LAVRA
Criar Conta

Privacidade / Privacy Policy

Versão 2026-04-15 · Última atualização: 15 de abril de 2026

Política de Privacidade

1. Controladores conjuntos

Seus dados pessoais são tratados em conjunto por LAVRA Technologies Ltd. e MERX (parceira técnica) na condição de controladores conjuntos (Art. 26 da LGPD). Ambas respondem solidariamente pelo tratamento, cada uma com responsabilidades definidas em acordo interno (LAVRA: produto + relação com usuário; MERX: operação técnica + infraestrutura).

2. Dados que coletamos

  • Cadastro: nome completo, e-mail, telefone, CPF (usuários BR) ou passaporte (não-BR), país.
  • Uso da plataforma: ordens, trades, posições, saldo (virtual durante Beta).
  • Segurança e auditoria: endereço IP, user-agent do navegador, timestamps, tentativas de login.
  • Consentimento: versão dos Termos e Política aceitos, data, IP (para conformidade LGPD).

3. Base legal e finalidades

Tratamos seus dados com base em duas hipóteses da LGPD:

  • Execução de contrato (Art. 7, V): prestar o serviço que você solicitou — cadastro, autenticação, execução de ordens, cálculo de saldo, comunicação operacional.
  • Legítimo interesse (Art. 7, IX): prevenir fraude, proteger a plataforma, melhorar funcionalidades e produzir estatísticas agregadas e anonimizadas sobre o comportamento de mercados (sem identificar usuário individual).

Não usamos seus dados para oferta ativa de crédito, marketing direcionado fora da plataforma, ou venda a terceiros.

4. Uso interno dos dados (Art. 12)

LAVRA e MERX podem usar os dados internamente para análise, pesquisa e aprimoramento do produto. Qualquer dado que deixe o ambiente controlado (publicações, dashboards públicos, relatórios) é previamente anonimizado (Art. 12 da LGPD): sem identificadores diretos nem indiretos que permitam reidentificação razoável.

5. Compartilhamento

Seus dados pessoais podem ser compartilhados com:

  • Provedores essenciais de infraestrutura (hospedagem, banco de dados, monitoramento) sob contratos de tratamento de dados.
  • Autoridades competentes quando exigido por lei, ordem judicial, ou para prevenir fraude.
  • Parceiros de KYC/AML quando a verificação de identidade for ativada.

Nunca vendemos dados pessoais.

6. Segurança

Criptografia AES-256-GCM para dados sensíveis (CPF, nome completo) em repouso. Senhas com Argon2id. Tokens de sessão em cookies httpOnly (não acessíveis via JavaScript). TLS em todas as conexões. Acesso aos dados restrito a equipe com necessidade justificada, auditado.

7. Retenção

Dados ativos: enquanto sua conta existir. Após exclusão de conta, dados transacionais são anonimizados em até 30 dias; metadados de auditoria (logs de acesso) são mantidos por até 5 anos para fins regulatórios antifraude/AML. Dados de consentimento são mantidos pelo tempo em que forem necessários como evidência legal.

8. Seus direitos (LGPD)

Você pode, a qualquer momento:

  • Confirmar a existência de tratamento e acessar seus dados
  • Corrigir dados incompletos, inexatos ou desatualizados
  • Anonimizar, bloquear ou eliminar dados desnecessários, excessivos ou tratados em desconformidade
  • Solicitar portabilidade
  • Eliminar dados tratados com base em consentimento
  • Obter informação sobre entidades com as quais compartilhamos seus dados
  • Revogar consentimento

Para exercer qualquer um desses direitos, visite /direitos ou envie um email ao DPO.

9. Transferência internacional

Parte da infraestrutura pode estar hospedada fora do Brasil (EUA/UE). Nesses casos, exigimos salvaguardas contratuais compatíveis com a LGPD (Art. 33).

10. Alterações desta política

Mudanças materiais serão comunicadas por email com 15 dias de antecedência. A versão vigente é sempre a publicada nesta página, com data de atualização no topo.

11. Contato e DPO

Encarregado de Proteção de Dados (DPO): dpo@lavra.ag
Dúvidas gerais: suporte@lavra.ag

Você também pode registrar reclamação junto à Autoridade Nacional de Proteção de Dados (ANPD) — gov.br/anpd.

Privacy Policy (English summary)

LAVRA Technologies Ltd. and MERX act as joint controllers (LGPD Art. 26) of your personal data. We collect registration info (name, email, phone, CPF/passport, country), platform activity (orders, trades, balance — virtual during Beta), and security context (IP, user-agent). We process data under LGPD Art. 7 (V) — contract execution — and Art. 7 (IX) — legitimate interest (fraud prevention, anonymous analytics).

We do not sell data, do not use it for external direct marketing, and do not actively offer credit. Any external publication is anonymized (Art. 12). You have full LGPD rights (access, correction, deletion, portability, consent withdrawal) — exercise them at /direitos or by emailing dpo@lavra.ag.