Política de Privacidade
Última atualização: 29 de abril de 2026 · Versão 1.0
Esta Política de Privacidade descreve como o Gavvio coleta, usa, armazena e compartilha dados pessoais quando você usa nossa plataforma. Foi redigida em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD — Lei nº 13.709/2018) e com os requisitos das plataformas de integração que conectamos (Meta Platforms, Google, Stripe, entre outras).
1. Quem somos (Controlador dos Dados)
O Gavvio é operado por ALOYSIO CEDENO GALVAO 85778881509 (Microempreendedor Individual), pessoa jurídica de direito privado inscrita no CNPJ sob o nº 26.943.862/0001-41, com sede em Salvador/BA, doravante denominada simplesmente "Gavvio", "nós" ou "nosso".
Para questões sobre privacidade, exercício de direitos ou solicitações relacionadas aos seus dados, entre em contato com nosso encarregado pelo tratamento de dados (DPO) através do e-mail [email protected]. Esse e-mail é monitorado ativamente e respostas são enviadas em até 5 dias úteis.
2. Dados que coletamos
2.1 Diretamente de você (usuário do Gavvio)
- Identificação: nome completo, e-mail, senha (armazenada com hash bcrypt — nunca em texto plano).
- Organização: nome da organização, workspaces, função (owner, admin, analyst, viewer).
- Autenticação: tokens de sessão JWT, segredo TOTP (criptografado com AES-256-GCM) para 2FA.
- Pagamento: dados de assinatura (plano, cobranças) processados pela Stripe — não armazenamos dados de cartão.
- Uso da plataforma: logs de acesso, ações realizadas, recursos consumidos (cota de tokens de IA, créditos SEO).
2.2 De integrações que você conecta
Quando você conecta uma integração (via OAuth ou webhook), o Gavvio recebe e processa dados originados nessas plataformas. Esses dados pertencem à organização cliente; o Gavvio atua como operador nesse fluxo. Resumo do que pode ser coletado:
| Provedor | Categorias de dado |
|---|---|
| Google Calendar / Meet | Eventos de calendário, metadados de reuniões, transcrições de Meet (texto), participantes, duração. |
| Meta (Pages, Instagram, WhatsApp Business, Ads) | Mensagens, comentários, conversas de WhatsApp, métricas de campanhas, IDs de página/conta/número. |
| Stripe | Eventos de assinatura, pagamentos, recibos, dados fiscais transacionais. |
| WooCommerce / Hotmart / Mercado Pago | Pedidos, status de pagamento, dados de produto, dados básicos do cliente. |
| Mautic / Chatwoot | Eventos de e-mail (open, click, bounce), conversas de suporte, metadados de contato. |
| Cal.com / Typebot | Reservas de reuniões, respostas de formulário/bot, eventos de agenda. |
2.3 Cookies e tecnologias semelhantes em gavvio.com
No domínio público gavvio.com usamos apenas cookies estritamente
necessários (sessão e preferências). Não usamos cookies de marketing, remarketing
ou perfilamento publicitário neste domínio.
3. Finalidade do tratamento (Base Legal — LGPD)
| Categoria | Finalidade | Base legal |
|---|---|---|
| Identificação + Autenticação | Provisionar conta, manter sessão segura, autorizar acesso multi-tenant. | Execução de contrato (art. 7º, V) |
| Pagamento | Processar assinaturas, emitir recibos, dunning. | Execução de contrato (art. 7º, V) + obrigação legal/fiscal (art. 7º, II) |
| Dados de integrações | Unificar timeline, gerar dashboards, executar automações, treinar respostas de RAG dentro do workspace. | Execução de contrato (art. 7º, V) + legítimo interesse do controlador final (art. 7º, IX) |
| Logs de acesso | Auditoria, segurança, prevenção a fraude, debugging. | Cumprimento de obrigação regulatória (art. 7º, II) + legítimo interesse (art. 7º, IX) |
4. Compartilhamento com terceiros (Subprocessadores)
Para operar a plataforma, compartilhamos quantidades mínimas de dados com os seguintes subprocessadores. Cada um deles está sujeito a contratos com cláusulas de proteção de dados (DPA) e medidas técnicas equivalentes às nossas:
| Subprocessador | Finalidade | Localização |
|---|---|---|
| Hetzner Online GmbH | Hospedagem de servidores e armazenamento de banco de dados. | Alemanha (UE) |
| Backblaze, Inc. | Armazenamento de objetos S3-compatível (uploads, transcrições). | Estados Unidos |
| Anthropic PBC | Modelos LLM (Claude) para chat, briefing, geração de conteúdo. | Estados Unidos |
| OpenAI, L.L.C. | Modelos LLM (GPT) e embeddings (text-embedding-3-small). | Estados Unidos |
| Cohere Inc. | Reranking de busca semântica. | Canadá |
| DataForSEO LLC | Dados de pesquisa SEO (volumes, SERPs, keywords). | Estados Unidos / UE |
| Stripe Payments Europe Ltd. | Processamento de pagamento e gestão de assinaturas. | Irlanda (UE) |
| Resend, Inc. | Envio de e-mail transacional (convites, recuperação, notificações). | Estados Unidos |
| Cloudflare, Inc. | Proxy reverso, CDN, mitigação de DDoS, DNS. | Global (com pontos de presença no Brasil) |
| Sentry / Functional Software, Inc. | Telemetria de erros e monitoramento de performance. | Estados Unidos |
| Meta Platforms, Inc. e Google LLC | APIs de integração (recepção de mensagens, eventos de calendário, transcrições de Meet) — apenas quando você conecta esses serviços. | Estados Unidos |
5. Transferência internacional de dados
Diversos subprocessadores acima estão localizados fora do Brasil (UE, EUA, Canadá). As transferências internacionais ocorrem com base em Cláusulas Contratuais Padrão (Standard Contractual Clauses) e demais salvaguardas aceitas pela ANPD nos termos do art. 33 da LGPD. Mantemos um inventário interno dessas transferências e dos contratos correspondentes, disponível mediante solicitação por titulares de direitos.
6. Retenção de dados
| Categoria | Tempo de retenção |
|---|---|
| Conta de usuário ativa | Enquanto a conta estiver ativa. |
| Conta encerrada (exclusão solicitada) | Excluída em até 30 dias após confirmação. Backups são purgados em até 90 dias. |
| Logs de acesso e auditoria | 12 meses (necessidade de prova em incidentes de segurança e disputas). |
| Dados financeiros (recibos, NFs) | 5 anos, conforme legislação fiscal brasileira. |
| Eventos de integração na timeline | Enquanto a organização estiver ativa, ou conforme política de retenção configurada pelo workspace. |
| Tokens OAuth de integrações | Excluídos imediatamente ao desconectar a integração. |
7. Seus direitos como titular (LGPD art. 18)
Você tem direito a:
- Confirmação da existência de tratamento de seus dados.
- Acesso aos dados que mantemos sobre você.
- Correção de dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação de dados desnecessários.
- Portabilidade dos dados a outro fornecedor.
- Eliminação dos dados tratados com seu consentimento.
- Informação sobre as entidades públicas e privadas com as quais compartilhamos dados.
- Informação sobre a possibilidade de não fornecer consentimento e suas consequências.
- Revogação do consentimento, nos termos do § 5º do art. 8º.
- Oposição ao tratamento que viole a LGPD.
Para exercer qualquer destes direitos, envie um e-mail para [email protected] ou siga o procedimento simplificado descrito em Exclusão de Dados. Responderemos em até 15 dias.
8. Segurança
- Senhas são armazenadas com bcrypt; nunca em texto plano.
- Segredos de 2FA (TOTP) são criptografados com AES-256-GCM em repouso.
- Tokens OAuth de integrações são criptografados com AES-256-GCM em repouso.
- Comunicação cliente-servidor sempre via TLS (mín. 1.2).
- Isolamento multi-tenant em todas as queries via middleware obrigatório (
organization_id+workspace_id). - Logs de auditoria para mutações sensíveis (billing, white-label, gestão de membros, conexões OAuth).
- Webhooks de provedores são validados com assinatura HMAC-SHA256 antes de processar.
- 2FA obrigatório para Organization Owner e Admin.
9. Crianças
O Gavvio não é destinado a menores de 18 anos. Não coletamos intencionalmente dados de crianças ou adolescentes. Se identificarmos esse cenário, eliminaremos os dados imediatamente.
10. Alterações nesta política
Podemos atualizar esta Política periodicamente. Mudanças materiais serão comunicadas por e-mail ao Organization Owner com pelo menos 30 dias de antecedência. A versão mais atual está sempre disponível em gavvio.com/privacy.
11. Autoridade de controle
Se você não estiver satisfeito com nossa resposta, pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) através do site gov.br/anpd.