Política de Privacidade

Jurídico

Última atualização: 02 de junho de 2026 · Em conformidade com o RGPD · Lei aplicável: República Federal da Alemanha · A versão alemã desta Política de Privacidade é a versão autoritativa. Em caso de discrepância entre as versões linguísticas, a versão alemã prevalecerá.

        Resumo em linguagem simples: Coletamos os dados
        necessários para operar este serviço e garantir sua segurança. Não
        vendemos seus dados. Não exibimos publicidade. Embora a verificação de
        identidade seja processada pela Didit, armazenamos certos detalhes de
        identificação em nossos logs de servidor seguros por motivos de
        segurança. Você também pode optar por armazenar seus detalhes
        verificados para uso em perfil público. Você pode solicitar a exclusão
        de seus dados a qualquer momento.
      

1. Controlador

Sebastian Fleckenstein
Erthalstr. 6.
97816 Lohr am Main, Alemanha
E-mail: contact@idroot.org

Este serviço é operado por uma pessoa física. Nenhum Encarregado de Proteção de Dados (DPO) é exigido ou nomeado. Para todas as dúvidas sobre proteção de dados, utilize o contato acima.

2. Lei aplicável

O processamento é regido pelo Regulamento (UE) 2016/679 (RGPD), pela Bundesdatenschutzgesetz (BDSG) e pela Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG).

3. Dados que coletamos e por quê

3.1 Registro de handle e criação de conta

Ao registrar um handle, uma conta de usuário é criada na plataforma idroot.org. Os seguintes dados são coletados e armazenados:

Dado	Finalidade	Base legal (RGPD)	Retenção
DID do AT Protocol	Vincular o handle à sua identidade verificada; provisionar o registro DNS TXT	Art. 6(1)(b) — contrato	Duração da conta + 30 dias
Nome de usuário / handle escolhido	Reservar e provisionar seu handle	Art. 6(1)(b) — contrato	Duração da conta + 30 dias
Status de verificação Didit e registro de data/hora	Confirmar que uma pessoa real e única possui o handle; evitar registros duplicados	Art. 6(1)(b) — contrato; Art. 6(1)(f) — interesse legítimo	Duração da conta + 30 dias
Data e registro de aceitação dos Termos de Serviço	Conformidade legal; documentação do consentimento contratual	Art. 6(1)(c) — obrigação legal; Art. 6(1)(b) — contrato	Duração da conta + 30 dias
Endereço de e-mail	Notificações sobre alterações nos Termos de Serviço e Política de Privacidade; boletim mensal (apenas com consentimento explícito)	Art. 6(1)(b) — contrato (notificações de conta); Art. 6(1)(a) — consentimento (boletim)	Duração da conta + 30 dias
Nome Real e Endereço Verificados (Opt-in)	Exibição em perfil público; permitir que outros provedores verifiquem sua identidade sem necessidade de nova verificação	Art. 6(1)(a) — consentimento	Até que o consentimento seja retirado

3.1.1 Autenticação e sessão do AT Protocol

Para vincular sua conta do AT Protocol ao idroot.org, uma sessão autenticada com seu AT Protocol PDS (Personal Data Server) é estabelecida. Isso pode be feito através de um dos seguintes métodos:

Senha / App Password: Usada exclusivamente para criar a sessão do AT Protocol e não armazenada posteriormente.
OAuth: O acesso é feito através do escopo `atproto` sempre que possível, o qual é limitado à autenticação e leitura de dados básicos de perfil. Caso esta função não esteja implementada pelo seu provedor, solicitamos acesso total.

Os seguintes dados são processados como parte da autenticação:

Dado	Finalidade	Base legal (RGPD)	Retenção
Senha / App Password	Criação da sessão do AT Protocol	Art. 6(1)(b) — contrato	Não armazenada após a criação da sessão
Access Token / Refresh Token	Manutenção da sessão autenticada	Art. 6(1)(b) — contrato	Duração da sessão ativa
Endereço de e-mail (via AT Protocol `getSession`)	Transmitido pelo AT Protocol PDS durante o processo de autenticação e armazenado para notificações de conta (ver 3.1)	Art. 6(1)(b) — contrato	Duração da conta + 30 dias

Solicitamos apenas os dados necessários para autenticação e criação de conta. Não realizamos nenhuma ação (por exemplo, postagens, seguir) em seu nome sem que você as acione explicitamente na aplicação.

Os dados da conta de usuário são armazenados no backend do idroot.org, hospedado na infraestrutura da IONOS SE na Alemanha (ver § 6.3). A gestão da conta está disponível em dashboard.idroot.org.

Não armazenamos imagens de documentos de identidade, dados de reconhecimento facial nem quaisquer outros dados biométricos. Esses dados são processados exclusivamente pela Didit.

3.2 Registros do servidor

Os logs do servidor são gerados na infraestrutura hospedada pela IONOS SE (ver § 6.3). Este servidor registra automaticamente o endereço IP, a data/hora, o método HTTP, o URL, o código de resposta e o agente do usuário para cada solicitação.

Além disso, por motivos de segurança, registramos os detalhes de identificação fornecidos durante o processo de verificação, incluindo Nome Completo, Endereço e Número do Documento de Identidade.

Base legal: Art. 6(1)(f) RGPD — interesse legítimo na segurança do sistema e conformidade legal (§ 100 TKG). Retidos por 90 dias, depois excluídos automaticamente.

3.3 Análise da web

Usamos o Cloudflare Web Analytics — sem cookies, sem identificadores pessoais, sem rastreamento entre sites. Apenas dados agregados anonimizados (visualizações de página, nível de país, referenciadores). Base legal: Art. 6(1)(f) RGPD — interesse legítimo. Nenhum banner de consentimento é necessário.

4. O que não coletamos

Não coletamos ou armazenamos imagens de documentos de identidade ou dados biométricos; não rastreamos usuários em sites; não usamos cookies de publicidade ou rastreadores de marketing de terceiros; não vendemos, alugamos ou compartilhamos dados pessoais comercialmente; não criamos perfis de usuários nem tomamos decisões automatizadas com efeitos jurídicos.

5. Cookies

O idroot.org não define cookies de rastreamento ou análise. A Cloudflare pode definir cookies técnicos estritamente necessários como parte de sua infraestrutura de CDN/segurança; estes não requerem consentimento sob a lei aplicável.

6. Processadores de dados e terceiros

6.1 Didit (verificação de identidade)

Didit
C/ Nàpols 227, Barcelona, Espanha
Contato: hello@didit.me
Política de privacidade: didit.me/en/terms/privacy-policy/

A Didit atua como um processador de dados sob um Contrato de Processamento de Dados (Art. 28 RGPD). Quando você verifica sua identidade, seu documento de identidade e dados biométricos (facial scan) são processados pela Didit. Recebemos apenas um resultado de aprovado/reprovado e um carimbo de data/hora. A Didit armazena dados de verificação por padrão na UE (infraestrutura AWS). A Didit é certificada pela ISO 27001 e está em conformidade com o RGPD.

Os dados processados pela Didit podem ser transferidos para fora do EEE. Tais transferências são regidas pelas Cláusulas Contratuais Padrão (Art. 46(2)(c) RGPD) e/ou decisões de adequação aplicáveis.

6.2 Cloudflare (DNS, CDN, segurança, análise)

Cloudflare, Inc.
101 Townsend St, San Francisco, CA 94107, EUA

Representante da UE e ponto de contato alemão:
Cloudflare Germany GmbH
Rosental 7, c/o Mindspace, 80331 Munique, Alemanha
Política de Privacidade: cloudflare.com/privacypolicy/

Todo o tráfego da web passa pela rede da Cloudflare. A Cloudflare fornece DNS, CDN, proteção contra DDoS e análise da web sem cookies. A Cloudflare é certificada de acordo com a Estrutura de Privacidade de Dados (DPF) UE-EUA e processa dados pessoais (incluindo endereços IP e dados de acesso técnico) como um processador de dados sob um Adendo de Processamento de Dados (DPA). As transferências para os EUA são feitas sob as Cláusulas Contratuais Padrão e DPF UE-EUA, de acordo com o Art. 46(2)(c) do RGPD.

Usamos o Cloudflare Web Analytics, que não usa cookies e coleta apenas dados agregados anonimizados (visualizações de página, nível de país, referenciadores). Nenhum identificador pessoal é coletado por meio de análises. Nenhum banner de consentimento é necessário para esse uso. Base legal: Art. 6(1)(f) RGPD — interesse legítimo na operação segura e de bom desempenho do site.

A Cloudflare pode definir cookies técnicos estritamente necessários como parte de sua CDN e infraestrutura de segurança. Estes não requerem consentimento sob a lei aplicável (§ 25(2) TDDDG).

6.3 Hospedagem backend (IONOS SE)

IONOS SE
Elgendorfer Straße 57, 56410 Montabaur, Alemanha
HRB 24498, Amtsgericht Montabaur
Responsável pela Proteção de Dados: datenschutz@ionos.de

O backend idroot.org — incluindo todos os dados da conta de usuário (DID, identificador, status de verificação, registro de aceitação de termos, e-mail opcional) — está hospedado em servidores operados pela IONOS SE na Alemanha. A IONOS SE atua como um processador de dados sob um contrato de processamento de pedidos (Art. 28 GDPR). Nenhum dado pessoal do back-end é transferido para fora do EEE no decorrer da hospedagem.

Base legal: Art. 6(1)(b) RGPD — processamento necessário para o cumprimento do contrato (fornecimento de handle e gerenciamento de contas); Arte. 6(1)(f) RGPD — interesse legítimo na operação segura e confiável da infraestrutura.

6.4 Rede de Protocolo AT

Quando você ativa seu handle, um registro DNS TXT público é criado associando seu nome de usuário ao seu DID. Isso é público por design — é assim que funciona a resolução do identificador do protocolo AT e não é uma divulgação de dados pessoais pelo idroot.org além do que é inerente ao protocolo.

7. Transferências internacionais de dados

Onde os dados são transferidos para fora do EEE (infraestrutura da Cloudflare nos EUA), as transferências são realizadas sob a Estrutura de Privacidade de Dados UE-EUA e as Cláusulas Contratuais Padrão conforme o Art. 46(2)(c) RGPD.

8. Seus direitos segundo o RGPD

Entre em contato com contact@idroot.org para exercer RGPD).

Acesso (Art. 15): Solicitar confirmação do processamento e uma cópia dos seus dados.
Retificação (Art. 16): Solicitar correção de dados imprecisos.
Apagamento (Art. 17): Solicitar exclusão dos seus dados. Isso também excluirá seu handle e registro DNS.
Limitação (Art. 18): Solicitar processamento limitado em determinadas circunstâncias.
Portabilidade (Art. 20): Solicitar seus dados em formato estruturado e legível por máquina quando o processamento for baseado em consentimento ou contrato.
Oposição (Art. 21): Opor-se ao processamento baseado em interesse legítimo.
Retirar consentimento (Art. 7(3)): Retirar o consentimento a qualquer momento sem afetar a legalidade do processamento anterior.
Reclamação (Art. 77): Você pode apresentar reclamação ao BfDI (Comissário Federal Alemão para Proteção de Dados) ou à autoridade supervisora do seu estado-membro da UE.

9. Segurança dos dados

Implementamos criptografia TLS em trânsito, controles de acesso, criptografia em repouso e exclusão automática de registros. Em caso de violação de dados com risco provável para seus direitos, notificaremos a autoridade supervisora competente em 72 horas e os afetados quando necessário (Arts. 33–34 RGPD).

10. Menores

A verificação de identidade requer um documento oficial com foto. Os usuários devem atender à idade mínima aplicável. Não coletamos conscientemente dados de menores abaixo desse limite e excluiremos tais dados se descobertos.

11. Alterações nesta Política de Privacidade

Podemos atualizar esta Política a qualquer momento. As alterações serão publicadas aqui com data atualizada. Para alterações materiais, faremos esforços razoáveis para notificar usuários que forneceram um endereço de e-mail.

12. Contato

Sebastian Fleckenstein
Erthalstr. 6.
97816 Lohr am Main, Germany
E-mail: contact@idroot.org