamento de terceiros.
3. Finalidades e bases legais (LGPD art. 7)
| Finalidade | Base legal |
|---|
| Manter conta, autenticar, entregar reflexão diária | Execução de contrato (art. 7º, V) |
| Cobrar assinatura, antifraude | Execução de contrato + obrigação legal (art. 7º, V e II) |
| Enviar notificações push (se ativada) | Consentimento (art. 7º, I) — revogável |
| Logs técnicos, segurança, prevenção a fraude | Legítimo interesse (art. 7º, IX) |
| Cumprir obrigações fiscais | Obrigação legal (art. 7º, II) |
Não usamos seus dados pessoais nem suas intenções criptografadas para treinar modelos de IA ou gerar conteúdo.
4. Compartilhamento e operadores
Os operadores abaixo recebem o mínimo de dados necessário pra prestar cada serviço:
- Supabase (banco + autenticação) — armazenamento de conta e dados de uso. Servidores nos EUA.
- Mercado Pago (processador de pagamento, PCI-DSS L1) — dados de cartão/Pix e cobrança. Servidores no Brasil.
- OpenAI (geração de IA) — apenas o texto litúrgico público é enviado. Nenhum dado pessoal e nenhuma intenção é enviada à OpenAI.
- Vercel (hospedagem + CDN) — tráfego HTTP. Edge global, com servidores nos EUA e regiões selecionadas.
- Resend (envio de e-mail transacional) — e-mail e nome para entrega de mensagens (welcome, reset, trial ending).
- Sentry (monitoramento de erros) — stack traces e contexto técnico de exceções. Email, IP e payload de request são filtrados antes do envio.
- PostHog (analytics de produto) — page views, eventos custom (cliques em CTA, fluxo de assinatura). Sem cookies de cross-site tracking. Identificador é UUID interno do Supabase Auth, não email.
Não vendemos, não alugamos, não comercializamos dados a terceiros. Compartilhamento adicional só ocorre por ordem judicial ou requisição de autoridade competente, com aviso ao titular quando legalmente permitido.
5. Transferência internacional (LGPD art. 33)
Supabase, OpenAI, Vercel, Resend, Sentry e PostHog processam dados nos Estados Unidos e em outras jurisdições; o Mercado Pago (processador de pagamento) processa no Brasil. A transferência se apoia nas hipóteses do art. 33 da LGPD (inciso I — países com nível adequado de proteção; inciso V — cumprimento de obrigação contratual com o titular). Todos os fornecedores adotam cláusulas contratuais padrão ou compromissos equivalentes de proteção de dados.
6. Seus direitos (LGPD art. 18)
Você pode, a qualquer momento:
- I — Confirmar se tratamos seus dados.
- II — Acessar os dados que temos sobre você.
- III — Corrigir dados incompletos, inexatos ou desatualizados.
- IV — Anonimizar, bloquear ou eliminar dados desnecessários, excessivos ou tratados em desconformidade.
- V — Portabilidade: receber os seus dados em formato estruturado, mediante pedido a contato@palavradodia.app (respondido em até 15 dias).
- VI — Eliminação dos dados pessoais tratados com base no consentimento — direto em Perfil → Apagar minha conta (operação irreversível).
- VII — Informação sobre com quem compartilhamos (ver seção 4).
- VIII — Revogação do consentimento (ex: desativar push) a qualquer momento.
- IX — Revisão de decisões automatizadas: nenhum tratamento de decisão automatizada com efeito jurídico relevante é feito; a geração de IA é apenas conteúdo editorial.
Para exercer qualquer direito, escreva para contato@palavradodia.app. Respondemos em até 15 dias.
7. Retenção e eliminação
- Dados de conta: enquanto a assinatura estiver ativa + 30 dias após o cancelamento (pra suportar reativação fácil).
- Solicitação de exclusão (“Apagar minha conta”): remoção em até 7 dias corridos da base ativa. Backups são rotacionados em até 30 dias.
- Dados de pagamento (notas fiscais, comprovantes): 5 anos por obrigação fiscal (CTN art. 174; Lei Complementar 123/2006).
- Logs técnicos: 90 dias máximo.
- Cron_runs e auditoria: 90 dias máximo.
8. Segurança
- HTTPS obrigatório em todas as conexões (HSTS preload).
- Row-Level Security (RLS) no banco — cada usuário só lê dados próprios; consultas administrativas são auditadas.
- Intenções pessoais cifradas em repouso com AES-256-GCM.
- Senhas armazenadas via hash bcrypt pelo provedor de autenticação.
- Headers de segurança: CSP estrita, X-Frame-Options DENY, Permissions-Policy.
- Auditoria de segurança interna realizada em maio de 2026.
9. Incidente de segurança (LGPD art. 48)
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos a ANPD e os titulares afetados em prazo razoável, conforme regulamentação vigente, com descrição do incidente, dados envolvidos, medidas tomadas e recomendações.
10. Crianças e adolescentes
O Serviço é destinado a maiores de 18 anos. Não coletamos deliberadamente dados de menores de 13 anos. Se identificarmos cadastro de menor sem consentimento dos responsáveis, a conta será removida (LGPD art. 14).
11. Reclamação à ANPD
Se entender que seus direitos não foram atendidos, você pode reclamar à Autoridade Nacional de Proteção de Dados (ANPD) em gov.br/anpd.
12. Mudanças
Avisamos por e-mail com 30 dias de antecedência quando essa política mudar materialmente. Pequenos ajustes de redação podem ocorrer sem aviso prévio. Versão e data ficam visíveis no topo desta página.