levver.ai

POLÍTICA DE PRIVACIDAD

Cómo procesamos los datos personales en Levver.

Esta política describe cómo Levver recopila, usa, almacena y protege los datos personales relacionados con el uso del sitio web levver.ai y de los productos Delta y Maya. Se aplica a visitantes del sitio, leads que completan el formulario de contacto, clientes activos de los productos y a cualquier persona que interactúe con la empresa.

El principio que rige esta política es simple. Sus datos son suyos. Recopilamos solo lo necesario, lo usamos solo para la finalidad indicada, lo conservamos solo durante el periodo legalmente exigido y lo devolvemos o eliminamos cuando usted lo solicite.

Versión 1.3 · Última actualización: 2026-06-06


1. RESPONSABLE DEL TRATAMIENTO

Quién es responsable.

Levver Ltda. CNPJ 63.299.766/0001-39
R. da Consolação, 2302, 9th floor · Consolação · São Paulo · SP · 01301-000
Contacto: contact@levver.ai

Para los datos personales que los clientes cargan en los productos (documentos procesados en Delta, conversaciones en Maya), Levver actúa como operador de datos, y el cliente actúa como responsable del tratamiento, conforme al artículo 5 de la LGPD. El tratamiento de esos datos del proyecto se rige por el contrato comercial y por el Acuerdo de Tratamiento de Datos (DPA), no por esta política, que cubre el sitio, los leads y las cuentas.


2. DATOS RECOPILADOS

Por categoría de interacción.

2.1 Visitantes del sitio

Datos de navegación recopilados mediante Firebase Analytics. Páginas visitadas, tiempo de sesión, dispositivo y sistema operativo, fuente de tráfico (referrer), región geográfica aproximada (ciudad/estado, sin precisión a nivel de dirección). La IP es recopilada por la infraestructura, pero truncada y anonimizada por Analytics antes de almacenarse. No identificamos a los visitantes de forma individual en esta capa.

2.2 Leads del formulario

Nombre completo, empresa, cargo, correo corporativo, teléfono (opcional) y el mensaje enviado. La fuente de la visita se registra para el enrutamiento interno (origem o produto parámetro de URL). Token de reCAPTCHA generado por Google para protección contra spam (descartado tras la validación).

2.3 Clientes activos de los productos

Datos de registro corporativo del cliente, datos de inicio de sesión de los usuarios autorizados, configuraciones de la instancia, registros operativos de uso (logs de acceso, acciones ejecutadas). El contenido de los documentos procesados (Delta) y de las conversaciones (Maya) permanece aislado en la instancia dedicada del cliente.

2.4 Cookies

Usamos cookies esenciales para el funcionamiento del sitio (preferencia de tema claro/oscuro) y cookies de Firebase Analytics (medición agregada de tráfico). No usamos cookies de publicidad ni rastreadores de redes sociales. Google reCAPTCHA define sus propias cookies para la detección de abusos. Las cookies de Analytics se cargan solo después de su consentimiento en el banner de cookies. Sin la aceptación, no se ejecutan, y usted puede revisar su elección a través del enlace Gestionar cookies en el pie de página.


3. BASE LEGAL

Por finalidad.

  • ·Consentimiento (artículo 7, I) para las cookies de analítica (Firebase Analytics) y para el newsletter y futuras comunicaciones de marketing, cuando corresponda.
  • ·Ejecución de contrato (artículo 7, V) para los datos operativos de los clientes activos de los productos.
  • ·Interés legítimo (artículo 7, IX) para la respuesta a leads y la protección contra fraude (reCAPTCHA).
  • ·Obligación legal (artículo 7, II) para la conservación tributaria y contractual y para responder a solicitudes de autoridades competentes.

4. PLAZOS DE CONSERVACIÓN

Cuánto tiempo conservamos cada dato.

  • ·Datos de navegación anónimos (Analytics). 14 meses (valor predeterminado de Firebase Analytics, ajustado al mínimo).
  • ·Datos de leads (formulario). 24 meses tras el último contacto comercial, salvo que el lead se convierta en cliente (en cuyo caso pasa a la conservación contractual).
  • ·Datos de clientes activos. Durante la vigencia del contrato más 5 años tras su finalización, con fines tributarios y contractuales conforme a la ley brasileña.
  • ·Contenido procesado por los productos. Durante la vigencia del contrato. Tras la finalización, la exportación está disponible durante 30 días y la eliminación definitiva ocurre dentro de 90 días, salvo que el cliente lo solicite antes.
  • ·Logs de auditoría de acceso. 12 meses, disponibles bajo solicitud contractual.

5. OPERADORES Y SUBOPERADORES DE DATOS

Con quién compartimos.

Levver opera con un conjunto restringido de proveedores de nube e IA, todos vinculados por compromisos contractuales de seguridad y privacidad equivalentes o más estrictos que los requisitos de la LGPD.

  • ·Google Cloud Platform / Firebase (AWS bajo demanda). Alojamiento del sitio, Analytics, autenticación. Servidores en São Paulo (región southamerica-east1) o regiones equivalentes en LATAM.
  • ·Google reCAPTCHA. Protección del formulario contra spam.
  • ·Proveedores de modelos de IA (Anthropic, OpenAI, Google, Microsoft). Procesamiento del contenido de los productos bajo acuerdos de no entrenamiento sobre los datos del cliente. El contenido enviado a estas API se descarta tras la inferencia.
  • ·Google Workspace. Comunicación corporativa, formulario de contacto (Google Apps Script).

Levver no vende datos personales. No compartimos datos con terceros con fines publicitarios.

La relación operador-responsable se formaliza en un Acuerdo de Tratamiento de Datos (DPA), que forma parte del contrato comercial del cliente y detalla la finalidad, los suboperadores, las medidas de seguridad, la asistencia al responsable y la devolución o eliminación de los datos al término del contrato.


6. TRANSFERENCIA INTERNACIONAL DE DATOS

Cuando los datos salen de Brasil.

Algunos de nuestros operadores de datos (Google, Anthropic, OpenAI, Microsoft) procesan datos en centros de datos fuera de Brasil. Estas transferencias ocurren bajo las salvaguardas previstas en el artículo 33 de la LGPD, incluidas cláusulas contractuales con obligaciones equivalentes a la ley brasileña y la adecuación con regímenes reconocidos (GDPR, decisiones de adecuación de la UE). Cuando corresponda, adoptamos las cláusulas contractuales estándar de la ANPD como mecanismo del artículo 33.

Para clientes con requisitos específicos de residencia de datos, ofrecemos configuraciones de instancia restringidas a regiones brasileñas o de LATAM (GCP southamerica-east1), con modelos open source autoalojados como alternativa a las API de terceros. Configuración disponible bajo contrato.


7. SUS DERECHOS

Qué puede solicitar, y cómo.

Conforme al artículo 18 de la LGPD, usted puede en cualquier momento solicitar:

  • ·Confirmación de que existe el tratamiento
  • ·Acceso a los datos
  • ·Corrección de datos incompletos, inexactos o desactualizados
  • ·Anonimización, bloqueo o eliminación de datos innecesarios, excesivos o no conformes
  • ·Portabilidad de los datos
  • ·Eliminación de los datos tratados bajo consentimiento
  • ·Información sobre el intercambio de datos
  • ·Revocación del consentimiento
  • ·Revisión de decisiones tomadas únicamente mediante tratamiento automatizado que afecten sus intereses (art. 20)

Envíe su solicitud a dpa@levver.ai. Respondemos en un plazo de 15 días, conforme al artículo 19 de la LGPD. En casos complejos, el plazo puede prorrogarse con justificación.

Decisiones automatizadas. Levver no toma decisiones basadas únicamente en tratamiento automatizado que produzcan efectos jurídicos o afecten de forma significativa al titular de los datos. Delta y Maya apoyan la decisión, y la palabra final es siempre del cliente, con revisión humana.


8. MEDIDAS DE SEGURIDAD

Cómo protegemos los datos.

  • ·Cifrado en tránsito (TLS 1.3) en todas las comunicaciones.
  • ·Cifrado en reposo (AES-256) en los sistemas que almacenan datos personales.
  • ·Control de acceso por el principio de privilegio mínimo. Solo las personas autorizadas por su función tienen acceso a los datos del cliente.
  • ·Autenticación multifactor (MFA) obligatoria para el acceso administrativo.
  • ·Log de auditoría de acceso a datos sensibles, disponible bajo solicitud contractual.
  • ·Aislamiento de instancias (tenant). Los datos de cada cliente en una instancia dedicada del producto. Sin mezcla de datos entre cuentas.
  • ·Cero entrenamiento sobre los datos del cliente. Cláusula contractual con los clientes y con los proveedores de LLM.

9. INCIDENTES DE SEGURIDAD

Si algo sale mal.

En caso de un incidente de seguridad que involucre datos personales bajo nuestra responsabilidad, notificaremos al titular afectado y a la ANPD dentro de un plazo razonable, conforme al artículo 48 de la LGPD. La notificación incluirá la naturaleza del incidente, los datos afectados, las medidas técnicas y administrativas en curso y los riesgos involucrados.


10. ENCARGADO DE PROTECCIÓN DE DATOS (DPO)

Contacto con el DPO.

Levver ha designado un Encargado de Protección de Datos (DPO) para recibir comunicaciones de los titulares de los datos y de la Autoridad Nacional de Protección de Datos de Brasil (ANPD), conforme al artículo 41 de la LGPD.

Persona responsable. João Prado

Correo. dpa@levver.ai


11. CAMBIOS EN ESTA POLÍTICA

Cómo se entera.

Esta política puede actualizarse para reflejar cambios en la legislación, en las prácticas de Levver o en nuestros proveedores. Los cambios sustanciales se comunicarán con una antelación razonable a los clientes activos y se reflejarán en el historial de versiones a continuación. La versión vigente es siempre la publicada en esta página.


12. HISTORIAL DE VERSIONES

Qué cambió.

  • ·v1.3 (2026-06-06). La base legal para las cookies de analítica pasó a ser el consentimiento, alineada con el banner. Se aclaró que los datos del proyecto del cliente se rigen por el contrato y el DPA, no por esta política. Se citó el mecanismo de cláusulas contractuales estándar de la ANPD para la transferencia internacional.
  • ·v1.2 (2026-06-06). Se añadió una cláusula sobre decisiones automatizadas y el derecho de revisión (art. 20 de la LGPD), y una referencia al Acuerdo de Tratamiento de Datos (DPA) que formaliza la relación operador-responsable.
  • ·v1.1 (2026-05-11). Se amplió la cobertura de la LGPD. Se añadieron plazos de conservación detallados, lista de operadores y suboperadores de datos, cláusula de transferencia internacional, medidas de seguridad detalladas, protocolo de incidentes e historial de versiones.
  • ·v1.0 (2026-05-10). Versión inicial publicada con el relanzamiento del sitio en la dirección Premium Editorial.