Política de Privacidade

1. Controlador

O controlador dos dados pessoais é Marcos Klein, operando o serviço Rively. Contato do Encarregado (DPO): privacidade@rively.com.br.

2. Dados que coletamos

• Cadastrais: nome, e-mail, username, senha (hash bcrypt).
• Perfil opcional: foto, bio, cidade, data de nascimento, Instagram, site.
• Comportamentais: hábitos cadastrados, streaks, desafios em que participa, votos em provas.
• Mídia: fotos-prova que você envia para validar hábitos.
• Diagnósticos: respostas ao Teste do Sabotador e resultado.
• Técnicos: endereço IP, user-agent, eventos de navegação anônimos (via Plausible).

3. Bases legais

Tratamos seus dados com base em: (i) execução de contrato (art. 7º, V LGPD) para operar a plataforma; (ii) consentimento (art. 7º, I) para comunicações de marketing e exposição de fotos a outros participantes; (iii) legítimo interesse (art. 7º, IX) para segurança, prevenção de fraude e melhoria do serviço; (iv) cumprimento de obrigação legal (art. 7º, II) quando exigido.

4. Como usamos seus dados

• Operar a plataforma (login, ranking, validação social).
• Enviar e-mails transacionais (confirmação, recuperação de senha, série anti-desistência).
• Enviar comunicação de marketing — apenas se você consentiu, e você pode descadastrar a qualquer momento.
• Detectar abuso, fraude de validação e violação dos Termos.
• Análise estatística agregada e anonimizada para melhorar o produto.

5. Compartilhamento

Não vendemos seus dados. Compartilhamos apenas com operadores estritamente necessários para o serviço:

• Supabase (banco de dados, autenticação e armazenamento de fotos)
• Vercel (hospedagem da aplicação)
• Resend (envio de e-mails transacionais)
• Upstash (rate limiting)
• Plausible (analytics anônimo, sem cookies)
• Provedores de pagamento, no momento da compra de planos pagos.

Esses operadores podem armazenar dados fora do Brasil. A transferência segue o art. 33 da LGPD.

6. Fotos-prova

As fotos que você envia são armazenadas em bucket privado e só ficam acessíveis: (i) ao próprio usuário; (ii) a outros participantes do mesmo desafio durante o período do desafio; (iii) à operadora para fins de moderação. URLs assinadas com validade curta evitam exposição pública.

7. Retenção

Mantemos seus dados enquanto a conta estiver ativa. Após exclusão da conta: fotos são removidas em até 30 dias; registros transacionais (faturamento) ficam retidos pelo prazo legal (até 5 anos). Logs anonimizados podem ser mantidos para fins estatísticos.

8. Seus direitos (art. 18 LGPD)

Você pode, a qualquer momento, solicitar:

• Confirmação de tratamento e acesso aos dados
• Correção de dados incompletos, inexatos ou desatualizados
• Anonimização, bloqueio ou eliminação de dados desnecessários
• Portabilidade dos dados
• Eliminação dos dados tratados com base em consentimento
• Informação sobre compartilhamento com terceiros
• Revogação do consentimento

Para exercer: privacidade@rively.com.br. Respondemos em até 15 dias.

9. Segurança

Aplicamos HTTPS em toda a aplicação, RLS (Row Level Security) no banco, hash bcrypt nas senhas, bucket privado para fotos com URLs assinadas, rate limiting em endpoints críticos e revisão periódica de policies. Em caso de incidente que possa gerar risco ou dano relevante, comunicaremos os titulares afetados e a ANPD na forma do art. 48 LGPD.

10. Crianças e adolescentes

O Rively não é destinado a menores de 18 anos. Não tratamos conscientemente dados de menores. Se identificarmos cadastro de menor, a conta será excluída.

11. Cookies e rastreamento

Usamos cookies estritamente necessários para autenticação. Não usamos cookies de marketing ou rastreamento cross-site. A nossa análise de uso (Plausible) é feita sem cookies e sem identificar você pessoalmente.

12. Alterações

Podemos atualizar esta política. Mudanças relevantes serão comunicadas por e-mail e por aviso na plataforma com 7 dias de antecedência.

13. ANPD

Você tem o direito de reclamar à Autoridade Nacional de Proteção de Dados — gov.br/anpd.