O Lectorium é local-first: seus documentos ficam no seu dispositivo e na sua conta Google Drive ou Dropbox. Não operamos servidores que guardem seus arquivos de trabalho.
Resumo rápido
| O que coletamos | Por que | Base legal (LGPD) |
|---|
| Nome, e-mail, foto de perfil (Google OAuth) |
Identificar e autenticar sua sessão |
Execução de contrato — art. 7, V |
| Token OAuth do Google |
Operar Google Drive em seu nome |
Execução de contrato — art. 7, V |
| Metadados de arquivos (nome, tamanho, tipo) |
Exibir sua biblioteca e sincronizar |
Execução de contrato — art. 7, V |
| Logs de conexão (IP, timestamp) |
Segurança e cumprimento legal |
Obrigação legal — art. 7, II (Marco Civil, art. 13) |
| Métricas técnicas agregadas (Cloudflare Web Analytics) |
Entender tráfego e desempenho da página, sem cookies, publicidade ou perfilamento |
Legítimo interesse — art. 7, IX |
1. Quem somos
Controlador de dados: Lectorium, operado pelo responsável pelo serviço e pelas decisões sobre tratamento de dados pessoais nesta aplicação.
Encarregado (DPO): Para exercer seus direitos ou tirar dúvidas sobre privacidade, contate nosso canal dedicado: contato@lectorium.com.br. Respondemos em até 15 dias úteis, conforme exige o art. 18 §5 da LGPD.
2. Dados que coletamos e por quê
2.1 Conta Google (opcional para usar Google Drive)
Ao fazer login com o Google, o Lectorium recebe do Google OAuth:
- Nome de exibição, endereço de e-mail e foto de perfil — para criar e identificar sua conta.
- Token de acesso OAuth — para realizar operações no Google Drive em seu nome durante a sessão.
Base legal: execução de contrato (art. 7, V da Lei 13.709/2018). Esses dados são necessários apenas para autenticação e recursos conectados ao Google Drive; o workspace local pode ser usado sem conectar uma conta Google.
Retenção: enquanto você mantiver sua conta ativa. O token OAuth é armazenado localmente, criptografado no seu dispositivo, e eliminado ao deslogar.
Escopos Google Drive: drive.file (apenas arquivos criados ou abertos pelo app) e drive.appdata (manifesto privado da biblioteca).
2.2 Arquivos e conteúdo
O conteúdo dos seus arquivos (PDFs, documentos DOCX etc.) é processado localmente no seu dispositivo. Não temos acesso remoto a esse conteúdo. Ao usar recursos de IA, o texto vai diretamente do app para as APIs do Google — não transita por servidores nossos.
Base legal: execução de contrato (art. 7, V).
Retenção: o cache local fica no armazenamento do app até você limpar os dados ou deslogar.
2.3 Dropbox (integração opcional)
Se você conectar o Dropbox, o Lectorium acessa apenas os arquivos que você selecionar explicitamente. O token Dropbox é armazenado localmente, criptografado. Nenhum dado do Dropbox é transmitido para nossos servidores.
Base legal: execução de contrato (art. 7, V).
2.4 Logs de conexão
Nossa infraestrutura (Supabase) registra logs de acesso contendo endereço IP e timestamp, conforme exigido pelo art. 13 do Marco Civil da Internet (Lei 12.965/2014). Esses logs são mantidos por 12 meses e só são divulgados a terceiros mediante ordem judicial.
Base legal: obrigação legal (art. 7, II da LGPD).
2.5 Métricas técnicas e telemetria
Usamos Cloudflare Web Analytics para métricas técnicas agregadas de tráfego e desempenho das páginas públicas. Segundo a Cloudflare, esse recurso não usa cookies, localStorage ou identificadores de usuário para coletar métricas. Não usamos Google Analytics, publicidade comportamental, retargeting ou perfilamento.
Eventos técnicos internos usados para diagnóstico no app não são enviados para servidores do Lectorium.
Base legal: legítimo interesse (art. 7, IX da LGPD), limitado à segurança, desempenho e melhoria do serviço.
3. Com quem compartilhamos
Não vendemos, alugamos nem repassamos seus dados a corretores de dados ou anunciantes. Compartilhamos apenas com os seguintes subprocessadores, estritamente para operar o serviço:
-
Google LLC (Estados Unidos) — autenticação OAuth e Google Drive API. Transferência internacional amparada pelas Cláusulas Contratuais Padrão (SCCs) da Comissão Europeia, aceitas pelo Google no Google Cloud Data Processing Addendum.
-
Supabase Inc. (Estados Unidos / União Europeia) — infraestrutura de banco de dados e autenticação. Transferência amparada pelas SCCs e pelo DPA (Data Processing Agreement) da Supabase.
-
Cloudflare Inc. (Estados Unidos / rede global) — hospedagem, segurança, CDN e métricas técnicas agregadas de páginas públicas via Cloudflare Web Analytics.
-
Dropbox Inc. (Estados Unidos) — apenas se você conectar o Dropbox voluntariamente. Transferência amparada pelas SCCs do Dropbox.
4. Transferências internacionais de dados
Nossos subprocessadores (Google, Supabase, Cloudflare, Dropbox) estão sediados nos Estados Unidos ou operam infraestrutura global. As transferências internacionais de dados pessoais são realizadas com base nas Cláusulas Contratuais Padrão (SCCs) adotadas pela Comissão Europeia, mecanismo reconhecido pelo art. 33 e seguintes da LGPD como salvaguarda adequada. Cada fornecedor mantém DPAs disponíveis publicamente em seus respectivos sites.
5. Decisões automatizadas
O Lectorium não utiliza decisões automatizadas que produzam efeitos jurídicos ou que afetem significativamente você (art. 20 da LGPD). Os recursos de IA geram sugestões que dependem sempre de revisão e ação humana.
6. Segurança
- Tokens de acesso são armazenados criptografados no seu dispositivo (AES-GCM via WebCrypto API).
- Toda comunicação com APIs externas usa HTTPS/TLS.
- Nossa infraestrutura Supabase opera com RLS (Row-Level Security) — cada usuário acessa apenas seus próprios dados.
- Em caso de incidente de segurança que possa afetar seus dados, notificaremos você e a ANPD conforme os prazos do art. 48 da LGPD.
7. Seus direitos (LGPD — art. 18)
Você pode exercer os seguintes direitos a qualquer momento:
- Confirmação e acesso: confirmar se tratamos dados seus e obter cópia.
- Correção: corrigir dados incompletos, inexatos ou desatualizados.
- Anonimização ou eliminação: solicitar anonimização ou exclusão de dados tratados com base em consentimento ou legítimo interesse.
- Portabilidade: receber seus dados em formato estruturado para transferência a outro serviço.
- Oposição: opor-se a tratamentos realizados com base em legítimo interesse.
- Informação sobre compartilhamento: saber com quais entidades compartilhamos seus dados.
- Revogação do consentimento: onde o consentimento for a base legal, retirar o consentimento a qualquer momento sem prejuízo dos tratamentos anteriores.
Para exercer qualquer direito, entre em contato com nosso Encarregado: contato@lectorium.com.br.
Respondemos em até 15 dias úteis, conforme art. 18 §5 da LGPD.
8. Como revogar o acesso Google
A qualquer momento, você pode:
- Sair da conta nas configurações do app — isso apaga o token local.
- Revogar a autorização do Lectorium diretamente na página de permissões da sua Conta Google.
- Limpar dados locais do app nas configurações do Android.
Seus arquivos no Drive permanecem na sua conta Google. Só você pode excluí-los por lá.
9. Cookies e armazenamento local
O Lectorium não usa cookies de rastreamento ou publicidade. Usamos armazenamento local do app para manter sua sessão e cache de trabalho offline. O Cloudflare Web Analytics, quando ativo na infraestrutura, fornece métricas agregadas sem cookies ou localStorage. Os dados locais do workspace ficam no seu dispositivo e não são acessados remotamente por nós.
10. Crianças e adolescentes
O Lectorium pode ser usado em contextos educacionais, inclusive por estudantes menores de idade, desde que com orientação de responsáveis, professores ou instituições de ensino. O tratamento de dados de crianças e adolescentes deve observar o melhor interesse do estudante e as autorizações exigidas pela legislação aplicável.
Se você acredita que uma criança usou o Lectorium sem a autorização necessária, entre em contato em contato@lectorium.com.br. Como o app é local-first, ajudaremos a orientar a exclusão de dados locais, a revogação de permissões e a remoção de dados que estejam sob nosso controle.
11. Alterações a esta Política
Avisaremos sobre mudanças relevantes com pelo menos 30 dias de antecedência via interface do app ou e-mail. A data de vigência no topo deste documento indica a versão atual. O uso continuado após a data de vigência constitui aceite da versão atualizada.
Lectorium is local-first: your documents stay on your device and in your Google Drive or Dropbox account. We do not operate servers that store your working files.
Quick summary
| What we collect | Why | Legal basis (LGPD) |
|---|
| Name, email, profile photo (Google OAuth) |
Identify and authenticate your session |
Contract performance — art. 7, V |
| Google OAuth token |
Operate Google Drive on your behalf |
Contract performance — art. 7, V |
| File metadata (name, size, type) |
Display your library and sync |
Contract performance — art. 7, V |
| Connection logs (IP, timestamp) |
Security and legal compliance |
Legal obligation — art. 7, II (Marco Civil, art. 13) |
| Aggregated technical metrics (Cloudflare Web Analytics) |
Understand page traffic and performance without cookies, advertising, or profiling |
Legitimate interest — art. 7, IX |
1. Who we are
Data controller: Lectorium, operated by the party responsible for this service and for decisions on personal data processing in this application.
Data Protection Officer (DPO): To exercise your rights or ask privacy questions, contact our dedicated channel: contato@lectorium.com.br. We respond within 15 business days as required by LGPD art. 18 §5.
2. Data we collect and why
2.1 Google account (optional for Google Drive)
When you sign in with Google, Lectorium receives from Google OAuth:
- Display name, email address, and profile photo — to create and identify your account.
- OAuth access token — to perform Google Drive operations on your behalf during the session.
Legal basis: contract performance (LGPD art. 7, V). These data are necessary only for authentication and Google Drive-connected features; the local workspace can be used without connecting a Google account.
Retention: while your account is active. The OAuth token is stored locally, encrypted on your device, and deleted on sign-out.
Google Drive scopes: drive.file (only files created or opened by the app) and drive.appdata (private library manifest).
2.2 Files and content
Your file content (PDFs, DOCX etc.) is processed locally on your device. We have no remote access to it. When using AI features, text travels directly from the app to Google APIs — it does not pass through our servers.
Legal basis: contract performance (art. 7, V).
Retention: local cache stays in app storage until you clear data or sign out.
2.3 Dropbox (optional integration)
If you connect Dropbox, Lectorium accesses only files you explicitly select. The Dropbox token is stored locally, encrypted. No Dropbox data is transmitted to our servers.
Legal basis: contract performance (art. 7, V).
2.4 Connection logs
Our infrastructure (Supabase) records access logs containing IP address and timestamp, as required by Brazil's Marco Civil da Internet (Law 12.965/2014, art. 13). These logs are retained for 12 months and disclosed to third parties only by court order.
Legal basis: legal obligation (LGPD art. 7, II).
2.5 Technical metrics and telemetry
We use Cloudflare Web Analytics for aggregated technical metrics about traffic and performance on public pages. According to Cloudflare, this feature does not use cookies, localStorage, or user identifiers to collect metrics. We do not use Google Analytics, behavioral advertising, retargeting, or profiling.
Internal technical events used for in-app diagnostics are not sent to Lectorium servers.
Legal basis: legitimate interest (LGPD art. 7, IX), limited to security, performance, and service improvement.
3. Who we share with
We do not sell, rent, or pass your data to data brokers or advertisers. We share only with the following sub-processors, strictly to operate the service:
-
Google LLC (United States) — OAuth authentication and Google Drive API. International transfer covered by the European Commission's Standard Contractual Clauses (SCCs), accepted by Google in the Google Cloud Data Processing Addendum.
-
Supabase Inc. (United States / European Union) — database and authentication infrastructure. Transfer covered by Supabase's SCCs and Data Processing Agreement.
-
Cloudflare Inc. (United States / global network) — hosting, security, CDN, and aggregated technical metrics for public pages through Cloudflare Web Analytics.
-
Dropbox Inc. (United States) — only if you voluntarily connect Dropbox. Transfer covered by Dropbox's SCCs.
4. International data transfers
Our sub-processors (Google, Supabase, Cloudflare, Dropbox) are based in the United States or operate global infrastructure. International transfers are made using Standard Contractual Clauses (SCCs) adopted by the European Commission — a safeguard recognized under LGPD arts. 33–36. Each provider maintains publicly available DPAs on their websites.
5. Automated decision-making
Lectorium does not use automated decision-making that produces legal effects or significantly affects you (LGPD art. 20). AI features generate suggestions that always require human review and action.
6. Security
- Access tokens are stored encrypted on your device (AES-GCM via the WebCrypto API).
- All communication with external APIs uses HTTPS/TLS.
- Our Supabase infrastructure uses Row-Level Security (RLS) — each user accesses only their own data.
- In the event of a security incident that may affect your data, we will notify you and Brazil's ANPD within the timelines required by LGPD art. 48.
7. Your rights (LGPD art. 18)
You may exercise the following rights at any time:
- Confirmation and access: confirm whether we process your data and obtain a copy.
- Correction: correct incomplete, inaccurate, or outdated data.
- Anonymisation or deletion: request anonymisation or deletion of data processed under consent or legitimate interest.
- Portability: receive your data in structured format to transfer to another service.
- Objection: object to processing based on legitimate interest.
- Information on sharing: know which entities we share your data with.
- Withdrawal of consent: where consent is the legal basis, withdraw it at any time without affecting prior processing.
To exercise any right, contact our DPO: contato@lectorium.com.br.
We respond within 15 business days as required by LGPD art. 18 §5.
8. Revoking Google access
At any time, you can:
- Sign out in app settings — this deletes the local token.
- Revoke Lectorium's access on your Google Account permissions page.
- Clear app data via Android settings.
Your files in Drive remain in your Google account. Only you can delete them there.
9. Cookies and local storage
Lectorium does not use tracking or advertising cookies. We use local app storage to maintain your session and offline work cache. Cloudflare Web Analytics, when active in the infrastructure, provides aggregated metrics without cookies or localStorage. Local workspace data stays on your device and is not accessed remotely by us.
10. Children and adolescents
Lectorium may be used in educational contexts, including by underage students, when guided by parents, guardians, teachers, or educational institutions. Processing data from children and adolescents must observe the student's best interests and any authorizations required by applicable law.
If you believe a child used Lectorium without the required authorization, contact contato@lectorium.com.br. Because the app is local-first, we will help with guidance for deleting local data, revoking permissions, and removing data under our control.
11. Changes to this Policy
We will notify you of significant changes at least 30 days in advance via the app interface or email. The effective date at the top of this document indicates the current version. Continued use after the effective date constitutes acceptance of the updated version.
Esta es una traducción de conveniencia. En caso de divergencia, prevalece la versión en portugués de Brasil.
Resumen rápido
| Qué recopilamos | Por qué | Base legal (LGPD) |
|---|
| Nombre, e-mail y foto de perfil (Google OAuth) | Identificar y autenticar tu sesión | Ejecución de contrato — art. 7, V |
| Token OAuth de Google | Operar Google Drive en tu nombre | Ejecución de contrato — art. 7, V |
| Metadatos de archivos | Mostrar biblioteca y sincronizar | Ejecución de contrato — art. 7, V |
| Registros de conexión | Seguridad y cumplimiento legal | Obligación legal |
| Métricas técnicas agregadas | Tráfico y desempeño sin cookies, publicidad ni perfilamiento | Interés legítimo |
1. Quiénes somos
Controlador de datos: Lectorium, operado por el responsable del servicio y de las decisiones sobre tratamiento de datos personales en esta aplicación.
Contacto de privacidad: contato@lectorium.com.br.
2. Datos que recopilamos y por qué
2.1 Cuenta Google opcional para Drive
Al iniciar sesión con Google, Lectorium recibe nombre, e-mail, foto de perfil y token OAuth para operar Google Drive durante la sesión. Los alcances son drive.file y drive.appdata. El workspace local puede usarse sin conectar una cuenta Google.
2.2 Archivos y contenido
El contenido de tus PDFs, DOCX y otros archivos se procesa localmente en el dispositivo. Al usar IA, el texto va directamente desde el app a las APIs de Google, sin pasar por servidores nuestros.
2.3 Dropbox opcional
Si conectas Dropbox, Lectorium accede solo a los archivos que eliges explícitamente. El token se almacena localmente cifrado.
2.4 Registros de conexión
La infraestructura de Supabase puede registrar IP y timestamp por seguridad y cumplimiento legal.
2.5 Métricas técnicas
Usamos Cloudflare Web Analytics para métricas técnicas agregadas de páginas públicas. No usamos Google Analytics, publicidad comportamental, retargeting o perfilamiento.
3. Con quién compartimos
No vendemos ni alquilamos tus datos. Compartimos solo con proveedores necesarios: Google, Supabase, Cloudflare y, si lo conectas voluntariamente, Dropbox.
4. Transferencias internacionales
Estos proveedores pueden operar en Estados Unidos o infraestructura global. Las transferencias se apoyan en mecanismos contractuales y de protección aplicables.
5. Decisiones automatizadas
Lectorium no usa decisiones automatizadas que produzcan efectos jurídicos o afecten significativamente al usuario. La IA genera sugerencias que requieren revisión humana.
6. Seguridad
- Tokens almacenados cifrados en el dispositivo.
- Comunicación con APIs externas por HTTPS/TLS.
- Datos locales del workspace permanecen en el almacenamiento del app.
7. Tus derechos
Puedes solicitar acceso, corrección, eliminación, portabilidad, oposición o información sobre compartición escribiendo a contato@lectorium.com.br.
9. Cookies y almacenamiento local
Lectorium no usa cookies de rastreo o publicidad. Usa IndexedDB, localStorage y sessionStorage para sesión y cache offline. Cloudflare Web Analytics, cuando está activo, proporciona métricas agregadas sin cookies o localStorage.
10. Niños y adolescentes
Lectorium puede usarse en contextos educativos, incluso por estudiantes menores de edad, con orientación de responsables, profesores o instituciones. El tratamiento debe observar el mejor interés del estudiante y las autorizaciones exigidas por la ley aplicable.
11. Cambios
Informaremos cambios relevantes con antelación razonable. La fecha de vigencia indica la versión actual.
本译文仅为阅读便利。如有差异,以巴西葡萄牙语版本为准。
快速摘要
| 我们收集什么 | 原因 | 法律依据(LGPD) |
|---|
| 姓名、电子邮件、头像(Google OAuth) | 识别并验证会话 | 合同履行 |
| Google OAuth 令牌 | 代表你操作 Google Drive | 合同履行 |
| 文件元数据 | 显示库并同步 | 合同履行 |
| 连接日志 | 安全和法律合规 | 法律义务 |
| 聚合技术指标 | 了解页面流量和性能,不使用广告或画像 | 合法利益 |
2. 我们收集的数据及原因
2.1 Google 帐号(用于 Drive,可选)
使用 Google 登录时,Lectorium 会接收姓名、电子邮件、头像和 OAuth 令牌,以便在会话中操作 Google Drive。使用的范围是 drive.file 和 drive.appdata。本地工作区可在不连接 Google 帐号的情况下使用。
2.2 文件与内容
你的 PDF、DOCX 等文件内容在设备本地处理。使用 AI 功能时,文本会从应用直接发送到 Google API,不经过我们的服务器。
2.3 Dropbox(可选)
如果连接 Dropbox,Lectorium 只访问你明确选择的文件。令牌会在本地加密保存。
2.4 连接日志
Supabase 基础设施可能记录 IP 和时间戳,用于安全和法律合规。
2.5 技术指标
我们使用 Cloudflare Web Analytics 获取公开页面的聚合技术指标。我们不使用 Google Analytics、行为广告、重定向广告或画像。
3. 与谁共享
我们不出售或出租你的数据。仅与运营所需的提供商共享:Google、Supabase、Cloudflare,以及你自愿连接时的 Dropbox。
4. 国际传输
这些提供商可能在美国或全球基础设施中运营。相关传输依赖适用的合同和保护机制。
5. 自动化决策
Lectorium 不使用会产生法律效果或重大影响的自动化决策。AI 功能只生成建议,需要人工审查。
6. 安全
- 访问令牌在设备上加密保存。
- 与外部 API 的通信使用 HTTPS/TLS。
- 工作区本地数据保存在浏览器中。
9. Cookie 与本地存储
Lectorium 不使用跟踪或广告 Cookie。我们使用应用本地存储来维护会话和离线缓存。启用时,Cloudflare Web Analytics 提供不使用 Cookie 或 localStorage 的聚合指标。
10. 儿童与青少年
Lectorium 可用于教育场景,包括由家长、教师或教育机构指导的未成年学生。相关数据处理应遵循学生最大利益和适用法律要求的授权。
11. 变更
重大变更会提前合理通知。页面顶部的生效日期表示当前版本。
Lectorium