Como tratamos dados pessoais na Levver.

Levver Ltda. CNPJ 63.299.766/0001-39
R. da Consolação, 2302, 9º andar · Consolação · São Paulo · SP · 01301-000
Contato: contact@levver.ai

Para dados pessoais que clientes carregam nos produtos (documentos processados em Delta, conversas em Maya), a Levver atua como operador, e o cliente atua como controlador, conforme art. 5º da LGPD. O tratamento desses dados de projeto é regido pelo contrato comercial e pelo Acordo de Tratamento de Dados (DPA), não por esta política, que cobre o site, os leads e as contas.

2.1 Visitantes do site. Dados de navegação coletados via Firebase Analytics. Páginas visitadas, tempo de sessão, dispositivo e sistema operacional, origem do tráfego (referrer), região geográfica aproximada (cidade/estado, sem precisão de endereço). IP é coletado pela infraestrutura mas truncado/anonimizado pelo Analytics antes do armazenamento. Não identificamos o visitante individualmente nesta camada.

2.2 Leads do formulário. Nome completo, empresa, cargo, email corporativo, telefone (opcional) e mensagem enviada. Origem da visita registrada para roteamento interno (parâmetro origem ou produto na URL). Token reCAPTCHA gerado pelo Google para proteção contra spam (descartado após validação).

2.3 Clientes ativos dos produtos. Dados de cadastro corporativo do cliente, dados de login dos usuários autorizados, configurações de instância, registros de uso operacional (logs de acesso, ações executadas). Conteúdo de documentos processados (Delta) e conversas (Maya) permanecem isolados na instância dedicada do cliente.

2.4 Cookies. Usamos cookies essenciais para funcionamento do site (preferência de tema claro/escuro) e cookies analíticos do Firebase Analytics (mensuração agregada de tráfego). Não usamos cookies de publicidade nem trackers de redes sociais. reCAPTCHA do Google define cookies próprios para detecção de abuso. Os cookies de análise só carregam após o seu consentimento no banner de cookies. Sem aceite, não rodam, e você pode rever a escolha pelo link Gerenciar cookies no rodapé.

• Consentimento (art. 7º, I) para cookies de análise (Firebase Analytics) e para newsletter e comunicação de marketing futura, quando aplicável.
• Execução de contrato (art. 7º, V) para dados operacionais de clientes ativos dos produtos.
• Legítimo interesse (art. 7º, IX) para resposta a leads e proteção contra fraude (reCAPTCHA).
• Obrigação legal (art. 7º, II) para retenção fiscal, contratual e atendimento a requisições de autoridade competente.

• Dados de navegação anônimos (Analytics). 14 meses (padrão Firebase Analytics, configurado para o mínimo).
• Dados de lead (formulário). 24 meses após último contato comercial, salvo se o lead virar cliente (passa para retenção contratual).
• Dados de cliente ativo. Pelo prazo do contrato + 5 anos após encerramento, para fins fiscais e contratuais conforme legislação brasileira.
• Conteúdo processado pelos produtos. Pelo prazo do contrato. Após encerramento, exportação disponível por 30 dias e eliminação definitiva em até 90 dias, salvo solicitação anterior do cliente.
• Audit logs de acesso. 12 meses, disponíveis sob requisição contratual.

A Levver opera com um conjunto restrito de fornecedores cloud e de IA, todos com compromissos contratuais de segurança e privacidade equivalentes ou superiores aos exigidos pela LGPD.

• Google Cloud Platform / Firebase (AWS sob demanda). Hospedagem do site, Analytics, autenticação. Servidores em São Paulo (região southamerica-east1) ou regiões equivalentes em LATAM.
• Google reCAPTCHA. Proteção do formulário contra spam.
• Provedores de modelos de IA (Anthropic, OpenAI, Google, Microsoft). Processamento de conteúdo dos produtos sob acordo de não-treinamento em dados do cliente. Conteúdo enviado a estas APIs é descartado após inferência.
• Google Workspace. Comunicação corporativa, formulário de contato (Google Apps Script).

A Levver não comercializa dados pessoais. Não compartilhamos dados com terceiros para fins de publicidade.

A relação operador-controlador é formalizada em um Acordo de Tratamento de Dados (DPA), que integra o contrato comercial do cliente e detalha finalidade, sub-operadores, medidas de segurança, assistência ao controlador e devolução ou eliminação dos dados ao fim do contrato.

Alguns dos nossos operadores (Google, Anthropic, OpenAI, Microsoft) processam dados em data centers fora do Brasil. Essas transferências ocorrem sob salvaguardas previstas no art. 33 da LGPD, incluindo cláusulas contratuais com obrigações equivalentes à legislação brasileira e adequação a regimes reconhecidos (GDPR, decisões de adequação UE). Quando aplicável, adotamos as cláusulas-padrão contratuais da ANPD como mecanismo do art. 33.

Para clientes com requisitos específicos de residência de dados, oferecemos configurações de instância restritas a regiões brasileiras ou LATAM (GCP southamerica-east1), com modelos open source self hosted como alternativa a APIs de terceiros. Configuração disponível em contrato.

Conforme art. 18 da LGPD, você pode solicitar a qualquer momento:

• Confirmação da existência de tratamento
• Acesso aos dados
• Correção de dados incompletos, inexatos ou desatualizados
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade
• Portabilidade dos dados
• Eliminação dos dados tratados com consentimento
• Informação sobre compartilhamento
• Revogação do consentimento
• Revisão de decisões tomadas unicamente com base em tratamento automatizado que afetem seus interesses (art. 20)

Envie a solicitação para dpa@levver.ai. Respondemos em até 15 dias, conforme art. 19 da LGPD. Em casos complexos, o prazo pode ser prorrogado mediante justificativa.

Decisões automatizadas. A Levver não toma decisões unicamente automatizadas que produzam efeitos jurídicos ou impacto significativo sobre o titular. Delta e Maya apoiam a decisão, e a decisão final é sempre do cliente, com revisão humana.

• Criptografia em trânsito (TLS 1.3) em todas as comunicações.
• Criptografia em repouso (AES-256) nos sistemas que armazenam dados pessoais.
• Controle de acesso por princípio do menor privilégio. Apenas pessoas autorizadas pela função têm acesso a dados de cliente.
• Autenticação multifator (MFA) obrigatória para acessos administrativos.
• Audit log de acessos a dados sensíveis, disponível sob requisição contratual.
• Isolamento de tenants. Dados de cada cliente em instância dedicada nos produtos. Sem mistura de dados entre contas.
• Zero treinamento em dados do cliente. Cláusula contratual com cliente e com fornecedores de LLM.

Em caso de incidente de segurança envolvendo dados pessoais sob nossa responsabilidade, comunicaremos o titular afetado e a ANPD em prazo razoável, conforme art. 48 da LGPD. A comunicação incluirá a natureza do incidente, dados afetados, medidas técnicas e administrativas em curso e os riscos envolvidos.

A Levver designou um Encarregado de Dados (DPO) para receber comunicações de titulares e da Autoridade Nacional de Proteção de Dados (ANPD), conforme art. 41 da LGPD.

Responsável. João Prado

Email. dpa@levver.ai

Esta política pode ser atualizada para refletir mudanças em legislação, em práticas da Levver, ou em fornecedores. Mudanças materiais serão comunicadas com aviso prévio razoável aos clientes ativos e indicadas no histórico de versões abaixo. A versão vigente é sempre a publicada nesta página.

• v1.3 (2026-06-06). Base legal dos cookies de análise passou a consentimento, alinhada ao banner. Esclarecido que dados de projeto do cliente são regidos pelo contrato e pelo DPA, não por esta política. Citado o mecanismo de cláusulas-padrão da ANPD na transferência internacional.
• v1.2 (2026-06-06). Adicionada cláusula de decisões automatizadas e direito de revisão (art. 20 da LGPD), e referência ao Acordo de Tratamento de Dados (DPA) que formaliza a relação operador-controlador.
• v1.1 (2026-05-11). Expansão de cobertura LGPD. Adicionados prazos de retenção detalhados, lista de operadores e subprocessadores, cláusula de transferência internacional, medidas de segurança detalhadas, protocolo de incidentes, histórico de versões.
• v1.0 (2026-05-10). Versão inicial publicada com o relançamento do site na direção Premium Editorial.