Política de privacidade
TL;DR: A política de privacidade do CookieVault é curta porque coletamos quase nada — um e-mail, um blob de sincronização criptografado opaco que não conseguimos ler e um ID de cobrança. Nunca vemos seus cookies, seu histórico de navegação, seu IP ou qualquer telemetria, e nunca vendemos dados.
Uma política de privacidade é o documento que diz exatamente quais dados um serviço coleta sobre você, por quê, por quanto tempo guarda, com quem compartilha e quais direitos você tem sobre eles. A política do CookieVault é incomumente curta porque o produto é construído de modo a reter o mínimo possível dos seus dados, tecnicamente: o conteúdo dos cookies é criptografado de ponta a ponta no seu dispositivo antes de chegar até nós, então o servidor só armazena texto cifrado que não consegue descriptografar.1
O que coletamos
Em resumo: Para contas pagas: seu e-mail, um blob de sincronização criptografado opaco e um ID de cliente Paddle. Para usuários Grátis somente locais: nada, porque não existe conta. O Art. 5(1)(c) do GDPR chama isso de minimização de dados — “adequados, pertinentes e limitados ao necessário”2 —, princípio também consagrado no Art. 6, III da LGPD, e é a regra de design que todo o produto segue.
| Dado que coletamos | Finalidade | Quem tem | Conseguimos ler? |
|---|---|---|---|
| Endereço de e-mail | Login, recibos, avisos de segurança | CookieVault | Sim |
| Blob de sincronização opaco | Sincronização criptografada entre dispositivos | CookieVault | Não — somente texto cifrado |
| ID de cliente Paddle | Cobrança e tratamento tributário | CookieVault | Sim (um ID opaco) |
| Dados do cartão de pagamento | Cobrança da sua assinatura | Apenas Paddle | Não — nunca recebemos |
| Conteúdo de e-mails de suporte | Responder ao seu pedido de suporte | CookieVault | Sim, até o fechamento do tíquete |
Usuários Grátis que nunca criam conta não geram nada do que está acima. A extensão guarda seus cookies e perfis localmente e não faz chamadas de rede a menos que você habilite explicitamente a sincronização em um plano pago.
O que nunca coletamos
Em resumo: Nunca coletamos o conteúdo dos seus cookies, seu histórico de navegação, seu endereço IP nem telemetria comportamental. O princípio do GDPR é que a base legal para o tratamento precisa ser específica — e simplesmente não temos base, nem desejo, de coletar nada disso.2 A LGPD impõe a mesma exigência de finalidade específica no Art. 6, I.
A lista de coisas que o CookieVault deliberadamente não coleta:
- Conteúdo dos cookies — criptografado no dispositivo antes da sincronização; armazenamos apenas texto cifrado
- Histórico de navegação — a extensão nunca lê nem transmite as páginas que você visita
- Endereços IP — nossos analytics são sem cookies e somente agregados, sem registro de IP por visitante
- Fingerprints de dispositivo — sem canvas, sem WebGL, sem enumeração de fontes
- Telemetria comportamental — a extensão é distribuída com zero SDKs de analytics
- Identificadores de anúncios de terceiros — não rodamos publicidade e não integramos redes de anúncios
Os analytics do nosso site são Cloudflare Web Analytics e Plausible, ambos sem cookies e somente agregados por design, motivo pelo qual este site não exibe banner de consentimento de cookies — não há nada a consentir.
Seus direitos
Em resumo: Sob LGPD, GDPR e CCPA você tem direitos de acesso, exclusão, correção, portabilidade e oposição. Envie e-mail para privacy@cookievault.net e respondemos em até 30 dias. Como a maior parte do que guardamos é texto cifrado que não conseguimos ler, a exclusão é rápida e verificável.
Os direitos que você pode exercer, por regime jurídico:
- LGPD (Brasil) — confirmação, acesso, correção, anonimização, portabilidade e exclusão sob a Lei 13.709/2018, fiscalizada pela ANPD3
- GDPR (UE/EEE/Reino Unido) — acesso, retificação, apagamento, restrição, portabilidade e oposição sob os Arts. 15–224
- CCPA/CPRA (Califórnia) — saber, excluir, corrigir e optar por sair da “venda” ou “compartilhamento” sob o Cal. Civ. Code §1798.100 e seguintes5
Para exercer qualquer direito, envie e-mail para privacy@cookievault.net a partir do endereço da sua conta. Não cobramos taxa por solicitações razoáveis e buscamos responder em até 30 dias (o prazo legal da LGPD, no Art. 19, é de 15 dias para confirmação e acesso).
Retenção
Em resumo: Dados de conta ficam guardados até você excluir sua conta, mais uma janela de cortesia de 30 dias, e então são apagados. Blobs criptografados vivem até você apagá-los pelo cliente. Registros de cobrança são mantidos pelo tempo exigido pela legislação tributária (comumente até sete anos), e somente pelo Paddle.
| Tipo de dado | Período de retenção | Gatilho para apagar |
|---|---|---|
| E-mail da conta | Até a exclusão da conta + 30 dias de cortesia | Você exclui sua conta |
| Blob de sincronização criptografado | Até você apagá-lo pelo cliente | Exclusão no cliente |
| Correspondência de suporte | Até o fechamento do tíquete + 12 meses | Expurgo automático |
| Registros de cobrança/fatura | Conforme exigido pela legislação tributária, comumente até 7 anos | Mínimo legal (Paddle) |
Subprocessadores
Em resumo: Exatamente dois — Cloudflare para hospedagem e trânsito de sincronização, e Paddle como nosso Merchant of Record para cobrança. Nenhum processador de analytics recebe dados pessoais, e não usamos redes de publicidade nem corretores de dados. Uma lista atual é mantida aqui.
| Subprocessador | Papel | Dados que tratam | Localização |
|---|---|---|---|
| Cloudflare | Hospedagem, API de sincronização, armazenamento criptografado | Texto cifrado opaco, metadados de requisição | Edge global |
| Paddle | Merchant of Record, cobrança, impostos | Nome, e-mail, dados de pagamento, faturas | Global |
A Cloudflare só vê blobs criptografados e metadados de requisição rotineiros; nunca detém chaves.6 O Paddle, como Merchant of Record, trata dos dados de pagamento e da conformidade de VAT/imposto sobre vendas em mais de 100 jurisdições, motivo pelo qual os dados do seu cartão chegam ao Paddle e nunca a nós.7 Se algum dia adicionarmos ou trocarmos um subprocessador, atualizaremos esta tabela e avisaremos os assinantes Pro com antecedência.
Veja também
- Segurança — a arquitetura de criptografia que torna esta política possível
- Compromisso de não venda — nosso compromisso permanente de nunca vender dados
- Termos de serviço — o acordo que rege seu uso do serviço
- Sobre — quem constrói o CookieVault e como é financiado
Footnotes
-
“Criptografia de ponta a ponta” significa que os dados são criptografados no dispositivo do remetente e descriptografados apenas no do destinatário, de modo que intermediários armazenam texto cifrado que não conseguem ler. Para contexto, veja a documentação de privacidade da Mozilla: https://developer.mozilla.org/en-US/docs/Web/Privacy. ↩
-
O Art. 5(1) do GDPR define os princípios de minimização de dados e de finalidade. Texto oficial consolidado: https://gdpr-info.eu/art-5-gdpr/. ↩ ↩2
-
A Lei Geral de Proteção de Dados do Brasil (LGPD, Lei 13.709/2018) é administrada pela ANPD: https://www.gov.br/anpd/pt-br. ↩
-
Os direitos do titular de dados no GDPR estão definidos nos Arts. 15–22. Veja a orientação do Information Commissioner’s Office do Reino Unido: https://ico.org.uk. ↩
-
O California Consumer Privacy Act, conforme alterado pelo CPRA, é resumido pelo Procurador-Geral da Califórnia: https://oag.ca.gov/privacy/ccpa. ↩
-
Os compromissos de privacidade da própria Cloudflare estão publicados aqui: https://www.cloudflare.com/privacypolicy/. ↩
-
O Paddle atua como Merchant of Record, assumindo a conformidade tributária e de pagamentos. Detalhes de privacidade: https://www.paddle.com/legal/privacy. ↩