JOELBURIGO
// PRIVACIDADE

Política de Privacidade

Última atualização: 25 de abril de 2026 · LGPD (Lei 13.709/18)

1. Quem é o controlador

Growth Master LTDA, CNPJ 11.785.245/0001-98, é o controlador dos seus dados pessoais. Joel Burigo atua como encarregado de proteção de dados (DPO): joel@growthmaster.com.br.

2. Quais dados coletamos

  • Cadastro: nome, email, WhatsApp, empresa, segmento, faturamento aproximado (informados nos formulários de contato, diagnóstico 6Ps e onboarding VSS).
  • Pagamento: os dados financeiros (cartão, CPF/CNPJ pra Pix) são coletados diretamente pelo Mercado Pago ou Stripe — não passam pelos nossos servidores. Recebemos apenas confirmação de status e dados mínimos pra emissão de NF.
  • Comportamento na plataforma: progresso nos destravamentos VSS, conversas com o agente IA (armazenadas pra sua continuidade — não são usadas pra treinar modelos externos), tempo gasto, artifacts gerados.
  • Analytics: métricas anônimas de navegação via Google Tag Manager, Google Analytics 4 e Meta Pixel (cookies opcionais — você pode desabilitar).
  • Logs técnicos: IP, user-agent e timestamps em formulários e autenticação por magic link, pra detecção de fraude.

3. Bases legais (LGPD art. 7)

  • Execução de contrato: dados necessários pra entregar VSS e Advisory.
  • Consentimento: envio de email marketing e push de novidades. Você pode revogar a qualquer momento (link unsubscribe em todo email).
  • Legítimo interesse: analytics agregada e prevenção de fraude.
  • Obrigação legal: emissão de nota fiscal e retenção fiscal.

4. Com quem compartilhamos

Dados são compartilhados apenas com prestadores essenciais à operação:

  • Mercado Pago / Stripe — processamento de pagamento.
  • Brevo — envio de email transacional e marketing.
  • Cloudflare — CDN, proteção DDoS, Stream (mentorias gravadas) e Turnstile (anti-bot).
  • OpenAI / Anthropic — chat com agente IA. Mensagens são enviadas pra inferência. Esses provedores se comprometem a não usar os dados pra treinar modelos (data processing agreements vigentes).
  • Google — Google Calendar (somente se você autorizar OAuth pra sincronizar suas sessões Advisory) e Analytics.
  • Meta — Pixel pra remarketing (somente se você consentir).

Nunca vendemos dados. Não compartilhamos com terceiros pra fins comerciais alheios à operação.

5. Retenção

  • Dados de cadastro: mantidos enquanto sua conta estiver ativa. Após cancelamento, retidos por 5 anos pra cumprir obrigações fiscais.
  • Conversas com agente IA: 12 meses, depois anonimizadas pra análise de produto.
  • Logs de acesso: 6 meses (Lei do Marco Civil — 12 meses mínimo pra logs de aplicação; cumprimos esse prazo).
  • Backups encriptados: 6 meses de retenção (offsite com encryption age + Hetzner snapshots).

6. Seus direitos (LGPD art. 18)

Você pode, a qualquer momento:

  • Confirmar que tratamos seus dados.
  • Acessar seus dados.
  • Corrigir dados incompletos, inexatos ou desatualizados.
  • Solicitar anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade.
  • Solicitar portabilidade pra outro fornecedor.
  • Revogar consentimento.
  • Opor-se a tratamento por legítimo interesse.
  • Ser informado sobre os agentes públicos/privados com quem compartilhamos seus dados.

Pra exercer qualquer direito: joel@growthmaster.com.br. Resposta em até 15 dias.

7. Cookies

Usamos cookies estritamente necessários (sessão JWT pra autenticação — você não pode desabilitar sem perder o login) e cookies analíticos opcionais (GA4, Meta Pixel — você pode recusar). O banner de consentimento granular está em desenvolvimento (Sprint 5).

8. Segurança

  • TLS 1.3 em toda comunicação.
  • Autenticação sem senha via magic link expirável (sem hash de senha estática a vazar).
  • Tokens OAuth (Google Calendar) encriptados com AES-GCM derivado do JWT_SECRET.
  • Backups offsite criptografados com age + rclone pra Google Drive.
  • Controle de acesso baseado em roles (user / admin).
  • Infraestrutura em servidor dedicado Hetzner, Postgres isolado por projeto.

9. Crianças e adolescentes

Os produtos são destinados a maiores de 18 anos. Não coletamos dados conscientemente de menores. Se você é responsável e identificou cadastro de menor, contate joel@growthmaster.com.br pra exclusão imediata.

10. Transferência internacional

Alguns provedores (OpenAI, Anthropic, Stripe, Cloudflare) processam dados fora do Brasil. Todos têm cláusulas contratuais de proteção (DPA) e adesão a frameworks de transferência internacional aceitos pela ANPD.

11. Atualizações

Atualizamos esta política sempre que necessário. Mudanças relevantes são comunicadas por email com 30 dias de antecedência pros usuários ativos.

12. Reclamações

Se você não estiver satisfeito com nossa resposta, pode acionar a ANPD — Autoridade Nacional de Proteção de Dados.

// Growth Master LTDA · CNPJ 11.785.245/0001-98 · DPO: joel@growthmaster.com.br