política · privacy

política de privacidade

o que coletamos, por quê, como guardamos, e como você exerce direitos sob ccpa/cpra (california), gdpr (união europeia) e lgpd (brasil).

versão 0.1 · publicado 2026-04-17 · controlador: aevia llc · delaware, usa

§1

quem controla seus dados

o controlador (data controller / operador) é aevia llc, uma limited liability company de delaware, estados unidos da américa. contato de privacidade: contact@aevia.network. para lgpd no brasil, este endereço também funciona como canal do encarregado/dpo.

§2

o que coletamos e por quê

o design da aevia minimiza coleta de dados pessoais. o que coletamos, coletamos com finalidade explícita:

e-mail — quando você entra em contato, solicita waitlist de provider node, ou envia notificação dmca. finalidade: responder à solicitação específica.
endereço de wallet — quando você assina manifesto ou opera provider node. é um identificador público em base l2; não o tratamos como secret, mas registramos associação com sua operação.
logs técnicos de requisição — ip, user-agent, rota, status code, timestamp. finalidade: operação do serviço, segurança, debug. retenção máxima: 30 dias.
métricas agregadas — contagem de requisições e origem geográfica agregada via cloudflare analytics. não identificam indivíduos.

a aevia não coleta dados sensíveis (art. 11 lgpd, art. 9 gdpr) sem consentimento explícito e finalidade específica. a aevia não constrói perfis comerciais, não vende dados pessoais conforme definição ccpa, e não compartilha dados com data brokers.

§3 · gdpr/lgpd

base legal para o tratamento

as bases legais sob art. 6 gdpr e art. 7 lgpd são:

execução de contrato — para operar o serviço que você solicitou (assinar manifesto, operar provider node).
legítimo interesse — para segurança, prevenção de fraude, debug (logs técnicos).
obrigação legal — para responder a takedowns dmca, subpoenas, reportes ncmec.
consentimento — quando explicitamente solicitado (ex: comunicação sobre novidades do protocolo).

§4

direitos que você tem

dependendo da sua jurisdição, você tem direitos sobre seus dados pessoais. a aevia os reconhece universalmente ao máximo operacional que possamos. envie solicitação para contact@aevia.network com assunto privacy request e especifique qual direito. respondemos em até 30 dias.

acesso — obter cópia dos dados pessoais que mantemos (ccpa §1798.100, gdpr art. 15, lgpd art. 18 II).
retificação — corrigir dados inexatos (gdpr art. 16, lgpd art. 18 III).
deleção — apagar dados que não são mais necessários (ccpa §1798.105, gdpr art. 17, lgpd art. 18 VI). ressalva: manifestos ancorados em base l2 são imutáveis por design; o que podemos deletar são associações do lado off-chain.
portabilidade — receber seus dados em formato estruturado (gdpr art. 20, lgpd art. 18 V).
objeção / opt-out de venda — restringir tratamento por legítimo interesse (gdpr art. 21). a aevia não vende dados, mas respeitamos essa objeção como política geral (ccpa §1798.120).
revisão humana — para decisões automatizadas que afetem você significativamente (gdpr art. 22, lgpd art. 20). aplicável ao score de risco; você pode solicitar revisão manual.

§5

retenção e minimização

logs técnicos: 30 dias. registros de contato (e-mails): 2 anos. registros de dmca e contra-notificação: conforme exigência legal (17 u.s.c. §512). ncmec reports: 90 dias conforme 18 u.s.c. §2258a(h). deletamos dados que saíram de todas essas janelas.

§6

transferências internacionais

a aevia é sediada nos estados unidos. dados de usuários do espaço econômico europeu transferidos para os estados unidos são protegidos por standard contractual clauses (gdpr art. 46(2)(c)). para titulares brasileiros, transferências internacionais dependem de cláusulas específicas conforme art. 33 lgpd. atualizaremos este parágrafo se aderirmos ao eu–us data privacy framework.

§7

processadores terceirizados

a aevia utiliza os seguintes processadores na operação do serviço. cada um tem acordo formal de processamento (dpa) e não pode usar os dados para finalidades próprias:

cloudflare — hospedagem, cdn, analytics agregado, email routing. dpa padrão.
privy — embedded wallet e autenticação de criadores. dados: endereço de wallet, e-mail opcional.
base (coinbase) — rede blockchain l2 onde manifestos são ancorados. todas as transações são públicas por design.

§8

cookies

aevia.network usa apenas cookies estritamente necessários (toggle de idioma, sessão privy). não há cookies de tracking, publicidade, ou analytics de terceiros. se futuramente adicionarmos, o banner de consentimento é exigido (gdpr ePrivacy, lgpd art. 8).

§9

privacidade de menores

conforme a aup §3, a aevia não é direcionada a menores de 13 anos (coppa), 16 anos no eee (gdpr art. 8), e exige autorização parental para 13–17 no brasil (lgpd art. 14). se descobrirmos dados pessoais de menor abaixo da idade aplicável, esses dados são deletados sem necessidade de pedido formal.

§10

alterações nesta política

quando alteramos materialmente esta política, atualizamos a versão no topo e publicamos um aviso no roadmap. mudanças que afetem direitos do titular de forma restritiva entram em vigor 30 dias após publicação, dando tempo para exercício prévio dos direitos atuais.

§11 · contato de privacidade

aevia llc · delaware, usa · contact@aevia.network. para reclamações à autoridade de controle: eua — ag do estado de residência; eee — autoridade nacional de proteção de dados; brasil — autoridade nacional de proteção de dados (anpd).