Política de Privacidade

Esta Política de Privacidade descreve como coletamos, usamos e protegemos seus dados pessoais, em conformidade com a Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018) e com o Marco Civil da Internet (Lei nº 12.965/2014).

Última atualização: 2025-11-10

1. Controlador, Operadores e Encarregado (DPO)

Controlador: Ricardo Krug
Email: contato@ricardokrug.com.br
Localização: Curitiba, PR, Brasil

Operadores (processadores): prestadores que tratam dados por nossa conta, descritos na seção 5.

Encarregado pelo tratamento de dados (DPO): Ricardo Krug — contato via contato@ricardokrug.com.br.

2. Dados Pessoais Coletados

Coletamos os seguintes tipos de dados pessoais quando você utiliza nosso site:

2.1. Dados de Autenticação

Quando você cria uma conta ou faz login através do serviço Clerk:

  • Nome completo
  • Endereço de e-mail
  • Imagem de perfil (opcional)
  • Identificadores técnicos de sessão/conta

2.2. Dados de Formulário de Contato

Quando você utiliza o formulário de contato:

  • Nome
  • Endereço de e-mail
  • Número de telefone (opcional)
  • Mensagem enviada

2.3. Dados de Comentários

Quando você comenta em artigos do blog:

  • ID do usuário
  • Conteúdo do comentário
  • Data e hora da publicação
  • Relação de encadeamento (comentários pai e respostas associadas)

2.4. Dados de Relatórios

As ferramentas de cálculo podem ser utilizadas sem login. Quando você utiliza essas ferramentas:

  • Uso sem login: dados de uso não identificados e agregados (anonimizados) para funcionamento e estatística em sessão.
  • Uso com login: associação dos dados do projeto à sua conta, incluindo:
    • ID do usuário
    • Dados do projeto (nome, tipo, duração, configurações de câmera, etc.)
    • Configurações de drives e armazenamento
    • Status do relatório (rascunho ou concluído)

2.5. Logs Técnicos

Podemos coletar logs de acesso e de eventos de aplicação, incluindo endereço IP, data e hora, user agent e URLs acessadas, para segurança, prevenção a fraudes e atendimento ao Marco Civil da Internet.

2.6. Cookies e Tecnologias Similares

Utilizamos cookies para:

  • Essenciais: sessão anônima, CSRF, autenticação (Clerk)
  • Análise: Vercel Analytics, Ahrefs Analytics (somente com consentimento)
  • Preferências: tema e idioma

O banner de consentimento permite aceitar ou rejeitar cookies não essenciais. Registramos a sua escolha e você pode alterá-la a qualquer momento.

3. Finalidades e Bases Legais

Relacionamos, de forma objetiva, as finalidades e suas respectivas bases legais:

  • Autenticação de usuários / conta (2.1): execução de contrato (art. 7º, V).
  • Atendimento a contato (2.2): consentimento (art. 7º, I) e/ou procedimentos preliminares ao contrato (art. 7º, V).
  • Comentários (2.3): execução de contrato (prestação do serviço de publicação) e legítimo interesse para moderação e segurança (art. 7º, IX).
  • Ferramentas e relatórios (2.4): execução de contrato (funcionalidade vinculada à conta); no uso anônimo, legítimo interesse para estatística e melhoria.
  • Logs técnicos (2.5): obrigação legal (Lei 12.965/2014 e decreto regulamentador) e legítimo interesse em segurança.
  • Cookies de análise (2.6): consentimento. Sem consentimento, não ativamos esses cookies.
  • Comunicações transacionais: execução de contrato (ex.: confirmação de conta, recuperação de acesso).

4. Direitos do Titular

Você possui os direitos previstos na LGPD (art. 18), incluindo:

  • Acesso: confirmação da existência de tratamento e acesso aos dados
  • Correção: atualização, correção ou complementação de dados incompletos, inexatos ou desatualizados
  • Anonimização, bloqueio ou eliminação: de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD
  • Portabilidade: fornecimento dos dados em formato estruturado e interoperável
  • Informação sobre compartilhamento: dados sobre entidades públicas e privadas com as quais compartilhamos dados
  • Oposição: oposição ao tratamento realizado com base em legítimo interesse
  • Revogação do consentimento: revogação a qualquer momento, mediante manifestação expressa (art. 8º, §5º)

Atualmente não realizamos decisões automatizadas que produzam efeitos na esfera jurídica ou que afetem significativamente seus interesses (art. 20).

Para exercer seus direitos, envie e-mail para contato@ricardokrug.com.br. Respondemos em até 15 dias, conforme art. 18, §2º da LGPD.

5. Compartilhamento com Terceiros (Operadores)

Apenas com finalidade compatível e sob contratos que asseguram confidencialidade e segurança:

5.1. Clerk (autenticação e gestão de usuários)

Serviço: Clerk.com, Inc. (Estados Unidos da América)
Dados processados: nome completo, endereço de e-mail, imagem de perfil (opcional), identificadores de sessão e conta, tokens de autenticação, histórico de login.
Finalidade: autenticação de usuários, gestão de contas, recuperação de senha, segurança de acesso.
Base legal: execução de contrato (art. 7º, V, LGPD).
Garantias: Clerk é certificado SOC 2 Type II e está em conformidade com GDPR e outras regulamentações de proteção de dados.

5.2. Vercel (hospedagem, analytics, performance)

Serviço: Vercel Inc. (Estados Unidos da América)
Dados processados: endereços IP, logs de acesso, métricas de performance, dados agregados e anonimizados de uso do site, informações técnicas do dispositivo e navegador.
Finalidade: hospedagem do site, análise de performance, detecção de erros, otimização de infraestrutura.
Base legal: legítimo interesse (art. 7º, IX, LGPD) para operação e melhoria do serviço.
Garantias: Vercel está em conformidade com GDPR e possui certificações de segurança.

5.3. Ahrefs Analytics (métricas de tráfego)

Serviço: Ahrefs Pte. Ltd. (Singapura)
Dados processados: dados agregados e anonimizados de tráfego, páginas visitadas, tempo de permanência, origem do tráfego (somente com consentimento).
Finalidade: análise de métricas de tráfego e comportamento dos usuários para melhoria do site.
Base legal: consentimento (art. 7º, I, LGPD). Sem consentimento, este serviço não é ativado.
Garantias: Ahrefs possui políticas de privacidade e segurança adequadas.

5.4. Cloudflare Turnstile (anti-spam/fraude)

Serviço: Cloudflare, Inc. (Estados Unidos da América)
Dados processados: endereço IP, informações técnicas do navegador, comportamento de interação com formulários.
Finalidade: validação de segurança em formulários, prevenção de spam e fraudes, proteção contra ataques automatizados.
Base legal: legítimo interesse (art. 7º, IX, LGPD) para segurança e integridade do serviço.
Garantias: Cloudflare está em conformidade com GDPR e possui certificações de segurança reconhecidas internacionalmente.

5.5. Resend (e-mails transacionais)

Serviço: Resend, Inc. (Estados Unidos da América)
Dados processados: endereço de e-mail do destinatário, conteúdo da mensagem transacional (confirmações, recuperação de senha, notificações).
Finalidade: envio de e-mails transacionais necessários à prestação do serviço (confirmação de conta, recuperação de acesso, notificações importantes).
Base legal: execução de contrato (art. 7º, V, LGPD).
Garantias: Resend possui políticas de privacidade e segurança adequadas e está em conformidade com padrões de segurança de e-mail.

6. Transferências Internacionais

Alguns dos operadores listados na seção 5 estão localizados fora do Brasil, principalmente nos Estados Unidos da América, União Europeia e Singapura. Quando transferimos dados pessoais para esses países, garantimos que tais transferências sejam realizadas em conformidade com a LGPD (art. 33 e seguintes) e com salvaguardas adequadas.

Garantias de Proteção: Utilizamos as seguintes salvaguardas para proteger seus dados em transferências internacionais:

  • Cláusulas contratuais padrão: incluímos cláusulas contratuais que garantem níveis adequados de proteção de dados pessoais, conforme modelos aprovados pela ANPD ou equivalentes internacionais
  • Certificações e códigos de conduta: selecionamos operadores que possuem certificações reconhecidas (como SOC 2, ISO 27001) ou aderem a códigos de conduta aprovados
  • Adequação regulatória: quando aplicável, verificamos se o país de destino possui legislação considerada adequada pela ANPD ou por autoridades internacionais equivalentes
  • Contratos de processamento de dados: estabelecemos contratos específicos que definem obrigações de confidencialidade, segurança e conformidade com a LGPD

Você pode solicitar informações detalhadas sobre as salvaguardas específicas aplicadas a cada transferência internacional através do e-mail de contato.

7. Retenção de Dados

  • Dados de conta: enquanto a conta estiver ativa e por até 2 anos após inatividade, salvo exigência legal.
  • Dados de contato: até 2 anos após o último atendimento ou até a solicitação de eliminação.
  • Comentários: enquanto o conteúdo permanecer publicado ou até pedido de remoção, respeitada obrigação legal.
  • Relatórios: anônimos em sessão; vinculados à conta — rascunhos por 7 dias; concluídos pelo tempo necessário à prestação.
  • Logs de acesso: mínimo de 6 meses (Marco Civil), sob sigilo e segurança.
  • Cookies: conforme o tipo (sessão a 2 anos).

8. Medidas de Segurança

Implementamos medidas técnicas e administrativas adequadas para proteger seus dados pessoais contra acesso não autorizado, alteração, divulgação ou destruição, em conformidade com o art. 46 da LGPD. As principais medidas incluem:

Medidas Técnicas:

  • Criptografia em trânsito: utilização de protocolos HTTPS/TLS (Transport Layer Security) para criptografar todas as comunicações entre seu navegador e nossos servidores
  • Criptografia em repouso: dados sensíveis são armazenados de forma criptografada quando tecnicamente viável
  • Autenticação segura: implementação de autenticação multifator quando disponível e gestão segura de credenciais através do Clerk
  • Segregação por papéis: controle de acesso baseado em funções (RBAC - Role-Based Access Control) para limitar o acesso a dados apenas aos usuários autorizados
  • Princípio do mínimo privilégio: usuários e sistemas têm acesso apenas aos dados estritamente necessários para suas funções
  • Backups regulares: realização de backups automáticos e seguros dos dados, com testes periódicos de recuperação
  • Atualização contínua: manutenção de componentes, sistemas e dependências atualizados com patches de segurança
  • Monitoramento e logging: registro e monitoramento de eventos de segurança, acessos e modificações em dados sensíveis
  • Proteção contra vulnerabilidades: implementação de medidas de proteção contra vulnerabilidades comuns (OWASP Top 10)

Medidas Administrativas:

  • Treinamento e conscientização sobre proteção de dados pessoais
  • Políticas internas de segurança da informação e privacidade
  • Revisão periódica de acessos e permissões
  • Procedimentos de resposta a incidentes de segurança
  • Auditorias e avaliações regulares de segurança

Importante: Embora implementemos medidas de segurança robustas, nenhum método de transmissão ou armazenamento eletrônico é 100% seguro. Não podemos garantir segurança absoluta, mas nos comprometemos a notificar você e as autoridades competentes em caso de incidentes de segurança que possam afetar seus dados pessoais.

9. Incidentes de Segurança e Notificações

Um incidente de segurança é qualquer evento adverso, confirmado ou suspeito, relacionado à segurança de sistemas de informação ou de dados pessoais que possa resultar em risco ou dano aos titulares dos dados.

Nossa Responsabilidade: Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, nos comprometemos a:

  • Avaliar o impacto: analisar imediatamente a natureza, o escopo e o potencial impacto do incidente
  • Conter o incidente: tomar medidas imediatas para conter e mitigar os efeitos do incidente
  • Notificar a ANPD: comunicar o incidente à Autoridade Nacional de Proteção de Dados (ANPD) em até 72 (setenta e duas) horas após termos conhecimento do incidente, quando houver risco ou dano relevante aos titulares, conforme art. 48 da LGPD
  • Notificar os titulares: comunicar o incidente aos titulares afetados de forma clara e precisa, descrevendo:
    • A natureza do incidente
    • Os dados pessoais afetados
    • As medidas técnicas e de segurança adotadas para proteger os dados
    • Os riscos relacionados ao incidente
    • As medidas que os titulares podem adotar para se proteger
    • Os meios de contato para esclarecimentos
  • Documentar: manter registro detalhado de todos os incidentes, incluindo as circunstâncias, efeitos e medidas corretivas adotadas

Comunicação aos Titulares: A notificação aos titulares será realizada por e-mail ou outro meio de contato que possuirmos, de forma individual e em linguagem clara e acessível, em conformidade com o art. 48, §1º da LGPD.

Exceções à Notificação: Podemos não notificar os titulares se a ANPD determinar que a comunicação possa criar risco desproporcional à segurança da informação ou se medidas já foram adotadas que eliminem o risco de dano aos titulares, conforme art. 48, §2º da LGPD.

10. Política de Cookies e Registro de Consentimento

Utilizamos um banner que permite aceitar/rejeitar cookies não essenciais e registramos sua escolha para fins de auditoria de consentimento. As categorias:

10.1. Essenciais

  • anonymous_session_id (7 dias)
  • current_report_id (7 dias)
  • CSRF tokens (sessão)
  • Clerk (auth) (sessão)

10.2. Análise (consentimento)

  • Vercel Analytics
  • Ahrefs Analytics

Você pode alterar sua preferência a qualquer momento pelo link “Preferências de Cookies” (rodapé).

11. Dados de Crianças e Adolescentes

O site não é direcionado a menores de 18 anos. Não coletamos intencionalmente dados de menores sem consentimento dos responsáveis. Se identificarmos coleta indevida, excluiremos os dados.

12. Alterações desta Política

Podemos atualizar esta Política periodicamente. Notificaremos mudanças significativas nesta página e ajustaremos a data de atualização.

13. Contato

Para questões de privacidade ou exercício de direitos:

Email: contato@ricardokrug.com.br
Assunto sugerido: “LGPD – Solicitação do Titular”