NOTA: Itens em aberto para confirmar antes do envio à App Store / Play Store:
- E-mail de contato. Este documento usa
privacy@readrats.app. Confirme que o alias existe, é monitorado diariamente e chega à caixa de entrada do fundador. Se outro endereço for preferido (por exemploluan@readrats.app), faça uma substituição global antes de publicar.- Nome legal do controlador dos dados e país de residência. Este documento nomeia “Luan Guimaraes” como controlador dos dados, residente no Brasil. O GDPR (usuários da UE) e a LGPD (usuários do Brasil) pedem essa informação; a Apple e o Google não a exibem, mas revisores ocasionalmente procuram por ela. Confirme a grafia, a residência e se uma pessoa jurídica (em vez de uma pessoa física) deve ser nomeada.
- Faixa etária para crianças. O ReadRats não tem recursos voltados a crianças e não é destinado a usuários com menos de 13 anos. Confirme que a classificação etária na App Store permanece 4+ e que o público-alvo na Play Store permanece “Everyone”. Se qualquer um dos dois mudar, a seção “Crianças” abaixo também precisa mudar.
Política de Privacidade do ReadRats
Data de vigência: 2026-04-25 Última atualização: 2026-04-25
Esta é uma tradução de cortesia. Em caso de divergência, a versão em inglês prevalece.
Esta é a política de privacidade do ReadRats, um app de leitura
social publicado por Luan Guimaraes (o “nós” deste documento; “você”
é a pessoa que usa o app). Esta política explica quais dados o
ReadRats coleta, por que os coletamos, onde os guardamos, com quem os
compartilhamos e como você pode pedir que os excluamos. Ela se aplica
aos apps móveis do ReadRats para iOS e Android, à versão web em
app.readrats.app, ao site de divulgação em readrats.app e à API
de backend em api.readrats.app.
Escrevemos este documento para ser legível. Se algo não estiver
claro, escreva para privacy@readrats.app e nós o reescreveremos.
1. Quem é responsável pelos seus dados
O controlador dos dados é Luan Guimaraes, contatável em
privacy@readrats.app. O ReadRats é operado por uma pessoa física,
não por uma empresa, durante o período de lançamento da Fase 0.
Se você está na União Europeia, no Reino Unido ou no Brasil, você tem os direitos descritos na seção 8. Para exercer qualquer um deles, escreva para o endereço acima.
2. Quais dados coletamos, e por quê
A lista abaixo é exaustiva. Não coletamos nada além disso. Se a mudarmos, atualizaremos esta página e ajustaremos a data de “Última atualização” no topo.
Dados da conta
| Campo | Por que coletamos | Obrigatório |
|---|---|---|
| Endereço de e-mail | Para identificar sua conta, autenticar seu acesso e falar com você sobre a sua conta, se necessário. | Sim |
| Nome de exibição | Para mostrar ao lado das suas sessões e nos rankings dos desafios. | Sim |
| Senha (armazenada como hash bcrypt) | Para autenticar suas entradas na conta. Nunca armazenamos a senha em texto puro. | Sim |
Atividade de leitura
| Campo | Por que coletamos | Obrigatório |
|---|---|---|
| Metadados da sessão de leitura (título, referência do livro, páginas lidas, minutos lidos, marcador de concluído, data e hora) | Para calcular seu progresso e sua posição nos rankings dos desafios. | Sim, para cada sessão que você registra |
| Anotações (observações em texto livre ligadas a uma sessão ou a um livro) | Para permitir que você guarde suas próprias impressões sobre o que leu. | Opcional |
| Fotos de sessão (uma única imagem por sessão, capturada pela câmera ou escolhida na sua biblioteca) | Para permitir que você compartilhe um momento da sua sessão. | Opcional |
| Participações em desafios (em quais desafios você entrou, quando e com qual papel) | Para calcular sua posição no ranking e mostrar os desafios certos na sua tela inicial. | Sim, quando você entra em um desafio |
Estado de autenticação no seu dispositivo
| Campo | Por que coletamos | Obrigatório |
|---|---|---|
| Token de autenticação (um JWT com vida útil de uma hora, armazenado nas preferências do app no seu dispositivo) | Para manter você conectado entre aberturas do app sem pedir sua senha toda vez. O token é removido quando você sai da conta ou desinstala o app. | Sim, para sessões autenticadas |
Imagens em cache no seu dispositivo
O app guarda em cache capas de livros e avatares de outros usuários no seu dispositivo para que carreguem rápido e usem menos do seu plano de dados. O cache é construído a partir de URLs publicamente acessíveis e não contém nenhuma informação sobre você que já não esteja implícita nas partes do app que você abriu. Limpar o cache do app ou desinstalar o app o remove.
O que não coletamos
O ReadRats não coleta nada do que segue na Fase 0:
- Identificadores de publicidade (IDFA no iOS, AAID no Android).
- Impressões digitais do dispositivo além do que o próprio sistema operacional reporta à Apple e ao Google.
- Sua localização.
- Seus contatos.
- Áudio do microfone.
- Dados de saúde.
- Dados financeiros.
- Relatórios de falha (não embutimos um SDK de relatórios de falha).
- Eventos de analytics (não embutimos um SDK de analytics).
- Comportamento de navegação no site de divulgação em
readrats.app. O site não define cookies e não carrega scripts de terceiros.
Não veiculamos nenhuma publicidade. Não vendemos seus dados. Não compartilhamos seus dados com corretores de dados (data brokers).
3. Onde seus dados ficam armazenados
| Tipo de dado | Local de armazenamento | Provedor |
|---|---|---|
| Dados da conta, sessões de leitura, anotações, desafios | Banco de dados PostgreSQL em uma única máquina virtual na região AWS us-east-1 (Virgínia do Norte, Estados Unidos) | Amazon Web Services |
| Fotos de sessão | Bucket de armazenamento de objetos S3 readrats-prod-photos na região AWS us-east-1 | Amazon Web Services |
| Credenciais de acesso e identificador opaco de usuário | Firebase Authentication (Google LLC), região de dados dos Estados Unidos | Google LLC |
| Sessão de autenticação | O armazenamento local de preferências do app no seu dispositivo e o cache de sessão seguro do SDK do Firebase | Seu dispositivo (Apple ou Google) |
| Backups diários do banco de dados | Um bucket S3 separado na região AWS us-east-1, retidos por 30 dias | Amazon Web Services |
Seus dados saem do seu dispositivo apenas quando você age no app: quando você entra na conta, registra uma sessão, envia uma foto, entra em um desafio ou escreve uma anotação. A conexão é HTTPS em todas as direções.
Se você está na União Europeia ou no Reino Unido, isso significa que seus dados são transferidos para os Estados Unidos. Nós nos apoiamos nas cláusulas contratuais padrão que a AWS publica para transferências internacionais.
4. Com quem compartilhamos dados
Compartilhamos dados apenas com os provedores que fazem o app funcionar, e apenas os dados de que cada provedor precisa:
- Amazon Web Services: hospeda o banco de dados, o bucket de fotos e o servidor da API. Vinculada ao AWS Customer Agreement e ao Data Processing Addendum.
- Firebase Authentication (Google LLC): gerencia o acesso à
conta. Quando você entra com Google ou Apple, seu endereço de
e-mail, seu nome de exibição e um identificador opaco do Firebase
são compartilhados com o Firebase. Quando você entra com e-mail e
senha, seu endereço de e-mail e uma cópia criptograficamente
hasheada da sua senha são armazenados no Firebase; nunca
armazenamos a senha em texto puro. O tratamento desses dados pelo
Firebase é regido pela Política de Privacidade do Google em
https://policies.google.com/privacy. O projeto do Firebase é hospedado nos Estados Unidos. Durante a migração do nosso sistema de acesso anterior (que termina em 2026-06-07), os hashes de senha preexistentes são transferidos ao Firebase uma única vez e deixam de ser compartilhados depois disso. - Apple App Store e Google Play Store: distribuem o binário do app. Não recebem de nós nenhum dado de dentro do app; coletam os próprios sinais de instalação e de falhas sob as próprias políticas, que você aceitou ao instalar o app.
- GitHub Pages: serve o site de divulgação em
readrats.app. Recebe metadados padrão de requisição (endereço IP, user agent) para as páginas que você carrega. O site não define cookies. - Google Books API: quando você busca um livro por título ou
autor, encaminhamos sua busca à Google Books API e usamos o
resultado para preencher sua biblioteca. Nunca enviamos ao Google o
identificador da sua conta nem qualquer dado da sua leitura. A
própria busca é a única coisa que o Google vê do seu uso. O
tratamento dessa busca pelo Google é regido pela Política de
Privacidade do Google em
https://policies.google.com/privacy.
Não compartilhamos dados com mais ninguém. Não embutimos nenhum SDK de terceiros que colete analytics, relatórios de falha ou sinais de publicidade.
5. Por quanto tempo guardamos seus dados
| Tipo de dado | Período de retenção |
|---|---|
| Dados da conta (e-mail, nome, hash da senha) | Até você pedir a exclusão da sua conta. |
| Sessões de leitura e anotações | Até você excluir a sessão, até você excluir sua conta ou até o desafio correspondente ser excluído (o que vier primeiro). |
| Fotos de sessão | O mesmo prazo da sessão correspondente. Excluir uma sessão exclui a foto do S3 em minutos. |
| Token de autenticação | Uma hora a partir da emissão; depois é reemitido na próxima chamada à API enquanto você estiver conectado. Removido quando você sai da conta. |
| Backups diários do banco de dados | 30 dias; depois são descartados automaticamente pela política de ciclo de vida do bucket. Uma conta excluída permanece nos backups dos últimos 30 dias até o ciclo se completar. |
| Logs de acesso do servidor | Até 14 dias; depois são descartados. Nós os usamos apenas para depurar falhas e responder a denúncias de abuso. |
Você mesmo pode excluir sua conta de dentro do app
(Perfil → Excluir conta) ou escrevendo para privacy@readrats.app.
Quando você exclui sua conta, suas sessões de leitura, anotações e
fotos são excluídas com ela. Os backups expiram no ciclo contínuo de
30 dias descrito acima.
6. Como protegemos seus dados
- Todas as conexões entre o app e a API usam HTTPS com um certificado emitido pelo AWS Certificate Manager.
- Senhas são armazenadas como hashes bcrypt, nunca em texto puro.
- O disco do banco de dados é criptografado em repouso com chaves AES-256 gerenciadas pela AWS.
- O bucket de fotos é criptografado em repouso com chaves AES-256 gerenciadas pela AWS.
- As URLs das fotos usam chaves UUIDv4 que não podem ser adivinhadas.
- A API garante que você só pode ler e modificar os seus próprios dados, com a única exceção do seu nome de exibição e das suas sessões, que aparecem nos rankings dos desafios em que você entrou.
- Os segredos de nuvem vivem apenas no servidor e em um gerenciador de senhas. Nunca são enviados ao controle de versão.
Não afirmamos oferecer criptografia de ponta a ponta. O servidor consegue ler suas sessões e suas anotações quando as devolve para você.
7. Crianças
O ReadRats não é direcionado a crianças com menos de 13 anos (COPPA,
Estados Unidos) nem com menos de 16 anos (GDPR, União Europeia). O
app tem classificação 4+ na App Store e Everyone na Play Store, mas
não tem recursos específicos para crianças e não coletamos dados de
crianças conscientemente. Se você acredita que uma criança criou uma
conta, escreva para privacy@readrats.app e nós a excluiremos.
8. Seus direitos
Sob o GDPR (União Europeia, Reino Unido) e a LGPD (Brasil), e por
política nossa para todos os demais usuários, você tem os direitos
abaixo. Escreva para privacy@readrats.app para exercer qualquer um
deles. Responderemos em até 30 dias.
- Acesso: pedir uma cópia dos dados pessoais que temos sobre você.
- Retificação: pedir a correção de dados que estejam errados. (Você também pode editar seu nome de exibição na tela Perfil.)
- Exclusão: pedir a exclusão da sua conta e dos dados ligados a
ela. Você mesmo pode excluir sua conta de dentro do app
(Perfil → Excluir conta) ou escrever para
privacy@readrats.appe nós a processaremos manualmente em até cinco dias úteis. - Portabilidade: pedir uma exportação legível por máquina da sua conta, sessões e anotações. Enviaremos um arquivo JSON.
- Retirar o consentimento: pedir que paremos de tratar os dados que temos sobre você, por qualquer motivo. Na prática, retirar o consentimento de uma conta significa excluí-la, já que todo dado que guardamos é necessário para o app funcionar.
- Opor-se ao tratamento ou restringi-lo: conte o motivo e conversaremos com você.
- Registrar uma reclamação junto à autoridade de proteção de
dados local se você não ficar satisfeito com a nossa resposta. No
Brasil, ela é a ANPD (
https://www.gov.br/anpd/); na UE, é a autoridade supervisora do seu país de residência.
Não realizamos decisões automatizadas nem perfilamento.
9. Mudanças nesta política
Se mudarmos esta política, atualizaremos a data de “Última atualização” no topo da página e publicaremos um aviso curto na tela Perfil do app na próxima vez que você o abrir. Para mudanças que ampliem materialmente o que coletamos ou com quem compartilhamos, pediremos seu consentimento antes de a mudança valer para os seus dados existentes.
Um histórico das versões anteriores desta política fica no fim desta página.
10. Contato
Para dúvidas de privacidade ou para exercer qualquer um dos direitos da seção 8:
E-mail: privacy@readrats.app
Endereço postal: disponível mediante pedido ao e-mail acima.
Para dúvidas gerais de suporte que não sejam sobre privacidade, veja a página de suporte.
Histórico de alterações
| Data | Mudança |
|---|---|
| 2026-04-25 | Publicação inicial para o lançamento da Fase 0. |