Última atualização: 2 de maio de 2026

Política de Privacidade

Esta política descreve quais dados pessoais o sumno coleta, com qual base legal, como são tratados e quais são seus direitos como titular, em conformidade com a Lei Geral de Proteção de Dados (LGPD, Lei nº 13.709/2018).

1. Controlador

sumno (denominação social a ser registrada — CNPJ em processo de constituição). Contato para questões de privacidade: dpo@sumno.com.br.

2. Encarregado pelo Tratamento de Dados (DPO)

A função de encarregado é exercida pelo fundador do sumno. Para qualquer comunicação relacionada à proteção de dados — incluindo o exercício dos direitos previstos no art. 18 da LGPD — utilize o email dpo@sumno.com.br.

3. Dados coletados

Coletamos apenas o estritamente necessário para entregar o serviço:

  • Cadastro: endereço de email fornecido na entrada por magic link.
  • Uso do produto: identificadores de buscas (consulta, filtros, número de resultados), papers visualizados, resumos gerados e itens salvos na biblioteca.
  • Telemetria de produto: eventos anônimos ou pseudonimizados de uso (descritos na seção 6).
  • Financeiro: identificador de cliente da Stripe e status da assinatura. Dados de cartão são coletados e armazenados pela Stripe; o sumno não tem acesso ao número completo do cartão.
  • Operacional: logs de erro do servidor, sem conteúdo de buscas ou resumos.

4. Bases legais e finalidades

Cada dado é tratado com base em uma das hipóteses do art. 7º da LGPD:

  • Execução de contrato (art. 7º, V): autenticação, processamento de pagamentos, entrega das funcionalidades contratadas.
  • Consentimento (art. 7º, I): telemetria de produto via PostHog — só ocorre após o aceite explícito no banner de cookies.
  • Legítimo interesse (art. 7º, IX): segurança, prevenção a abuso e limitação de taxa (rate limiting) — sem afetar direitos fundamentais do titular.
  • Obrigação legal e regulatória (art. 7º, II): retenção de registros mínimos exigidos pelo Marco Civil da Internet (Lei nº 12.965/2014).

5. Retenção

Histórico de buscas: 90 dias a partir do registro, com purga automática diária. O usuário pode optar por não armazenar histórico de busca em Minha conta.

Resumos gerados: mantidos enquanto a conta estiver ativa, para reuso via cache (evita refazer a chamada de IA).

Biblioteca pessoal: mantida enquanto a conta estiver ativa.

Dados de assinatura: mantidos pelo período obrigatório de retenção fiscal aplicável (mínimo 5 anos após o último pagamento), nos termos da legislação brasileira.

Logs de acesso: até 6 meses, em cumprimento ao Marco Civil da Internet.

Em caso de exclusão de conta, todos os dados acima são deletados, exceto os que a lei exigir manter.

6. Compartilhamento com operadores

Para operar o serviço, compartilhamos dados estritamente necessários com os seguintes operadores de tratamento de dados:

  • Supabase (autenticação e banco de dados) — hospedagem nos EUA. Vê: email, identificador, dados de uso armazenados.
  • Stripe (pagamentos) — vê: nome no cartão, email, endereço de cobrança, dados de cartão (que ficam só com a Stripe). Conformidade PCI-DSS.
  • Anthropic (modelos de IA) — vê: texto do abstract enviado para sumarização. Não vê o email do usuário nem identificadores de conta.
  • Resend (entrega de emails transacionais) — vê: email do destinatário e conteúdo do magic link.
  • PostHog (analytics de produto) — vê: identificador pseudonimizado e eventos de uso. IP é descartado na coleta. Só após consentimento explícito no banner.
  • Sentry (relatos de erro) — vê: stack traces e identificadores técnicos. Não envia dados do usuário.
  • Vercel (hospedagem da aplicação) — vê: requisições HTTP, IP de origem (descartado após processamento da requisição).

7. Direitos do titular

Nos termos do art. 18 da LGPD, você pode, a qualquer momento:

  • Confirmar a existência de tratamento dos seus dados.
  • Acessar os dados que mantemos sobre você.
  • Corrigir dados incompletos, inexatos ou desatualizados.
  • Solicitar a anonimização, bloqueio ou exclusão de dados desnecessários ou tratados em desconformidade.
  • Solicitar a portabilidade dos dados, observados os segredos comercial e industrial.
  • Solicitar a exclusão dos dados tratados com base em consentimento.
  • Obter informações sobre o uso compartilhado de dados.
  • Revogar consentimento.

8. Como exercer seus direitos

Envie um email para dpo@sumno.com.br com a solicitação. Respondemos em até 15 dias corridos a contar do recebimento. Se a identidade do solicitante não puder ser comprovada com segurança, podemos pedir documentação adicional.

9. Cookies

Detalhes sobre quais cookies utilizamos e como você pode controlá-los estão no banner de consentimento exibido na primeira visita, e podem ser revisados a qualquer momento. Cookies essenciais (sessão de login, segurança) são utilizados com base na execução do contrato e não dependem de consentimento.

10. Segurança

Adotamos medidas técnicas e administrativas razoáveis para proteger os dados contra acesso não autorizado, perda ou alteração: TLS em trânsito, isolamento por linha (RLS) no banco de dados, princípio do menor privilégio nos acessos administrativos, registro de eventos de segurança.

11. Transferência internacional

Os operadores listados na seção 6 podem manter cópias dos dados em servidores fora do Brasil (principalmente Estados Unidos e União Europeia). Selecionamos operadores que oferecem garantias adequadas de proteção, conforme art. 33 da LGPD.

12. Mudanças nesta política

Podemos atualizar esta política para refletir mudanças no serviço ou na regulação aplicável. Mudanças relevantes são comunicadas por email e pela própria página. A data da última atualização aparece no topo deste documento.

13. Autoridade competente

Você pode apresentar reclamações à Autoridade Nacional de Proteção de Dados (ANPD) — www.gov.br/anpd — se entender que seus direitos não foram atendidos.