Linkaí Voltar

Política de Privacidade

Versão 1.0 · Em conformidade com a LGPD (Lei 13.709/2018)

1. Quem somos (Controlador)

Linkaí é uma plataforma SaaS de automação de marketing de afiliados. Para fins da LGPD (Lei 13.709/2018), somos Controlador dos dados pessoais que você nos fornece.

Razão social / Titular: [INFORMAR NOME COMPLETO OU RAZÃO SOCIAL]

CPF / CNPJ: [INFORMAR CPF OU CNPJ]

Endereço: [INFORMAR ENDEREÇO COMPLETO]

Encarregado (DPO): dpo@uselinkai.com

Em caso de dúvidas, solicitações ou reclamações sobre tratamento de dados, entre em contato com nosso Encarregado.

2. Quais dados coletamos

  • Cadastro: nome, e-mail, senha (hashed com pbkdf2_sha256).
  • Pagamento: processado pelo Mercado Pago — armazenamos apenas o ID da transação, valor e status (não temos acesso ao número do cartão).
  • Credenciais de terceiros: bot tokens Telegram, códigos de afiliado, API keys — armazenados criptografados em repouso (AES via Fernet).
  • Configurações: canais, fontes, estilo de mensagem.
  • Logs de uso: postagens enviadas, fontes consultadas, IP de acesso (anti-fraude).
  • Cookies: apenas o cookie linkai_session (httpOnly) pra manter o login.

3. Por que tratamos seus dados (bases legais — LGPD art. 7)

  • Execução do contrato (art. 7, V): autenticar, postar nos seus canais, processar pagamentos.
  • Cumprimento de obrigação legal (art. 7, II): manter logs fiscais e de pagamento.
  • Legítimo interesse (art. 7, IX): prevenção a fraudes (rate limiting, IP de cadastro).
  • Consentimento (art. 7, I): comunicações por e-mail (que você pode revogar a qualquer momento).

4. Sub-operadores (com quem compartilhamos)

Compartilhamos dados somente com operadores essenciais à prestação do serviço. Cada um trata dados sob nossas instruções, com cláusulas contratuais de proteção (DPA — Data Processing Agreement):

OperadorFinalidadeDadosPaís
Mercado PagoProcessamento de pagamentoEmail, CPF, dados do cartãoBR
Brevo (Sendinblue)Email transacional e marketingEmail, nomeFR / UE
DiscloudHospedagem (servidores e BD)Todos os dados armazenadosBR
TelegramEnvio de mensagens aos canaisConteúdo das ofertas postadasAE / Internacional
Meta / WhatsApp BusinessEnvio de mensagens aos canaisTelefone e mensagens enviadasUS / Internacional
Redes de afiliadosGeração e rastreio de links (Amazon, Mercado Livre, Shopee, Awin, Lomadee, Magalu, etc)Identificador de afiliado, URL clicadaBR / Internacional
Cloudflare (CDN)CDN, proteção DDoSIP, User-AgentUS / Internacional

Transferência internacional: alguns operadores ficam no exterior (EUA, UE, AE). Adotamos cláusulas-padrão de proteção conforme LGPD Art. 33, V. Para mais detalhes sobre cada DPA, entre em contato com nosso DPO.

Não vendemos seus dados. Não usamos para publicidade comportamental. Não compartilhamos com terceiros não-listados.

5. Por quanto tempo guardamos

  • Dados de cadastro: enquanto a conta estiver ativa.
  • Logs de postagem (PostLog): até 24 meses; depois são apagados (estatísticas agregadas ficam em WorkerCycleStats sem identificação pessoal).
  • Audit log (segurança): até 12 meses com IP/UA; depois IP e User-Agent são anonimizados (mantemos só o evento e a data por interesse legítimo de segurança — Art. 7º, IX).
  • Dados financeiros (Payment): 5 anos contados da data do pagamento — obrigação legal fiscal (Lei 9.430/96 art. 195). Após esse prazo, os registros são automaticamente anonimizados (perdem vínculo com o usuário; mantemos apenas plano, valor, status e data por motivos contábeis).
  • Após exclusão da conta: 30 dias de carência (você pode cancelar nesse prazo). Depois, dados pessoais são apagados em cascata (canais, mensagens, configurações, credenciais). Dados financeiros permanecem anonimizados pelo prazo legal.

6. Seus direitos (LGPD art. 18)

Você pode, a qualquer momento:

  • Confirmar e acessar: Configurações → Exportar meus dados (gera um JSON completo).
  • Corrigir: editar nome, e-mail, credenciais a qualquer momento na dashboard.
  • Anonimizar / excluir: Configurações → Excluir conta remove tudo permanentemente.
  • Portabilidade: usar o JSON exportado pra migrar pra outro serviço.
  • Revogar consentimento: desativar e-mails marketing nas preferências.
  • Reclamar à ANPD se entender que seus direitos foram violados.

7. Segurança

  • Senhas: pbkdf2_sha256 (irreversível).
  • Bot tokens e API secrets: Fernet (AES-128-CBC + HMAC-SHA256) em repouso.
  • Sessões: cookies httpOnly + Secure + SameSite=Lax.
  • Comunicação cliente-servidor: HTTPS obrigatório em produção.
  • Rate limiting nos endpoints sensíveis.
  • Backups criptografados.

8. Cookies

Pedimos seu consentimento no primeiro acesso (banner LGPD). Você pode revogar a qualquer momento limpando os dados do navegador. Cookies usados:

  • Essenciais (sempre): linkai_session (JWT httpOnly, login) e linkai_refresh (refresh token httpOnly).
  • Funcionais (opt-in): preferências de tema e layout salvas localmente.
  • Analytics (opt-in, sem identificação pessoal): reservado pra métricas agregadas futuras (não ativos hoje).

Não usamos: Google Analytics, Pixel do Facebook, cookies de publicidade ou tracking de terceiros.

9. Crianças e adolescentes

O Linkaí não é direcionado a menores de 18 anos e não coleta intencionalmente dados de crianças e adolescentes. Se for identificado, removeremos.

10. Alterações nesta política

Mudanças serão notificadas por e-mail e exibidas no painel. Continuar usando após a notificação implica aceite da nova versão.

11. Incidentes de segurança

Em caso de vazamento ou acesso não autorizado a dados pessoais, comunicaremos a ANPD e os titulares afetados em até 2 dias úteis, conforme LGPD Art. 48. Consulte nosso Plano de Resposta a Incidentes pra mais detalhes.

12. Contato

DPO / Encarregado: dpo@uselinkai.com
Suporte: contato@uselinkai.com
Reclamações à ANPD: anpd.gov.br