Política de Privacidade
Versão 1.1 · Última atualização: 15 de maio de 2026
1. Identificação do Controlador
O controlador responsável pelo tratamento dos seus dados pessoais é:
- Razão social: Rafael Camara (MEI/CPF)
- Produto: RCGAD — Proteção contra fraude em anúncios pagos
- Localidade: Ourinhos, São Paulo, Brasil
- DPO / Encarregado: Rafael Camara
- Contato de privacidade: privacidade@rcgad.com
2. Quais dados coletamos e por quê
2.1 Dados da conta do anunciante
| Dado | Finalidade | Base legal | Retenção |
|---|---|---|---|
| Nome completo | Identificação e comunicação | Execução de contrato (Art. 7, V LGPD) | 5 anos após encerramento |
| Login, notificações, suporte | Execução de contrato (Art. 7, V LGPD) | 5 anos após encerramento | |
| Nome da empresa | Personalização da plataforma | Execução de contrato (Art. 7, V LGPD) | 5 anos após encerramento |
| Dados de pagamento | Processados pelo Stripe; não armazenamos número de cartão | Execução de contrato (Art. 7, V LGPD) | Conforme política Stripe |
2.2 Dados de visitantes do seu site (coletados pelo pixel RCGAD)
Quando você instala o pixel RCGAD no seu site, coletamos dados dos visitantes do seu site para detectar tráfego fraudulento. Neste contexto, você é o controlador e o RCGAD atua como operador (Art. 5, VII LGPD).
| Dado | Finalidade | Base legal | Retenção |
|---|---|---|---|
| Endereço IP | Detecção de bot e blacklisting em plataformas de anúncios | Legítimo interesse (Art. 7, IX LGPD) — proteção contra fraude | 90 dias |
| User-Agent do navegador | Identificação de bots headless | Legítimo interesse (Art. 7, IX LGPD) | 90 dias |
| UTM parameters | Correlacionar visita com campanha específica | Legítimo interesse (Art. 7, IX LGPD) | 90 dias |
| Comportamento de navegação (scroll, mouse, tempo) | Score de autenticidade da visita | Legítimo interesse (Art. 7, IX LGPD) | 90 dias |
| Gravação de sessão (apenas visitas suspeitas) | Análise forense de comportamento anômalo | Legítimo interesse (Art. 7, IX LGPD) | 30 dias |
| URL visitada | Contexto da visita para análise de campanha | Legítimo interesse (Art. 7, IX LGPD) | 90 dias |
2.3 Dados de campanhas de anúncios
| Dado | Finalidade | Base legal | Retenção |
|---|---|---|---|
| Métricas de campanhas Meta/Google Ads | Cálculo do ROAS real e relatórios | Execução de contrato (Art. 7, V LGPD) | Enquanto a conta estiver ativa |
| Tokens OAuth Meta/Google | Autorização para sincronização com plataformas | Execução de contrato (Art. 7, V LGPD) | Até revogação pelo usuário |
Tokens OAuth são criptografados em repouso com AES-256 via pgcrypto (PostgreSQL). A chave de criptografia nunca sai do banco de dados.
2.4 Dados de uso da plataforma
| Dado | Finalidade | Base legal | Retenção |
|---|---|---|---|
| Logs de operações automáticas | Auditoria e debugging | Legítimo interesse (Art. 7, IX LGPD) | 180 dias |
| Logs de auditoria de ações administrativas | Conformidade e segurança | Cumprimento de obrigação legal (Art. 7, II LGPD) | 5 anos |
3. Compartilhamento de dados com terceiros
Seus dados são compartilhados com os seguintes subprocessadores, estritamente para viabilizar o funcionamento do serviço:
| Empresa | Finalidade | País dos servidores | Salvaguarda |
|---|---|---|---|
| Supabase (PostgreSQL + Auth) | Banco de dados e autenticação | EUA (AWS us-east-1) | DPA + SCCs da Comissão Europeia |
| Vercel | Hospedagem e execução do código | EUA / Global (Edge) | DPA + SCCs |
| Stripe | Processamento de pagamentos | EUA | DPA + SCCs + PCI DSS Level 1 |
| Sentry | Monitoramento de erros (sem PII) | EUA | DPA + SCCs (sendDefaultPii: false) |
| Meta Ads / Google Ads | Sincronização de lista de exclusão de IPs | Global | APIs oficiais das plataformas |
| n8n (instância própria) | Automação de notificações ao usuário | Brasil ou EUA (conforme instância) | Contratual |
| Telegram | Alertas internos operacionais | Global | Nenhum dado pessoal de clientes transmitido |
Transferência internacional: Os dados podem ser transferidos para servidores nos EUA. A base legal para transferência internacional é a existência de cláusulas-padrão contratuais (SCCs) aprovadas pela Comissão Europeia, que o ANPD reconhece como salvaguarda adequada (Art. 33, II, c LGPD).
4. Prazos de retenção
| Dado / Categoria | Prazo de retenção |
|---|---|
| Eventos de visita (ip_events) | 90 dias — excluídos automaticamente por rotina diária |
| Gravações de sessões suspeitas | 30 dias — excluídas automaticamente do Storage |
| Blacklist de IPs | Enquanto ativa + 90 dias após remoção |
| Dados da conta do anunciante | Enquanto a conta estiver ativa + 5 anos após encerramento |
| Logs de operações | 180 dias |
| Logs de auditoria (exclusão, impersonação, etc.) | 5 anos (obrigação legal, Art. 37 LGPD) |
| Registros de solicitações LGPD | 5 anos (Art. 37 LGPD) |
5. Seus direitos como titular (Art. 18 LGPD)
Você tem os seguintes direitos sobre seus dados:
Confirmação e acesso (Art. 18, I–II)
Confirmar se tratamos seus dados e obter cópia.
Correção (Art. 18, III)
Corrigir dados incompletos, inexatos ou desatualizados.
Anonimização ou exclusão (Art. 18, IV)
Solicitar exclusão de dados desnecessários ou tratados em desconformidade.
Portabilidade (Art. 18, V)
Receber seus dados em formato estruturado (JSON) para transferência a outro fornecedor.
Informação sobre compartilhamento (Art. 18, VII)
Saber com quais entidades compartilhamos seus dados.
Revogação de consentimento (Art. 18, IX)
Revogar consentimento dado anteriormente.
Oposição (Art. 18, §2°)
Opor-se ao tratamento com base em legítimo interesse.
Para exercer qualquer direito, envie um e-mail para privacidade@rcgad.com com assunto "Direito LGPD — [tipo de solicitação]". Responderemos em até 15 dias úteis.
Para exclusão e portabilidade de dados, você também pode usar as opções em Configurações > Conta no painel do RCGAD.
6. Cookies e tecnologias similares
| Dado | Finalidade | Base legal | Retenção |
|---|---|---|---|
| sb-* (Supabase Auth) | Essencial | Sessão de login autenticado | Sessão / 1 semana |
| rcgad_consent | Funcional | Armazena suas escolhas de consentimento | 12 meses |
| _clarum_sid (sessionStorage) | Essencial | ID de sessão para o pixel de detecção (não persiste após fechar a aba) | Sessão |
Não utilizamos cookies de rastreamento ou publicidade no painel do RCGAD sem seu consentimento.
7. Medidas de segurança técnica (Art. 46 LGPD)
- ·Criptografia TLS 1.2+ em trânsito; AES-256 em repouso para tokens OAuth
- ·Row Level Security (RLS) ativo em todas as tabelas do banco
- ·Autenticação por JWT com validação server-side a cada requisição
- ·Rate limiting em endpoints sensíveis (autenticação, exclusão de conta)
- ·Proteção contra bots via Arcjet em rotas de autenticação
- ·Headers de segurança: HSTS, CSP com nonce, X-Frame-Options: DENY, Permissions-Policy
- ·Monitoramento de erros sem PII (Sentry com sendDefaultPii: false)
- ·Logs de auditoria imutáveis para ações administrativas sensíveis
8. Proteção de menores
O RCGAD é um serviço destinado exclusivamente a pessoas jurídicas e pessoas físicas maiores de 18 anos. Não coletamos intencionalmente dados de menores de 18 anos. Se tomarmos conhecimento de coleta inadvertida, os dados serão excluídos imediatamente.
9. Alterações a esta política
Podemos atualizar esta Política periodicamente. Quando houver alterações materiais, notificaremos por e-mail ou por aviso no painel com antecedência mínima de 10 dias. Versões anteriores ficam disponíveis mediante solicitação para privacidade@rcgad.com.
10. Contato e autoridade supervisora
Encarregado (DPO): Rafael Camara · privacidade@rcgad.com
Caso não esteja satisfeito com nossa resposta, você tem o direito de apresentar reclamação à ANPD — Autoridade Nacional de Proteção de Dados (gov.br/anpd).