Política de Privacidade do Coral

Última atualização: 13 de maio de 2026

O Coral é uma extensão de notas focada em privacidade e controle do usuário. Esta política descreve, em linguagem direta, exatamente quais dados a extensão coleta, onde eles ficam armazenados e com quem são compartilhados.

Resumo em 30 segundos

Suas notas ficam no seu dispositivo (localStorage do navegador).
Se você ativar a sincronização, elas vão pro seu próprio Google Drive, não passam pelos nossos servidores.
Não temos servidores. Não coletamos perfil de uso, não rastreamos navegação, não vendemos dados.
Notas marcadas como privadas são criptografadas com AES-256-GCM usando uma senha que só você conhece.
Você pode exportar, importar ou apagar tudo a qualquer momento.

1. Quais dados o Coral usa

1.1 Conteúdo de notas e tags

Tudo que você digita (títulos, conteúdo formatado, tags, datas de criação e modificação) é armazenado localmente no localStorage do navegador. A extensão não envia esse conteúdo pra nenhum servidor próprio.

1.2 Senha do cofre (para notas privadas)

Quando você ativa o cofre e cria uma senha, ela é usada para derivar uma chave criptográfica (PBKDF2 com 100.000 iterações + AES-256-GCM) que cifra o conteúdo das notas privadas. A senha em texto puro nunca é salva. Apenas uma versão cifrada da senha (recoverable apenas com a recovery key gerada na criação do cofre) fica no localStorage.

1.3 Conta Google (apenas se você conectar)

Se você optar por sincronizar com o Google Drive, o Coral solicita os seguintes escopos OAuth via OAuth do Chrome (chrome.identity.getAuthToken):

drive.file: acesso somente a arquivos criados ou explicitamente compartilhados via a extensão. O Coral não enxerga nenhum outro arquivo do seu Drive.
userinfo.email: pra identificar você nos workspaces compartilhados (mostra seu email pros outros membros).
userinfo.profile: pra mostrar seu nome e foto na interface (apenas localmente e em workspaces que você participa).

1.4 Workspaces compartilhados

Workspaces são planilhas Google compartilhadas via Drive Permissions API. Quando você convida alguém, o e-mail dessa pessoa é registrado nas permissões da planilha (no Drive de quem criou o workspace). Sua presença (online, editando uma nota) é sincronizada via uma aba da própria planilha, esses dados ficam visíveis apenas pra outros membros do mesmo workspace e expiram automaticamente em 15 segundos após inatividade.

2. Onde os dados ficam armazenados

Seu computador (localStorage do Chrome): todas as notas em primeira instância.
Seu Google Drive: cópia sincronizada (se você ativar) dentro de uma pasta chamada CoralDrive. Cada workspace = 1 planilha.
Drives de outros membros: somente nas planilhas de workspaces que você criou e compartilhou.
Servidores Coral: Nenhum

3. Compartilhamento com terceiros

O Coral interage exclusivamente com as APIs do Google (Drive e Sheets) quando você ativa a sincronização. Nenhum outro terceiro recebe seus dados.

Opcionalmente, o desenvolvedor pode publicar mensagens administrativas (atualizações, avisos) via uma planilha Google pública. Ao receber essas mensagens, a extensão pode enviar eventos anônimos (qual mensagem foi visualizada/dispensada) pra uma planilha de telemetria do desenvolvedor. Esses eventos não contêm seu email, nome ou conteúdo de notas e apenas o ID da mensagem e o tipo de evento (view, click, dismiss) e a versão do app.

4. Retenção e exclusão

Você controla 100% da retenção:

Apagar uma nota: vai pra Lixeira local, que retém por 30 dias / 90 dias / 1 ano / pra sempre (configurável). Após o período, a nota é apagada definitivamente.
Apagar um workspace: o dono move a planilha pra lixeira do Drive (recuperável em 30 dias pela política padrão do Drive).
Sair do Coral: a qualquer momento você pode revogar o acesso da extensão na sua conta Google (myaccount.google.com/permissions) e desinstalar a extensão. Os dados locais permanecem até você limpar o cache do navegador ou apagar manualmente.

5. Segurança

Criptografia das notas privadas: AES-256-GCM com chave derivada por PBKDF2 (100.000 iterações, SHA-256). Implementação nativa do Web Crypto API, sem bibliotecas externas.
Comunicação com Google: HTTPS via OAuth 2.0 (chrome.identity).
Token OAuth: gerenciado pelo próprio Chrome, nunca armazenado em código ou texto puro.
Recovery key: gerada localmente (256 bits aleatórios) e fornecida ao usuário como arquivo .txt baixável.

6. Direitos do usuário (LGPD / GDPR)

Como nenhum dado pessoal seu chega aos nossos servidores, a maioria dos direitos é exercida diretamente por você:

Acesso: tudo está visível na interface da extensão e no seu Google Drive.
Portabilidade: use Exportar → arquivo .coral.json (formato aberto, JSON).
Correção: edite diretamente na extensão.
Exclusão: apague as notas/workspaces na própria extensão e revogue o acesso OAuth.
Oposição: simplesmente não conecte sua conta Google: a extensão funciona 100% offline.

7. Crianças

O Coral não é direcionado a menores de 13 anos. Se você tem menos de 13 anos, não use a extensão sem supervisão de um responsável.

8. Mudanças nesta política

Mudanças significativas serão comunicadas via uma mensagem in-app (banner). A data no topo desta página será atualizada a cada revisão. Mudanças menores (clarificações, correções de texto) podem ocorrer sem aviso.

9. Contato

Para dúvidas, solicitações de exclusão ou exercício de direitos, escreva para: contato.gmsolutionshub@gmail.com. Responderemos em até 7 dias úteis.

Coral é mantido por GM Solutions Hub LTDA.

Versão da política: 1.0 | 2026-05-13 · coral.gmhub.space