achadin.
Trial grátis
Documentos legais

Política de privacidade.

Versão v1.2Publicado em 2026-05-08

Identificação do controlador

Esta Política de Privacidade descreve como a plataforma Achadin trata os dados pessoais de seus Usuários e dos titulares de dados envolvidos em sua operação.

A controladora dos dados é THIAGO HENRIQUE MARQUES MATIAS LTDA, sociedade limitada unipessoal inscrita no CNPJ sob o nº 66.490.637/0001-11, com sede na Rua Pais Leme, 215, Conjunto 1713, Pinheiros, São Paulo, SP, CEP 05424-150, operadora da plataforma Achadin, doravante referida apenas como "Achadin".

O Encarregado de Proteção de Dados (DPO), nos termos do artigo 41 da Lei Geral de Proteção de Dados (Lei 13.709/2018), é Thiago Henrique Marques Matias, sócio único da Achadin, contatável pelo e-mail dpo@achadin.app.

Categorias de dados pessoais tratados

A Achadin trata as seguintes categorias de dados pessoais:

  • Cadastro e identificação: nome, e-mail, CPF ou CNPJ, telefone (quando informado), foto de perfil (quando informada) e endereço fiscal (logradouro, cidade, estado, CEP).
  • Autenticação e segurança: token de sessão, eventos de segurança (tentativa de acesso, login, logout, anomalias), endereço IP em forma de hash (SHA-256, sem armazenamento do IP cru), user agent do navegador, código do país inferido a partir do IP por geolocalização. Quando o Usuário define uma senha, a Achadin armazena exclusivamente o hash da senha gerado pelo algoritmo Argon2id; a senha em texto claro nunca é armazenada nem transmitida em logs.
  • Login com Google (Google Sign-In): quando o Usuário escolhe entrar ou se cadastrar com a sua Conta Google, a Achadin recebe da Google os seguintes dados — endereço de e-mail principal e indicação de verificação do e-mail, nome de exibição, URL da foto de perfil pública, identificador único do Usuário no Google (sub) e tokens OAuth da sessão Google (id_token, access_token, refresh_token, escopo concedido, validade). O detalhamento desse fluxo, incluindo escopos, finalidades e conformidade com a Google API Services User Data Policy, está descrito na seção "Login com Google (Google Sign-In)" desta Política.
  • Pagamento e cobrança: identificadores internos da Stripe (customer id, subscription id, invoice id), valores cobrados, períodos de competência, status de assinatura. Dados de cartão de crédito não trafegam nem são armazenados pela Achadin; permanecem exclusivamente sob custódia da Stripe.
  • Integração WhatsApp: número de telefone em formato E.164 da conta pareada, identificadores e nomes de exibição dos grupos conectados, contagem aproximada de membros, sessão criptografada da Bridge Baileys (armazenada em servidor próprio em nuvem). Mensagens efetivamente enviadas pela Bridge não são persistidas em banco de dados.
  • Integração Telegram: token do bot fornecido pelo Usuário, armazenado em envelope criptografado pelo serviço AWS KMS com contexto de criptografia atrelado ao tenant; identificadores e nomes dos chats conectados; status do bot.
  • Credenciais de Marketplaces: tags ou identificadores públicos de afiliado (por exemplo, o parâmetro tag da Amazon ou o utm_source da Shopee) informados pelo Usuário. Esses valores são, por natureza, públicos: são incorporados em cada link de afiliado divulgado pelo Usuário e ficam visíveis para qualquer pessoa que receba o link. Por essa razão, são armazenados em texto claro no banco operacional e exibidos integralmente na interface ao Usuário titular.
  • Tracking de cliques e visualizações: hash do endereço IP, hash do referer, user agent, tipo de dispositivo inferido, código do país, timestamp do evento. O endereço IP cru não é armazenado.
  • Notificações push: endpoint do serviço Web Push e chaves criptográficas VAPID por dispositivo cadastrado.
  • Aceite de termos e disclaimer: hash SHA-256 do documento aceito, hash do IP, user agent, data e hora do aceite, opção de marketing escolhida.

Bases legais para o tratamento

Cada finalidade de tratamento é fundamentada em uma base legal da LGPD:

  • Execução de contrato (art. 7º, V): cadastro, autenticação, processamento de pagamentos, operação das integrações com Marketplaces, WhatsApp e Telegram, geração de métricas operacionais da Conta, atendimento ao Usuário.
  • Cumprimento de obrigação legal ou regulatória (art. 7º, II): retenção de CPF ou CNPJ e dados fiscais para emissão de notas fiscais e cumprimento de obrigações tributárias; manutenção de logs mínimos exigidos pela legislação aplicável.
  • Legítimo interesse (art. 7º, IX e art. 10): prevenção a fraude, segurança da plataforma, antiabuso, geração de métricas agregadas e anonimizadas para evolução do produto, comunicação operacional não promocional. A Achadin documenta avaliação de impacto e proporcionalidade para essa base sempre que aplicável.
  • Consentimento (art. 7º, I e art. 11): envio de comunicações de marketing, dicas, novidades e promoções por e-mail; ativação de notificações push; uso do Google Sign-In como forma de autenticação. O consentimento é específico, destacado e revogável a qualquer tempo.

Finalidades do tratamento

Os dados pessoais são tratados exclusivamente para:

  • Operar a Plataforma e entregar as funcionalidades contratadas.
  • Processar cobranças, emitir faturas e cumprir obrigações fiscais.
  • Garantir a segurança da Conta, prevenir fraudes e investigar abusos.
  • Cumprir obrigações legais e responder a autoridades competentes.
  • Gerar métricas agregadas e anonimizadas para evolução, ranking, antifraude e benchmarks da Plataforma, sem identificação de titulares.
  • Enviar comunicações operacionais (magic link, avisos de cobrança, alertas de segurança, dunning) e, mediante consentimento específico, comunicações promocionais.

Login com Google (Google Sign-In)

Quando o Usuário escolhe entrar ou se cadastrar com a sua Conta Google, a Achadin utiliza o serviço Google Sign-In, regido pela Google API Services User Data Policy, incluindo os requisitos de Limited Use.

Escopos solicitados

A Achadin solicita exclusivamente os seguintes escopos não-sensíveis (non-sensitive scopes) do Google:

  • https://www.googleapis.com/auth/userinfo.email — para receber o endereço de e-mail principal da Conta Google e a indicação de e-mail verificado pela Google.
  • https://www.googleapis.com/auth/userinfo.profile — para receber as informações públicas do perfil: nome de exibição e URL da foto de perfil.
  • openid — escopo padrão do protocolo OpenID Connect, utilizado pelo Auth.js para emitir e validar o id_token da sessão.

A Achadin não solicita, em hipótese alguma, escopos sensíveis (sensitive) ou restritos (restricted) do Google. Não há acesso a Gmail, Drive, Calendar, Contacts, Photos, YouTube nem qualquer outro produto Google além das informações básicas de perfil descritas acima.

Dados acessados

Por meio dos escopos descritos, a Achadin acessa apenas:

  • Endereço de e-mail principal da Conta Google.
  • Indicação fornecida pela Google de que o e-mail é verificado.
  • Nome de exibição público.
  • URL da foto de perfil pública.
  • Identificador único do Usuário no Google (campo sub do id_token).
  • Tokens OAuth da sessão (id_token, access_token, refresh_token, expires_at, scope, token_type), conforme o protocolo OpenID Connect.

Finalidades do uso

Os dados recebidos da Google são usados estritamente para:

  • Identificar e autenticar o Usuário no momento do login.
  • Vincular a Conta Google a uma Conta achadin existente que possua o mesmo e-mail, evitando a criação de Contas duplicadas (account linking automático).
  • Pré-preencher o formulário de cadastro com nome e e-mail quando o Usuário tenta entrar com Google sem ter Conta achadin, reduzindo digitação na criação da Conta.
  • Manter a sessão de autenticação ativa enquanto o Usuário estiver logado e renovar tokens quando necessário.

Armazenamento

  • E-mail, nome de exibição e URL da foto de perfil são gravados na tabela auth.user do banco operacional Postgres (Neon), sob criptografia em repouso fornecida pelo provedor.
  • O identificador único do Google (sub) e os tokens OAuth (id_token, access_token, refresh_token, expires_at, scope, token_type) são gravados na tabela auth.account, vinculados à Conta achadin do Usuário, sob a mesma criptografia em repouso.
  • Não há cópia desses dados em backup separado, em planilhas, em sistemas analíticos ou em qualquer outra forma fora do banco operacional.
  • O acesso administrativo ao banco é restrito ao DPO e exige autenticação multifator pelo provedor.

Compartilhamento

A Achadin não compartilha os dados recebidos da Google com terceiros para fins próprios desses terceiros. O processamento desses dados, quando envolve operadores de infraestrutura (Neon, Vercel, AWS), ocorre exclusivamente para entregar as funcionalidades da Plataforma ao próprio Usuário, conforme a seção "Compartilhamento e operadores".

Conformidade com a Limited Use Policy

A Achadin declara expressamente, em conformidade com a Google API Services User Data Policy:

1. O uso e a transferência dos dados recebidos das APIs Google obedecem aos requisitos de Limited Use estabelecidos pela Google. 2. Os dados não são utilizados para fins publicitários nem repassados a redes de anúncios. 3. Os dados não são utilizados, em hipótese alguma, para treinar modelos de inteligência artificial ou de aprendizado de máquina, próprios ou de terceiros. 4. Os dados não são vendidos a terceiros. 5. Não há leitura humana desses dados, exceto nas seguintes hipóteses estritamente delimitadas: (a) com consentimento expresso do Usuário; (b) para fins de segurança, antifraude ou conformidade com obrigação legal; (c) para depuração investigativa de incidentes técnicos, em escopo restrito e por pessoal autorizado, com registro de auditoria.

Revogação

O Usuário pode, a qualquer tempo, revogar o consentimento ao Google Sign-In:

  • Acessando a página de Permissões da sua Conta Google em [myaccount.google.com/permissions](https://myaccount.google.com/permissions) e removendo o acesso da aplicação "achadin".
  • Solicitando a exclusão da Conta achadin pelos canais previstos nesta Política, hipótese em que a vinculação com a Conta Google é eliminada conforme as regras de retenção descritas na seção "Retenção de dados".

A revogação do consentimento ao Google Sign-In não impede o Usuário de continuar acessando a Plataforma por outros métodos de autenticação disponíveis (senha, magic link), desde que sua Conta achadin permaneça ativa.

Compartilhamento e operadores

Para entregar o serviço, a Achadin compartilha dados pessoais estritamente necessários com os seguintes operadores e provedores. Todos atuam mediante contrato com obrigações de confidencialidade, segurança e tratamento limitado às finalidades contratadas.

  • Neon (Postgres): armazenamento do banco de dados operacional, com políticas de Row Level Security ativadas para isolamento por tenant.
  • Stripe: processamento de pagamentos, faturas, gestão de assinaturas e antifraude de pagamento.
  • Resend: envio de e-mails transacionais (magic link, alertas, dunning, notificações de segurança e, mediante consentimento, marketing).
  • Amazon Web Services (AWS), incluindo KMS, Lightsail e demais serviços de infraestrutura: criptografia em envelope de tokens sensíveis de integração (token do bot Telegram), hospedagem da Bridge WhatsApp e armazenamento operacional.
  • Cloudflare, incluindo Workers, Workers KV e Cloudflare for SaaS: redirecionamento de links na borda, cache, suporte a domínios próprios dos planos avançados.
  • Trigger.dev: orquestração de tarefas assíncronas, filas e schedules.
  • Upstash Redis: rate limiting e armazenamento temporário de tokens e janelas deslizantes.
  • Vercel, incluindo hospedagem, Vercel Blob, Vercel Logs e Vercel Analytics: hospedagem do front-end, armazenamento de exports, observabilidade e análise agregada de uso.
  • Stack open source Baileys: biblioteca de cliente WhatsApp, executada em servidor sob custódia da Achadin; não há operador externo para essa peça.

Adicionalmente, quando o Usuário opta pelo Google Sign-In, a **Google LLC** atua como provedor de identidade federada (Identity Provider), nos termos da Google API Services User Data Policy. A Achadin recebe da Google os dados do perfil descritos na seção "Login com Google (Google Sign-In)" e não envia à Google qualquer dado pessoal de Usuários para finalidades próprias da Google.

A lista atualizada de operadores e provedores está sempre disponível nesta Política. Inclusões materiais de novos operadores serão comunicadas conforme a cláusula de modificações.

Transferência internacional de dados

Os operadores acima estão majoritariamente sediados nos Estados Unidos da América. As transferências internacionais ocorrem com base no artigo 33 da LGPD, suportadas por cláusulas contratuais padrão e pelos compromissos de segurança e proteção de dados assumidos por cada provedor em seus respectivos contratos com a Achadin.

A Achadin avalia, antes da contratação de qualquer operador, as garantias de proteção de dados oferecidas pelo provedor e prefere fornecedores com programas de privacidade reconhecidos internacionalmente.

Direitos do titular

Conforme o artigo 18 da LGPD, Você tem direito a:

  • Confirmação da existência de tratamento dos seus dados.
  • Acesso aos dados pessoais que a Achadin trata sobre Você.
  • Correção de dados incompletos, inexatos ou desatualizados.
  • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
  • Portabilidade dos seus dados a outro fornecedor, observados os segredos comerciais e industriais.
  • Eliminação dos dados pessoais tratados com base no consentimento, ressalvadas as hipóteses de retenção legal.
  • Informação sobre as entidades públicas e privadas com as quais a Achadin compartilha dados.
  • Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
  • Revogação de consentimento, a qualquer tempo, mediante manifestação expressa.
  • Oposição a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento da LGPD.

As solicitações devem ser enviadas para dpo@achadin.app, com identificação suficiente para validação. A Achadin responde em até 15 dias úteis a partir da validação da solicitação, conforme orientações da Autoridade Nacional de Proteção de Dados (ANPD).

Dados de terceiros (membros dos Canais)

A Plataforma processa metadados dos membros dos grupos de WhatsApp e chats de Telegram conectados pelo Usuário (identificadores, nomes de exibição, contagens). Para fins da LGPD, o Usuário (curadora ou curador) atua como controlador desses dados e a Achadin atua como operadora, conforme o objeto do contrato.

O Usuário declara, ao conectar um Canal, que possui base legal para o tratamento dos dados pessoais dos membros desse Canal. Titulares (membros dos grupos) podem dirigir solicitações de direitos diretamente ao Usuário responsável pelo Canal ou, em caráter subsidiário, à Achadin pelo e-mail dpo@achadin.app, hipótese em que a Achadin coordenará o atendimento com o Usuário controlador.

Retenção de dados

Os dados pessoais são mantidos pelo prazo necessário ao atendimento das finalidades para as quais foram coletados, observadas as seguintes regras:

  • Conta ativa: dados operacionais são mantidos enquanto a sua Conta estiver ativa.
  • Cancelamento ou exclusão: ao cancelar ou solicitar exclusão da Conta, os dados pessoais são mantidos por 30 dias em estado de soft delete (com possibilidade de reativação) e, em seguida, são anonimizados ou excluídos, salvo nas hipóteses abaixo.
  • Obrigações fiscais e tributárias: documentos fiscais, registros de cobrança e dados relacionados são mantidos por 5 anos contados do encerramento do exercício fiscal correspondente, conforme o artigo 173 do Código Tributário Nacional.
  • Logs de segurança: a Achadin mantém os últimos 200 eventos de segurança por Usuário (login, logout, anomalias) para fins de auditoria, antifraude e exportação a pedido do titular.
  • Aceites de termos e disclaimer: registros de aceite são mantidos durante a vigência do contrato e por mais 5 anos após o seu término, para fins de prova e auditoria regulatória.
  • Dados de Login com Google: tokens OAuth (access_token, refresh_token, id_token) são rotacionados conforme o ciclo de vida de sessão e descartados imediatamente após a expiração ou revogação. E-mail, nome e URL da foto de perfil seguem a mesma regra de retenção dos dados de Cadastro e identificação.
  • Dados anonimizados ou agregados: quando irreversivelmente anonimizados, deixam de ser dados pessoais e podem ser mantidos sem prazo definido, para fins de evolução do produto.

Cookies e tecnologias similares

A Plataforma utiliza apenas:

  • Cookie estritamente necessário de sessão da autenticação (NextAuth), indispensável para manter o Usuário logado.
  • Vercel Analytics, em modalidade declaradamente sem uso de cookies de terceiros pelo provedor, para gerar estatísticas agregadas de visitação.

A Plataforma não usa Google Analytics, Meta Pixel, TikTok Pixel ou ferramentas equivalentes de rastreamento publicitário de terceiros. O serviço Google Sign-In utilizado pela Plataforma é uma ferramenta de autenticação federada e não constitui rastreamento publicitário, conforme detalhado na seção "Login com Google (Google Sign-In)".

Segurança da informação

A Achadin adota medidas técnicas e organizacionais para proteger os dados pessoais, incluindo:

  • Comunicação cifrada em trânsito por TLS em todas as interfaces externas.
  • Row Level Security no banco de dados, com isolamento por tenant aplicado em nível de banco.
  • Criptografia em envelope com AWS KMS para tokens sensíveis de integração (atualmente, token do bot Telegram), com contexto de criptografia atrelado ao tenant. Tags públicas de afiliado de Marketplaces não são criptografadas porque são, por natureza, públicas e ficam expostas em cada link divulgado pelo Usuário.
  • Hashing de IP (SHA-256 com chave secreta) e de outros identificadores sensíveis em logs e tabelas de tracking.
  • Hashing de senhas com Argon2id em parâmetros recomendados pela OWASP, sem armazenamento de senha em texto claro.
  • Redação automática de campos sensíveis em logs estruturados (tokens, autorizações, e-mails, ciphertext).
  • Controle de acesso por privilégio mínimo, com separação entre o usuário de aplicação e o usuário administrativo do banco.

Apesar das medidas adotadas, nenhum sistema é totalmente imune a incidentes. Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a Achadin notificará a ANPD e os titulares afetados conforme o artigo 48 da LGPD.

Crianças e adolescentes

A Plataforma destina-se exclusivamente a maiores de 18 anos. A Achadin não coleta intencionalmente dados pessoais de crianças e adolescentes. Se for identificado tratamento indevido de dados dessa natureza, a Achadin promoverá a exclusão imediata dos registros.

Marketing e comunicações

Comunicações de marketing (dicas, novidades, promoções) somente são enviadas a Usuários que tenham marcado expressamente a opção de consentimento no momento do cadastro ou em outro ponto da Plataforma. O consentimento pode ser revogado a qualquer tempo, sem ônus, por meio do link de descadastro presente em todo e-mail de marketing ou diretamente nas preferências do painel.

A revogação do consentimento de marketing não afeta o envio de comunicações operacionais e transacionais necessárias à execução do contrato (magic link, alertas de cobrança, dunning, alertas de segurança).

Os dados recebidos da Google por meio do Google Sign-In, em conformidade com a Limited Use Policy, não são utilizados para qualquer finalidade publicitária ou de marketing.

Uso de dados agregados ou anonimizados

A Achadin pode usar dados agregados ou irreversivelmente anonimizados para finalidades como melhoria de ranking de Ofertas, ajuste de mecanismos antifraude, geração de benchmarks para o produto e tomada de decisão interna. Dados nessas condições não permitem identificação dos titulares e, portanto, deixam de ser regidos pela LGPD após a anonimização.

Os dados recebidos da Google por meio do Google Sign-In não são utilizados, em hipótese alguma, para treinamento de modelos de inteligência artificial ou de aprendizado de máquina.

Atualizações desta Política

A Achadin pode atualizar esta Política a qualquer tempo. Mudanças materiais (novos operadores sensíveis, ampliação de finalidades, alteração de bases legais ou de prazos de retenção) serão comunicadas por e-mail e por aviso destacado no painel com pelo menos 30 dias de antecedência da entrada em vigor.

Cada versão é publicada com o seu hash SHA-256 e a data de publicação visíveis ao final do documento, para fins de auditoria e rastreabilidade. Versões anteriores podem ser solicitadas pelo e-mail dpo@achadin.app.

Encarregado de Proteção de Dados

O Encarregado de Proteção de Dados da Achadin é Thiago Henrique Marques Matias, sócio único da empresa, com inscrição no CPF sob o nº 127.976.966-11, contatável por meio do e-mail dpo@achadin.app.

A ANPD é a autoridade competente para receber denúncias e fiscalizar o cumprimento da LGPD, podendo ser acessada em www.gov.br/anpd.

Hash SHA-256: 294d2f4377fd23f5bf766cb6067257fced6eb4d2c276e69e9b1df04d22959546Voltar pra home