Legal

Política de Privacidade

Em conformidade com a LGPD — Última atualização: 6 de abril de 2026

1. Informações que Coletamos

Coletamos as seguintes categorias de dados:

  • Dados de cadastro: nome, e-mail e senha (armazenada como hash criptográfico irreversível). Para contas vinculadas via Google ou GitHub, coletamos nome, e-mail e imagem de perfil fornecidos pelo provedor OAuth.
  • Dados de uso: links criados e suas configurações (expiração, proteção por senha, geo-targeting, testes A/B); dados de cliques: país e cidade (obtidos via cabeçalhos do provedor de hospedagem), tipo de dispositivo (móvel, tablet, desktop), navegador, sistema operacional (extraídos do User-Agent) e site de origem (referrer, sanitizado); variante de teste A/B atribuída (baseada em hash do IP combinado com o código do link, para consistência); configurações de domínios personalizados.
  • Dados de pagamento: processados por terceiros — Stripe (cartão de crédito) e AbacatePay (PIX). Não armazenamos dados de cartão de crédito nem dados bancários.
  • Dados técnicos: endereço IP — nunca armazenado em texto plano. Convertemos o IP em um hash criptográfico irreversível (SHA-256 com salt) para fins de analytics, atribuição de variantes de testes A/B e identificação de denúncias de abuso. O hash não permite recuperar o endereço IP original. Também coletamos cookies de sessão (essenciais para autenticação) e logs de acesso.
  • Dados de denúncias de abuso: quando uma denúncia é submetida, coletamos o hash do IP do denunciante, o motivo e a descrição da denúncia.
  • Logs de auditoria: ações realizadas na plataforma, incluindo tipo de ação, identificador do usuário e da equipe, recurso afetado, hash do IP e metadados da ação. Utilizados para segurança e rastreabilidade.

2. Base Legal para Tratamento

O tratamento dos seus dados pessoais é realizado com base nas seguintes hipóteses legais da LGPD (Lei 13.709/2018):

  • Execução de contrato: para fornecer os serviços contratados
  • Consentimento: para comunicações de marketing e cookies não essenciais
  • Legítimo interesse: para melhorar o serviço e prevenir fraudes
  • Proteção ao crédito e segurança: para verificação automatizada de URLs contra bases de dados de segurança, quarentena de links maliciosos e reporte a serviços de proteção na internet (art. 7, IX, LGPD)
  • Obrigação legal: para cumprimento de obrigações fiscais e regulatórias

3. Como Utilizamos seus Dados

Utilizamos seus dados para:

  • Fornecer e manter o Serviço funcionando
  • Gerar relatórios de analytics para seus links
  • Processar pagamentos e gerenciar assinaturas
  • Enviar comunicações transacionais (recibos, alertas, verificações)
  • Melhorar e personalizar a experiência do usuário
  • Detectar e prevenir fraudes e abusos
  • Verificar automaticamente a segurança das URLs contra bases de dados externas
  • Classificar e, quando necessário, bloquear links que representem risco de segurança
  • Reportar URLs maliciosas confirmadas a serviços de proteção na internet
  • Processar e investigar denúncias de abuso
  • Manter logs de auditoria para segurança e conformidade
  • Atribuir visitantes a variantes de testes A/B de forma consistente
  • Monitorar erros e estabilidade da plataforma

4. Compartilhamento de Dados

Não vendemos seus dados pessoais. Compartilhamos dados apenas com os terceiros listados abaixo, estritamente para as finalidades indicadas:

Processadores de pagamento

  • Stripe (stripe.com): processamento de pagamentos com cartão de crédito. Dados compartilhados: e-mail e dados da transação.
  • AbacatePay (abacatepay.com): processamento de pagamentos via PIX. Dados compartilhados: e-mail e dados da transação.

Segurança e proteção de URLs

  • Google Web Risk API (Google LLC): URLs encurtadas são enviadas para verificação contra bases de dados de malware, engenharia social e software indesejado. Resultados são armazenados em cache por 24 horas. Nenhum dado pessoal do usuário é compartilhado — apenas a URL de destino.
  • Google Safe Browsing (Google LLC): URLs confirmadas como maliciosas (em quarentena) podem ser reportadas para proteção de outros usuários da internet.

Hospedagem e infraestrutura

  • Vercel (Vercel Inc.): hospedagem da aplicação, CDN e fornecimento de dados de geolocalização (país e cidade) via cabeçalhos de requisição. Gerenciamento de domínios personalizados.
  • Neon (Neon Inc.): hospedagem do banco de dados PostgreSQL.
  • Upstash (Upstash Inc.): cache, controle de taxa de requisições e dados de sessão via Redis.

Monitoramento e analytics

  • Sentry (Functional Software Inc.): monitoramento de erros da plataforma. Dados sensíveis (tokens, chaves de API, cookies) são automaticamente removidos antes do envio.
  • Google Analytics (Google LLC): analytics do site de marketing, ativado mediante consentimento do visitante.

Comunicações

  • Resend (Resend Inc.): envio de e-mails transacionais (verificação de conta, recibos, alertas de segurança, convites de equipe).

Autoridades legais

  • Quando exigido por lei, ordem judicial ou requisição de autoridade competente.

5. Seus Direitos (LGPD)

Como titular dos dados, você tem direito a:

  • Acessar seus dados pessoais
  • Corrigir dados incompletos ou desatualizados
  • Solicitar a exclusão dos seus dados
  • Revogar consentimento a qualquer momento
  • Solicitar portabilidade dos dados
  • Obter informações sobre compartilhamento com terceiros

Para exercer seus direitos, entre em contato pelo e-mail privacidade@inovgest.com.br.

6. Retenção de Dados

Mantemos seus dados enquanto sua conta estiver ativa. Após encerramento, dados são retidos por até 30 dias para recuperação e até 5 anos para dados fiscais, conforme legislação brasileira.

Prazos específicos de retenção:

  • Analytics de cliques: mantidos enquanto o link estiver ativo
  • Logs de auditoria: mantidos por 1 ano após a ação
  • Denúncias de abuso: mantidas por tempo indeterminado para fins de segurança da plataforma
  • Cache de verificação de segurança: 24 horas

7. Segurança

Implementamos medidas técnicas e organizacionais para proteger seus dados, incluindo criptografia em trânsito (TLS) e em repouso (AES-256), backups diários, controle de acesso baseado em papéis e monitoramento contínuo.

Como medida adicional de privacidade, endereços IP nunca são armazenados em texto plano. Utilizamos hash criptográfico irreversível (SHA-256 com salt único) para todas as referências a endereços IP no sistema, incluindo analytics de cliques, logs de auditoria e denúncias de abuso.

8. Cookies

  • Cookies essenciais: sessão de autenticação e preferências de interface. Necessários para o funcionamento do Serviço. Base legal: execução de contrato.
  • Cookies analíticos: Google Analytics, ativado mediante consentimento. Utilizados para entender padrões de uso do site de marketing. Base legal: consentimento.
  • Cookies de terceiros: os serviços externos mencionados na Seção 4 podem utilizar cookies próprios conforme suas respectivas políticas de privacidade.

Você pode gerenciar suas preferências de cookies a qualquer momento.

9. Transferência Internacional de Dados

Alguns dos nossos provedores de serviço estão localizados fora do Brasil. A transferência internacional de dados é realizada com base no artigo 33 da LGPD, mediante verificação de que os países de destino proporcionam grau de proteção adequado ou mediante cláusulas contratuais padrão.

  • Provedores com operação nos EUA: Vercel, Neon, Upstash, Stripe, Sentry, Google (Web Risk, Safe Browsing, Analytics)
  • Provedores com operação no Brasil: AbacatePay, Resend

10. Contato do DPO

Nosso Encarregado de Proteção de Dados (DPO) pode ser contactado em dpo@inovgest.com.br.