Política de Privacidade

O Vulcan Drive é um serviço de armazenamento em nuvem operado pela Vulcan Apps (byvulcan.com), com sede no Brasil. Esta Política de Privacidade descreve como coletamos, usamos, armazenamos e protegemos seus dados pessoais, em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018), o Regulamento Geral sobre a Proteção de Dados (GDPR — Regulamento EU 2016/679) e a Lei de Privacidade do Consumidor da Califórnia (CCPA/CPRA — Código Civil Califórnia §1798.100 et seq.).

Coletamos apenas os dados estritamente necessários para operar o serviço: • Dados de conta: e-mail, senha (armazenada como hash bcrypt), nome de exibição opcional. Base legal: Execução de contrato (LGPD art. 7.II, GDPR art. 6.1.b). • Dados de uso: metadados de arquivos enviados (nome, tamanho, tipo MIME, data de upload). Não lemos o conteúdo dos seus arquivos além do necessário para indexação com IA — e este conteúdo é sanitizado antes de qualquer envio externo. Base legal: Interesse legítimo (LGPD art. 7.IX, GDPR art. 6.1.f) — necessário para fornecer o serviço de indexação e pesquisa. • Dados técnicos: endereço IP, agente de navegador, cookies de sessão — usados exclusivamente para autenticação segura e prevenção de fraudes. Base legal: Interesse legítimo (LGPD art. 7.IX, GDPR art. 6.1.f) — segurança e proteção contra fraudes. • Dados de pagamento: processados exclusivamente pelo Stripe e Asaas. O Vulcan Drive nunca armazena dados de cartão. Base legal: Execução de contrato (LGPD art. 7.II, GDPR art. 6.1.b). • Dados de classificação de IA: metadados anonimizados de arquivos para fins de indexação e tagging. Base legal: Interesse legítimo (LGPD art. 7.IX, GDPR art. 6.1.f) — melhorias do serviço.

Nossas atividades de tratamento de dados pessoais estão fundamentadas nas seguintes bases legais, conforme a LGPD, GDPR e CCPA: ATIVIDADE DE TRATAMENTO | BASE LEGAL LGPD | BASE LEGAL GDPR | BASE LEGAL CCPA ──────────────────────────────────────────────────────────────────────────────────────── Criação e manutenção de conta | Art. 7.II (Contrato) | Art. 6.1.b (Contrato) | Necessário para execução de contrato Autenticação e acesso seguro | Art. 7.IX (Legítimo) | Art. 6.1.f (Legítimo) | Interesse comercial legítimo Prevenção de fraude/segurança | Art. 7.IX (Legítimo) | Art. 6.1.f (Legítimo) | Interesse comercial legítimo Processamento de pagamentos | Art. 7.II (Contrato) | Art. 6.1.b (Contrato) | Necessário para execução de contrato Indexação e tagging com IA | Art. 7.IX (Legítimo) | Art. 6.1.f (Legítimo) | Interesse comercial legítimo Comunicações transacionais | Art. 7.II (Contrato) | Art. 6.1.b (Contrato) | Necessário para contato transacional Cumprimento obrigação legal | Art. 7.III (Obrigação) | Art. 6.1.c (Obrigação) | Requisito legal Conforme CCPA, você tem o direito de saber com que fins usamos seus dados e de receber esclarecimento sobre a venda ou compartilhamento de informações pessoais (que não ocorre neste serviço).

Seus dados são usados para: • Autenticar seu acesso e manter sua sessão segura. • Organizar, indexar e exibir seus arquivos dentro do serviço. • Gerar tags e sugestões inteligentes via IA (com sanitização prévia de PII — veja Seção 6). • Enviar comunicações transacionais essenciais (redefinição de senha, confirmação de e-mail, notificações de segurança). • Cumprir obrigações legais e regulatórias. Compromissos explícitos: — NÃO utilizamos seus dados para tomada de decisão automatizada com efeitos jurídicos ou significativos (GDPR art. 22). Não criamos perfis comportamentais. — NÃO utilizamos seus dados para publicidade comportamental ou direcionada. — NÃO vendemos seus dados. NÃO compartilhamos seus arquivos com terceiros sem sua autorização explícita.

Arquivos e dados: • Todos os arquivos são armazenados na Cloudflare R2 com criptografia AES-256 em repouso, em múltiplas regiões (US/EU). • Todos os dados de conta e metadados são armazenados no Supabase (infraestrutura AWS us-east-1) com criptografia AES-256 em repouso. • Toda comunicação entre você e nossos servidores usa TLS 1.3 (criptografia em trânsito). • Backups são realizados em múltiplas regiões geográficas, com redundância. Controle de acesso: • Acesso interno aos dados é restrito por controle de acesso baseado em função (RBAC). • Senhas nunca são armazenadas em texto puro; usamos bcrypt com salt aleatório. • Dois fatores de autenticação podem ser habilitados pelos usuários. Auditoria e monitoramento: • Registros de auditoria são mantidos por 90 dias. • Logs de acesso são registrados e revisados regularmente. • Realizamos revisões de segurança anuais com terceiros independentes. Resposta a incidentes: • Em caso de violação de dados que afete seus dados pessoais, notificaremos as autoridades competentes e usuários afetados dentro de 72 horas (GDPR art. 33), conforme exigido pela lei.

O Vulcan Drive usa IA (Claude Haiku, da Anthropic) para classificar e tagear seus arquivos. Implementamos um pipeline de privacidade em múltiplas camadas: • Arquivos sensíveis (senhas, extratos bancários, exames médicos, documentos jurídicos, chaves de API) são detectados localmente e NUNCA são enviados para modelos externos de IA. • Antes de qualquer processamento por IA, removemos PII detectável: CPF, CNPJ, RG, nomes, e-mails, telefones, cartões de crédito, chaves de API e outros dados identificáveis são substituídos por tokens neutros. • O modelo de IA recebe apenas texto anonimizado e metadados de arquivo — nunca dados brutos identificáveis. • Os tokens de substituição existem apenas durante o tempo de vida da requisição e nunca são persistidos. • Dados enviados para Anthropic são governados por um Data Processing Agreement (DPA) que proíbe o uso para treinamento de modelos. • Nenhum dado é usado para melhorar modelos de IA ou para treinamento. O processamento é limitado à classificação e tagging. • Você pode desabilitar processamento de IA a qualquer momento nas configurações de privacidade da sua conta.

Podemos compartilhar dados com terceiros (sub-processadores) apenas nas seguintes situações: COMPARTILHAMENTO COM PROVEDORES DE INFRAESTRUTURA: Os seguintes sub-processadores operam sob acordos de processamento de dados compatíveis com LGPD, GDPR e CCPA: Sub-processador | Função | Localização | DPA ──────────────────────────────────────────────────────────────────────────────────────── Supabase | Banco de dados, autenticação, API | US (AWS) | supabase.com/dpa Cloudflare R2 | Armazenamento de arquivos, CDN | US/EU | cloudflare.com/dpa Vercel | Hospedagem do aplicativo web | US | vercel.com/dpa Stripe | Processamento de pagamentos (intl) | US/EU | stripe.com/dpa Asaas | Processamento de pagamentos (BR) | Brasil | asaas.com/termos Anthropic | Indexação com IA (Claude Haiku) | US | anthropic.com/policies Todos os sub-processadores operam sob Data Processing Agreements (DPAs) ou Standard Contractual Clauses (SCCs) que asseguram proteção equivalente à LGPD, GDPR e CCPA. EXIGÊNCIA LEGAL: • Quando ordenado por autoridade judicial competente (mandado, intimação), nos limites da lei. • Faremos esforços para notificá-lo, a menos que proibido por lei. PROTEÇÃO DE DIREITOS: • Em caso de violação aos Termos de Uso que exija resposta legal ou investigação de fraude. COMPROMISSOS EXPLÍCITOS: — Nunca vendemos ou alugamos seus dados a terceiros. — Nunca compartilhamos dados para publicidade comportamental ou direcionada. — Nunca compartilhamos seus arquivos pessoais sem autorização explícita.

Seus dados podem ser transferidos para os Estados Unidos e União Europeia através dos seguintes mecanismos legais: MECANISMOS DE TRANSFERÊNCIA: • Standard Contractual Clauses (SCCs) — acordos padrão aprovados pela Comissão Europeia e conformes com GDPR Chapter V. • Data Processing Agreements (DPAs) — contratos específicos que incluem cláusulas de transferência adequada. • Criptografia em trânsito (TLS 1.3) e em repouso (AES-256) — reduz riscos de exposição durante transferência. JUSTIFICATIVA: • Supabase (AWS us-east-1): banco de dados e autenticação. • Cloudflare R2 (US/EU): armazenamento de arquivos e CDN. • Vercel (US): hospedagem da aplicação web. • Anthropic (US): processamento de IA para indexação. • Stripe (US/EU): processamento de pagamentos internacionais. CONFORMIDADE: • Todas as transferências estão em conformidade com LGPD art. 33 (consentimento ou necessidade contratual) e GDPR Chapter V (Standard Contractual Clauses). • Para residentes da UE: você tem direito a saber sobre transferências e pode exercer direitos junto à autoridade de proteção de dados local. • Para residentes da Califórnia: informações sobre transferência para o exterior estão divulgadas nesta política.

Mantemos seus dados apenas pelo tempo necessário para cumprir as finalidades descritas. Períodos específicos de retenção: DADOS DE CONTA: • Mantidos enquanto sua conta estiver ativa. • Após encerramento: 30 dias de retenção (para recuperação), depois hard-delete permanente. ARQUIVOS EM LIXEIRA: • Retidos por 30 dias. • Após 30 dias: exclusão permanente e irrecuperável. LOGS DE AUDITORIA: • Mantidos por 90 dias. • Depois automaticamente removidos. LOGS DE CLASSIFICAÇÃO DE IA: • Mantidos por 180 dias (para análise de qualidade e melhoria do serviço). • Depois automaticamente anonimizados e removidos. REGISTROS DE PAGAMENTO: • Mantidos por 5 anos (obrigação legal para fins fiscais e contábeis). • Depois removidos, exceto se auditoria ou litígio pendente. REGISTROS DE CONSENTIMENTO: • Mantidos por 5 anos (auditoria e cumprimento regulatório). EXCEÇÕES (Retenção Estendida): • Se houver processo legal pendente, retenção estendida será mantida até conclusão. • Se houver investigação de fraude, dados podem ser retidos pelo tempo necessário. Você pode solicitar exclusão em qualquer momento (direito ao esquecimento — GDPR art. 17, LGPD art. 18.IV). Excluiremos seus dados dentro de 30 dias, exceto quando retenção for legalmente exigida.

Você tem os seguintes direitos sobre seus dados pessoais: DIREITO DE ACESSO (LGPD 18.I, GDPR 15, CCPA 1798.100): • Confirmar se tratamos seus dados pessoais. • Solicitar cópia de todos os dados que mantemos sobre você. • Resposta dentro de 15 dias (LGPD) ou 30 dias (GDPR/CCPA). DIREITO DE CORREÇÃO (LGPD 18.II, GDPR 16, CPRA 1798.106): • Corrigir dados incompletos, inexatos ou desatualizados. • Solicitar que atualizemos seus dados. • Resposta dentro de 15 dias (LGPD) ou 30 dias (GDPR/CCPA). DIREITO DE EXCLUSÃO / ESQUECIMENTO (LGPD 18.IV, GDPR 17, CCPA 1798.105): • Solicitar exclusão de seus dados pessoais. • Limitações: dados necessários para segurança, cumprimento legal ou defesa de direitos podem ser retidos. • Resposta dentro de 15 dias (LGPD) ou 30 dias (GDPR/CCPA). DIREITO DE PORTABILIDADE (LGPD 18.V, GDPR 20): • Solicitar seus dados em formato estruturado, comum e legível por máquina (ex: JSON, CSV). • Direito de transferir dados para outro serviço. • Resposta dentro de 15 dias (LGPD) ou 30 dias (GDPR). DIREITO DE REVOGAR CONSENTIMENTO (LGPD 8, GDPR 7.3): • Se permitir processamento baseado em consentimento, pode revogar a qualquer tempo. • Revogação não afeta processamento anterior ao pedido. DIREITO DE OPOSIÇÃO (LGPD 18.VI, GDPR 21): • Opor-se ao processamento de seus dados para interesse legítimo. • Podemos recusar se temos fundamento legal compelling. • Resposta dentro de 15 dias (LGPD) ou 30 dias (GDPR). DIREITO DE INFORMAÇÃO SOBRE COMPARTILHAMENTO (LGPD 18.III): • Solicitar informações sobre com quem seus dados foram compartilhados. • Inclui lista de sub-processadores e fins do compartilhamento. DIREITO DE LIMITAÇÃO DE PROCESSAMENTO (GDPR 18, LGPD 18): • Solicitar que limitemos o processamento enquanto você verifica a precisão dos dados. DIREITO DE NÃO DISCRIMINAÇÃO (CCPA 1798.125): • Você não será discriminado por exercer seus direitos de privacidade (não receberá serviço degradado ou preço maior). COMO EXERCER SEUS DIREITOS: Envie solicitação para: privacidade@byvulcan.com Inclua: seu e-mail da conta, descrição do pedido, e prova de identidade (cópia de ID para verificação). PRAZOS DE RESPOSTA: • LGPD: 15 dias (extensível por mais 15 dias em caso de complexidade). • GDPR: 30 dias (extensível em casos complexos). • CCPA: 45 dias (extensível por mais 45 dias em caso de complexidade).

Se você é residente da Califórnia, você tem os seguintes direitos adicionais sob CCPA/CPRA: DIREITO DE NÃO VENDA / COMPARTILHAMENTO (CCPA 1798.120, CPRA): • COMPROMISSO: Vulcan Drive NÃO VENDE ou COMPARTILHA informações pessoais de residentes da Califórnia. • Você tem direito de optar por não venda/compartilhamento (não aplicável, pois não vendemos). • Nenhuma atividade de venda de dados ocorre neste serviço. DIREITO DE LIMITAÇÃO DO USO DE DADOS SENSÍVEIS (CPRA 1798.121): • Dados sensíveis (SSN, número de cartão de crédito, biometria, saúde sexual, localização precisa) não são coletados nem processados por este serviço. • Se identifiados por engano, serão imediatamente deletados. DIREITO DE DIVULGAÇÃO ANUAL (CCPA 1798.100 et seq.): • Uma vez a cada 12 meses, você pode solicitar divulgação detalhada sobre: - Categorias de informações coletadas - Fins de uso - Categorias de terceiros com quem compartilhamos - Período de retenção para cada categoria DIREITO DE CORREÇÃO (CPRA 1798.106): • Já incluído em nossa política de direitos gerais (seção anterior). DIREITO DE EXCLUSÃO (CCPA 1798.105): • Já incluído em nossa política de direitos gerais (seção anterior). DIREITO DE ACESSO (CCPA 1798.100): • Já incluído em nossa política de direitos gerais (seção anterior). COMO EXERCER: Envie solicitação para: privacidade@byvulcan.com Resposta dentro de 45 dias (CCPA) ou 30 dias (CPRA). Para contestar decisões sobre direitos negados, contate o California Attorney General: oag.ca.gov/privacy

Vulcan Drive não é destinado a pessoas menores de 18 anos e não coletamos intencionalmente dados pessoais de menores. PROTEÇÃO CONFORME COPPA (EUA, menores de 13): • Conforme Children's Online Privacy Protection Act (COPPA), Vulcan Drive não coleta dados de crianças menores de 13 anos. • Se descobrirmos que dados de criança menor de 13 foram coletados, excluiremos imediatamente sem retenção. • Pais/responsáveis podem contatar privacidade@byvulcan.com para reportar. PROTEÇÃO CONFORME GDPR (UE, menores de 16): • Para residentes da UE, o processamento de dados de menores de 16 anos requer consentimento do responsável. • O serviço recomenda para uso por maiores de 16 anos. • Se descobrirmos consentimento inadequado, dados serão excluídos imediatamente. PROTEÇÃO CONFORME LGPD (Brasil, menores de 18): • O serviço é recomendado para maiores de 18 anos (conforme LGPD art. 14). • Para menores de 18 anos, processamento requer consentimento específico de responsável legal. • Se descobrirmos menores sem consentimento apropriado, dados serão excluídos imediatamente. CONTATO EM CASO DE DÚVIDA: Se você é pai/mãe/responsável e tem preocupações sobre dados de menores, contate: privacidade@byvulcan.com

Vulcan Drive usa apenas cookies estritamente necessários para segurança e funcionalidade: COOKIES NECESSÁRIOS: • Autenticação: cookies de sessão para manter você conectado. • CSRF Protection: token anti-falsificação para segurança. • Preferências de idioma: seu idioma preferido (PT, EN, ES). COOKIES NÃO UTILIZADOS: — Não usamos cookies de rastreamento ou analytics (Google Analytics, Hotjar, etc.). — Não usamos cookies de publicidade ou remarketing. — Não utilizamos cookies de terceiros para comportamento ou rastreamento. FUTURO: Se implementarmos cookies opcionais no futuro (ex: analytics para melhorias), implementaremos banner de consentimento explícito conforme GDPR art. 82 e daremos opção de recusa fácil. CONTROLE: Você pode desabilitar cookies em seu navegador, mas isso pode afetar funcionamento do serviço (login, CSRF). DADOS DE NAVEGAÇÃO: • Logs de servidor contêm IP, user-agent, URLs acessadas (práctica padrão de web hosting). • Estes dados são retidos por 90 dias para segurança e debugging. • Não são utilizados para rastreamento comportamental.

Em caso de violação ou incidente de segurança que afete seus dados pessoais, você será notificado conforme a lei: NOTIFICAÇÃO IMEDIATA: • Assim que a violação for confirmada, iniciaremos processo de notificação. • Prazo para notificação: dentro de 72 horas (GDPR art. 33, LGPD art. 47) ou conforme exigido por lei. CONTEÚDO DA NOTIFICAÇÃO: Você receberá informação sobre: • Natureza da violação (acesso não autorizado, roubo, corrupção de dados, etc.). • Dados afetados (categorias de dados, estimativa de registros). • Possíveis consequências para você. • Medidas tomadas para mitigar o incidente (ex: reset de senhas, isolamento do sistema). • Contato para esclarecimentos e suporte (privacidade@byvulcan.com). NOTIFICAÇÃO ÀS AUTORIDADES: • Notificaremos ANPD (Autoridade Nacional de Proteção de Dados) conforme LGPD art. 47. • Notificaremos DPA relevante em cada país afetado conforme GDPR art. 33. • Notificaremos autoridades de aplicação da lei se exigido. COMUNICAÇÃO TRANSPARENTE: • Manteremos comunicação aberta e clara com todos os afetados. • Ofereceremos suporte, orientações sobre proteção (ex: monitoramento de crédito) e canais para dúvidas. INVESTIGAÇÃO: • Realizaremos investigação forense para determinar causa raiz. • Implementaremos correções para prevenir recorrência.

Conforme GDPR art. 30 e LGPD art. 37, mantemos registros completos de nossas atividades de tratamento de dados pessoais: REGISTROS MANTIDOS: • Nome e contatos do controlador e encarregado de proteção de dados. • Categorias de dados processadas (dados de conta, dados de uso, dados técnicos, etc.). • Categorias de receptores (sub-processadores, autoridades legais). • Períodos de retenção para cada categoria. • Descrição técnica e organizacional de medidas de segurança. • Justificativa legal para cada atividade de tratamento. • Avaliações de impacto de privacidade (DPIA) quando aplicável. ACESSO: • Estes registros são disponibilizados às autoridades de supervisão (ANPD, DPA) mediante solicitação formal. • Indivíduos podem solicitar informações sobre processamento conforme direito de acesso (Seção 10). AUDITORIA: • Registros são revisados anualmente por nossa equipe de compliance. • Qualquer alteração em atividades de tratamento é documentada.

Podemos atualizar esta Política de Privacidade periodicamente para refletir mudanças legais, tecnológicas ou operacionais. PROCEDIMENTO DE MUDANÇAS: • Alterações menores (clarificações, pequenas adições) podem ser implementadas imediatamente. • Alterações significativas serão comunicadas por e-mail para todos os usuários com pelo menos 15 dias de antecedência. • Você receberá notificação clara sobre o que mudou e quando entra em vigor. USO CONTINUADO: • O uso continuado do serviço após vigência das novas condições implica aceitação. • Se você discorda de mudanças, pode encerrar sua conta conforme Termos de Uso. HISTÓRICO DE VERSÕES: • Versão 1.0 (29 de março de 2026): Política inicial com 11 seções. • Versão 2.0 (5 de abril de 2026): Expansão completa com LGPD, GDPR, CCPA, 17 seções. Você pode solicitar histórico completo em: privacidade@byvulcan.com

Para exercer direitos, esclarecer dúvidas ou reportar preocupações sobre privacidade: EQUIPE DE PRIVACIDADE VULCAN DRIVE: • DPO / Encarregado de Proteção de Dados: privacidade@byvulcan.com • Assuntos legais: legal@byvulcan.com • Suporte geral: suporte@byvulcan.com • Endereço: Brasil AUTORIDADES COMPETENTES: Para residentes do Brasil: • Autoridade Nacional de Proteção de Dados (ANPD) • Website: gov.br/anpd • Você pode registrar reclamação formal se seus direitos não forem respeitados. Para residentes da União Europeia: • Você tem direito de registrar reclamação com a Autoridade de Proteção de Dados (DPA) do seu país. • DPA do seu país pode ser encontrada em: edpb.eu • Não é necessário contato prévio conosco, mas encorajamos esclarecimento primeiro. Para residentes da Califórnia (EUA): • California Attorney General — Consumer Privacy Bureau • Website: oag.ca.gov/privacy • Você pode registrar reclamação sobre violação de CCPA/CPRA. COOPERAÇÃO COM AUTORIDADES: • Vulcan Drive coopera plenamente com autoridades de supervisão de proteção de dados. • Responderemos solicitações de autoridades dentro de prazos legais. SUPORTE DIRETO: • Para dúvidas sobre seus direitos ou esta política, prefira contatar privacidade@byvulcan.com primeiro. • Resposta em até 15 dias (LGPD), 30 dias (GDPR) ou 45 dias (CCPA/CPRA).