1. Quem somos
Crivofino é operado por GEOVANE SOUZA REIS LTDA, empresa sediada em Cuiabá-MT, Brasil. Loener BV (Holanda) presta serviço técnico de desenvolvimento e manutenção via invoice EU→BR, não atuando como controladora operacional nem como destinatária de dados pessoais de usuárias brasileiras.
Controlador dos dados (LGPD Art. 5º IX):
GEOVANE SOUZA REIS LTDA
CNPJ 66.309.140/0001-54
R. F ST OESTE, 28A · Morada do Ouro · Cuiabá-MT · CEP 78.053-088
Contato administrativo: privacy@crivofino.com.br
Encarregado (DPO — LGPD Art. 41): a designar formalmente. Por ora, comunicações de exercício de direitos do titular tramitam via privacy@crivofino.com.br com tratamento em até 15 dias úteis (LGPD Art. 19).
2. Quais dados coletamos
2.1 Dados de identificação
- Email — armazenado como hash (SHA-256 + pepper) em
public.users. Plaintext empii.author_linkapenas para envio de magic link (Better-Auth). - Telefone (opcional) — armazenado como hash (SHA-256 + pepper rotacionado). Plaintext NUNCA em rows operacionais.
- CPF (futuro) — quando ativar verificação Onfido. Hash + token só.
2.2 Dados de uso
- Reviews submetidas (via pseudonym token, não user ID direto)
- Client reports (idem)
- Arcanjo verifications (resultado + critério snapshot)
- Arcanjo check-ins (destino + tempo + pessoa segura — esta é PII de terceiro, exige consentimento dela)
- Audit log (todas as ações executadas, com hash chain SHA-256)
2.3 Dados técnicos
- IP (mascarado em logs após 24h)
- User agent (não fingerprinting)
- Cookies de sessão (httpOnly + secure + SameSite=Lax)
2.4 O que NÃO coletamos
- Localização GPS (zero, ever)
- Fotos de identidade após verificação aprovada (deletadas em 7 dias)
- Plaintext de buscas após 90 dias (cron purge automático)
- Conteúdo de DMs (não temos DM)
3. Base legal (LGPD Art. 7)
| Dado | Base legal |
|---|---|
| Email + telefone (cadastro) | Art. 7.V (execução de contrato — termos de uso) |
| Reviews / reports | Art. 7.I (consentimento) + Art. 7.IX (legítimo interesse — proteção comunidade) |
| Arcanjo check-ins | Art. 7.I (consentimento expresso — opt-in granular) |
| Audit log | Art. 7.II (obrigação legal — compliance) |
| Cookies de sessão | Art. 7.V (execução de contrato) |
4. Retenção
Aplicamos LGPD Art. 16 (minimização). Detalhe em /metodologia § retenção.
5. Compartilhamento com terceiros
Subprocessadores (LGPD Art. 39):
| Provedor | Função | Localização |
|---|---|---|
| Hostinger | Hospedagem VPS + Web Hosting | BR (server SP) + DE (server1800) |
| Hostinger Email Starter | SMTP transacional (magic link, ack emails) | BR |
| NOWPayments (futuro) | Crypto payment processor | Estônia (EU) |
| Mercado Pago (futuro) | Cartão BR + Pix | BR |
| Onfido (futuro) | Verificação identidade | UK |
Não vendemos dados a anunciantes. Não fazemos remarketing. Não compartilhamos dados pra fins comerciais de terceiros.
6. Seus direitos (LGPD Art. 18)
- Art. 18.I — Confirmação: existe tratamento dos seus dados? Resposta gratuita.
- Art. 18.II — Acesso: via
/api/me/data-export(JSON completo) ou request privacy@crivofino.com.br. - Art. 18.III — Correção: dados incompletos/incorretos podem ser corrigidos via
/account/profile. - Art. 18.IV — Anonimização/bloqueio: request privacy@.
- Art. 18.V — Portabilidade: dados em JSON estruturado via data-export.
- Art. 18.VI — Eliminação: request /account/erasure-requests ou privacy@.
- Art. 18.VII — Compartilhamento: lista subprocessadores acima.
- Art. 18.VIII — Revogar consentimento: via /account/profile → controles de privacidade.
- Art. 18.IX — Revisão decisões automatizadas: Crivo Arcanjo classifier é algoritmo público e contestável.
7. Segurança
Hash chain SHA-256 no audit log (T2). PII split em schemas separados (T1). TLS 1.3 obrigatório. Sessões httpOnly + secure. Better-Auth + magic link. Sem armazenamento de senhas (auth via link). Rate-limit anti-abuse. Cron de purge automático respeitando retenção.
8. Crianças e adolescentes
Crivofino é estritamente para maiores de 21 anos. Não coletamos dados de menores. Se descobrirmos coleta inadvertida, apagamos imediatamente.
9. Alterações nesta política
Versionada. Cada mudança gera nova versão visível em /transparencia. Usuárias ativas recebem notificação por email pra mudanças materiais.
10. Reclamações
Antes: privacy@crivofino.com.br (resposta em até 5 dias úteis).
Após esgotar canal interno: ANPD (Autoridade Nacional de Proteção de Dados) — gov.br/anpd.