Documentação LGPD pública
Privacidade — ROPA e RIPD
Versão 1.0 · 20 de abril de 2026 · ACRA System · CNPJ 39.973.426/0001-67
Preâmbulo
Este documento atende aos art. 37 (ROPA) e art. 38 (RIPD) da Lei Geral de Proteção de Dados (Lei 13.709/2018), bem como às diretrizes da Autoridade Nacional de Proteção de Dados (ANPD). Apresenta, de forma estruturada, como a ACRA System trata dados pessoais no LeiturasBíblicas e quais os riscos e medidas mitigadoras associados.
- Controlador: ACRA System — CNPJ 39.973.426/0001-67 — Sorocaba/SP — Brasil
- Encarregado (DPO): [email protected]
- Serviço avaliado: LeiturasBíblicas — leiturasbiblicas.com.br
- Versão: 1.0 · 20/04/2026
1. ROPA — Registro de Operações de Tratamento
T01. Cadastro e autenticação de usuários
- Finalidade:
- Criação de conta, autenticação, identificação no Serviço
- Base legal:
- Art. 7º, V (execução de contrato) + Art. 14 (consentimento parental para menores)
- Categorias de dados:
- Nome, WhatsApp, e-mail, senha (hash bcrypt), data de nascimento, CPF (opcional), timezone
- Titulares:
- Usuários do LeiturasBíblicas (pessoas físicas ≥ 13 anos) + Responsáveis legais de menores
- Retenção:
- Enquanto ativo + 5 anos após encerramento (prescrição comercial — Código Civil art. 206)
- Compartilhamentos:
- Nenhum externo. Uso interno: Stripe apenas para verificação de cartão no consentimento parental (R$ 1,00 estorno).
- Transferência internacional:
- Não
- Medidas de segurança:
- bcrypt para senhas, TLS 1.3 em trânsito, AES-256 em repouso, backups criptografados, controle de acesso baseado em função
T02. Autenticação por OTP (WhatsApp)
- Finalidade:
- Verificação de posse do número de WhatsApp declarado no cadastro
- Base legal:
- Art. 7º, V (execução de contrato)
- Categorias de dados:
- Número de WhatsApp, código OTP (6 dígitos, expira em 10min, hash em Redis)
- Titulares:
- Usuários que optam por autenticação via WhatsApp
- Retenção:
- Código OTP: 10 minutos. Número: enquanto conta ativa.
- Compartilhamentos:
- Evolution API (self-hosted na mesma infraestrutura; não é terceiro externo)
- Transferência internacional:
- Não
- Medidas de segurança:
- OTP com TTL curto, invalidação após uso único, rate limiting anti-brute-force
T03. Leitor bíblico e planos de leitura
- Finalidade:
- Prover conteúdo bíblico e acompanhar progresso do usuário
- Base legal:
- Art. 7º, V (execução de contrato)
- Categorias de dados:
- Histórico de leitura, versículo do dia marcado, dia atual do plano, anotações do usuário (texto livre)
- Titulares:
- Usuários ativos
- Retenção:
- Enquanto ativo + 90 dias após encerramento para permitir reativação
- Compartilhamentos:
- Nenhum externo
- Transferência internacional:
- Não
- Medidas de segurança:
- Acesso restrito ao próprio usuário; logs de acesso preservados (Marco Civil)
T04. Assistente Bíblico com Inteligência Artificial
- Finalidade:
- Responder perguntas do usuário sobre temas bíblicos
- Base legal:
- Art. 7º, V (execução de contrato) + Art. 14 + Art. 33 (transferência internacional, se aplicável)
- Categorias de dados:
- Texto da pergunta, histórico da conversa na sessão, resposta gerada, identificador de sessão, timestamp
- Titulares:
- Usuários que consultam o Assistente
- Retenção:
- Conversas armazenadas por 180 dias para auditoria e melhoria; após isso, anonimizadas ou descartadas
- Compartilhamentos:
- Fornecedor de modelo de IA (processador contratado, com contrato sujeito a cláusulas padrão da ANPD quando transferência internacional)
- Transferência internacional:
- Sim — processamento pode ocorrer em servidores fora do Brasil. Salvaguardas: cláusulas padrão, acordos de processamento, garantia de não-uso dos dados para treinamento.
- Medidas de segurança:
- Texto das perguntas é enviado sem identificação pessoal direta do usuário quando tecnicamente viável; fornecedor contratualmente obrigado a não reter dados para treinamento
T05. Envio de versículo do dia via WhatsApp
- Finalidade:
- Notificação diária com conteúdo bíblico conforme preferência
- Base legal:
- Art. 7º, I (consentimento do titular)
- Categorias de dados:
- Número de WhatsApp, configuração de horário, preferências de livro/versão, timezone
- Titulares:
- Usuários que ativaram o recurso
- Retenção:
- Enquanto ativo; desativável a qualquer momento sem prejuízo
- Compartilhamentos:
- Evolution API (interno)
- Transferência internacional:
- Não
- Medidas de segurança:
- Opt-in explícito, opt-out em qualquer mensagem
T06. Pagamento e aquisição de créditos
- Finalidade:
- Processar compra de pacotes de créditos para uso do Serviço Premium
- Base legal:
- Art. 7º, V (execução de contrato) + Art. 7º, VI (obrigação legal — emissão de NFS-e)
- Categorias de dados:
- Valor, pacote adquirido, data, ID de transação. Dados de cartão NUNCA tocam nossos servidores — gerenciados pelo Stripe (PCI DSS nível 1)
- Titulares:
- Usuários compradores
- Retenção:
- Registros fiscais: 5 anos (obrigação tributária — Decreto 9.580/2018 art. 264). Logs de transação: 5 anos.
- Compartilhamentos:
- Stripe (processador de pagamentos licenciado), Receita Federal/Prefeitura de Sorocaba (NFS-e)
- Transferência internacional:
- Stripe pode processar em servidores internacionais — sob salvaguardas contratuais
- Medidas de segurança:
- Tokenização de cartão pelo Stripe; nossos servidores armazenam apenas IDs de transação
T07. Doações voluntárias
- Finalidade:
- Arrecadar contribuições para manutenção da infraestrutura
- Base legal:
- Art. 7º, V (execução de contrato) + obrigação legal tributária
- Categorias de dados:
- Valor, data, identificação do doador (se informar)
- Titulares:
- Usuários que optarem por doar
- Retenção:
- Registros fiscais: 5 anos
- Compartilhamentos:
- Stripe, órgãos fiscais
- Transferência internacional:
- Stripe (análogo a T06)
- Medidas de segurança:
- Análoga a T06
T08. Atendimento e suporte
- Finalidade:
- Responder dúvidas, resolver problemas, atender pedidos de direitos LGPD, denúncias e apelações
- Base legal:
- Art. 7º, V (execução de contrato) + Art. 7º, VI (obrigação legal — LGPD art. 18)
- Categorias de dados:
- E-mail, conteúdo da mensagem, anexos se houver
- Titulares:
- Quem nos procura
- Retenção:
- Tickets de suporte: 3 anos após resolução. Denúncias graves e seus registros: conforme legislação específica (ex: preservação de evidências em crimes)
- Compartilhamentos:
- Autoridades mediante requisição legal válida
- Transferência internacional:
- Não
- Medidas de segurança:
- Acesso restrito a pessoal de suporte; logs de acesso preservados
T09. Logs técnicos e de segurança
- Finalidade:
- Detecção de incidentes, auditoria, resposta a requisições judiciais (Marco Civil)
- Base legal:
- Art. 7º, VI (obrigação legal — Marco Civil arts. 13 a 15) + Art. 7º, IX (legítimo interesse — segurança)
- Categorias de dados:
- IP, user-agent, timestamps de login/acesso, tentativas de autenticação, endpoints acessados
- Titulares:
- Todos os visitantes e usuários
- Retenção:
- Registros de conexão (IP): 6 meses (MCI art. 13). Registros de acesso a aplicações: 1 ano (MCI art. 15). Logs de segurança: 1 ano.
- Compartilhamentos:
- Autoridades mediante ordem judicial válida (art. 10, §1º MCI)
- Transferência internacional:
- Não
- Medidas de segurança:
- Logs em servidor segregado; acesso restrito a DPO e equipe de segurança; imutabilidade por hash diário
T10. Consentimento parental (menores)
- Finalidade:
- Documentar e comprovar autorização do responsável legal para uso por menor
- Base legal:
- Art. 14 (LGPD) + ECA + Lei 15.211/2025
- Categorias de dados:
- Nome completo do responsável, CPF, e-mail, telefone, relação com o menor, IP e user-agent do aceite, hash do documento aceito
- Titulares:
- Responsáveis legais de usuários entre 13 e 17 anos
- Retenção:
- Enquanto o menor for menor + 5 anos após completar 18 anos (para fins de prova em eventual contestação)
- Compartilhamentos:
- Autoridades (Conselho Tutelar, MP, Polícia) mediante requisição legal
- Transferência internacional:
- Não
- Medidas de segurança:
- Hash SHA-256 do documento aceito; registro imutável em auditoria
T11. Embeddings e cache semântico
- Finalidade:
- Acelerar respostas por similaridade, reduzir custo, melhorar qualidade
- Base legal:
- Art. 7º, V (execução de contrato) + Art. 7º, IX (legítimo interesse — otimização)
- Categorias de dados:
- Texto da pergunta convertido em vetor numérico (embedding), texto anonimizado da resposta
- Titulares:
- Usuários que interagiram com o Assistente
- Retenção:
- Cache: 90 dias por padrão (renovável por uso). Embeddings: enquanto versículo/estudo existir.
- Compartilhamentos:
- Apenas em nossos servidores (PostgreSQL pgvector, Redis)
- Transferência internacional:
- Não
- Medidas de segurança:
- Embeddings não permitem reconstruir texto original; cache armazena sem vínculo com usuário específico
2. RIPD — Relatório de Impacto à Proteção de Dados
2.1. Justificativa para elaboração
Dois dos tratamentos mapeados no ROPA acima exigem avaliação aprofundada por envolverem alto risco aos direitos e liberdades dos titulares:
- T04 — Assistente Bíblico com IA: uso de decisões automatizadas e processamento em larga escala, potencialmente envolvendo transferência internacional e análise de preferências religiosas (dado sensível por natureza).
- Tratamento transversal de convicções religiosas: embora o LeiturasBíblicas não colete explicitamente a religião do usuário, o simples uso da plataforma revela interesse em temática cristã — configurando dado pessoal sensível (LGPD art. 5º, II). Em conjunto com outras informações (perguntas frequentes, planos de leitura escolhidos), pode-se inferir denominação e convicções detalhadas.
A ANPD, em suas orientações, recomenda RIPD especialmente em: tratamento de dados sensíveis em escala; uso de IA em decisões que afetem titulares; tratamento de dados de crianças e adolescentes. Todos os três critérios incidem no LeiturasBíblicas.
2.2. Descrição dos tratamentos avaliados
Natureza, escopo, contexto e finalidade — consolidado:
- Natureza: tratamento automatizado de conteúdo textual (perguntas) em plataforma de estudo bíblico, processado por modelos de linguagem de grande porte (LLMs).
- Escopo: usuários ativos do LeiturasBíblicas, incluindo potencial público de menores com consentimento parental.
- Contexto: ambiente digital brasileiro, temática religiosa cristã plural (ecumênica), operação em nuvem com integrações.
- Finalidade: fornecer respostas bíblicas de qualidade para estudo pessoal, devoção e ministério informal.
2.3. Necessidade e proporcionalidade
O tratamento é necessário para entregar a funcionalidade do Assistente Bíblico — sem receber a pergunta, a plataforma não pode responder. É proporcional porque:
- Coleta-se apenas o mínimo necessário (texto da pergunta)
- Não há cruzamento com perfis externos ao serviço
- Resposta é efêmera (sessão) e armazenada somente para auditoria (180 dias)
- Usuário pode operar em modo Gratuito sem IA premium caso prefira não ter suas perguntas processadas por LLM
2.4. Identificação de riscos
| # | Risco | Probabilidade | Impacto | Classificação |
|---|---|---|---|---|
| R1 | Vazamento de perguntas com conteúdo sensível (confissões, dúvidas íntimas de fé) | Baixa | Alto | Médio |
| R2 | Inferência de denominação religiosa específica por cruzamento de dados | Média | Médio | Médio |
| R3 | Transferência internacional sem salvaguardas adequadas | Baixa | Alto | Médio |
| R4 | Uso indevido de dados pelo fornecedor do LLM para treinamento | Baixa | Alto | Médio |
| R5 | Resposta imprecisa causando decisão espiritual equivocada | Média | Médio | Médio |
| R6 | Acesso indevido à conta de menor | Baixa | Alto | Médio |
| R7 | Armazenamento excessivo sem retenção definida | Baixa | Médio | Baixo |
| R8 | Discriminação por vieses do modelo (ex: favorecimento de tradição específica) | Média | Baixo | Baixo |
| R9 | Perfilização excessiva para publicidade externa | Muito baixa | Alto | Baixo |
| R10 | Acesso não autorizado a banco via falha de autenticação | Baixa | Alto | Médio |
2.5. Medidas mitigadoras
Para cada risco identificado, a ACRA System adota controles técnicos, organizacionais e contratuais:
- R1, R4 — Contra vazamento e uso indevido:contratos com fornecedores de LLM incluem vedação de uso dos dados para treinamento, cláusulas padrão de processamento, obrigações de notificação em caso de incidente.
- R2, R9 — Contra inferência e perfilização:plataforma não vende nem compartilha dados para publicidade externa; perfilização é estritamente interna e para fins de melhoria do Serviço (resposta mais relevante).
- R3 — Contra transferência sem salvaguarda:avaliação prévia do país de destino; priorização de processadores com infraestrutura em regiões adequadas; cláusulas padrão da ANPD.
- R5 — Contra decisão equivocada:disclaimer constante sobre limitações da IA; orientação ao usuário a verificar referências e consultar líder espiritual; o Assistente não é apresentado como oráculo.
- R6 — Contra acesso indevido a menor:notificação ao responsável em login de novo dispositivo; 2FA opcional para menores; monitoramento de padrões atípicos.
- R7 — Contra retenção excessiva:políticas automáticas de expiração (jobs de limpeza agendados); revisão trimestral da Tabela de Retenção.
- R8 — Contra vieses:system prompt orientado à pluralidade ecumênica; monitoramento de feedback; ajustes iterativos no prompt e na curadoria de contexto.
- R10 — Contra invasão:senhas com bcrypt (cost 12); 2FA no painel admin; revisão de dependências com vulnerabilidades (auditorias periódicas); rate limiting; logs imutáveis.
2.6. Conclusão do RIPD
Parecer: os tratamentos analisados apresentam riscos residuais classificados como BAIXOS após aplicação das medidas mitigadoras — compatíveis com a natureza do Serviço e proporcionais aos benefícios entregues aos titulares. Não se identifica risco que torne inviável o tratamento ou exija sua interrupção.
- Revisão do RIPD: anual, ou sempre que houver mudança material em fornecedor, modelo, escopo ou jurisprudência relevante.
- Publicação: este documento é público e acessível a qualquer interessado.
- Responsável: DPO do LeiturasBíblicas — [email protected]
3. Direitos do Titular (LGPD art. 18)
O titular pode, a qualquer tempo, requerer: confirmação da existência do tratamento; acesso aos dados; correção; anonimização, bloqueio ou eliminação de dados desnecessários; portabilidade; eliminação de dados tratados com base em consentimento; informação sobre compartilhamentos; revogação do consentimento. Os pedidos são atendidos em até 15 (quinze) dias a partir do recebimento, via [email protected].
4. Medidas Técnicas e Organizacionais de Segurança
- Criptografia: TLS 1.3 em trânsito; bcrypt cost 12 para senhas; AES-256 para backups; hash SHA-256 para integridade de documentos legais aceitos.
- Controle de acesso: princípio do menor privilégio; 2FA TOTP obrigatório no painel admin; rotação periódica de credenciais internas; sessões com TTL de 8h.
- Isolamento: rede Docker interna; banco de dados sem exposição à internet pública; segregação entre ambientes.
- Backups: diários automatizados; retenção de 30 dias; testes periódicos de restauração.
- Monitoramento: logs de autenticação e acesso administrativo imutáveis; rate limiting anti-abuso; alertas em eventos suspeitos.
- Resposta a incidentes: notificação à ANPD em até 72 horas de incidente que possa gerar risco/dano aos titulares (LGPD art. 48); comunicação direta aos titulares afetados.
- Treinamento: pessoal com acesso a dados recebe orientação sobre LGPD, ECA e segurança operacional.
5. Canal do Encarregado (DPO)
Canal oficial para exercício de direitos LGPD, dúvidas sobre tratamento de dados e comunicação com autoridades. · Resposta em até 15 dias corridos.