Privacidade

Política de Privacidade do MemOp

Como o MemOp trata dados pessoais, protege registros, organiza responsabilidades e atende direitos de titulares. English version included below.

Documento: Política de Privacidade / Privacy Policy
Última atualização: 2 de julho de 2026
Responsável: Denison de Cerqueira Junior / MemOp
Endereço: Aracaju/SE
Contato de privacidade: privacidade@memop.tech
Suporte: suporte@memop.tech

Política de Privacidade

Esta Política de Privacidade explica, em linguagem simples, como o MemOp trata dados pessoais, quais dados podem ser tratados em cada modo de uso, quais são as finalidades, bases legais, compartilhamentos, retenção, direitos dos titulares e canais de contato.

Aviso importante

Esta Política de Privacidade não é parecer jurídico. O MemOp é uma ferramenta privada de produtividade e organização de registros de campo; não é sistema oficial de órgão público, sistema de segurança pública, central de despacho, sistema de inteligência ou fonte oficial de validação.

Antes de usar o MemOp em ambiente profissional, equipe, organização ou atividade regulada, o usuário ou a organização responsável deve validar base legal, finalidade, retenção, governança, encarregado/DPO, registros de tratamento e regras internas aplicáveis.

O MemOp deve ser usado apenas por pessoas e organizações autorizadas a tratar os dados inseridos. Quem cria, importa, consulta ou compartilha registros de campo continua responsável por garantir necessidade, proporcionalidade, qualidade dos dados, segurança, confidencialidade e respeito aos direitos dos titulares.

Princípios centrais

  • Minimizar dados: coletar e manter apenas o necessário para uma finalidade legítima e definida.
  • Preferir processamento local: manter registros e buscas sensíveis no dispositivo quando o recurso permitir.
  • Criptografar antes da sincronização: no modo equipe criptografado, conteúdo privado deve virar ciphertext no app antes de chegar ao backend.
  • Separar conteúdo e metadados: o servidor pode precisar de metadados de conta, equipe, autorização, cobrança, auditoria e armazenamento, mas não deve precisar ler conteúdo privado de registros criptografados.
  • Evitar publicidade e perfilamento comercial: registros de campo não devem ser vendidos, usados para anúncios ou usados para marketing comportamental.
  • Manter conferência humana: resultados de busca, comparação local com bases públicas/autorizadas ou alertas são apenas apoio informativo e devem ser conferidos na fonte oficial quando isso for relevante.

Papéis e responsabilidade LGPD

Para registros de campo inseridos por usuários, a organização usuária normalmente define finalidade, base legal, retenção, autorização de acesso e atendimento a titulares. Nesse contexto, ela tende a atuar como controladora dos dados, e o serviço MemOp pode atuar como operador quando hospeda, sincroniza ou protege dados conforme instruções.

Para dados necessários à conta, segurança do serviço, assinatura, suporte, cobrança, prevenção de abuso, logs e operação da plataforma, o responsável pelo serviço pode atuar como controlador independente ou controlador conjunto, conforme o contrato e o caso concreto.

Dados pessoais sensíveis, dados de crianças/adolescentes, biometria, localização, documentos, imagens, dados de terceiros e outros dados delicados exigem avaliação mais rigorosa. Consentimento não deve ser presumido como base legal adequada quando houver dever legal, regra interna, atividade profissional regulada ou outra hipótese específica.

Se o usuário atuar em órgão público, setor regulado ou atividade sujeita a regime jurídico próprio, essa análise deve ser feita fora do MemOp e conforme as normas aplicáveis. Esta Política não substitui essa avaliação.

Modos de uso

Modo local/offline

Registros de campo ficam no dispositivo em banco local criptografado. Sem login e sem recursos online, o backend do app não recebe os registros de pessoas, veículos, interações, notas estruturadas, itens acompanhados, fotos ou anexos.

O usuário ainda deve proteger o aparelho, senha, biometria, backups, arquivos exportados e qualquer compartilhamento manual feito fora do app.

Modo local com conta

O usuário pode autenticar, manter perfil, usar assinatura, verificar sessão, acessar recursos habilitados e ainda manter registros de campo no banco local. Nessa configuração, o backend pode tratar dados de conta, perfil, sessão, assinatura, suporte, segurança e recursos online específicos.

Registros locais só devem ir para o servidor quando o usuário ativa um recurso que exige backend, como modo equipe, upload, backup online, avatar, consulta online específica, suporte ou outro fluxo explicitamente conectado.

Modo equipe criptografado

O modo equipe foi desenhado para que pessoas, veículos, interações, tabelas temporárias, itens acompanhados, notas estruturadas, entradas relacionadas e anexos privados sejam criptografados no cliente antes da sincronização. O backend armazena payloads criptografados, previews de busca criptografados, chaves envelopadas, metadados de autorização e referências de armazenamento.

O backend não deve receber senha de criptografia, UMK bruta, chave privada bruta, TDK bruta, códigos de recuperação em texto claro, conteúdo privado dos registros, bytes descriptografados de anexos ou termos privados de busca de equipe.

Categorias de dados

Dados locais no dispositivo

Podem existir localmente:

  • pessoas: nome, apelido, documento, filiação, nascimento, gênero, cidade de nascimento, observações e fotos;
  • veículos: placa, proprietário, documento, tipo, modelo, cor, ano, descrição e fotos;
  • interações: local, endereço informado, observações, pessoas, veículo, status informado, data/hora, latitude/longitude e fotos;
  • Alertas temporários, itens acompanhados, notas estruturadas, entradas de texto, fotos, vínculos, mapas e notas;
  • cache local de base compacta pública/autorizada, resultados locais de comparação e cache local de resultados;
  • banco SQLite/Drift criptografado, imagens locais criptografadas, preferências seguras e backups.

Dados de conta e perfil

Quando há conta online, o backend pode tratar nome, e-mail, identificadores de usuário, credenciais ou hashes/tokens de autenticação, provedor de login, sessões, IP, user-agent, perfil, telefone, data de nascimento, estado, cidade, CPF, avatar, papel no serviço, status de assinatura, plano, renovação e limites de uso.

Avatares e outros uploads de perfil usam o bucket público de mídia quando salvos como URL pública. Eles não devem ser tratados como anexos privados de equipe.

Dados de equipe e autorização

O backend pode tratar nome da equipe, proprietário, membros, e-mails de convite, papéis, aceite/rejeição/cancelamento de convites, limites de membros, assinatura, armazenamento contratado, uso de armazenamento, eventos de chave, solicitações de reautorização, dispositivos confiáveis, status de revogação e timestamps.

Também pode tratar IDs de registros, tipo de recurso, criador, horários de criação/atualização/exclusão, status de upload, tamanho de anexos, checksums de upload, chaves de objeto R2 e logs/auditoria de ações.

Dados criptográficos

O backend pode armazenar metadados e ciphertext necessários para acesso criptografado:

  • salt de criptografia, UMK envelopada, chave privada criptografada e chave pública do usuário;
  • TDK envelopada para membros da equipe;
  • metadados de dispositivo confiável, chave pública do dispositivo, plataforma e status;
  • wrappings por dispositivo, código de recuperação ou senha de recuperação;
  • solicitações de aprovação de dispositivo e reautorização de equipe, incluindo status, expiração e saída envelopada quando aprovada.

Esses itens não devem permitir descriptografia pelo backend sem os segredos mantidos pelo usuário/dispositivo.

Anexos e imagens

Imagens locais podem ser criptografadas no aparelho. Anexos privados de equipe são enviados como bytes criptografados para bucket privado, com URLs assinadas de curta duração para upload/download.

O servidor pode ver metadados técnicos do anexo, como equipe, entidade, variante, tamanho, status, uploader, chave de objeto e timestamps. Ele não deve receber bytes privados descriptografados de anexos de equipe.

Bases públicas/autorizadas e comparação local

O fluxo preferencial baixa uma base compacta pública/autorizada e faz a comparação no dispositivo. Isso evita enviar nomes, filiação, documentos ou termos privados de busca para o backend.

Quando existir consulta online ou fluxo legado de comparação no servidor, ele deve ser tratado como recurso separado, opcional, minimizado e justificado. Esses fluxos podem processar temporariamente candidatos, parâmetros de busca, contagem de matches e resultados, e devem ter retenção curta, exclusão após uso quando aplicável e aviso claro ao usuário.

O MemOp não emite mandados, não confirma identidade por si só, não substitui consulta oficial e não autoriza qualquer ação fora do app. Ele é uma ferramenta privada de organização e produtividade.

Backups e Google Drive

O backup local cria um arquivo criptografado com senha informada pelo usuário. O pacote interno pode conter banco local, imagens locais e a chave local necessária para restauração. Por isso, a senha do backup e o arquivo .zip.enc devem ser protegidos com o mesmo cuidado de dados sensíveis de campo.

Quando o usuário ativa upload para Google Drive, o arquivo criptografado é enviado para uma pasta da conta Google do próprio usuário. O Google Drive é um serviço de terceiro controlado pela conta do usuário, e as regras de acesso, retenção e compartilhamento dessa conta também importam.

O app deve remover arquivos temporários descriptografados após backup/restauração, mas o usuário continua responsável por cópias exportadas, compartilhadas ou mantidas fora do app.

Site, cookies e preferências locais

O site público do MemOp pode tratar dados técnicos básicos de acesso, como endereço IP, user-agent, data/hora, páginas acessadas e logs de segurança, conforme a infraestrutura de hospedagem, CDN e proteção contra abuso.

O site pode usar armazenamento local do navegador, como localStorage, para lembrar preferências simples, por exemplo idioma selecionado. Até esta versão, o site não é projetado para usar cookies de publicidade, venda de dados, rastreamento comportamental ou perfilamento comercial de visitantes.

Localização, mapas e ausência de rastreamento contínuo

O MemOp pode permitir que o usuário registre ou associe localização a registros, conforme permissões do dispositivo e funcionalidades disponíveis. O MemOp não se destina ao rastreamento contínuo de pessoas em tempo real, vigilância permanente, monitoramento clandestino ou acompanhamento de terceiros sem autorização e base legal.

Dados de localização podem ser imprecisos e devem ser usados apenas como apoio de organização, nunca como prova exclusiva, confirmação oficial ou autorização para qualquer ação fora do app.

Finalidades

Os dados são tratados para:

  • operar autenticação, perfil, sessão, assinatura, equipes, convites e permissões;
  • salvar, organizar, sincronizar e restaurar registros autorizados;
  • proteger conteúdo com criptografia local e criptografia antes do envio;
  • controlar acesso, auditar eventos, prevenir abuso, aplicar limites de uso e apurar incidentes;
  • publicar/baixar bases públicas ou autorizadas para comparação local;
  • fornecer suporte, comunicações do serviço e manutenção;
  • cumprir obrigações legais, regulatórias, contratuais ou ordens válidas.

Registros de campo não devem ser usados para publicidade, venda de dados, enriquecimento comercial de perfis ou decisões automatizadas que produzam efeitos jurídicos sem validação humana e fonte oficial.

Bases legais

A base legal depende do controlador, do contexto e da finalidade. Possíveis hipóteses podem incluir execução de contrato para conta e serviço, cumprimento de obrigação legal ou regulatória, exercício regular de direitos, legítimo interesse para segurança e prevenção de fraude quando aplicável, proteção da vida ou incolumidade física, execução de políticas públicas por órgão autorizado, tutela da saúde em contexto próprio, consentimento quando for realmente livre e adequado, ou bases específicas para dados sensíveis.

Para dados sensíveis, imagens, localização, documentos, dados de terceiros ou dados tratados em contexto profissional/regulado, a organização usuária deve registrar a hipótese legal ou regime aplicável e limitar o tratamento ao necessário.

Compartilhamento e operadores

Podem existir operadores e provedores técnicos para hospedagem, banco de dados, Redis/cache, armazenamento de objetos, e-mail transacional, autenticação social, Google Drive quando habilitado pelo usuário, monitoramento, infraestrutura, cobrança/assinatura e distribuição por lojas de aplicativo.

O compartilhamento deve ser limitado ao necessário para operar o serviço, cumprir contrato, atender obrigação legal, responder incidente, proteger usuários ou atender ordem válida. Registros privados de equipe não devem ser compartilhados em plaintext pelo backend porque o backend não deve possuí-los em plaintext.

Compartilhamentos manuais feitos pelo usuário, por exemplo WhatsApp, arquivo, print, Drive, e-mail ou exportação, ficam sob responsabilidade de quem compartilha e devem respeitar autorização, sigilo e base legal.

Transferências internacionais

Alguns provedores técnicos, como infraestrutura de nuvem, armazenamento, autenticação, lojas de aplicativos, cobrança, e-mail transacional, monitoramento e suporte, podem tratar dados em outros países. Quando houver transferência internacional de dados pessoais, o MemOp buscará utilizar mecanismos contratuais, técnicos e organizacionais compatíveis com a LGPD e limitar o tratamento ao necessário para operar, proteger e manter o serviço.

Retenção e exclusão

  • Dados locais permanecem no dispositivo até exclusão pelo usuário, desinstalação, restauração, limpeza do app ou política da organização.
  • Backups permanecem onde o usuário os guarda. O fluxo de Drive mantém backups criptografados e pode limpar versões antigas conforme a lógica do app.
  • Dados da tabela temporária possuem expiração configurada pelo recurso.
  • Convites, aprovações de dispositivo e reautorizações têm prazo de expiração.
  • Registros de equipe podem ter exclusão lógica, restauração e exclusão permanente conforme papel e recurso.
  • O backend pode manter registros excluídos logicamente por até 7 dias antes da limpeza definitiva, salvo quando retenção maior for necessária por segurança, auditoria, obrigação legal, disputa, backup técnico ou solicitação válida do controlador responsável.
  • Logs, auditoria, segurança, billing, backups, caches e registros exigidos por lei podem permanecer por prazo limitado ou pelo prazo legal aplicável.

Exclusão de dados criptografados pode envolver remoção de ciphertext e metadados; se chaves forem perdidas, dados remanescentes podem ficar tecnicamente inacessíveis, mas ainda devem ser governados como dados pessoais quando vinculáveis.

Direitos dos titulares

Titulares podem ter direitos de informação, confirmação de tratamento, acesso, correção, anonimização, bloqueio, eliminação, portabilidade, informação sobre compartilhamento, revogação de consentimento, oposição, revisão e explicação de decisões automatizadas, conforme a LGPD e regulamentação aplicável.

Pedidos sobre registros de campo devem ser direcionados ao controlador responsável, normalmente a organização que inseriu ou determinou o tratamento. O serviço MemOp deve apoiar solicitações recebidas de controladores autorizados quando atuar como operador.

Canal público de privacidade: privacidade@memop.tech. Para suporte geral: suporte@memop.tech.

Exclusão de conta e dados

Usuários com conta online podem solicitar a exclusão da conta e dos dados associados pelo canal privacidade@memop.tech ou por funcionalidade disponível no aplicativo, quando implementada.

A exclusão de conta pode remover ou anonimizar dados de conta, perfil, assinatura, sessões e metadados associados, respeitados prazos legais, prevenção de fraude, segurança, cobranças, auditoria e obrigações regulatórias aplicáveis.

Registros mantidos apenas no modo local/offline devem ser excluídos pelo próprio usuário no dispositivo, pois o MemOp não recebe nem acessa esse conteúdo. Backups exportados, arquivos no Google Drive, prints, arquivos compartilhados e cópias fora do app devem ser geridos ou removidos pelo próprio usuário no local onde estiverem armazenados.

Em equipes, a exclusão de registros, anexos, membros, metadados e conteúdos criptografados pode depender de permissões, regras da equipe, retenção configurada, obrigações legais e solicitações feitas pelo administrador ou controlador responsável.

Segurança

Controles de segurança aplicáveis aos recursos liberados do MemOp incluem:

  • banco local criptografado;
  • imagens locais criptografadas;
  • backup criptografado por senha;
  • Flutter Secure Storage para segredos locais;
  • AES-256-GCM para conteúdo local/equipe/backups modernos;
  • PBKDF2-HMAC-SHA256 para derivação de chave;
  • RSA-OAEP para envelopamento de chaves de equipe;
  • criptografia de conteúdo de equipe antes do envio ao backend;
  • rejeição de campos privados em plaintext nas rotas criptografadas;
  • busca privada de equipe feita localmente, não no servidor;
  • URLs assinadas de curta duração para anexos privados;
  • separação entre bucket público de mídia e bucket privado de anexos criptografados;
  • papéis de equipe, assinatura, rate limiting, auditoria e logs do serviço;
  • logs que devem evitar corpos de requisição sensíveis, tokens, chaves, URLs assinadas e campos privados.

Recursos ainda em desenvolvimento devem ser liberados publicamente apenas quando os controles de segurança correspondentes estiverem ativos.

Nenhum sistema elimina todos os riscos. Segurança também depende de senha forte, bloqueio de tela, controle de dispositivos, gestão de membros, políticas internas, treinamento e resposta a incidentes.

Incidentes

Incidente de segurança envolvendo dados pessoais deve ser avaliado quanto a confirmação, escopo, categorias de dados, quantidade de titulares, proteção por criptografia, riscos materiais/morais/reputacionais, medidas de mitigação e obrigação de comunicação.

Quando houver risco ou dano relevante aos titulares, a comunicação à ANPD e aos titulares deve seguir a regulamentação vigente. A página atual da ANPD sobre Comunicação de Incidente de Segurança informa prazo de 3 dias úteis para comunicação pelo controlador, ressalvada legislação específica.

Lojas de aplicativos e formulários de privacidade

As informações desta Política devem ser lidas em conjunto com as declarações de privacidade e segurança exibidas nas lojas de aplicativos. Em caso de divergência entre a loja e esta Política, o MemOp deve corrigir a informação para manter consistência com o comportamento real do aplicativo.

Referências públicas

  • ANPD - Titular de Dados: https://www.gov.br/anpd/pt-br/assuntos/titular-de-dados-1
  • ANPD - Direitos dos Titulares: https://www.gov.br/anpd/pt-br/assuntos/titular-de-dados-1/direito-dos-titulares
  • ANPD - Comunicação de Incidente de Segurança: https://www.gov.br/anpd/pt-br/canais_atendimento/agente-de-tratamento/comunicado-de-incidente-de-seguranca-cis

Privacy Policy

This Privacy Policy explains, in plain language, how MemOp processes personal data, which data may be processed in each runtime mode, the purposes, lawful bases, sharing, retention, data-subject rights, and contact channels.

Important Notice

This Privacy Policy is not a legal opinion. MemOp is a private productivity and field-record organization tool; it is not an official public-agency system, public-safety system, dispatch center, intelligence system, or official validation source.

Before using MemOp in a professional setting, team, organization, or regulated activity, the user or responsible organization should validate lawful basis, purpose, retention, governance, DPO/contact role, processing records, and internal rules.

MemOp should be used only by people and organizations authorized to process the data they enter. The person or organization that creates, imports, searches, or shares field records remains responsible for necessity, proportionality, data quality, security, confidentiality, and respect for data-subject rights.

Core Principles

  • Minimize data: collect and keep only what is necessary for a legitimate and defined purpose.
  • Prefer local processing: keep sensitive records and searches on-device whenever the feature allows it.
  • Encrypt before sync: in encrypted team mode, private content should become ciphertext in the app before it reaches the backend.
  • Separate content and metadata: the server may need account, team, authorization, billing, audit, and storage metadata, but it should not need to read private encrypted record content.
  • Avoid advertising and commercial profiling: field records should not be sold, used for ads, or used for behavioral marketing.
  • Keep human verification: search results, local matching with public/authorized datasets, and alerts are informational support only and should be checked against the official source when relevant.

LGPD Roles and Responsibility

For field records entered by users, the user organization usually defines the purpose, lawful basis, retention, access authorization, and data-subject response process. In that context, the organization will generally act as controller, and the MemOp service may act as processor when it hosts, syncs, or protects data according to instructions.

For data needed for accounts, service security, subscriptions, support, billing, abuse prevention, logs, and platform operation, the service operator may act as an independent controller or joint controller depending on the contract and concrete context.

Sensitive personal data, data about children or adolescents, biometrics, location, documents, images, third-party data, and other delicate data require stricter assessment. Consent should not be assumed to be the appropriate lawful basis where legal duties, internal rules, regulated professional activity, or another specific basis applies.

If the user acts for a public body, regulated sector, or activity subject to its own legal regime, that analysis must be made outside MemOp and under the applicable rules. This Policy does not replace that assessment.

Runtime Modes

Local/Offline Mode

Field records stay on the device in the encrypted local database. Without login and without online features, the app backend does not receive person, vehicle, interaction, structured note, tracked item, photo, or attachment records.

The user must still protect the device, password, biometrics, backups, exported files, and any manual sharing outside the app.

Local Mode With Account

The user may authenticate, maintain a profile, use subscriptions, verify sessions, access enabled features, and still keep field records in the local database. In this setup, the backend may process account, profile, session, subscription, support, security, and specific online-feature data.

Local records should go to the server only when the user enables a backend-dependent feature, such as team mode, upload, online backup, avatar upload, a specific online lookup, support, or another explicitly connected flow.

Encrypted Team Mode

Team mode is designed so people, vehicles, interactions, temporary table entries, tracked items, structured notes, related entries, and private attachments are encrypted on the client before synchronization. The backend stores encrypted payloads, encrypted search previews, wrapped keys, authorization metadata, and storage references.

The backend should not receive encryption passwords, raw UMKs, raw private keys, raw TDKs, recovery codes in plaintext, private record content, decrypted attachment bytes, or private team search terms.

Data Categories

Local Device Data

The device may hold:

  • people: name, nickname, document, parent names, birth date, gender, city of birth, notes, and photos;
  • vehicles: plate, owner, document, type, model, color, year, description, and photos;
  • interactions: place, informed address, notes, people, vehicle, reported status, date/time, latitude/longitude, and photos;
  • Temporary table entries, temporary alerts, tracked items, structured notes, text entries, photos, links, maps, and notes;
  • local compact public/authorized dataset cache, local match results, and local result cache;
  • encrypted SQLite/Drift database, encrypted local images, secure preferences, and backups.

Account and Profile Data

When an online account is used, the backend may process name, email, user identifiers, credentials or authentication hashes/tokens, login provider, sessions, IP, user-agent, profile, phone, birth date, state, city, CPF, avatar, service role, subscription status, plan, renewal state, and usage limits.

Avatars and other profile uploads use the public media bucket when saved as public URLs. They should not be treated as private zero-knowledge team attachments.

Team and Authorization Data

The backend may process team name, owner, members, invitation emails, roles, invitation acceptance/rejection/cancellation, member limits, subscription state, purchased storage, storage usage, key events, reauthorization requests, trusted devices, revocation status, and timestamps.

It may also process record IDs, resource type, creator, created/updated/deleted timestamps, upload status, attachment size, upload checksums, R2 object keys, and action logs/audit events.

Cryptographic Data

The backend may store metadata and ciphertext required for encrypted access:

  • encryption salt, wrapped UMK, encrypted private key, and user public key;
  • wrapped TDK for team members;
  • trusted-device metadata, device public key, platform, and status;
  • wrappings for device, recovery code, or recovery password flows;
  • device approval and team reauthorization requests, including status, expiry, and wrapped approval output when approved.

These items should not allow backend decryption without secrets kept by the user or device.

Attachments and Images

Local images may be encrypted on the device. Private team attachments are uploaded as encrypted bytes to a private bucket, with short-lived signed URLs for upload/download.

The server may see technical attachment metadata such as team, entity, variant, size, status, uploader, object key, and timestamps. It should not receive decrypted private bytes for team attachments.

Public/Authorized Datasets and Local Matching

The preferred flow downloads a compact public/authorized dataset and performs matching on-device. This avoids sending names, parent names, documents, or private search terms to the backend.

If an online lookup or legacy server-side matching flow exists, it should be treated as a separate, optional, minimized, and justified feature. Such flows may temporarily process candidates, search parameters, match counts, and results, and should have short retention, deletion after use where applicable, and clear user notice.

MemOp does not issue warrants, confirm identity by itself, replace official checks, or authorize any action outside the app. It is a private organization and productivity tool.

Backups and Google Drive

Local backup creates an encrypted file protected by a user-provided password. The internal package may contain the local database, local images, and the local key needed for restore. For that reason, the backup password and .zip.enc file should be protected like sensitive field data.

When the user enables Google Drive upload, the encrypted file is uploaded to a folder in the user's own Google account. Google Drive is a third-party service controlled by that user account, and that account's access, retention, and sharing rules also matter.

The app should remove decrypted temporary files after backup/restore, but the user remains responsible for copies exported, shared, or stored outside the app.

Website, Cookies, and Local Preferences

MemOp's public website may process basic technical access data, such as IP address, user-agent, date/time, accessed pages, and security logs, depending on hosting, CDN, and abuse-prevention infrastructure.

The website may use browser local storage, such as localStorage, to remember simple preferences, such as the selected language. As of this version, the website is not designed to use advertising cookies, data sale, behavioral tracking, or commercial visitor profiling.

Location, Maps, and No Continuous Tracking

MemOp may allow users to record or associate location with records, depending on device permissions and available features. MemOp is not intended for continuous real-time tracking of people, permanent surveillance, covert monitoring, or third-party tracking without authorization and lawful basis.

Location data may be inaccurate and should be used only as organizational support, never as sole evidence, official confirmation, or authorization for any action outside the app.

Purposes

Data is processed to:

  • operate authentication, profile, sessions, subscriptions, teams, invitations, and permissions;
  • save, organize, sync, and restore authorized records;
  • protect content with local encryption and encryption before upload;
  • control access, audit events, prevent abuse, apply usage limits, and review incidents;
  • publish/download public or authorized datasets for local matching;
  • provide support, service communications, and maintenance;
  • comply with legal, regulatory, contractual obligations, or valid orders.

Field records should not be used for advertising, data sale, commercial profile enrichment, or automated decisions that produce legal effects without human validation and an official source.

Lawful Bases

The lawful basis depends on the controller, context, and purpose. Possible bases may include contract performance for accounts and service operation, legal or regulatory obligation, regular exercise of rights, legitimate interest for security and fraud prevention where applicable, protection of life or physical safety, execution of public policy by an authorized body, health protection in an appropriate context, consent when truly free and suitable, or specific bases for sensitive data.

For sensitive data, images, location, documents, third-party data, or data processed in a professional/regulated context, the user organization should record the applicable legal basis or legal regime and limit processing to what is necessary.

Sharing and Processors

Technical processors and providers may support hosting, database, Redis/cache, object storage, transactional email, social login, Google Drive when enabled by the user, monitoring, infrastructure, billing/subscriptions, and app-store distribution.

Sharing should be limited to what is necessary to operate the service, fulfill a contract, meet a legal obligation, respond to an incident, protect users, or comply with a valid order. Private team records should not be shared by the backend in plaintext because the backend should not have them in plaintext.

Manual sharing by users, such as WhatsApp, file export, screenshots, Drive, email, or downloaded backups, is the responsibility of the person sharing and must respect authorization, secrecy, and lawful basis.

International Transfers

Some technical providers, such as cloud infrastructure, storage, authentication, app stores, billing, transactional email, monitoring, and support providers, may process data in other countries. Where international personal-data transfers occur, MemOp will seek to use contractual, technical, and organizational mechanisms compatible with LGPD and limit processing to what is necessary to operate, protect, and maintain the service.

Retention and Deletion

  • Local data stays on-device until user deletion, app uninstall, restore, app cleanup, or the organization's policy.
  • Backups remain wherever the user stores them. The Drive flow stores encrypted backups and may clean older versions according to app logic.
  • Temporary table entries have feature-configured expiry.
  • Invitations, device approvals, and team reauthorizations expire.
  • Team records may support soft deletion, restore, and permanent deletion depending on role and feature.
  • The backend may retain soft-deleted records for up to 7 days before permanent cleanup, unless longer retention is necessary for security, audit, legal obligation, dispute handling, technical backup, or a valid request from the responsible controller.
  • Logs, audit, security, billing, backups, caches, and legally required records may remain for a limited period or for the legally required period.

Deleting encrypted data may involve deleting ciphertext and metadata. If keys are lost, remaining data may become technically inaccessible, but it should still be governed as personal data when it remains linkable.

Data-Subject Rights

Data subjects may have rights to information, confirmation of processing, access, correction, anonymization, blocking, deletion, portability, information about sharing, consent withdrawal, objection, review, and explanation of automated decisions, as provided by LGPD and applicable regulation.

Requests about field records should be directed to the responsible controller, usually the organization that entered or determined the processing. The MemOp service should support requests received from authorized controllers when acting as processor.

Public privacy contact: privacidade@memop.tech. For general support: suporte@memop.tech.

Account and Data Deletion

Users with an online account may request account and associated-data deletion through privacidade@memop.tech or through an in-app feature when available.

Account deletion may remove or anonymize account, profile, subscription, session, and associated metadata, subject to legal retention, fraud prevention, security, billing, audit, and applicable regulatory obligations.

Records kept only in local/offline mode must be deleted by the user on their own device, because MemOp does not receive or access that content. Exported backups, Google Drive files, screenshots, shared files, and copies outside the app must be managed or removed by the user wherever they are stored.

In teams, deletion of records, attachments, members, metadata, and encrypted content may depend on permissions, team rules, configured retention, legal obligations, and requests made by the administrator or responsible controller.

Security

Security controls applicable to released MemOp features include:

  • encrypted local database;
  • encrypted local images;
  • password-encrypted backup;
  • Flutter Secure Storage for local secrets;
  • AES-256-GCM for local/team content and modern backups;
  • PBKDF2-HMAC-SHA256 for key derivation;
  • RSA-OAEP for wrapping team keys;
  • team-content encryption before upload;
  • rejection of private plaintext fields on encrypted routes;
  • private team search performed locally, not on the server;
  • short-lived signed URLs for private attachments;
  • separation between public media bucket and private encrypted attachment bucket;
  • team roles, subscription gates, rate limiting, audit, and service logs;
  • logs that should avoid sensitive request bodies, tokens, keys, signed URLs, and private fields.

Features still in development should be publicly released only when the corresponding security controls are active.

No system removes all risk. Security also depends on strong passwords, screen lock, device control, member management, internal policies, training, and incident response.

Incidents

A security incident involving personal data should be assessed for confirmation, scope, data categories, number of affected subjects, encryption protection, material/moral/reputational risks, mitigation measures, and notification duty.

Where there is relevant risk or harm to data subjects, notification to ANPD and affected data subjects should follow current regulation. ANPD's current security-incident page states a three-business-day notification period for controllers, unless specific legislation provides another period.

App Stores and Privacy Forms

The information in this Policy should be read together with the privacy and data-safety disclosures shown in app stores. If there is any inconsistency between the store listing and this Policy, MemOp should correct the disclosure to keep it consistent with the app's actual behavior.

Public References

  • ANPD - Data Subject: https://www.gov.br/anpd/pt-br/assuntos/titular-de-dados-1
  • ANPD - Data Subject Rights: https://www.gov.br/anpd/pt-br/assuntos/titular-de-dados-1/direito-dos-titulares
  • ANPD - Security Incident Communication: https://www.gov.br/anpd/pt-br/canais_atendimento/agente-de-tratamento/comunicado-de-incidente-de-seguranca-cis