curto.me
Entrar

Política de Privacidade

Última atualização: 17 de maio de 2026

Este texto explica que dados o curto.me coleta, por quê, com quem compartilha, e como você exerce os direitos da Lei Geral de Proteção de Dados (LGPD, Lei 13.709/2018). A gente prefere coletar pouco e ser transparente — se algo aqui não fizer sentido, escreva pra [email protected].

1. Quem é o controlador

Diogo Corazolla (pessoa física, até a operação virar pessoa jurídica formal). Contato: [email protected].

2. Que dados a gente coleta

O mínimo necessário pra cada função:

  • Email — quando você cria conta. Usado pra magic link de login e notificações operacionais (recibo de compra, aviso de link desativado).
  • IP do criador — não armazenado em texto. Convertido em hash criptográfico irreversível com chave secreta no servidor. Usado pra rate limit e detecção de abuso. Ninguém consegue reverter o hash.
  • Eventos de clique nos seus links/QR — registramos contagem agregada e dados leves do request (país do visitante por geolocalização, navegador, sistema, fonte do tráfego). Não armazenamos IP cru de quem clica nem dado pessoalmente identificável do visitante.
  • Cookie de sessão — pra você poder criar/ver coisas anônimas sem login. Cookie único, expira em 90 dias sem ação.
  • Compras — quando você paga (PIX/MP), guardamos status, valor, identificador da transação no Mercado Pago. Detalhes do pagamento (cartão, etc.) ficam só no MP.
  • 2FA TOTP — se você ativar, guardamos uma chave criptografada (não conseguimos ler). Códigos de recuperação são guardados como hash (não conseguimos recuperar).

3. Por que a gente coleta (bases legais LGPD)

  • Execução de contrato (LGPD art. 7º, V) — pra prestar o serviço que você pediu (encurtar link, gerar QR, processar pagamento).
  • Legítimo interesse (art. 7º, IX) — anti-abuso (rate limit, Safe Browsing) e analytics agregadas. Não usamos pra perfilamento individual.
  • Cumprimento de obrigação legal (art. 7º, II) — guarda de log fiscal de venda quando aplicável.
  • Consentimento (art. 7º, I) — pra qualquer coisa nova fora do escopo do produto, sempre opt-in explícito.

4. Com quem a gente compartilha

O mínimo de fornecedores possível, sempre minimizando o que cada um vê:

  • Provedor de pagamento (gateway homologado pelo Banco Central) — quando você paga. Vê dados do pagamento (que a gente nem armazena).
  • Rede de borda (CDN + proxy de segurança) — vê tráfego HTTP em trânsito. Operador com certificações de segurança internacionais.
  • Serviço de reputação anti-phishing/malware — quando você cria link curto, a URL alvo é checada em listas públicas pra evitar abuso. Consultas são anônimas (não enviamos seus dados, só a URL).
  • Captcha anti-bot — desafio invisível na criação anônima de link.
  • Provedor de email transacional — pros emails de login (link mágico) e recibos.
  • Armazenamento em nuvem (backup criptografado) — guarda cópias de segurança em forma cifrada. A chave criptográfica fica conosco; o operador só vê blobs opacos.
  • Provedor de hospedagem em nuvem — onde a aplicação roda.

Lista nominal e atualizada dos sub-processadores em /subprocessadores. A gente nunca vende dado pessoal pra terceiro.

5. Por quanto tempo a gente guarda

  • Anônimo (sem conta, só cookie) — 90 dias sem ação. Depois disso, o sistema apaga sozinho.
  • Conta logada — enquanto você usar. Quando você pede pra excluir (em curto.me/conta), os dados ficam soft-deletados por 30 dias (caso queira reverter) e depois somem completamente.
  • Logs de abuso (links com phishing, malware) — 2 anos pra defesa em fiscalização e ação cível.
  • Backup criptografado — cópias de segurança em janela rotativa. Quando o dado original some, ele eventualmente sai do backup também.

6. Seus direitos (LGPD art. 18)

Você pode exercer todos sem precisar pedir:

  • Acesso e portabilidade — em /conta, botão "Baixar meus dados (JSON)".
  • Exclusão — em /conta, botão "Excluir minha conta".
  • Retificação, oposição, revisão de decisões automatizadas — escreva pra [email protected]. Resposta em até 5 dias úteis (LGPD permite 15; alvo interno é 5).
  • Revogação de consentimento — quando aplicável, link de unsubscribe nas próprias mensagens.

7. Cookies

  • Sessão e autenticação — necessário, sem opt-out (sem ele você não consegue usar o site logado).
  • Anti-abuso (captcha) — necessário, sem opt-out.
  • Analytics — Cloudflare Web Analytics (agregada, cookie-less) e PostHog (product analytics + replay de sessão). PostHog mascara todos os campos de entrada (inputs) — não capturamos chave PIX, senha de Wi-Fi, CPF ou telefone digitados. Não capturamos IP. Só usuários logados geram perfil persistente (anônimos ficam agregados sem identificação). Você pode pedir o apagamento dos seus dados pelo email do art. 9.

7.1. API pública e dados de terceiros

Disponibilizamos uma API REST pública autenticada por Bearer token. Se você usa a API pra gerar artefatos com dados de terceiros (ex: QR PIX com chave do seu cliente, vCard do seu funcionário, QR Wi-Fi com senha da sua rede), você é o controlador desses dados e nós somos operadores na medida exata do processamento técnico necessário pra gerar o artefato. Os mesmos princípios desta política valem: gravamos só o necessário, hash de IP, retenção alinhada à conta do dono da key. Se você não tem base legal pra processar o dado de terceiro, não use a API com ele.

Logs de requests da API (endpoint, status, latência, IP do chamador via hash HMAC) ficam guardados por 30 dias pra debug, abuse detection e auditoria. Sem payload — o corpo do request não é persistido nos logs.

7.2. Política de crawlers e treinamento de IA

Liberamos crawlers de IA (Perplexity, ChatGPT, Claude, Gemini, GPTBot, ClaudeBot, CCBot etc) a acessar páginas públicas do site — descrições de ferramentas, FAQ, documentação da API, política de privacidade. URLs de artefatos individuais (/qr-pix/<id>, /wifi/<id>, etc) seguem bloqueadas em robots.txt porque contêm dado pessoal (chave PIX, senha de Wi-Fi, vCard). Detalhes técnicos em ADR 0044 no repositório.

Não fazemos opt-out automático em respeito a leis estaduais americanas (TDM/AI training) além do que o robots.txt já indica. Se virar problema concreto, ajustamos.

8. Crianças e adolescentes

O serviço não é direcionado a menores de 18 anos. Se você é responsável e descobrir que um menor criou conta, escreva pra [email protected] e providenciaremos a exclusão.

9. Alterações desta política

Quando houver alteração, enviamos email com antecedência razoável a quem tem conta (com prazo pra revisar e, se preferir, encerrar a conta antes da mudança entrar em vigor) e atualizamos a data de "Última atualização" no topo. O histórico de versões fica no GitHub público da política.

10. Foro

Foro de Brasília/DF. Você também pode procurar o Procon do seu estado ou a ANPD caso a resposta não seja satisfatória.

Esta política está em revisão jurídica formal — texto pode ajustar pra consistência legal sem mudar substância. Última atualização: 17 de maio de 2026.