Política de Privacidade

Versão 2026-04-rev1 · Vigência: 17 de abril de 2026

1. Controlador e Canal de Atendimento

O Mystica Portal é operado por seu fundador individual, com sede no Brasil. Para fins da Lei Geral de Proteção de Dados Pessoais (LGPD — Lei 13.709/2018), este operador é o Controlador dos dados pessoais tratados neste serviço.

Por enquadrar-se como agente de tratamento de pequeno porte (Resolução CD/ANPD nº 2/2022, art. 11), o Mystica Portal mantém o seguinte Canal de Atendimento ao Titular em substituição à indicação formal de Encarregado: privacidade@mysticaportal.com.

2. Dados Coletados

Coletamos apenas o mínimo necessário para a prestação do serviço (princípio da necessidade — LGPD art. 6º, III):

Dado	Fonte	Finalidade	Base legal
Nome e e-mail	Google OAuth	Identificação e comunicação	Consentimento · art. 7º, I
Data de nascimento	Preenchimento opcional	Cálculos numerológicos	Consentimento · art. 7º, I
Números numerológicos	Derivados matemáticos	Personalização	Consentimento · art. 7º, I
Eventos de uso	Gerados durante o uso	Melhoria do serviço	Legítimo interesse · art. 7º, IX (§2.1)
IP no consentimento	Cabeçalho HTTP	Prova jurídica do consentimento	Obrigação legal · art. 7º, II
Chave de push notification	Gerada pelo navegador	Notificações lunares/astrológicas	Consentimento · art. 7º, I

Não coletamos: CPF, RG, dados bancários, dados de saúde, geolocalização precisa, dados de menores de 18 anos.

⚠ Dado pessoal sensível — perfil hermético (LGPD art. 5º, II)
O conjunto de módulos que você utiliza (Kabbalah, Wicca, Magia, Runas etc.) pode revelar convicções filosóficas ou religiosas, categoria protegida como dado pessoal sensível pelo art. 5º, II da LGPD. O tratamento ocorre exclusivamente com base no seu consentimento específico e destacado (LGPD art. 11, I), registrado no ato do cadastro. Você pode revogar esse consentimento a qualquer momento em Perfil → Privacidade e Dados, sem prejuízo dos tratamentos já realizados.

§2.1 — Legítimo interesse e balanceamento (LGPD art. 10, §§1º e 2º): Os eventos de uso são tratados com base em legítimo interesse para melhoria do serviço. Apenas dados estritamente necessários são coletados: identificador de sessão anonimizado, módulo acessado, duração e tipo de evento — nunca o conteúdo das consultas. O interesse do Controlador foi balanceado contra os direitos do titular: volume mínimo, ausência de identificação individual fora do sistema, ausência de efeitos adversos ao titular. Você pode opor-se a este tratamento a qualquer momento (LGPD art. 18, II).

3. Inteligência Artificial e Decisões Automatizadas

As interpretações herméticas são geradas por modelos de linguagem de terceiros (atualmente Groq / Together.ai). Os dados enviados ao modelo são exclusivamente o conteúdo da consulta (cartas, hexagrama, configuração rúnica etc.) — nunca nome, e-mail ou identificador pessoal. Os provedores de IA são operadores subcontratados (LGPD art. 39) com cláusulas contratuais de não-treinamento sobre seus dados.

Direito de revisão de decisão automatizada (LGPD art. 20)
O portal utiliza processamento automatizado (perfil numerológico, histórico de módulos) para personalizar sua experiência. Nos termos do art. 20 da LGPD, você tem direito de solicitar revisão de qualquer decisão tomada exclusivamente com base nesse tratamento que afete seus interesses. Acesse Perfil → Privacidade e Dados ou envie e-mail ao Canal de Atendimento.

4. Suboperadores e Transferência Internacional

Fornecedor	Função	País	Garantia
Supabase Inc.	Banco de dados e autenticação	EUA / UE	DPA · Cláusulas Contratuais Padrão (SCCs)
Cloudflare Inc.	Hospedagem, CDN, proxy	EUA / Global	DPA · Cláusulas Contratuais Padrão (SCCs)
Google LLC	Autenticação OAuth	EUA	DPA · Cláusulas Contratuais Padrão (SCCs)
Groq / Together.ai	Geração de texto por IA	EUA	ToS · cláusula de não-treinamento
Hotmart	Processamento de pagamentos	Brasil / EUA	LGPD · PCI-DSS

A transferência internacional baseia-se no art. 33, II da LGPD (Cláusulas Contratuais Padrão — SCCs) e no art. 33, V (necessidade de transferência para execução do contrato). O Privacy Shield foi invalidado pelo TJUE em 2020 e não é utilizado como mecanismo de adequação.

5. Prazo de Retenção

Dado	Prazo	Fundamento
Perfil (nome, e-mail, números)	Vigência da conta + 5 anos	CC art. 206 (prescrição civil)
Eventos de analytics	13 meses · purge automático	Marco Civil art. 13 + margem de fuso
Registro de consentimento	5 anos após encerramento	LGPD art. 16, I (defesa em processo)
Dados de pagamento	Gerenciados pela Hotmart	Lei 9.249/95 art. 12 (5 anos fiscal)

6. Seus Direitos (LGPD arts. 18 e 20)

Confirmação e acesso — saber quais dados tratamos sobre você.
Correção — atualizar dados incompletos ou desatualizados.
Anonimização ou eliminação — remover dados desnecessários ao tratamento.
Portabilidade — receber seus dados em formato estruturado.
Revogação do consentimento — a qualquer momento, sem efeito retroativo (art. 8º, §5º).
Oposição — opor-se a tratamento baseado em legítimo interesse (art. 18, II).
Informação sobre compartilhamento — saber com quem seus dados são compartilhados.
Revisão de decisão automatizada — solicitar revisão humana de decisões tomadas exclusivamente por processamento automatizado (art. 20).

Para exercer qualquer direito: Perfil → Privacidade e Dados ou privacidade@mysticaportal.com. Respondemos de forma imediata sempre que possível; nos casos de impossibilidade técnica ou legal justificada, informaremos as razões em até 15 dias (LGPD art. 19).

7. Incidentes de Segurança (LGPD art. 48; Res. CD/ANPD nº 15/2024)

Em caso de incidente que possa acarretar risco ou dano relevante aos titulares, o Controlador:

Notificará a ANPD em até 6 dias úteis do conhecimento do incidente (prazo estendido para agente de pequeno porte — Res. CD/ANPD nº 15/2024, art. 6º c/c Res. nº 2/2022, art. 14, II);
Notificará os titulares afetados de forma individualizada, por e-mail, com descrição do incidente, dados afetados e medidas adotadas;
Adotará imediatamente medidas técnicas de contenção, reversão e prevenção.

Para reportar suspeita de incidente: privacidade@mysticaportal.com.

8. Segurança (LGPD arts. 46 e 47)

Autenticação via OAuth 2.0 (Google) — sem armazenamento de senhas.
Isolamento por RLS (Row-Level Security) — cada usuário acessa exclusivamente seus próprios dados.
Comunicações criptografadas por TLS 1.3 em todas as rotas.
Chaves de API em variáveis de ambiente no servidor — nunca expostas ao cliente.
Cabeçalhos de segurança: X-Frame-Options: DENY, X-Content-Type-Options: nosniff, Referrer-Policy: strict-origin-when-cross-origin.
Rate limiting por usuário contra abuso e automação.

9. Armazenamento Local

Utilizamos localStorage exclusivamente para sessão de autenticação (JWT Supabase) e preferências locais (hemisfério, configurações de módulo). Não utilizamos cookies de rastreamento, pixels de publicidade ou tracking de terceiros.

10. Conteúdo do Serviço

O Mystica Portal oferece conteúdo de entretenimento e reflexão pessoal baseado em tradições herméticas. O conteúdo gerado por IA é narrativa informativa sobre tradições culturais — não constitui aconselhamento médico, psicológico, jurídico ou financeiro, nem predição de eventos futuros.

11. Menores de Idade

Serviço exclusivo para maiores de 18 anos. Se identificarmos usuário menor de idade, a conta será encerrada e os dados eliminados (LGPD art. 14).

12. Alterações nesta Política

Alterações materiais serão notificadas por e-mail com antecedência mínima de 15 dias (LGPD art. 8º, §6º). Se a alteração exigir novo consentimento, o gate será reapresentado no próximo acesso. A versão vigente é identificada pelo número de versão no topo deste documento.

13. Autoridade de Supervisão

Autoridade Nacional de Proteção de Dados (ANPD): www.gov.br/anpd. Você tem direito de apresentar reclamação à ANPD independentemente de qualquer contato prévio com o Controlador.

Canal de Atendimento ao Titular
privacidade@mysticaportal.com
Resposta imediata quando possível; impossibilidade justificada informada em até 15 dias (LGPD art. 19).
Regida pela legislação brasileira. Para ações de consumo, aplica-se o foro do domicílio do consumidor (CDC art. 101, I).