APRUVLY DESENVOLVIMENTO E LICENCIAMENTO DE PROGRAMAS DE COMPUTADOR NAO CUSTOMIZAVEIS LTDA
CNPJ: 66.299.145/0001-43
Contato jurídico: [email protected]
Última atualização: 10 de julho de 2026
Esta Política de Privacidade descreve como a APRUVLY DESENVOLVIMENTO E LICENCIAMENTO DE PROGRAMAS DE COMPUTADOR NAO CUSTOMIZAVEIS LTDA ("Apruvly", "nós" ou "Plataforma") coleta, usa, armazena, compartilha e protege as informações pessoais dos usuários ("Usuário", "você"), independentemente de sua localização geográfica, que acessam ou utilizam nossos serviços disponíveis em apruvly.io ou por meio dos aplicativos móveis oficiais da Apruvly para iOS e Android ("app mobile" ou "aplicativo"). Ao criar uma Conta ou utilizar a Plataforma, você concorda com os termos desta política.
Esta política foi elaborada em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018) e demais legislações aplicáveis, inclusive para usuários internacionais.
Esta Política descreve dois cenários distintos de tratamento, que coexistem na Plataforma:
Apruvly como Controlador — sobre os dados do Usuário cadastrado (cliente da Plataforma): cadastro, faturamento, logs de acesso, suporte e comunicações sobre o serviço. As decisões de tratamento sobre esses dados são da Apruvly, com fundamento nas bases legais descritas na Seção 3.
Apruvly como Operador (Art. 5º, VII da LGPD) — sobre os dados de destinatários e aprovadores (terceiros que recebem notificações de workflow disparadas pelo Usuário). Nesse cenário, o Usuário é o Controlador dos dados desses terceiros e a Apruvly atua como Operador, tratando endereços de e-mail, números de telefone, identificadores de canal (Slack, Microsoft Teams, Telegram, Discord, DingTalk, WhatsApp), conteúdo das mensagens e metadados de entrega exclusivamente por instrução e em nome do Usuário, nos limites contratuais firmados nos Termos de Serviço. As decisões sobre quem é notificado, quais dados são incluídos em cada notificação e por quanto tempo esses workflows persistem cabem ao Usuário-Controlador, na medida do plano contratado.
Solicitações de titulares aprovadores (direito de acesso, correção, exclusão, etc.) podem ser dirigidas ao Usuário (controlador) ou diretamente à Apruvly pelo canal de Privacidade descrito nas Seções 10 e 13. Quando recebidas pela Apruvly, são tratadas conforme o Art. 39 da LGPD: a Apruvly atende ao pedido nos limites de sua atuação como Operador e, quando necessário, comunica a solicitação ao Usuário-Controlador para que decida sobre eventuais ações adicionais.
_gcl_au, _ga e _gid) para medição de conversão e remarketing (Ads) e para análise agregada de audiência e uso do site (Analytics). Esse tratamento não ocorre no uso autenticado da Plataforma. Detalhes na Seção 9.Quando o Usuário opta por autenticar via provedor externo (Google, Microsoft, GitHub ou Apple), recebemos o endereço de e-mail autorizado pelo Usuário e o identificador da conta nesse provedor. Não recebemos nem armazenamos a senha do provedor externo, nem coletamos nome ou foto de perfil por meio do SSO. No caso da Apple, o Usuário pode optar por ocultar o e-mail real usando o serviço de relay privado da Apple; nesse caso recebemos apenas o endereço de encaminhamento fornecido pela Apple.
Para sugerir destinatários enquanto o Usuário digita, o aplicativo móvel pode ler, mediante autorização expressa concedida no sistema operacional (iOS ou Android), os nomes e endereços de e-mail da agenda de contatos do dispositivo. Esse tratamento ocorre exclusivamente no próprio dispositivo: a lista de contatos nunca é enviada, copiada ou armazenada nos servidores da Apruvly, e nenhum dado da agenda é transmitido pela rede. Somente os endereços de e-mail que o Usuário efetivamente adicionar como destinatários de um workflow são transmitidos e tratados, na forma da Seção 2.2 (dados de entrega de mensagens de workflow). A autorização pode ser revogada a qualquer momento nas configurações do sistema operacional; nesse caso o aplicativo apenas deixa de exibir sugestões, sem prejuízo às demais funções.
O aplicativo acessa a câmera e a galeria de fotos somente mediante autorização concedida pelo Usuário no sistema operacional (iOS ou Android) e apenas no momento em que o Usuário decide anexar uma imagem a uma solicitação de aprovação. Arquivos recebidos por compartilhamento a partir de outros aplicativos são processados somente quando o Usuário os anexa a uma solicitação. Em todos os casos, o arquivo anexado segue o regime de anexos descrito na Seção 2.2; não há qualquer acesso à câmera, à galeria ou aos arquivos do dispositivo em segundo plano. As autorizações podem ser revogadas a qualquer momento nas configurações do sistema operacional.
Para registrar decisões de aprovação (e, opcionalmente, para desbloquear o aplicativo), o aplicativo exige uma verificação biométrica ou de credencial de tela realizada pelo próprio sistema operacional, no aparelho (Face ID ou Touch ID no iOS; biometria ou bloqueio de tela no Android). A Apruvly não coleta, não recebe e não armazena dados biométricos em nenhuma hipótese: o sistema operacional informa ao aplicativo apenas o resultado da verificação (êxito ou falha), utilizado para liberar ou não a ação. O cadastro e a exclusão de biometrias são gerenciados exclusivamente pelo Usuário nas configurações do próprio aparelho.
O tratamento dos dados pessoais é realizado com fundamento nas seguintes bases legais previstas na LGPD:
| Finalidade | Base legal (Art. 7º LGPD) |
|---|---|
| Prestação do serviço contratado | Execução de contrato (V) |
| Processamento de pagamentos | Execução de contrato (V) |
| Envio de notificações de workflow | Execução de contrato (V) |
| Envio de notificações por SMS via Twilio e recebimento de respostas | Execução de contrato (V) |
| Registro de dispositivos do app mobile e entrega de notificações push | Execução de contrato (V) |
| Processamento e reconciliação de compras nas lojas de aplicativos | Execução de contrato (V) |
| Trilha de evidência das decisões de aprovação (data/hora, canal, IP, localização aproximada) | Execução de contrato (V) + legítimo interesse (IX) |
| Segurança da conta e prevenção de fraudes | Legítimo interesse (IX) |
| Verificação automatizada de segurança dos anexos (antivírus/hash) | Legítimo interesse (IX) + execução de contrato (V) |
| Trilha de download de anexos e retenção de evidência pós-deleção | Legítimo interesse (IX) — prevenção a fraude/abuso e exercício regular de direitos |
| Guarda de logs do serviço do aplicativo | Cumprimento de obrigação legal (II) — Marco Civil da Internet, art. 15 |
| Preservação e reporte de material de abuso sexual infantil | Cumprimento de obrigação legal (II) — 18 U.S.C. §2258A e ECA |
| Logs de acesso e diagnóstico | Cumprimento de obrigação legal (II) — Marco Civil da Internet |
| Comunicações sobre o serviço | Legítimo interesse (IX) |
| Melhoria da Plataforma | Legítimo interesse (IX) |
| Analytics agregados de visitas (páginas públicas) | Legítimo interesse (IX) |
| Métricas de uso do app mobile (fora do EEE/Reino Unido) | Legítimo interesse (IX), com opt-out a qualquer momento |
| Métricas de uso do app mobile (EEE/Reino Unido) | Consentimento (I), mediante opt-in |
| Relatórios de falhas do app mobile (Crashlytics) | Legítimo interesse (IX), com opt-out a qualquer momento |
| Publicidade, remarketing e medição de conversão (Google Ads) e análise de audiência (Google Analytics), nas páginas públicas | Consentimento (I) |
| Processamento de chamados de suporte por IA (somente com opt-in) | Consentimento (I) |
| Envio de newsletters por e-mail | Consentimento expresso (I) - Somente com opt-in explícito do Usuário. Não enviamos spam. |
Utilizamos seus dados pessoais para:
Não criamos perfis comportamentais a partir dos dados da sua Conta nem direcionamos publicidade com base no seu uso autenticado da Plataforma. As estatísticas de visita coletadas no servidor são sempre agregadas e anonimizadas. Nas páginas públicas, a medição de conversão e o remarketing via Google Ads ocorrem apenas mediante o seu consentimento (Seção 9) e podem ser recusados a qualquer momento, sem prejuízo do uso da Plataforma.
Não vendemos, alugamos ou comercializamos seus dados pessoais. Podemos compartilhá-los apenas com:
Todos os terceiros que acessam dados pessoais em nosso nome são obrigados contratualmente a tratá-los com confidencialidade e em conformidade com esta política.
A lista atualizada de operadores e sub-operadores envolvidos no tratamento está disponível publicamente em apruvly.io/sub-processors; o canal [email protected] permanece à disposição para esclarecimentos complementares. Caso a Apruvly contrate novos operadores que processem dados pessoais de forma materialmente distinta da descrita acima, esta Política de Privacidade será atualizada conforme o §12.
Página pública de comprovação (compartilhada por você). Ao concluir uma solicitação, o Usuário pode gerar um link de comprovante ("certificado de aprovação") que abre uma página pública, somente leitura, com o resultado da solicitação, seu título e descrição, os horários e a lista de decisões dos aprovadores. Para proteger os aprovadores, os endereços de e-mail aparecem de forma mascarada nessa página (apenas a inicial e o domínio, por exemplo j****@empresa.com), nunca o endereço completo. O link é a única credencial de acesso: qualquer pessoa que o possua consegue visualizar a página, e cabe exclusivamente ao Usuário decidir se e com quem compartilhá-lo. A página não é indexada por mecanismos de busca. Como os dados dos aprovadores são dados de terceiros tratados sob a responsabilidade do Usuário (Seção 1.2), a decisão de gerar e distribuir o comprovante é do próprio Usuário, na qualidade de Controlador desses dados.
6.1. Os servidores da Apruvly e de seus provedores de infraestrutura podem estar localizados fora do Brasil. Em particular, AWS e Cloudflare operam infraestrutura globalmente distribuída que pode processar dados em regiões fora do território brasileiro. Quando habilitado mediante consentimento, o Google (Google Ads) também processa dados nos Estados Unidos e em outras regiões. Os provedores de serviços do app mobile (Google Firebase, Apple) e as lojas de aplicativos (Apple App Store, Google Play) também processam dados nos Estados Unidos e em outras regiões.
6.2. Ao utilizar a Plataforma, o Usuário declara ciência de que seus dados podem ser processados nos países onde operamos. A Apruvly adota salvaguardas técnicas e contratuais adequadas — incluindo cláusulas-padrão de proteção de dados — para garantir nível de proteção equivalente ao exigido pela LGPD, independentemente da localização do processamento.
6.3. A Apruvly realiza transferências internacionais apenas quando necessário para a prestação do serviço e em conformidade com o Art. 33 da LGPD, com fundamento principal nos incisos I (cláusulas contratuais específicas com o operador) e V (execução de contrato com o titular). Para operadores localizados em jurisdições sem decisão de adequação da ANPD, a Apruvly utiliza Cláusulas-Padrão Contratuais (SCC) ou cláusulas contratuais específicas com salvaguardas equivalentes, alinhadas ao modelo aprovado pela ANPD na Resolução CD/ANPD nº 19/2024. Cópia das cláusulas aplicáveis pode ser solicitada por meio de [email protected].
6.4. Quando o Usuário configura integrações com provedores externos (notificação, mensageria, SMS, e-mail transacional, IA, etc.), eventuais transferências internacionais decorrentes dessas integrações ocorrem sob a conta e a relação contratual do próprio Usuário com o respectivo provedor, sendo regidas pelos termos que o Usuário tiver acordado com aquele terceiro. A Apruvly apenas executa, como intermediário técnico, as chamadas autorizadas pela credencial fornecida pelo Usuário.
| Tipo de dado | Período de retenção |
|---|---|
| Dados de conta (perfil, e-mail) | Enquanto a conta estiver ativa; excluídos permanentemente em até 6 meses após o encerramento (ver 7.1) |
| Dados de workflows | Conforme o plano contratado (7 a 90 dias, vide página de Preços) |
| Dados de entrega de SMS via Twilio (telefone, status, custo) | Mesmo prazo dos dados de workflow: 7 a 90 dias conforme o plano contratado |
| Bytes dos arquivos anexados a aprovações | TTL do plano contratado ou exclusão antecipada pelo Usuário |
| Metadados, hash SHA-256 e trilha de download dos anexos | 24 meses após a deleção dos bytes (legítimo interesse — prevenção a fraude/abuso e exercício regular de direitos; cobre o piso de 6 meses do Marco Civil da Internet, art. 15) |
| Logs de acesso do serviço do aplicativo | ≥ 6 meses (Art. 15, Marco Civil da Internet) |
| Material reportado (CSAM) | 1 ano preservado (18 U.S.C. §2258A) |
| Arquivos sob retenção legal (legal hold) | Até a liberação da retenção |
| Registros de opt-out (STOP) via SMS | Mantidos indefinidamente enquanto a Conta do Usuário estiver ativa, em cumprimento às regulações TCPA (EUA) e demais legislações anti-spam. Titulares podem solicitar remoção pelo canal [email protected] — a remoção será comunicada ao Usuário titular da Conta, pois afeta futuras mensagens para aquele número |
| Logs de acesso | 6 meses (Art. 15, Marco Civil da Internet) |
| Dados de faturamento e registros de transações (Stripe e lojas de aplicativos) | 5 anos (legislação fiscal e tributária; defesa em eventuais disputas) |
| Dados de suporte | 2 anos após o encerramento do chamado; no máximo 6 meses após o encerramento da Conta (ver 7.1) |
| Analytics agregados de visitas | 90 dias em detalhe diário; indefinidamente em agregação mensal (dados anonimizados) |
| Hashes de deduplicação de visitas | 48 horas (dados efêmeros, sem possibilidade de identificação) |
| Contatos do dispositivo (app mobile) | Não coletados nem retidos: lidos e processados exclusivamente no aparelho do Usuário, nunca transmitidos aos servidores da Apruvly (ver 2.4) |
| Dispositivos do app mobile (modelo, token de push, IPs, sessão) | Enquanto o dispositivo permanecer vinculado à Conta; a sessão e o token de push são revogados imediatamente quando o Usuário desconecta o dispositivo, e todos os registros são excluídos com o encerramento da Conta |
| Intenções de compra no app mobile (token de correlação com a loja) | 7 dias (expiração automática) |
| Diagnóstico de falhas e métricas de uso do app mobile (Firebase) | Conforme as políticas de retenção do Google; a coleta pode ser desativada a qualquer momento nas configurações do aplicativo |
| Cookies de publicidade/medição do Google (mediante consentimento) | Conforme as políticas do Google; o consentimento pode ser revogado a qualquer momento limpando os cookies do navegador |
| Fonte de aquisição (UTM do cadastro) | Enquanto a conta estiver ativa |
| Preferências de newsletter (opt-in) | Enquanto a conta estiver ativa ou até a revogação do consentimento |
| Arquivos de exportação de dados pessoais (LGPD Art. 18) | Arquivo gerado disponível para download por 7 dias, sendo então descartado do armazenamento. O registro da solicitação (status, data e horário) é mantido no histórico da Conta por 6 meses após o vencimento, para visibilidade do Usuário e cumprimento do limite de uma exportação a cada 30 dias |
7.1. Após o encerramento da Conta, a Apruvly retém pelo prazo de 6 meses os registros de acesso a aplicações exigidos pelo Art. 15 do Marco Civil da Internet (Lei nº 12.965/2014) e, na medida estritamente necessária para vincular esses registros à identidade do titular, os dados cadastrais correspondentes (guarda mínima para eventual atendimento a autoridades competentes). Os chamados de suporte associados à Conta seguem o mesmo prazo máximo de 6 meses após o encerramento, independentemente do prazo geral de 2 anos aplicável a contas ativas. No encerramento da Conta, os bytes dos arquivos anexados são excluídos imediatamente; metadados, hash e trilha de download dos anexos seguem os prazos próprios indicados na tabela acima (evidência por 24 meses após a deleção dos bytes, ou até a liberação de eventual retenção legal). Ao final desse período, todos os dados pessoais remanescentes são excluídos permanentemente.
7.2. Dados anonimizados (que não permitem identificação do Usuário) poderão ser mantidos indefinidamente para fins estatísticos.
Adotamos medidas técnicas e organizacionais para proteger seus dados, incluindo:
X-Twilio-Signature em HMAC-SHA1) é realizada em tempo constante antes do processamento de qualquer payload, prevenindo ataques de comparação por tempo;Nenhum sistema é 100% seguro. Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a Apruvly comunicará a ANPD e os titulares afetados no prazo de 3 (três) dias úteis contados do conhecimento do incidente, conforme o Art. 48 da LGPD e a Resolução CD/ANPD nº 15/2024, incluindo a descrição do incidente, os dados afetados e as medidas adotadas.
9.1. Utilizamos cookies estritamente necessários para:
A preferência de tema (claro/escuro) é armazenada no armazenamento local do navegador (não em cookie). Parâmetros de campanha (UTM) são propagados temporariamente na sessão do servidor durante a navegação até o eventual cadastro, para fins de atribuição de origem — removidos automaticamente após o cadastro ou com a expiração natural da sessão, e não utilizados para rastreamento entre visitas.
O app mobile não utiliza cookies. As credenciais de sessão e as preferências locais (tema, idioma, consentimentos de diagnóstico e de dados de uso) são armazenadas no próprio aparelho, no armazenamento seguro do sistema operacional (Keychain no iOS, Keystore no Android).
9.2. Cookies de marketing e analytics (facultativos). Nas páginas públicas e somente após o seu consentimento no banner de cookies, utilizamos o Google Ads e o Google Analytics (GA4) (gtag.js), que gravam cookies de terceiros (como _gcl_au, _ga e _gid) e identificadores correlatos para medição de conversão e remarketing e para análise agregada de audiência e uso do site. O tag opera em modo de consentimento (Consent Mode v2): antes do seu aceite nenhum cookie de terceiros é gravado — o Google recebe apenas sinais sem cookies e sem identificadores (medição agregada); os cookies de publicidade só são ativados após o aceite. Esses cookies não são usados nas áreas autenticadas da Plataforma e podem ser recusados — ou revogados depois pelo link "Gerenciar cookies" — sem qualquer prejuízo ao uso do serviço. A coleta de analytics agregada descrita na Seção 2.2 permanece inteiramente no servidor, sem cookies e sem código JavaScript de rastreamento. Não utilizamos fingerprinting de navegador.
9.3. Os cookies estritamente necessários listados em 9.1 não requerem consentimento prévio (Art. 5(3) da Diretiva 2002/58/CE — ePrivacy — e princípio da necessidade da LGPD, Art. 6º, III). Os cookies de marketing descritos em 9.2 são facultativos e somente são ativados após o seu consentimento explícito; você pode concedê-lo ou recusá-lo no banner de cookies e revogá-lo a qualquer momento pelo link "Gerenciar cookies" no rodapé do site (ou limpando os cookies do navegador), sem prejuízo do acesso aos serviços.
Em conformidade com a LGPD (Art. 18), o Usuário tem direito a:
Como exercer seus direitos:
Verificação de identidade. Para preservar a privacidade e a segurança do titular, a Apruvly poderá adotar medidas razoáveis de verificação de identidade antes de atender a solicitações de acesso, correção, exclusão ou portabilidade — incluindo, quando necessário, confirmação por meio do e-mail cadastrado, autenticação multifator ou comprovação documental. Solicitações em que não seja possível verificar a identidade do requerente poderão ser recusadas, com justificativa enviada ao endereço de origem.
Representante autorizado. O titular pode exercer seus direitos por meio de representante legal devidamente constituído (procuração específica, responsável legal, inventariante). A Apruvly poderá solicitar comprovação do vínculo antes de processar a solicitação.
Não discriminação. O exercício de qualquer direito previsto nesta seção é gratuito e não acarreta qualquer prejuízo, restrição funcional ou diferenciação no acesso aos serviços contratados, ressalvadas as situações em que a exclusão ou bloqueio dos dados torne tecnicamente inviável a continuidade do serviço (como, por exemplo, a exclusão da Conta).
Reclamação à ANPD. Caso o titular entenda que seus direitos não foram adequadamente atendidos, poderá apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) pelos canais oficiais disponíveis em www.gov.br/anpd ou diretamente pelo e-mail [email protected].
Titulares no Espaço Econômico Europeu e Reino Unido. Para titulares localizados no EEE ou no Reino Unido, os direitos equivalentes previstos no GDPR/UK GDPR (Arts. 15 a 21 — acesso, retificação, apagamento, limitação, portabilidade e oposição) podem ser exercidos pelos mesmos canais descritos nesta seção, incluindo o direito de apresentar reclamação à autoridade supervisora competente de seu país.
A Plataforma é destinada a maiores de 18 anos. Não coletamos intencionalmente dados pessoais de menores de idade. Caso tomemos conhecimento de que dados de um menor foram coletados, procederemos à exclusão imediata.
12.1. A Apruvly poderá atualizar esta Política de Privacidade periodicamente para refletir mudanças nas práticas de tratamento, no serviço ou na legislação aplicável.
12.2. Alterações materiais — assim consideradas aquelas que ampliem as finalidades do tratamento, incluam novas categorias de dados ou novos operadores com impacto significativo, ou reduzam direitos do titular — serão comunicadas ao Usuário por e-mail ou aviso na Plataforma com pelo menos 15 dias de antecedência, oferecendo ao Usuário a oportunidade de revisar a nova versão antes da entrada em vigor.
12.3. O uso continuado da Plataforma após a entrada em vigor das alterações implica aceitação da política atualizada. Caso o Usuário discorde, poderá encerrar sua Conta antes da vigência das alterações.
12.4. As versões anteriores desta Política de Privacidade são preservadas internamente e podem ser solicitadas a qualquer momento por meio de [email protected].
Para dúvidas, solicitações ou reclamações relacionadas a esta política ou ao tratamento de seus dados pessoais: