Política de Privacidade
1. O que é o DataPath
O DataPath é uma ferramenta pessoal de estudo, de usuário único: existe um único acesso, o do próprio administrador (dono da aplicação). Não há cadastro público, não há criação de contas por terceiros e não há coleta de dados de outros usuários — porque não existem outros usuários. Todo dado tratado aqui pertence ao próprio administrador.
Esta política descreve, de forma honesta e verificável, exatamente o que a aplicação coleta e como. Cada mecanismo citado abaixo existe no código atual.
2. Controlador dos dados
Ildean Freitas Moura de Brito ("DataPath" ou "nós"), titular do domínio datapath.yottaflow.com.br, é o Controlador dos dados (LGPD art. 5º, VI) — e, na prática, também o único titular dos dados tratados.
Contato: ildeanmaster@gmail.com
3. Dados tratados
| Categoria | Dados | Finalidade |
|---|---|---|
| Perfil | Nome de exibição e um email de identificação do administrador | Identificar a sessão e personalizar a saudação |
| Uso da plataforma | Respostas de quizzes, XP, streak, badges, flashcards (revisão espaçada), histórico de leituras, diário de lições e histórico de roleplays | Registrar o progresso de estudo e alimentar a gamificação |
| Técnicos / auditoria | IP, user-agent e timestamps de eventos de login (tabela de auditoria) | Segurança e detecção de acesso indevido |
| Notificações push (opcional) | Endpoint de push do navegador (quando o administrador ativa) | Lembrete diário do artigo do dia |
Autenticação: o acesso é feito por uma senha única, definida numa variável
de ambiente do servidor (ADMIN_PASSWORD). A senha é comparada em
tempo constante (hash SHA-256 + timingSafeEqual) e
não é armazenada por usuário no banco — não há hash de senha em tabela, não
há login por email/senha próprio, não há login social (OAuth/Google) e não há autenticação
multifator.
Não coletamos: CPF, RG, endereço residencial, dados bancários ou de cartão, nem dados sensíveis (LGPD art. 5º, II) como saúde, orientação sexual, biometria ou genética. Não há cobrança, assinatura, gateway de pagamento nem período de teste.
4. Compartilhamento com terceiros
O único terceiro envolvido é o provedor de infraestrutura (Hostinger), onde o servidor de produção roda e onde os dados residem. Não há login social, gateway de pagamento nem provedor de email transacional em operação — portanto nenhum dado é compartilhado com Google, processadores de pagamento ou serviços de email.
Não vendemos, alugamos nem compartilhamos dados para marketing ou publicidade.
5. Transferência internacional
O servidor de produção fica num datacenter nos EUA (Boston), então há transferência internacional de dados. Aplicamos garantias técnicas equivalentes: criptografia em trânsito (TLS 1.3), firewall no servidor e princípio do menor privilégio.
6. Retenção
- Os dados de estudo permanecem enquanto o administrador quiser mantê-los — é o próprio histórico de aprendizado dele.
- Como o administrador tem acesso direto ao servidor e ao banco, ele pode exportar ou apagar os próprios dados a qualquer momento (ver seção 7).
- Backups de infraestrutura podem reter uma cópia por um período limitado até serem rotacionados.
7. Direitos e controle dos dados (LGPD art. 18)
Por ser uma ferramenta de usuário único operada pelo próprio titular, o controle sobre os dados é direto:
-
Acesso —
GET /api/meretorna os dados de perfil e sessão do administrador. -
Portabilidade / exportação — os endpoints em
/api/exportexportam os dados em.json(backup completo),.tsv(flashcards, formato Anki) e.pdf. - Correção e exclusão — o administrador tem acesso direto ao servidor e ao banco de dados de produção e pode corrigir ou remover qualquer dado diretamente. O schema do banco propaga a exclusão do usuário em cascata pelas tabelas dependentes.
- Notificações push — podem ser desativadas nas configurações do app ou nas permissões do navegador.
8. Cookies
Usamos apenas um cookie, estritamente necessário:
-
datapath_token— JWT de sessão (httpOnly,sameSite=strict,secureem produção). Expira em 7 dias.
Não há cookie de OAuth, de analytics, de marketing nem de rastreamento de terceiros. Não há banner de consentimento porque a LGPD dispensa opt-in para cookies essenciais.
9. Segurança
Medidas técnicas atualmente implementadas (verificáveis no código e na infra):
- TLS 1.3 obrigatório (HSTS, redirect HTTP→HTTPS)
- Senha de admin comparada em tempo constante (SHA-256 + timingSafeEqual)
- Sessão via JWT em cookie
httpOnly+sameSite=strict - Gate de administrador em todas as rotas de API, exceto o health check — além da assinatura do JWT, a identidade do administrador é reconferida a cada requisição
- Rate limit no endpoint de login
- Endpoint de métricas protegido por token dedicado, comparado em tempo constante
- Headers de segurança (CSP, X-Frame-Options, Referrer-Policy)
- Hardening do servidor (UFW, fail2ban, SSH somente por chave) e backups automatizados
Nenhum sistema é 100% imune. Como o único titular dos dados é o próprio administrador, em caso de incidente não há terceiros a notificar — mas a origem e o impacto ficam registrados na trilha de auditoria.
10. Alterações
Esta Política pode ser atualizada conforme a aplicação evolui. A versão sempre vigente é a publicada nesta URL, com a data de vigência no topo.
11. Contato
Dúvidas sobre esta Política: ildeanmaster@gmail.com
Você também pode acionar a ANPD (Autoridade Nacional de Proteção de Dados) em www.gov.br/anpd.