LumenariLUMENARI
Legal

Política de Privacidade

Última atualização: 2026-05-15

Para autoridade legal, a versão em inglês prevalece.

Esta Política de Privacidade explica como a Lumenari (“nós”) coleta, usa e protege informações pessoais quando você usa o Serviço em lumenari.io. Cumprimos PIPEDA + Alberta PIPA do Canadá, GDPR da UE, UK GDPR e CCPA/CPRA da Califórnia.

1. Informações que coletamos

Coletamos o mínimo necessário para entregar o Serviço e cumprir nossas obrigações legais.

  • Dados de conta + transação — seu endereço de e-mail, endereço de cobrança (coletado pela Stripe no checkout para fins fiscais) e os kits ou plano de assinatura que você comprou.
  • Cadastros em lead-magnet — seu e-mail se você solicitar o kit grátis em /free ou se inscrever na nossa newsletter.
  • Dados de uso — visualizações de página anônimas via Plausible Analytics. A Plausible não usa cookies nem coleta dados pessoais. (Algumas implantações Lumenari usam PostHog com IDs anônimos no lugar; veja “Provedores terceiros” abaixo.)
  • Dados de uso da API (somente para clientes da plataforma de API) — id da API key, endpoint chamado, status da resposta e duração, para cobrança + rate limiting.
  • Dados de comunicação — e-mails que você nos envia; eventos de entrega + abertura + clique da Resend para os e-mails de ciclo de vida que enviamos.
  • Dados de dispositivo — seu endereço IP e user-agent, capturados incidentalmente pelo hosting (Vercel) e pela infraestrutura de CDN/segurança, retidos por no máximo 30 dias.

Não coletamos nomes, números de telefone ou documentos governamentais a menos que você os forneça voluntariamente.

2. Como usamos suas informações

  • Para processar compras e entregar os kits que você comprou (necessidade contratual);
  • Para operar o Serviço — provisionar contas, enviar e-mails transacionais, prevenir abuso (interesse legítimo + necessidade contratual);
  • Para enviar e-mails de marketing de ciclo de vida quando você consentir (ex.: a série de boas-vindas após pegar o kit grátis; o digest Pro+ se você for assinante Pro+);
  • Para cumprir obrigações fiscais + contábeis (obrigação legal);
  • Para melhorar o Serviço — apenas analytics agregadas e anonimizadas (interesse legítimo).

Não vendemos suas informações pessoais. Não compartilhamos com anunciantes. Não as usamos para treinar modelos de IA.

3. Provedores terceiros

Cada provedor abaixo está vinculado a um Data Processing Agreement (DPA) conosco e processa dados apenas conforme nossas instruções.

  • Stripe — processamento de pagamentos, cálculo de impostos, faturamento. A Stripe coleta detalhes do método de pagamento diretamente; nunca vemos o número do seu cartão.
  • Resend — entrega de e-mails transacionais + marketing. Vê seu endereço de e-mail + o conteúdo dos e-mails que enviamos a você.
  • Supabase — banco Postgres + infraestrutura de autenticação. Hospeda o e-mail da sua conta + histórico de compras.
  • Vercel — hosting da aplicação + CDN. Vê IP + user-agent no momento da requisição.
  • Anthropic — provedor do modelo para o wizard de recomendação. Vê a descrição de caso de uso que você envia. A Anthropic não usa entradas de API para treinar modelos, a menos que você opte por isso explicitamente.
  • Plausible (ou PostHog, dependendo da implantação) — analytics que respeita privacidade. A Plausible é cookieless. O PostHog usa IDs de dispositivo anônimos e salgados.

4. Cookies

Usamos o mínimo de cookies necessários para operar:

  • lumenari_locale — lembra o idioma preferido da nossa loja multi-idioma.
  • lumenari_admin — cookie de sessão de admin assinado (HttpOnly, só definido se você fizer login em /admin).
  • lumenari_ref — cookie de atribuição de referral (só definido se você chegar por link de indicação).

Não usamos cookies de publicidade ou rastreamento de terceiros. A Plausible e o caminho de analytics cookieless são padrão; um cookie do PostHog só é definido quando explicitamente habilitado.

5. Retenção de dados

  • Compras + notas fiscais — retidos por 7 anos (exigência da lei tributária canadense).
  • E-mails de newsletter + lead-magnet — retidos até você cancelar a inscrição ou pedir exclusão.
  • Dados de assinatura Pro+ — retidos enquanto a assinatura estiver ativa + 7 anos depois para registros financeiros.
  • Logs de uso da API — 90 dias; depois agregamos e apagamos as linhas brutas.
  • Eventos de entrega + engajamento de e-mail — 18 meses.

6. Seus direitos

Dependendo da sua jurisdição (GDPR, UK GDPR, CCPA/CPRA, PIPEDA), você tem o direito de:

  • Acessar as informações pessoais que mantemos sobre você;
  • Corrigir informações imprecisas ou incompletas;
  • Excluir suas informações pessoais (sujeito às obrigações de retenção acima);
  • Exportar seus dados em formato portátil;
  • Opor-se ou restringir o processamento para fins de marketing;
  • Retirar o consentimento a qualquer momento (sem afetar o processamento anterior);
  • Apresentar reclamação à sua autoridade de proteção de dados (Office of the Privacy Commissioner of Canada; ou sua DPA local na UE/UK).

Para exercer qualquer um desses direitos, envie e-mail para hello@lumenari.io. Respondemos em até 30 dias (10 dias para solicitações sob CCPA).

7. Crianças

O Serviço não é direcionado a crianças com menos de 16 anos. Não coletamos conscientemente informações pessoais de crianças. Se descobrirmos que uma criança forneceu informações pessoais, apagamos.

8. Transferências internacionais de dados

A Lumenari opera a partir do Canadá. Stripe, Resend, Supabase e Vercel podem armazenar dados nos Estados Unidos e/ou na União Europeia. Quando aplicável, usamos Standard Contractual Clauses + medidas técnicas suplementares para transferências para fora da UE/UK.

9. Segurança

Todas as conexões com o Serviço usam TLS. Senhas não são armazenadas — usamos magic links por e-mail e checkout hospedado pela Stripe. O acesso de service-role ao banco é restrito a processos do servidor. Row-Level Security está habilitada em toda tabela do Supabase que contém dados de cliente.

10. Alterações

Mudanças materiais nesta Política serão anunciadas na página inicial e enviadas por e-mail aos assinantes ativos pelo menos 14 dias antes de entrarem em vigor.

11. Contato

Envie e-mail para hello@lumenari.io para qualquer dúvida de privacidade ou para exercer os direitos descritos acima.