Política de Privacidade

Versão 1.1 · Última atualização: 15 de maio de 2026

1. Identificação do Controlador

O controlador responsável pelo tratamento dos seus dados pessoais é:

  • Razão social: Rafael Camara (MEI/CPF)
  • Produto: RCGAD — Proteção contra fraude em anúncios pagos
  • Localidade: Ourinhos, São Paulo, Brasil
  • DPO / Encarregado: Rafael Camara
  • Contato de privacidade: privacidade@rcgad.com

2. Quais dados coletamos e por quê

2.1 Dados da conta do anunciante

DadoFinalidadeBase legalRetenção
Nome completoIdentificação e comunicaçãoExecução de contrato (Art. 7, V LGPD)5 anos após encerramento
E-mailLogin, notificações, suporteExecução de contrato (Art. 7, V LGPD)5 anos após encerramento
Nome da empresaPersonalização da plataformaExecução de contrato (Art. 7, V LGPD)5 anos após encerramento
Dados de pagamentoProcessados pelo Stripe; não armazenamos número de cartãoExecução de contrato (Art. 7, V LGPD)Conforme política Stripe

2.2 Dados de visitantes do seu site (coletados pelo pixel RCGAD)

Quando você instala o pixel RCGAD no seu site, coletamos dados dos visitantes do seu site para detectar tráfego fraudulento. Neste contexto, você é o controlador e o RCGAD atua como operador (Art. 5, VII LGPD).

DadoFinalidadeBase legalRetenção
Endereço IPDetecção de bot e blacklisting em plataformas de anúnciosLegítimo interesse (Art. 7, IX LGPD) — proteção contra fraude90 dias
User-Agent do navegadorIdentificação de bots headlessLegítimo interesse (Art. 7, IX LGPD)90 dias
UTM parametersCorrelacionar visita com campanha específicaLegítimo interesse (Art. 7, IX LGPD)90 dias
Comportamento de navegação (scroll, mouse, tempo)Score de autenticidade da visitaLegítimo interesse (Art. 7, IX LGPD)90 dias
Gravação de sessão (apenas visitas suspeitas)Análise forense de comportamento anômaloLegítimo interesse (Art. 7, IX LGPD)30 dias
URL visitadaContexto da visita para análise de campanhaLegítimo interesse (Art. 7, IX LGPD)90 dias

2.3 Dados de campanhas de anúncios

DadoFinalidadeBase legalRetenção
Métricas de campanhas Meta/Google AdsCálculo do ROAS real e relatóriosExecução de contrato (Art. 7, V LGPD)Enquanto a conta estiver ativa
Tokens OAuth Meta/GoogleAutorização para sincronização com plataformasExecução de contrato (Art. 7, V LGPD)Até revogação pelo usuário

Tokens OAuth são criptografados em repouso com AES-256 via pgcrypto (PostgreSQL). A chave de criptografia nunca sai do banco de dados.

2.4 Dados de uso da plataforma

DadoFinalidadeBase legalRetenção
Logs de operações automáticasAuditoria e debuggingLegítimo interesse (Art. 7, IX LGPD)180 dias
Logs de auditoria de ações administrativasConformidade e segurançaCumprimento de obrigação legal (Art. 7, II LGPD)5 anos

3. Compartilhamento de dados com terceiros

Seus dados são compartilhados com os seguintes subprocessadores, estritamente para viabilizar o funcionamento do serviço:

EmpresaFinalidadePaís dos servidoresSalvaguarda
Supabase (PostgreSQL + Auth)Banco de dados e autenticaçãoEUA (AWS us-east-1)DPA + SCCs da Comissão Europeia
VercelHospedagem e execução do códigoEUA / Global (Edge)DPA + SCCs
StripeProcessamento de pagamentosEUADPA + SCCs + PCI DSS Level 1
SentryMonitoramento de erros (sem PII)EUADPA + SCCs (sendDefaultPii: false)
Meta Ads / Google AdsSincronização de lista de exclusão de IPsGlobalAPIs oficiais das plataformas
n8n (instância própria)Automação de notificações ao usuárioBrasil ou EUA (conforme instância)Contratual
TelegramAlertas internos operacionaisGlobalNenhum dado pessoal de clientes transmitido

Transferência internacional: Os dados podem ser transferidos para servidores nos EUA. A base legal para transferência internacional é a existência de cláusulas-padrão contratuais (SCCs) aprovadas pela Comissão Europeia, que o ANPD reconhece como salvaguarda adequada (Art. 33, II, c LGPD).

4. Prazos de retenção

Dado / CategoriaPrazo de retenção
Eventos de visita (ip_events)90 dias — excluídos automaticamente por rotina diária
Gravações de sessões suspeitas30 dias — excluídas automaticamente do Storage
Blacklist de IPsEnquanto ativa + 90 dias após remoção
Dados da conta do anuncianteEnquanto a conta estiver ativa + 5 anos após encerramento
Logs de operações180 dias
Logs de auditoria (exclusão, impersonação, etc.)5 anos (obrigação legal, Art. 37 LGPD)
Registros de solicitações LGPD5 anos (Art. 37 LGPD)

5. Seus direitos como titular (Art. 18 LGPD)

Você tem os seguintes direitos sobre seus dados:

  • Confirmação e acesso (Art. 18, I–II)

    Confirmar se tratamos seus dados e obter cópia.

  • Correção (Art. 18, III)

    Corrigir dados incompletos, inexatos ou desatualizados.

  • Anonimização ou exclusão (Art. 18, IV)

    Solicitar exclusão de dados desnecessários ou tratados em desconformidade.

  • Portabilidade (Art. 18, V)

    Receber seus dados em formato estruturado (JSON) para transferência a outro fornecedor.

  • Informação sobre compartilhamento (Art. 18, VII)

    Saber com quais entidades compartilhamos seus dados.

  • Revogação de consentimento (Art. 18, IX)

    Revogar consentimento dado anteriormente.

  • Oposição (Art. 18, §2°)

    Opor-se ao tratamento com base em legítimo interesse.

Para exercer qualquer direito, envie um e-mail para privacidade@rcgad.com com assunto "Direito LGPD — [tipo de solicitação]". Responderemos em até 15 dias úteis.

Para exclusão e portabilidade de dados, você também pode usar as opções em Configurações > Conta no painel do RCGAD.

6. Cookies e tecnologias similares

DadoFinalidadeBase legalRetenção
sb-* (Supabase Auth)EssencialSessão de login autenticadoSessão / 1 semana
rcgad_consentFuncionalArmazena suas escolhas de consentimento12 meses
_clarum_sid (sessionStorage)EssencialID de sessão para o pixel de detecção (não persiste após fechar a aba)Sessão

Não utilizamos cookies de rastreamento ou publicidade no painel do RCGAD sem seu consentimento.

7. Medidas de segurança técnica (Art. 46 LGPD)

  • ·Criptografia TLS 1.2+ em trânsito; AES-256 em repouso para tokens OAuth
  • ·Row Level Security (RLS) ativo em todas as tabelas do banco
  • ·Autenticação por JWT com validação server-side a cada requisição
  • ·Rate limiting em endpoints sensíveis (autenticação, exclusão de conta)
  • ·Proteção contra bots via Arcjet em rotas de autenticação
  • ·Headers de segurança: HSTS, CSP com nonce, X-Frame-Options: DENY, Permissions-Policy
  • ·Monitoramento de erros sem PII (Sentry com sendDefaultPii: false)
  • ·Logs de auditoria imutáveis para ações administrativas sensíveis

8. Proteção de menores

O RCGAD é um serviço destinado exclusivamente a pessoas jurídicas e pessoas físicas maiores de 18 anos. Não coletamos intencionalmente dados de menores de 18 anos. Se tomarmos conhecimento de coleta inadvertida, os dados serão excluídos imediatamente.

9. Alterações a esta política

Podemos atualizar esta Política periodicamente. Quando houver alterações materiais, notificaremos por e-mail ou por aviso no painel com antecedência mínima de 10 dias. Versões anteriores ficam disponíveis mediante solicitação para privacidade@rcgad.com.

10. Contato e autoridade supervisora

Encarregado (DPO): Rafael Camara · privacidade@rcgad.com

Caso não esteja satisfeito com nossa resposta, você tem o direito de apresentar reclamação à ANPD — Autoridade Nacional de Proteção de Dados (gov.br/anpd).