A versão juridicamente vinculativa deste documento é a francesa. Esta versão em português é uma tradução de cortesia.
Última atualização: 2026-07-07
Política de Privacidade — Tivera
Versão: 2.1 — RASCUNHO pré-Play Store v1.0 (modelo Free + Premium) Data de entrada em vigor: 2026-07-07 Língua de referência: francês — jurisdição do responsável: Marrocos (Lei 09-08, autoridade CNDP; RGPD aplicável a título extraterritorial — Art. 3.2 — para os utilizadores residentes na UE/EEE/RU) Editor: Mitchou, particular de direito marroquino (editor independente). Endereço: Tralles, rue Essanaouabar, Casablanca, Marrocos.
⚠️ Rascunho a validar por um advogado (proteção de dados: Lei 09-08 / CNDP + RGPD/ePrivacy) antes da publicação definitiva. A versão francesa é a que faz fé; as outras línguas são traduções de cortesia.
TL;DR
O Tivera é um leitor IPTV BYOC (Bring Your Own Content) para Android (móvel + TV). Tu importas os teus próprios fluxos (M3U / Xtream Codes / EPG XMLTV); nenhum conteúdo é alojado por nós.
- Dados pessoais recolhidos para fins comerciais: nenhum. Sem revenda, sem intermediação de dados.
- Telemetria de diagnóstico (relatórios de falha + estatísticas de utilização anonimizadas + registo de desempenho): enviada unicamente para o nosso próprio servidor auto-alojado (
api.tivera.tv), nunca para um terceiro. O Firebase Crashlytics e o Firebase Analytics foram retirados — deixou de ser enviada qualquer falha ou estatística ao Google. Fora da UE/EEE/RU, este canal está ativo por predefinição (interesse legítimo) e desativável a qualquer momento (Definições → Privacidade → Dados de diagnóstico). Na UE/EEE/RU, permanece desativado até ao teu consentimento explícito. - Partilha com terceiros: unicamente Google AdMob (modo Free: publicidade, identificador publicitário AAID) e Google Play Billing (modo Premium: pagamento da subscrição). A sincronização na nuvem Premium (perfis/favoritos/histórico) vai para o nosso servidor auto-alojado, não para um terceiro.
- Armazenamento local cifrado: SQLCipher AES-256 + Google Tink AEAD (credenciais Xtream).
- Zero conta necessária para veres os teus fluxos. Uma conta só é necessária para o Premium / a sincronização na nuvem / a gestão de dispositivos.
1. Responsável pelo tratamento (RGPD Art. 13.1.a)
| Campo | Valor |
|---|---|
| Editor | Mitchou (particular de direito marroquino, editor independente) |
| Nome comercial da app | Tivera |
| Pacote Android | com.mitchou.tivera |
| Email de contacto geral | contact@tivera.tv |
| Email de privacidade | privacy@tivera.tv |
| Email DMCA | dmca@tivera.tv (ver Política DMCA) |
| Endereço postal | Tralles, rue Essanaouabar, Casablanca, Marrocos |
| DPO formal | Não exigido (RGPD Art. 37: editor independente, < 250 funcionários, sem tratamento em grande escala de dados sensíveis) |
| Representante na UE (RGPD Art. 27) | Em processo de designação antes da implementação para o público geral na UE. Entretanto, os residentes na UE/EEE exercem todos os seus direitos diretamente junto do Editor em privacy@tivera.tv; os contactos do representante serão publicados aqui e na app assim que este for designado. |
| Jurisdição aplicável | Marrocos — Lei 09-08 relativa à proteção das pessoas singulares no que respeita ao tratamento de dados de caráter pessoal, sob o controlo da CNDP. RGPD (UE 2016/679) aplicável a título extraterritorial (Art. 3.2) para os utilizadores da UE/EEE/RU. |
Prazo de resposta assumido para qualquer pedido RGPD / CCPA: 30 dias (RGPD Art. 12.3) / 45 dias (CCPA).
2. Natureza da aplicação (RGPD Art. 13.1.c)
O Tivera é um leitor IPTV genérico BYOC distribuído através da Google Play Store (e por transferência direta do APK).
2.1 O que o Tivera É
- Um leitor de fluxos multimédia (vídeo / áudio) que tu próprio fornreces.
- Um organizador local das tuas fontes (URL M3U, credenciais Xtream Codes API, URL EPG XMLTV).
- Uma ferramenta de diagnóstico local (Quality Scanner) + um gravador local (DVR) a teu pedido.
- Disponível em dois níveis: Free (com publicidade) ou Premium (por subscrição, sem publicidade, funcionalidades adicionais).
2.2 O que o Tivera NÃO É
- Não é um serviço de distribuição de conteúdos (zero canais pré-carregados, zero catálogo).
- Não é um serviço de recomendação algorítmica.
- Não é um serviço de armazenamento de conteúdos. A sincronização na nuvem Premium (perfis, favoritos, histórico, definições selecionadas) utiliza o nosso próprio servidor auto-alojado
api.tivera.tve só sincroniza metadados leves (rótulo de perfil, avatar, sinalizador de criança, PIN cifrado, identificadores de conteúdo opacos) — nunca os teus fluxos nem as credenciais das tuas fontes. - Não é um intermediário técnico: comunicas diretamente com o servidor que escolhes.
És o único responsável pelos fluxos que importas e pela sua conformidade com o direito de autor aplicável (ver Termos de Utilização + Política DMCA).
2.3 Diferenças Free vs Premium do lado dos dados
| Aspeto | Free | Premium |
|---|---|---|
| Dados recolhidos por predefinição | Nenhum | Nenhum |
| Publicidade AdMob (banner + nativa + rewarded) | Sim (modelo económico) | Não |
| AAID (identificador publicitário Android) lido pelo AdMob/Google | Sim (gerido pelos Google Play Services) | Não |
| SDK UMP (consentimento publicitário UE/RGPD) | Sim (no 1.º arranque na UE) | Não aplicável |
Telemetria de diagnóstico auto-alojada (api.tivera.tv) | Fora da UE: ativa por predefinição (opt-out) · UE/EEE/RU: opt-in | Idêntico |
| Firebase Analytics / Crashlytics | Retirados (deixaram de ser usados) | Retirados |
| Play Billing (tokens de compra) | Não aplicável | Sim |
3. Dados tratados
3.1 Dados introduzidos pelo utilizador — armazenados localmente apenas
Todos estes dados permanecem no teu dispositivo. Nenhum é transmitido a Mitchou nem a um terceiro em utilização normal.
- URL M3U / playlist: SQLCipher AES-256. Leitura dos teus fluxos. Base legal RGPD 6.1.b (execução do contrato). Duração: até à eliminação manual / desinstalação.
- Credenciais Xtream Codes (host, user, password): Google Tink AEAD (chave-mestra Android Keystore TEE/StrongBox) por cima do SQLCipher, AAD associado à fonte (anti cell-swap). Ligação ao teu painel. Base legal RGPD 6.1.b.
- URL EPG XMLTV + mapeamentos para canais: SQLCipher AES-256 (Tink AEAD se houver Basic Auth no URL). Guia de programação. Base legal RGPD 6.1.b.
- Histórico de reprodução (posição de retoma): SQLCipher AES-256. «Continue Watching». Base legal RGPD 6.1.b.
- Favoritos: SQLCipher AES-256. Personalização da UI. Base legal RGPD 6.1.b.
- Gravações DVR (
.ts) + transferências VOD offline (Premium): scoped storage, não cifradas. Visionamento diferido/offline a teu pedido. Base legal RGPD 6.1.b. - PIN parental de 4 dígitos: Tink AEAD (AAD
parental-pin-v1). Bloqueio do conteúdo adulto. Base legal RGPD 6.1.b. - Preferências da UI (língua, tema, qualidade): DataStore Proto, não sensível. Base legal RGPD 6.1.f (interesse legítimo).
3.2 Dados recolhidos automaticamente pela aplicação
- AAID (identificador publicitário Android): Free = sim, lido pelos Google Play Services aquando de uma impressão AdMob. Premium = não.
- Endereço IP: o payload de telemetria não contém o teu endereço IP como dado. Ele permanece visível ao nível do transporte para qualquer servidor que receba o pedido: (a) o servidor Xtream/EPG que configuras, (b) o Google quando o AdMob é acionado em Free, (c) o nosso servidor
api.tivera.tv(+ Cloudflare em trânsito) quando a telemetria está ativa ou quando usas a tua conta. Os IP eventualmente registados do lado do servidor são-no pelo tempo estritamente necessário à segurança e ao diagnóstico, sendo depois eliminados. - Geolocalização precisa: não. Aproximada (derivada do IP): não pelo Tivera (o AdMob pode inferir o país via IP em Free).
- Contactos / SMS / chamadas: não (permissões não declaradas). Microfone / câmara: não (a câmara é usada unicamente para ler um QR de emparelhamento, 100 % no dispositivo, nenhuma imagem transmitida). IMEI / n.º de série / MAC: não.
- Android ID (
Settings.Secure.ANDROID_ID): lido unicamente quando a telemetria de diagnóstico está ativa (ver 3.4), nunca transmitido em claro. Serve para derivar, através de um hash SHA-256 unidirecional próprio da app, um identificador técnico de dispositivo pseudónimo — estável por dispositivo: sobrevive à reinstalação da app e ao apagamento dos seus dados (só é reposto no factory-reset), e não é um identificador de hardware (um identificador de software app-scope).
3.3 Dados técnicos necessariamente transmitidos aos servidores que tu configuras
Quando importas um painel Xtream ou um URL M3U/EPG, os teus pedidos saem do teu dispositivo em direção ao servidor que escolheste (nem Mitchou nem o Tivera). Esse servidor recebe necessariamente o teu IP, as tuas credenciais Xtream e o teu User-Agent. Não temos qualquer controlo sobre a sua política de privacidade — consulta-a antes de lhe confiares as tuas credenciais.
3.4 Telemetria de diagnóstico auto-alojada (api.tivera.tv)
Para corrigir bugs e melhorar a estabilidade, o Tivera recolhe uma telemetria de diagnóstico técnico enviada unicamente para o nosso servidor auto-alojado api.tivera.tv (PocketBase, infraestrutura do Editor, Marrocos / CNDP) — nunca para um terceiro.
Três canais: (1) Relatórios de falha (crash_reports): stacktrace + excerto do registo técnico no momento da falha; (2) Estatísticas de utilização anonimizadas (app_events): abertura de ecrã (rota), início de sessão, início de reprodução — nenhum URL, nenhum nome de canal; (3) Registo de desempenho diário (≤ 125 KB/24 h): medições internas (ex. tempo de arranque a frio) + classe de dispositivo (Build.MANUFACTURER + MODEL, ex. «Samsung SM-S911B» — uma classe de dispositivo, não um dado pessoal) + versão app/Android + plataforma.
Identificador: cada envio está associado ao identificador técnico de dispositivo pseudónimo (ver 3.2) — estável por dispositivo, sobrevive à reinstalação da app e ao apagamento dos dados. Não é a tua identidade.
Modelo de consentimento (condicionado geograficamente):
| Região | Estado por predefinição | Base legal | Como retirar |
|---|---|---|---|
| Fora da UE / EEE / RU | Ativa por predefinição (opt-out) | Interesse legítimo (RGPD Art. 6(1)(f)): diagnóstico interno, minimizado, auto-alojado | Direito de oposição (Art. 21): Definições → Privacidade → Dados de diagnóstico: OFF (efeito imediato) |
| UE / EEE / RU | Desativada por predefinição | Consentimento (RGPD Art. 6(1)(a)) — exigido porque a leitura do ANDROID_ID está abrangida pelo art. 5(3) da Diretiva ePrivacy 2002/58/CE (e as suas transposições nacionais) | Recusar, ou retirar (Art. 7(3)) através do mesmo toggle |
O canal nunca está ativo antes da age gate (confirmação 13+, ver § 7). A retirada (toggle OFF) purga imediatamente os envios pendentes não transmitidos.
Minimização: todo o conteúdo passa pelos filtros SecretRedactor + UrlRedactor do lado do cliente, antes de qualquer envio (URLs, credenciais, tokens Bearer, IBAN, longas cadeias hexadecimais ≥ 32 caracteres eliminados), os identificadores de canal são hasheados/truncados, e o payload está limitado a 125 KB.
Nunca transmitido: nenhum nome / email / telefone; nenhuma das tuas fontes, canais ou histórico; nenhum AAID; nenhuma publicidade, nenhuma revenda.
Subcontratante: nenhum — api.tivera.tv é o servidor auto-alojado do Editor, não um terceiro de dados. A Cloudflare assegura unicamente o trânsito de rede + TLS (sem armazenamento). Cifrado em trânsito (HTTPS). Conservação: 90 dias (purga automática do lado do servidor). Este servidor está localizado em Marrocos (ver § 9).
3.5 Firebase Crashlytics / Analytics + GlitchTip/Sentry — RETIRADOS
O Firebase Crashlytics, o Firebase Analytics e o canal GlitchTip/Sentry deixaram de ser usados pela app. Estão forçados a parar no arranque em todas as builds (debug / release / beta). Deixou de ser transmitido qualquer relatório de falha ou estatística de utilização ao Google ou a qualquer terceiro para esses fins. A função de diagnóstico é agora integralmente assegurada pelo canal auto-alojado descrito em 3.4.
Nota: o Google AdMob (Free — § 3.6) e o Google Play Billing (Premium — § 3.7) são serviços Google distintos e não afetados por esta retirada; permanecem declarados.
3.6 Google AdMob (modo Free apenas)
No nível Free, a app apresenta publicidade através do SDK Google Mobile Ads (AdMob). Formatos: banner adaptativo 320×50 dp na parte inferior do ecrã, nativa no rail Browse, rewarded (opt-in) para uma verificação adicional do Quality Scanner. Nenhuma publicidade em Android TV / Leanback.
Dados transmitidos ao Google pelo SDK AdMob — em modo personalizado (consentimento UE dado): AAID, IP, User-Agent, modelo do dispositivo, pacote + versão, ad unit ID, histórico de anúncios vistos (frequência), interesses deduzidos, interações anteriores. Em modo não personalizado (consentimento recusado): AAID anonimizado, IP (segmentação de país aproximada), User-Agent, modelo, pacote + versão, ad unit ID — sem histórico, sem coortes, sem interações anteriores.
UMP SDK: no 1.º arranque detetado na UE, um diálogo Google UMP recolhe o teu consentimento à publicidade personalizada (aceitar = personalizada; recusar = não personalizada). Desativação total do AdMob: passar para Premium. Nenhum toggle granular do AdMob em Free (modelo económico).
Subcontratante: Google LLC. Conservação: de acordo com a política Google (tipicamente ~14 meses para as coortes publicitárias).
3.7 Google Play Billing (modo Premium apenas)
Quando subscreves o nível Premium (subscrição mensal 3,99 USD / anual 24,99 USD com free trial de 7 dias na anual). Não é oferecida qualquer compra definitiva «vitalícia».
- Dados geridos pelo Google Play (nunca vistos pelo Tivera): meio de pagamento (cartão, PayPal, Google Pay, operador), morada de faturação.
- Dados recebidos pelo Tivera: token de compra (purchase token, prova opaca) + estado da subscrição (ativa / cancelada / grace period) via BillingClient.
- Armazenado localmente pelo Tivera: estado Premium (booleano, DataStore) + purchase token (Tink AEAD, AAD
play-billing-v1) para revalidação periódica.
Nenhum dado de pagamento (número de cartão, CVV, validade) é alguma vez tratado, visto ou armazenado pelo Tivera. Cancelamento: Google Play Store → Subscrições → Tivera → Cancelar. Reembolsos: política padrão Google Play (48 h para as subscrições) — pedido via Google Play, não via Tivera.
3.8 Perfis de utilizador + sincronização na nuvem Premium (profiles)
O Tivera permite criar vários perfis numa mesma conta (favoritos e histórico por perfil, perfil restrito opcional). Os perfis são armazenados localmente (Room SQLCipher AES-256) e, unicamente se és subscritor Premium e ativas a sincronização na nuvem, sincronizados para o nosso servidor auto-alojado através da coleção profiles (api.tivera.tv).
Dados sincronizados por perfil (Premium + sincronização ativa apenas): name (rótulo — potencialmente pessoal se aí puseres um nome próprio real; recomendação: usa um pseudónimo, sobretudo para um perfil de criança), avatarId (índice de ilustração neutra), isKids (sinalizador de filtragem escolhido pelo titular, NÃO é uma declaração de idade), pinCiphertext (PIN cifrado Google Tink AES-256-GCM, nunca decifrado do lado do servidor). Nenhuma data de nascimento é recolhida. Favoritos e histórico são agora por perfil; nenhum fluxo, nenhum nome de canal/filme/série, nenhuma credencial Xtream transita para api.tivera.tv (identidade de conteúdo = SHA-256 opaco). Subcontratante: nenhum; sincronização opt-in (Premium, ativável/desativável nas Definições).
3.9 Conta Tivera (endereço de email + código OTP)
A conta é facultativa. Nenhuma conta é necessária para usar a app em Free (importar as tuas fontes, ler os teus fluxos, verificar os teus canais). Só crias uma conta para desbloquear o Premium, ativar a sincronização na nuvem, gerir os teus dispositivos ou introduzir um código promocional.
- Endereço de email: fornecido por ti; ligação por código de utilização única (OTP) (sem palavra-passe). Transmitido ao nosso servidor auto-alojado
api.tivera.tv(Marrocos / CNDP) e aí armazenado para identificar a tua conta (direito Premium, lista de dispositivos, códigos promocionais). Base legal: RGPD 6.1.b (execução do contrato). Subcontratante: nenhum; cifrado em trânsito. Conservação: até à eliminação da tua conta (ver § 5 + § 10). O teu email nunca é usado para publicidade, nunca é revendido, nunca é partilhado com intermediários.
4. Destinatários dos dados (RGPD Art. 13.1.e)
| Destinatário | Dados em causa | Finalidade | Localização |
|---|---|---|---|
| Tu próprio (no teu dispositivo) | 100 % dos dados introduzidos | Utilização da app | Local |
| Servidores IPTV/EPG que configuras | Credenciais Xtream + IP + User-Agent | Autenticação + leitura | Variável (a tua escolha) |
Servidor auto-alojado api.tivera.tv — Conta (Editor, não um terceiro) | Email da conta (OTP) — facultativo | Gestão de conta / direito / sincronização / dispositivos / códigos promocionais | Marrocos / CNDP |
Servidor auto-alojado api.tivera.tv — Telemetria (Editor, não um terceiro) | Stacktraces + estatísticas de utilização (rotas de ecrã) + registo de desempenho + classe de dispositivo + identificador pseudónimo | Diagnóstico / estabilidade | Marrocos / CNDP |
| RETIRADO — sem transferência para o Google para esses fins (ver 3.5) | — | — | |
| Google AdMob (Free) | AAID + IP + dispositivo + ad unit ID + coortes (em personalizado) | Apresentação publicitária | EUA + UE (CCT + DPF) |
| Google Play Billing (Premium) | Purchase token (sem dados bancários) | Validação da subscrição | Google (global) |
Servidor auto-alojado api.tivera.tv — Sincronização na nuvem (Editor, não um terceiro) | Perfis (rótulo, avatar, sinalizador de criança, PIN cifrado) + favoritos + histórico por perfil (identidade de conteúdo SHA-256 opaca) | Sincronização multidispositivo | Marrocos / CNDP |
| Cloudflare | Trânsito de rede (CDN + Tunnel + WAF) — vê IP/headers, não armazena qualquer dado pessoal | Encaminhamento + segurança de rede | Multinacional (DPA) |
Nenhuma venda de dados a intermediários ou agregadores. Nenhuma partilha para fins publicitários além do Google AdMob (Free apenas).
5. Os teus direitos (RGPD Art. 13.2.b + Art. 15 a 22 + CCPA/CPRA)
5.1 Direitos RGPD (residentes UE / EEE / RU)
- Acesso (Art. 15): os teus dados locais estão no teu dispositivo (Definições → Fontes / Aparência…). Dados de conta: exportação legível por máquina (email, direito, dispositivos, faturas, perfis, favoritos + histórico por perfil, registos que te dizem respeito) — a pedido para
privacy@tivera.tv. - Retificação (Art. 16): diretamente na app (Definições → Fontes → Editar); email de conta modificável, ou pedido para
privacy@tivera.tv. - Limitação (Art. 18): desativa a telemetria (toggle «Dados de diagnóstico», Definições → Privacidade).
- Portabilidade (Art. 20): Definições → Ajuda → Enviar um relatório de diagnóstico (ZIP legível); exportação de conta a pedido para
privacy@tivera.tv. - Oposição (Art. 21): fora da UE/EEE/RU, a telemetria assenta no interesse legítimo → podes opor-te a qualquer momento através do toggle «Dados de diagnóstico», sem degradação do serviço. Na UE/EEE/RU, este canal está de qualquer forma desativado até ao teu consentimento.
- Decisão automatizada (Art. 22): nenhuma definição de perfis nem decisão automatizada. Os motores de recuperação/scanner usam heurísticas técnicas — sem Machine Learning / IA na aceção do Regulamento UE 2024/1689 (EU AI Act).
Eliminação da conta e apagamento dos teus dados (Art. 17)
- Dados locais: Definições → Limpar a cache elimina canais/EPG/gravações/transferências (as credenciais Xtream são preservadas para reconexão); desinstalar a app elimina tudo (
/data/data/com.mitchou.tivera/). - Telemetria de diagnóstico: desativar o toggle «Dados de diagnóstico» purga imediatamente os envios pendentes; para o apagamento dos dados já transmitidos a
api.tivera.tv, escreve paraprivacy@tivera.tvindicando o teu identificador técnico de dispositivo (Definições → Ajuda) — eliminação em 30 dias (e purga automática aos 90 dias). - Perfis sincronizados: eliminar um perfil na app aciona um soft-delete (ocultação imediata, purga no servidor em 30 dias).
- Eliminação da conta (em cascata): a partir da app ou a pedido para
privacy@tivera.tv. A eliminação da conta purga em cascata, do lado do servidorapi.tivera.tv, todos os teus perfis (incluindo os perfis de criançaisKids), os teus favoritos e o teu histórico por perfil, as tuas definições e fontes sincronizadas, o teu direito Premium, os teus dispositivos registados e os teus tokens de emparelhamento, e anonimiza as tuas linhas de registo de auditoria. As tuas faturas também são eliminadas. Podes exportá-las previamente (ver § 5.1), e o prestador de pagamento conserva a sua própria cópia (ver § 10). - Premium: cancelar a subscrição via Google Play e depois desinstalar.
5.2 Direitos CCPA / CPRA (residentes na Califórnia)
O Tivera não vende dados. Right to Know — categorias recolhidas (últimos 12 meses): Identifiers (AAID em Free; identificador técnico de dispositivo pseudónimo para a telemetria; email se houver conta); Commercial information (estado da subscrição); Internet/Network Activity (interações AdMob; rotas de ecrã da telemetria); Geolocation (país aproximado derivado do IP pelo AdMob em Free). Fontes: tu + o teu dispositivo. Finalidades comerciais: publicidade (Free), fornecimento do serviço, diagnóstico. Partilhado/«vendido»: unicamente AAID + atividade de rede via Google AdMob (Free) — uma «partilha» na aceção da CPRA, recusável através da UMP; a telemetria segue para o nosso servidor auto-alojado (não um terceiro — fora do âmbito «partilha»/«venda» CCPA). Right to Delete / Correct: ver § 5.1. Opt-Out of Sale/Sharing: a partilha AdMob (em personalizado) é recusável através do consentimento UMP (e automaticamente não personalizada para os utilizadores CCPA detetados pelo Google). Limit Use of Sensitive PI: nenhum dado sensível recolhido. Non-Discrimination + Authorized Agent aplicáveis. Prazo 45 dias — privacy@tivera.tv.
5.3 Reclamação
- CNDP (Marrocos): https://www.cndp.ma
- Residentes UE/EEE: a autoridade de controlo da tua residência (ex. CNIL em França: https://www.cnil.fr/fr/plaintes). Lista: https://edpb.europa.eu/about-edpb/about-edpb/members_en.
- California AG: https://oag.ca.gov
6. Segurança dos dados (RGPD Art. 32)
6.1 Cifragem em repouso
- SQLCipher AES-256 na base de dados local (canais, EPG, fontes, histórico, transferências).
- Google Tink AEAD (chave-mestra Android Keystore TEE/StrongBox) como camada adicional para: credenciais Xtream (AAD associado à fonte, anti cell-swap), credenciais EPG, PIN parental (AAD
parental-pin-v1), purchase token Play Billing (AADplay-billing-v1). - Gravações / transferências VOD: ficheiros
.tsnão cifrados em scoped storage, eliminados na desinstalação.
6.2 Cifragem em trânsito
- HTTPS estrito para os domínios first-party (Google Play Services / AdMob) + para o nosso backend
api.tivera.tv. - HTTP em claro tolerado unicamente para os servidores IPTV/EPG que tu configuras (a maioria dos painéis Xtream ainda serve em HTTP — recusá-lo quebraria a utilização BYOC).
6.3 Arquitetura defensiva
- Permissões Android mínimas; CAMERA unicamente para ler um QR de emparelhamento (tratamento 100 % local). Permissões adicionadas pelos SDK Google (versão publicada):
com.android.vending.BILLING(Premium),AD_ID+ACCESS_ADSERVICES_*(AdMob, Free apenas),BIND_GET_INSTALL_REFERRER_SERVICE(atribuição de instalação),READ_EPG_DATA(rail «Continue Watching» do launcher Android TV). Nenhuma permissão perigosa runtime além da CAMERA. - R8/ProGuard em release; regras de backup restritivas (excluem as credenciais Xtream cifradas do backup do Google Drive);
SecretRedactor+UrlRedactorem todo o registo E todo o payload de telemetria antes do envio.
6.4 Notificação de violação (RGPD Art. 33-34)
Em caso de violação que afete os teus direitos, Mitchou notifica a autoridade de controlo competente (CNDP em Marrocos; CNIL ou a autoridade UE do utilizador em causa) em 72 horas, e a ti diretamente se o risco for elevado.
7. Menores (COPPA US + RGPD Art. 8)
O Tivera destina-se a pessoas com 13 anos ou mais. Age gate declarativa no 1.º arranque («Tenho 13 anos» + aceitação do Disclaimer). Sem recolha intencional de dados de menores de 13 anos. A telemetria de diagnóstico está condicionada pela age gate: nenhum identificador persistente é transmitido antes da confirmação 13+. PIN parental de 4 dígitos + perfis restritos (isKids) = controlo parental best-effort, opcional, nenhuma data de nascimento pedida, nenhuma estatística nem publicidade segmentada associada a um perfil de criança. Pai/tutor: privacy@tivera.tv.
Publicidade e menores (UE): na UE/EEE, a idade do consentimento digital (RGPD Art. 8) varia entre 13 e 16 anos consoante o Estado-membro. Para proteger os utilizadores suscetíveis de serem menores, a publicidade personalizada nunca é ativada sem consentimento válido recolhido através do SDK Google UMP; na sua falta (ou em caso de recusa), só são apresentadas publicidades não personalizadas (NPA — sem definição de perfis nem segmentação comportamental). O nível Premium remove toda a publicidade.
8. Cookies / rastreadores de terceiros
O Tivera é uma app móvel nativa (não um site web). Nenhum cookie HTTP próprio; os eventuais cookies de servidor de terceiros (ex. __cf_bm de um painel) são geridos em RAM (InMemoryCookieJar), nunca persistidos. Nenhum pixel/beacon proprietário. O site tivera.tv: nenhum cookie de terceiros, nenhum script de analytics/publicidade de terceiros, nenhum CDN externo em runtime (regra interna R-NA-1) — as chamadas vão unicamente para o nosso backend (api.tivera.tv) mediante ação do utilizador.
9. Transferências internacionais (RGPD Art. 44 a 50)
| Transferência | Enquadramento jurídico |
|---|---|
| O teu dispositivo → servidores IPTV/EPG que tu configuras | Sem transferência orquestrada por Mitchou (escolhes o destinatário). |
| Telemetria + sincronização na nuvem Premium → servidor auto-alojado (Marrocos) | Marrocos não beneficia de uma decisão de adequação da UE (Art. 45). Bases de transferência adotadas para os utilizadores da UE/EEE: (a) telemetria de diagnóstico — consentimento explícito (derrogação Art. 49(1)(a)), sendo este canal, de qualquer forma, opt-in na UE; (b) conta + sincronização na nuvem Premium — transferência necessária à execução do contrato que solicitas (Art. 49(1)(b)). Medidas complementares: pseudonimização + minimização (SecretRedactor/UrlRedactor) + cifragem em trânsito; responsável único (o Editor aloja ele próprio, sem importador terceiro distinto na aceção das orientações do CEPD 05/2021); enquadramento legal local Lei 09-08 + autoridade CNDP. |
| AdMob (Free) / Play Billing (Premium) → Google LLC (EUA) | CCT + DPF. |
| Trânsito Cloudflare | Encaminhamento de rede (sem armazenamento de dados pessoais); DPA Cloudflare. |
10. Prazo de conservação (RGPD Art. 13.2.a)
- Dados locais (Xtream, M3U, EPG, histórico, gravações, transferências): enquanto a app estiver instalada; apagamento imediato na desinstalação ou via «Limpar a cache».
- Telemetria de diagnóstico (
crash_reports+app_events+ registo de desempenho): 90 dias e depois purga automática. Retirada antecipada através do toggle. - Firebase Crashlytics / Analytics: n/a (retirados, sem recolha).
- Conta (email, direito, dispositivos, emparelhamentos, perfis, favoritos, histórico): até à eliminação da conta (purga em cascata). Direito: até à expiração + janela de litígios/reembolso.
- Faturas (metadados): eliminadas ao encerrar a conta (purga em cascata). O prestador de pagamento conserva a sua própria cópia ao abrigo da sua obrigação contabilística (também em caso de litígio).
- Coortes AdMob (Free): de acordo com a política Google (~14 meses). Premium purchase token: enquanto a subscrição estiver ativa + grace period.
- Registo de auditoria (
audit_log, incl. IP do cliente): 90 dias; linhas anonimizadas na eliminação da conta.
11. Atualização desta política
Qualquer alteração material implica: notificação in-app no próximo arranque (banner não bloqueante + link para o diff) + atualização da data + conservação do diff Git versionado publicamente + reaceitação se uma nova categoria de tratamento for adicionada (ex. nova rede publicitária). As alterações menores não desencadeiam reaceitação.
12. Contacto
- Email geral:
contact@tivera.tv - Email de privacidade (exercício dos direitos):
privacy@tivera.tv - Email DMCA:
dmca@tivera.tv(ver Política DMCA) - Endereço postal: Tralles, rue Essanaouabar, Casablanca, Marrocos
Prazo de resposta: 30 dias (RGPD) / 45 dias (CCPA).
13. Documentos associados
Estado: RASCUNHO v2.1 — divulga o modelo Free + Premium (AdMob em Free, Play Billing em Premium), a telemetria auto-alojada (Firebase retirado) e a sincronização na nuvem Premium. A validar por um advogado (Lei 09-08 / CNDP + RGPD/ePrivacy) antes da publicação definitiva: base legal da telemetria, garantias de transferência Marrocos → UE, mecanismo de opt-out. A versão francesa é a que faz fé; as outras línguas são traduções de cortesia.