Política de Privacidade — LEVEL
Controladora: Axis Preparação (LEVEL) · Domínio: soulevel.com.br Versão: 2026-07-12 · Vigência a partir de: 12 de julho de 2026 Encarregado pelo Tratamento de Dados Pessoais (DPO): [email protected]
Cláusulas que limitam ou restringem seus direitos, bem como as bases legais de cada tratamento, estão descritas ao longo deste documento em linguagem destacada. Leia com atenção. Ao criar sua conta ou utilizar a plataforma, você declara ter lido e compreendido esta Política de Privacidade.
1. Quem somos e o que é este documento
A LEVEL, marca operada pela Axis Preparação (a "LEVEL", "nós" ou "Controladora"), é uma plataforma brasileira de preparação para concursos públicos, acessível em soulevel.com.br.
Esta Política de Privacidade descreve, de forma transparente, como coletamos, usamos, compartilhamos, protegemos e retemos os dados pessoais dos usuários da plataforma ("você" ou "Titular"), em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais — LGPD), o Código de Defesa do Consumidor (Lei nº 8.078/1990), o Marco Civil da Internet (Lei nº 12.965/2014) e demais normas aplicáveis.
Esta Política integra e complementa os Termos de Uso da plataforma. Em caso de dúvida sobre a relação contratual (planos, cobrança, cancelamento, conteúdo), consulte também aquele documento.
Identificação para os fins da LGPD:
- Controladora: Axis Preparação / LEVEL — (CNPJ e endereço completo a inserir antes da publicação).
- Encarregado (DPO): canal de contato [email protected], por meio do qual você pode exercer seus direitos e esclarecer qualquer questão sobre o tratamento dos seus dados (arts. 5º, VIII, 23 e 41 da LGPD).
2. A quem se destina a plataforma (público adulto — 18+)
A LEVEL é destinada exclusivamente a maiores de 18 (dezoito) anos, plenamente capazes. Ao se cadastrar, você declara ser maior de idade e civilmente capaz.
Não coletamos intencionalmente dados de crianças ou adolescentes. O tratamento de dados de menores é tratado no item 17 desta Política.
Definições úteis:
- Titular: pessoa natural a quem se referem os dados pessoais (você).
- Controladora: a LEVEL, que decide sobre o tratamento dos seus dados.
- Operador: terceiro que trata dados em nome da LEVEL, seguindo nossas instruções (ex.: gateway de pagamento, hospedagem).
- Tratamento: toda operação com dados pessoais (coleta, uso, armazenamento, compartilhamento, eliminação etc.).
3. Quais dados coletamos e de onde vêm
Coletamos apenas os dados necessários para operar a plataforma e cumprir as finalidades descritas nesta Política.
a) Dados de cadastro (fornecidos por você):
- Nome;
- E-mail;
- Senha (armazenada apenas em formato de hash criptográfico — nunca em texto legível);
- CPF;
- Telefone.
Segurança reforçada: o CPF e o telefone são armazenados cifrados em repouso (criptografia AES-256-GCM), com índice cego (HMAC-SHA256) para buscas, de modo que não trafegam nem ficam expostos em texto puro. Ver item 14.
b) Dados de estudo e de uso (gerados pela sua atividade):
- Respostas a questões, desempenho, proficiência estimada, histórico de foco, flashcards, trilhas e materiais gerados;
- Preferências de interface e configurações da conta.
c) Dados de segurança e técnicos:
- Endereço IP e metadados registrados em eventos de segurança (login, tentativas suspeitas, alterações sensíveis) e logs de acesso à aplicação;
- Dados de sessão (token JWT) e informações do dispositivo/navegador necessárias à autenticação.
d) Dados de pagamento (planos pagos):
- A cobrança é processada pelo gateway Asaas (operador). A LEVEL não armazena dados completos de cartão de crédito. Ao Asaas são transmitidos os dados necessários ao faturamento (nome, CPF/CNPJ, e-mail e valor). Ver item 11.
e) Dados de perfil público (opcionais):
- Se você optar por publicar na comunidade ou manter perfil público: slug/nome de exibição, biografia, avatar e indicadores de reputação/ranking. A publicação pública é opcional (opt-in) e reversível. Ver item 13.
4. Para que usamos seus dados e com que base legal
Todo tratamento de dados pessoais na LEVEL possui uma base legal prevista na LGPD (arts. 7º e 11). A tabela abaixo relaciona cada finalidade à sua base legal.
| # | Finalidade | Dados envolvidos | Base legal (LGPD) |
|---|---|---|---|
| 1 | Prestação do serviço (criar e manter sua conta, disponibilizar banco de questões, comentários, flashcards, trilhas, comunidade e materiais) | Cadastro, estudo, técnicos | Execução de contrato — art. 7º, V |
| 2 | Cobrança e gestão de planos pagos (PADRAO/PREMIUM), emissão e confirmação de pagamento | Cadastro, CPF, pagamento | Execução de contrato — art. 7º, V |
| 3 | Obrigações fiscais, contábeis e regulatórias | Cadastro, dados de transação | Cumprimento de obrigação legal/regulatória — art. 7º, II |
| 4 | Comunicação transacional e de relacionamento (avisos de conta, suporte, cobrança, novidades do serviço contratado) | E-mail, telefone, cadastro | Legítimo interesse — art. 7º, IX (com opt-out) |
| 5 | Marketing por e-mail, telefone e WhatsApp (ofertas e promoções) | E-mail, telefone | Consentimento — art. 7º, I (específico, destacado e revogável) |
| 6 | Segurança da conta e prevenção a fraude (monitoramento de atividades suspeitas, registro de IP em eventos de segurança) | Técnicos, IP, cadastro | Legítimo interesse — art. 7º, IX |
| 7 | Guarda de CPF para identificação do Titular e eventual exercício de direitos / medidas judiciais em caso de uso indevido, fraude ou ilicitude | CPF | Legítimo interesse (art. 7º, IX) + exercício regular de direitos em processo (art. 7º, VI) + retenção do art. 16, I |
| 8 | Personalização pedagógica (cálculo de proficiência, recomendação de trilhas, geração de comentários e materiais por IA) | Estudo, cadastro | Execução de contrato (art. 7º, V) e legítimo interesse (art. 7º, IX) |
| 9 | Melhoria e desenvolvimento do produto (métricas agregadas, qualidade do conteúdo) | Estudo, técnicos (preferencialmente anonimizados) | Legítimo interesse — art. 7º, IX |
Sobre o legítimo interesse: quando essa é a base legal, realizamos o teste de balanceamento (LIA — art. 10), documentado internamente, para assegurar que o tratamento é adequado, necessário e não sobrepõe seus direitos e liberdades fundamentais. Você pode se opor ao tratamento fundado em legítimo interesse pelo canal do item 16.
Não usamos o consentimento como base "guarda-chuva". O consentimento é reservado ao marketing (finalidade 5) e a hipóteses específicas em que a lei o exige. Assim, a revogação do consentimento de marketing não afeta o funcionamento das demais funções da plataforma.
5. Comunicação transacional x marketing (e como se descadastrar)
a) Comunicação transacional e de relacionamento — avisos essenciais sobre sua conta, cobrança, suporte, alertas de segurança e informações sobre o serviço que você utiliza. Tratamos com base em legítimo interesse (art. 7º, IX), por serem necessárias à boa execução do contrato. Você pode ajustar preferências, mas mensagens estritamente essenciais (ex.: aviso de segurança ou de cobrança) podem ser mantidas enquanto a conta existir.
b) Marketing (e-mail, telefone e WhatsApp) — mensagens promocionais dependem do seu consentimento específico e destacado (art. 7º, I; art. 8º), registrado com data e versão. O consentimento de marketing:
- é opcional e não é condição para usar a plataforma;
- pode ser revogado a qualquer momento, com descadastro em 1 (um) clique (controles
marketingOptIn/unsubscribeToken; supressão registrada ememailSuppressedAt); - é registrado de forma que possamos comprovar a manifestação (o ônus da prova do consentimento é da Controladora — art. 8º, §2º).
Não enviamos comunicação promocional não solicitada e respeitamos a vedação do art. 39 do CDC.
6. Guarda de CPF para identificação e eventual medida judicial
Uma das finalidades declaradas do tratamento é manter o CPF do Titular para identificá-lo com segurança e, se necessário, adotar medidas cabíveis — inclusive exercício de direitos e medidas judiciais — em casos de uso indevido da plataforma, fraude, inadimplência abusiva, violação de direitos de terceiros ou ilicitude.
- Base legal: legítimo interesse (art. 7º, IX) combinado com o exercício regular de direitos em processo judicial, administrativo ou arbitral (art. 7º, VI);
- Retenção: o CPF é conservado, para essa finalidade, pelo prazo prescricional aplicável (como referência, o prazo de 5 anos do art. 27 do CDC), com fundamento no art. 16, I, da LGPD;
- Acesso restrito e armazenamento cifrado (item 14);
- Esta guarda NÃO se baseia em consentimento. Por decorrer de legítimo interesse e do exercício regular de direitos, o pedido de eliminação do CPF pode ser legitimamente recusado ou postergado enquanto persistir a finalidade e o prazo legal de retenção (art. 18, §4º, e art. 16 da LGPD).
7. Prevenção a fraude e segurança da conta
Para proteger você e a plataforma, monitoramos atividades suspeitas, registramos o IP e metadados em eventos de segurança e podemos realizar análise individualizada diante de indícios de fraude, invasão de conta, compartilhamento indevido ou crime. Tratamos esses dados com base em legítimo interesse (art. 7º, IX). Medidas de efeito relevante (ex.: bloqueio de conta) não são puramente automatizadas — ver item 10.
8. Processamento por Inteligência Artificial e dados de estudo
A LEVEL utiliza Inteligência Artificial para gerar comentários de questões e materiais de estudo, ancorados em uma base de referência (RAG), e para personalizar sua experiência (estimativa de proficiência, recomendação de trilhas).
- Os conteúdos gerados por IA são apoio didático e podem conter erros ou imprecisões. Não constituem gabarito oficial nem fonte normativa. Confira sempre em fontes oficiais. Adotamos controles internos (grounding/RAG, revisão amostral e canal de correção) para mitigar falhas, mas não garantimos ausência total de erro.
- Bases legais: o uso dos seus dados de estudo para personalização decorre da execução do contrato (art. 7º, V) e do legítimo interesse (art. 7º, IX);
- Podemos utilizar dados agregados e/ou anonimizados para aprimorar a qualidade do conteúdo e dos modelos, sem identificar você.
9. Decisões automatizadas e perfilamento (art. 20)
A plataforma realiza perfilamento de desempenho para fins pedagógicos (proficiência, recomendações). Nos termos do art. 20 da LGPD, você tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado que afetem seus interesses, bem como a obter informações sobre os critérios utilizados, observados os segredos comercial e industrial.
Decisões de efeito jurídico ou financeiro relevante (por exemplo, bloqueio de conta por fraude ou cobrança contestada) não são tomadas de forma puramente automatizada e passam por revisão humana.
10. Com quem compartilhamos seus dados (operadores)
Não vendemos seus dados pessoais. Compartilhamos dados apenas com operadores que os tratam em nosso nome, na medida necessária, vinculados por contrato de operador (DPA — art. 39 da LGPD) e obrigados a padrões de segurança e confidencialidade:
- Asaas — gateway de pagamento. Recebe nome, CPF/CNPJ, e-mail e valor da transação para processar cobrança (PIX, boleto, cartão) e confirmar o pagamento;
- Provedor de envio de e-mail — para comunicações transacionais e, quando autorizado, de marketing;
- Provedor de hospedagem/infraestrutura — para operar a aplicação e armazenar dados com segurança;
- Provedor(es) de serviços de Inteligência Artificial — para geração de comentários e materiais.
Podemos ainda compartilhar dados para cumprir obrigação legal ou ordem de autoridade competente e para o exercício regular de direitos. Nos termos do art. 42 da LGPD, controlador e operador podem responder solidariamente por danos — por isso exigimos garantias contratuais dos nossos operadores.
11. Transferência internacional de dados
Alguns operadores ou subprocessadores (por exemplo, de infraestrutura ou de IA) podem tratar dados fora do território nacional. Quando isso ocorrer, a transferência observa os requisitos dos arts. 33 a 35 da LGPD, mediante garantias adequadas (ex.: transferência para país com nível de proteção adequado, cláusulas contratuais padrão ou outra salvaguarda admitida).
A relação de subprocessadores e as respectivas salvaguardas será mapeada e mantida atualizada; procure o encarregado (item 16) para informações detalhadas sobre transferências internacionais.
12. Perfil público e conteúdo que você publica
Se você optar por publicar conteúdo na comunidade (posts, questões, resumos, baralhos) ou manter um perfil público (slug, biografia, avatar), tais informações ficam visíveis a outros usuários e a terceiros, inclusive indicadores de reputação/ranking.
- A publicação pública é opcional (opt-in) e reversível;
- Não insira dados pessoais de terceiros nem materiais protegidos por direitos autorais sem autorização. Você é responsável pelo que publica (ver Termos de Uso e item 18);
- Dispomos de moderação e de fluxo de notificação e remoção (notice-and-takedown) para conteúdo irregular.
13. Segurança da informação e resposta a incidentes
Adotamos medidas técnicas e administrativas apropriadas para proteger seus dados (art. 46), entre elas:
- Cifragem em repouso (AES-256-GCM) do CPF e do telefone, com índice cego (HMAC-SHA256) para permitir buscas sem expor o dado;
- Senhas armazenadas apenas como hash criptográfico;
- PII mantida fora dos logs de aplicação;
- Autenticação reforçada (suporte a MFA/TOTP), controle de acesso por privilégio mínimo, gestão de sessão e rate-limiting;
- Proteção anti-bot (desafio Turnstile) em cadastro e login.
Nenhum sistema é 100% seguro. Não prometemos segurança absoluta. Em caso de incidente de segurança que possa acarretar risco ou dano relevante, comunicaremos a ANPD e os titulares afetados em prazo razoável, conforme o art. 48 da LGPD, informando as medidas adotadas.
14. Retenção e eliminação de dados
Mantemos seus dados apenas pelo tempo necessário às finalidades desta Política (art. 15). Ao término da finalidade, os dados são eliminados ou anonimizados, ressalvadas as hipóteses de conservação obrigatória do art. 16 da LGPD:
- Cumprimento de obrigação legal ou regulatória (ex.: dados fiscais e contábeis);
- Exercício regular de direitos, inclusive em processo — hipótese que abrange a guarda de CPF pelo prazo prescricional (item 6);
- Guarda de registros de acesso exigida pelo Marco Civil da Internet.
Não mantemos dados por prazo indeterminado sem base legal. Quando possível, aplicamos anonimização em vez de retenção identificável.
15. Seus direitos como titular (art. 18) e como exercê-los
Você pode, a qualquer momento e gratuitamente, exercer os direitos previstos no art. 18 da LGPD:
- Confirmação da existência de tratamento;
- Acesso aos dados;
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
- Portabilidade a outro fornecedor, mediante requisição;
- Eliminação dos dados tratados com base em consentimento (ressalvadas as hipóteses de retenção legal do item 14);
- Informação sobre entidades com as quais compartilhamos dados;
- Informação sobre a possibilidade de não fornecer consentimento e as consequências;
- Revogação do consentimento (ex.: marketing);
- Revisão de decisões automatizadas (art. 20).
Como exercer: envie sua solicitação ao encarregado, pelo e-mail [email protected]. Poderemos solicitar informações para confirmar sua identidade e evitar fraude. Atendemos as solicitações de forma manual, dentro de prazo razoável e nos limites legais — não prometemos automação inexistente. Alguns direitos podem ser legitimamente limitados quando colidirem com obrigações legais de retenção ou com o exercício regular de direitos pela LEVEL (item 6 e item 14).
16. Dados de crianças e adolescentes
A plataforma é destinada a maiores de 18 anos e não coletamos intencionalmente dados de menores. Adotamos autodeclaração de maioridade no cadastro e vedamos o cadastro de menores.
Caso identifiquemos, ou sejamos informados, de que um menor se cadastrou, removeremos a conta e os dados, salvo retenção legal mínima. Subsidiariamente, na eventual necessidade de tratar dados de adolescentes, observaremos o melhor interesse e, quando exigido, o consentimento específico e destacado de pelo menos um dos pais ou responsável legal (art. 14 da LGPD). Para reportar cadastro de menor, contate [email protected].
17. Conteúdo de usuário (UGC) e materiais de terceiros
Você é responsável pelo conteúdo que envia ou importa (questões, resumos, posts, baralhos/flashcards). É proibido inserir dados pessoais de terceiros sem base legal ou materiais protegidos por direitos autorais sem autorização do titular.
Mantemos canal de denúncia e remoção (notice-and-takedown) e reserva de moderação para conteúdo irregular. As regras detalhadas de UGC, propriedade intelectual e responsabilidade constam dos Termos de Uso.
18. Cookies, telemetria e anti-bot
Utilizamos cookies e tecnologias similares nas seguintes categorias:
- Essenciais — indispensáveis ao funcionamento (autenticação/sessão via JWT, segurança). Não podem ser desativados sem comprometer o serviço;
- Não essenciais / analíticos — telemetria de uso para melhorar a experiência e o conteúdo;
- Anti-bot — desafio Turnstile em cadastro e login, para prevenir fraude e automação.
Quando aplicável, exibimos um banner de cookies que permite recusar os não essenciais de forma tão simples quanto aceitá-los, sem opções pré-marcadas. A recusa dos cookies não essenciais não impede o uso das funções essenciais.
19. Registro e versionamento do consentimento
O aceite dos Termos de Uso e desta Política de Privacidade é registrado com data/hora e versão do documento vigente (campos acceptedTermsAt e privacyPolicyVersion), constituindo prova da manifestação (art. 8º, §2º). Você pode revogar consentimentos específicos (como o de marketing) sem perder o acesso às funções que não dependem daquele consentimento.
20. Interface com os Termos de Uso — descontinuação do acesso gratuito
O banco de questões gratuito é oferecido como liberalidade e pode ser descontinuado conforme previsto nos Termos de Uso, mediante aviso prévio e prazo para exportação dos seus dados de estudo. No cenário de descontinuação:
- Seus dados serão retidos ou eliminados conforme os critérios desta Política (item 14);
- Nenhum plano pago vigente será afetado por essa descontinuação;
- Não apagaremos seus dados sem aviso e sem oportunidade de exportação.
21. Alterações desta Política
Podemos atualizar esta Política para refletir mudanças legais, técnicas ou do produto. As alterações passam a valer a partir da publicação da nova versão, com efeito prospectivo. Em caso de mudança de finalidade ou de nova base legal que exija sua ciência, comunicaremos você previamente e, quando necessário, solicitaremos novo consentimento (art. 9º, §2º). Recomendamos revisar esta página periodicamente.
22. Versão, data de vigência e histórico
- Versão vigente: 2026-07-12 (alinhada a
CURRENT_PRIVACY_POLICY_VERSION); - Data de vigência: 12 de julho de 2026;
- Histórico de versões: mantido pela LEVEL e disponível mediante solicitação ao encarregado.
23. Contato
Para dúvidas, solicitações ou exercício de direitos relacionados a esta Política de Privacidade e ao tratamento dos seus dados pessoais, contate nosso Encarregado (DPO):
Você também pode dirigir-se à Autoridade Nacional de Proteção de Dados (ANPD) caso entenda que seus direitos não foram adequadamente atendidos.