Política de Privacidade
Este documento descreve como o NEX Colabb coleta, usa, armazena e protege dados pessoais dos seus usuários, em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD — Lei 13.709/2018) e, quando aplicável, com o Regulamento Geral sobre a Proteção de Dados (GDPR) da União Europeia.
1. Quem é o controlador
O controlador dos dados pessoais coletados pelo NEX Colabb é a Nexus Atemporal, pessoa jurídica de direito privado:
- Razão social
- Nexus Atemporal
- CNPJ
- [CNPJ — a preencher]
- Sede
- Curitiba/PR, Brasil
- Encarregado pelo tratamento de dados (DPO)
- contato@nexusatemporal.com.br
2. Quais dados coletamos
Coletamos apenas o mínimo necessário pra fornecer o serviço:
2.1 Dados fornecidos por você
- E-mail — identificador da conta e canal de comunicação operacional
- Senha — armazenada como hash
Argon2id(jamais em texto claro) - Nome de exibição (opcional) — só aparece no seu canvas, pra organização visual
-
Tokens de acesso a serviços de terceiros (Personal Access Tokens
do GitHub, chaves SSH, credenciais OAuth) — quando você opta por conectar
esses serviços. Sempre cifrados em repouso com
XChaCha20-Poly1305usando chave derivada da sua senha (Argon2id). Nem mesmo administradores do sistema conseguem ler.
2.2 Dados coletados automaticamente
- Endereço IP — registrado em logs de auditoria truncado para /24 (somente os três primeiros octetos), pra fins de segurança e prevenção de abuso, sem permitir identificação individual fora do contexto da conta
- Cookie de sessão (
nex_session) — token aleatório que identifica seu navegador.HttpOnly+SameSite=Strict+Secure. Não acessível a JavaScript de terceiros. Expira em 7 dias. - Dados de uso anônimos via Google Analytics 4 (se você consentiu pelo banner de cookies) — páginas visitadas, tempo de sessão, agregados não identificáveis. Pode ser recusado sem prejuízo ao acesso ao serviço.
- Audit log — registramos eventos relevantes (login, criação de workspace, conexão GitHub) com hash chain criptográfica pra integridade, contendo seu user ID e IP truncado. Retidos por 6 meses (Marco Civil da Internet — Lei 12.965/2014).
2.3 O que NÃO coletamos
- Conteúdo dos seus terminais / canvas / código que você escreve
- Histórico de comandos individuais nos CLIs (Claude Code, Codex, etc) — esses dados rodam diretamente entre o seu agente e o provedor (Anthropic, OpenAI, etc) sob a política deles
- Dados biométricos, financeiros ou de saúde (não solicitamos)
- Dados de menores de idade — o serviço é destinado a maiores de 18 anos
3. Pra que usamos seus dados
| Finalidade | Base legal LGPD (Art. 7º) |
|---|---|
| Criar e manter sua conta | Execução de contrato (V) |
| Autenticar acessos | Execução de contrato (V) |
| Prevenir fraude e abuso | Legítimo interesse (IX) |
| Cumprir obrigações legais (Marco Civil) | Cumprimento de obrigação legal (II) |
| Analytics de uso agregado | Consentimento (I) — opcional |
| Comunicação operacional (avisos críticos) | Execução de contrato (V) |
4. Compartilhamento com terceiros
Compartilhamos dados apenas com processadores estritamente necessários:
- Google Analytics (Google LLC) — só se você consentiu via banner de cookies. Apenas dados agregados, IPs anonimizados pelo próprio GA4.
- Let's Encrypt — autoridade certificadora pra emissão de SSL
em
nexcolabs.app. Não recebe dados de usuários. - Provedores de cloud onde você cadastra credenciais (GitHub, OpenAI, Anthropic, etc) — você é quem inicia a conexão; recebem o token quando você opta por usar o serviço deles. Sob a política de privacidade deles, não a nossa.
Não vendemos, alugamos ou cedemos seus dados a anunciantes, brokers de dados ou terceiros sem consentimento explícito.
5. Onde os dados ficam armazenados
A infraestrutura do NEX Colabb roda em servidor próprio localizado na
União Europeia (provedor Contabo, datacenter Nuremberg, Alemanha).
Backups são realizados em armazenamento iDrive E2 (S3-compatible).
Embora os dados saiam do território nacional, a transferência internacional é legítima sob o Art. 33, V da LGPD — "garantias e salvaguardas contratuais por meio de cláusulas-padrão" — porque tanto a hospedagem quanto o backup operam sob legislação da UE (GDPR), que oferece nível de proteção adequado conforme reconhecido pela ANPD.
6. Por quanto tempo guardamos os dados
- Conta ativa — enquanto você usar o serviço
- Conta inativa — após 12 meses sem login, podemos contatar por e-mail e, em caso de não-resposta em 30 dias, excluir os dados
- Audit log — 6 meses (Marco Civil da Internet)
- Backups — 90 dias, depois sobrescritos
- Após pedido de exclusão — 30 dias pra propagar nos backups e remover por completo
7. Seus direitos (Art. 18 LGPD)
Você pode, a qualquer momento, sem custo:
- Confirmar se tratamos seus dados
- Acessar os dados que mantemos sobre você
- Corrigir dados incompletos ou incorretos
- Anonimizar, bloquear ou eliminar dados desnecessários ou tratados em desconformidade
- Solicitar portabilidade dos dados pra outro fornecedor
- Revogar consentimento a qualquer momento, com efeito futuro
- Reclamar à ANPD — Autoridade Nacional de Proteção de Dados (gov.br/anpd)
Pra exercer qualquer um desses direitos, envie e-mail a contato@nexusatemporal.com.br com o assunto "LGPD — pedido de direitos". Responderemos em até 15 dias úteis.
8. Cookies que usamos
| Nome | Tipo | Finalidade | Validade |
|---|---|---|---|
nex_session | Essencial | Manter sua sessão autenticada | 7 dias |
nex:cookie-consent | Essencial | Lembrar suas preferências de cookies | 1 ano |
_ga, _ga_* | Analytics | Google Analytics 4 (somente com consentimento) | 2 anos |
Cookies essenciais não exigem consentimento — o serviço não funciona sem eles. Cookies de analytics só são ativados se você consentir explicitamente no banner.
9. Segurança
Aplicamos boas práticas de segurança da informação:
- Senhas com
Argon2id(OWASP 2024 baseline) - Credenciais sensíveis cifradas em repouso com
XChaCha20-Poly1305 - HTTPS obrigatório com
HSTS preload - Cookies
HttpOnly+SameSite=Strict+Secure - Audit log com hash chain e
BEGIN IMMEDIATEcontra adulteração - Rate limit e isolamento por workspace
- Headers de segurança:
X-Frame-Options: DENY,X-Content-Type-Options: nosniff,Referrer-Policy: strict-origin-when-cross-origin
Nenhum sistema é 100% inviolável. Em caso de incidente envolvendo dados pessoais, notificaremos a ANPD e os titulares afetados em até 72h (Art. 48 LGPD).
10. Alterações nesta política
Podemos atualizar este documento sempre que houver mudança relevante no tratamento. Versionamos a Política e notificamos por e-mail mudanças materiais. Você sempre pode encerrar a conta se discordar.
11. Contato
Dúvidas, pedidos de direitos LGPD, denúncias de incidente: contato@nexusatemporal.com.br.