Política de Privacidade

Última atualização: 20 de maio de 2026

Esta Política de Privacidade descreve como Thiago Brito ("nós", "nosso") coleta, utiliza, armazena e protege as informações pessoais dos usuários ("você") que acessam o site thidebrito.com.br, a página de vendas do produto "Do Riff ao Release" e o aplicativo web (PWA) associado.

Ao utilizar nossos serviços, você concorda com as práticas descritas nesta política.

1. Dados que coletamos

Coletamos os seguintes tipos de informações:

• Dados de cadastro: nome, e-mail, Instagram e telefone, fornecidos voluntariamente ao criar sua conta ou preencher formulários.
• Dados de uso: progresso de leitura, capítulos concluídos, checklists realizados e preferências do app (como modo escuro).
• Dados de navegação: endereço IP, tipo de navegador, páginas visitadas e tempo de permanência, coletados automaticamente via cookies e ferramentas de analytics.
• Dados de pagamento: processados exclusivamente pela plataforma de pagamento Hotmart. Não armazenamos dados de cartão de crédito em nossos servidores.

2. Como utilizamos seus dados

• Fornecer acesso ao conteúdo adquirido (e-book e app).
• Autenticar sua sessão e proteger sua conta.
• Enviar e-mails transacionais (magic link de acesso, atualizações do produto).
• Salvar seu progresso de leitura e preferências.
• Melhorar a experiência do usuário e o desempenho do produto.
• Veicular anúncios personalizados via Meta Ads (Facebook/Instagram Pixel).

3. Cookies e tecnologias de rastreamento

Utilizamos:

• Cookie de sessão (ebook_session): cookie HttpOnly, Secure, com validade de 1 ano, usado exclusivamente para manter sua autenticação no app. Essencial — não requer consentimento.
• Meta Pixel (Facebook Pixel) — client-side: ID 3677794365622183, para mensurar conversões e otimizar campanhas publicitárias. Os dados são processados de acordo com a Política de Privacidade da Meta. Não-essencial — disparado apenas após consentimento explícito (cookie banner).
• Cookie _fbc (Facebook Click ID): capturado da URL quando o visitante chega via anúncio Meta, usado para atribuição de campanha. Em usuários EU/UK, só é definido após aceitar o banner de cookies.
• Google Ads gtag + Google Consent Mode v2: ID AW-332254374, para mensurar conversões em campanhas Google. Em usuários EU/UK, opera em modo default=denied até o usuário consentir.
• Microsoft Clarity: ID wefg7l113g, analytics comportamental (heatmaps, sessões anonimizadas). Não-essencial — só carrega após consentimento.
• localStorage: armazena preferências locais (tema, progresso de leitura, checklists, escolha de consentimento cookie_consent) diretamente no seu dispositivo, sem envio a servidores.

3.1. Meta Conversions API (CAPI) server-side

Além do Meta Pixel client-side, enviamos eventos de conversão diretamente do nosso servidor para a Meta via Conversions API (CAPI). Estes eventos cobrem:

• Purchase: disparado quando o webhook da Hotmart confirma uma compra aprovada — é necessário para que possamos liberar o seu acesso ao produto.
• Lead, ViewContent, InitiateCheckout: disparados em ações específicas das páginas (com dedupe pelo mesmo event_id do pixel client-side).

Os eventos enviados via CAPI são deduplicados pela Meta usando event_id compartilhado com o pixel client-side, evitando contagem dupla. Para usuários EU/UK, o evento Purchase via CAPI ocorre após conclusão de uma transação — fundamenta-se em execução de contrato (Art. 6(1)(b) do GDPR/RGPD) e interesse legítimo (Art. 6(1)(f)) para mensuração da campanha que originou a venda. Os demais eventos via CAPI dependem de consentimento explícito.

Persistência server-side de identificadores de atribuição: quando você é capturado como lead (preenchendo formulário do quiz ou de captura), armazenamos no nosso banco de dados (Supabase) os identificadores técnicos de atribuição associados à sua sessão — especificamente os cookies _fbc (Facebook Click ID) e _fbp (Facebook Browser ID), seu endereço IP e seu User-Agent — exclusivamente para correlacionar uma eventual compra posterior com a campanha publicitária que originou o seu lead. Em usuários EU/UK, os cookies _fbc/_fbp só existem após aceitação do banner de cookies (consentimento Art. 6(1)(a) GDPR); IP e User-Agent são processados sob interesse legítimo (Art. 6(1)(f)) para medição publicitária e prevenção de fraude. Estes campos são armazenados pelo prazo definido na secção 7 e podem ser removidos a qualquer momento mediante pedido (ver secção 8).

Inferência de país (country) a partir da URL: quando os parâmetros de país (cookie do navegador ou cabeçalho de geolocalização do servidor) não estão disponíveis, inferimos o país associado ao evento a partir da URL da página visitada (ex.: /releaseeu → Portugal, /releaseen → Reino Unido, /release → Brasil). Esse dado é genérico e não-identificador — apenas indica o público da página visitada — e é utilizado para enriquecer eventos enviados via CAPI à Meta, melhorando a correspondência de campanhas publicitárias sob a base legal de interesse legítimo (Art. 6(1)(f) GDPR / Art. 7(IX) LGPD).

Inferência de gênero a partir do primeiro nome: quando você nos fornece o seu nome (formulário de captura, quiz), o primeiro nome é enviado em formato pseudonimizado ao serviço genderize.io que infere estatisticamente o gênero provável ('m' ou 'f') associado àquele nome. O resultado é cacheado no nosso banco de dados, transformado em hash SHA-256 e enriquece eventos enviados via CAPI à Meta sob o campo padrão ge. Esta inferência é probabilística (não-determinística) e tem propósito exclusivo de melhorar a correspondência de campanhas publicitárias. Em usuários EU/UK, esta inferência ocorre apenas após o consentimento explícito do banner de cookies (Art. 6(1)(a) GDPR); a base legal é consentimento. Você pode solicitar a remoção desta inferência cacheada a qualquer momento (ver secção 8).

Localização aproximada via endereço IP: quando você é capturado como lead (formulário do quiz/captura), o seu endereço IP é enviado em formato pseudonimizado ao serviço ipinfo.io para obtenção de cidade, estado/região e código postal aproximados (precisão tipicamente em nível de cidade, não-identificador individual). O resultado é cacheado no nosso banco de dados (24h em cache Redis quente, permanente em release_leads), transformado em hash SHA-256 e enriquece eventos enviados via CAPI à Meta sob os campos padrão ct, st, zp. Em usuários EU/UK, esta inferência ocorre apenas após o consentimento explícito do banner de cookies (Art. 6(1)(a) GDPR); a base legal é consentimento. Você pode solicitar a remoção desta inferência cacheada a qualquer momento (ver secção 8).

Correlação de eventos por identificadores Meta (server-side lookup): em eventos disparados em páginas de aterragem sem formulário (ex.: visualização de uma LP via clique num anúncio), quando o seu navegador envia os identificadores Meta _fbp/_fbc mas não os seus dados de Advanced Matching (email, telefone, etc.), o nosso servidor verifica no nosso banco de dados se existe um lead anterior associado àqueles identificadores. Se houver correspondência, os dados pseudonimizados (hashes SHA-256) já armazenados desse lead são utilizados para enriquecer o evento enviado via CAPI à Meta, melhorando a correspondência de campanhas. Esta correlação só ocorre se você já forneceu os seus dados anteriormente como lead e consentiu (em EU/UK) ou aceitou os termos (em BR), sob a base legal de consentimento (Art. 6(1)(a) GDPR) ou interesse legítimo em medição publicitária (Art. 6(1)(f) GDPR / Art. 7(IX) LGPD).

Eventos disparados pela Hotmart: além dos nossos eventos próprios, a plataforma Hotmart (responsável pelo checkout e processamento de pagamentos) também dispara eventos InitiateCheckout, Purchase e PaymentGenerated diretamente para o mesmo pixel da Meta — tanto via browser pixel quanto via Conversions API da Hotmart — quando você acessa o checkout em pay.hotmart.com. Esses eventos são processados sob a Política de Privacidade da Hotmart e seguem as bases legais ali declaradas.

Joint controllership com a Meta: nos termos da jurisprudência do Tribunal de Justiça da União Europeia (Acórdão Fashion ID C-40/17 e Wirtschaftsacademie C-210/16), Thiago Brito e a Meta Platforms Ireland Ltd. atuam como controladores conjuntos relativamente à coleta e transmissão de dados pessoais via pixel/CAPI para fins de medição publicitária. Cada parte responde pelas operações sob seu controle, conforme adenda de joint controllership aceita no Business Manager da Meta.

3.2. Cookie banner e Consent Mode v2 (usuários EU/UK)

Para visitantes em jurisdições GDPR/UK GDPR/ePrivacy (Portugal, Reino Unido, Irlanda e demais Estados-Membros da UE), implementamos:

• Google Consent Mode v2 com estado inicial default=denied para ad_storage, analytics_storage, ad_user_data e ad_personalization — antes mesmo do carregamento de qualquer script de marketing.
• Cookie banner exibido na primeira visita com escolha explícita: "Aceitar tudo" (consentimento livre, específico, informado) ou "Apenas essenciais" (rejeição de cookies não-essenciais).
• Meta Pixel inicia com fbq('consent','revoke') — não envia eventos client-side até o usuário aceitar.
• Cookies não-essenciais (Pixel, Clarity, gtag conversions, _fbc) só são ativados após "Aceitar tudo".
• Persistência da escolha: sua decisão é registrada em localStorage.cookie_consent (com cookie de backup rtr_consent_cookie) por 365 dias. Após esse período o banner reaparece para nova escolha.
• Revogação (Art. 7(3) GDPR — tão fácil quanto consentir): você pode retirar o consentimento a qualquer momento. Opções:
  1. Abrir DevTools do navegador (F12) → Application/Storage → Local Storage → remover a chave cookie_consent. Na próxima visita o banner aparece novamente.
  2. Limpar cookies/cache do site nas configurações do seu navegador.
  3. Enviar email para contato@thidebrito.com.br solicitando exclusão dos seus dados.

4. Armazenamento e segurança

Seus dados são armazenados em servidores seguros fornecidos por Supabase (infraestrutura na AWS), com criptografia em trânsito (HTTPS/TLS) e em repouso. Adotamos medidas técnicas e organizacionais adequadas para proteger contra acesso não autorizado, perda ou alteração.

Tokens de acesso (magic links) são de uso único e invalidados após o primeiro uso.

5. Compartilhamento de dados

Não vendemos, alugamos ou compartilhamos seus dados pessoais com terceiros, exceto:

• Provedores de serviço: Supabase (banco de dados), Vercel (hospedagem), Hotmart (pagamentos e checkout), Meta (anúncios e medição via CAPI), Resend (e-mails transacionais), TikTok (publicação de conteúdo próprio via API oficial — ver seção 9) — cada um opera sob sua própria política de privacidade.
• Obrigação legal: quando exigido por lei, ordem judicial ou autoridade competente.

6. Seus direitos (LGPD — usuários no Brasil)

De acordo com a Lei Geral de Proteção de Dados (Lei 13.709/2018), você tem direito a:

• Confirmar a existência de tratamento dos seus dados.
• Acessar seus dados pessoais.
• Corrigir dados incompletos, inexatos ou desatualizados.
• Solicitar a anonimização, bloqueio ou eliminação de dados desnecessários.
• Revogar o consentimento a qualquer momento.
• Solicitar a portabilidade dos dados.

Para exercer qualquer um desses direitos, entre em contato conosco pelo e-mail abaixo.

6.1. Seus direitos (GDPR/UK GDPR — usuários EU, Reino Unido e Irlanda)

Se você reside na União Europeia, Reino Unido ou no Espaço Económico Europeu, aplicam-se o Regulamento Geral de Proteção de Dados (Regulamento (UE) 2016/679 — RGPD), o UK GDPR e a Directiva ePrivacy. As bases legais para o tratamento dos seus dados são:

• Execução de contrato (Art. 6(1)(b)): processamento da compra, entrega do acesso ao produto, autenticação no app.
• Consentimento (Art. 6(1)(a)): cookies não-essenciais (Meta Pixel client-side, Clarity, gtag conversions, _fbc), através do banner de cookies.
• Interesse legítimo (Art. 6(1)(f)): mensuração da campanha que originou uma compra (CAPI server-side, deduplicado pelo pixel client-side), prevenção de fraude e melhoria contínua do serviço.

Os seus direitos no âmbito do RGPD incluem:

• Direito de acesso (Art. 15) — obter cópia dos seus dados.
• Direito de retificação (Art. 16) — corrigir dados inexatos.
• Direito ao apagamento ("direito a ser esquecido", Art. 17).
• Direito à limitação do tratamento (Art. 18).
• Direito de portabilidade (Art. 20) — receber os seus dados em formato estruturado.
• Direito de oposição (Art. 21) — opor-se ao tratamento baseado em interesse legítimo.
• Direito de retirar o consentimento a qualquer momento — sem afetar a licitude do tratamento já efetuado.
• Direito de reclamação a uma autoridade de controlo — em Portugal: CNPD; no Reino Unido: ICO; na Irlanda: DPC.

Para exercer qualquer destes direitos, contacta-nos pelo e-mail na secção 11. Responderemos no prazo máximo de 30 dias (Art. 12(3) RGPD).

Transferências internacionais: os seus dados podem ser processados em servidores fora do EEE (ex: Vercel, Supabase, Meta, Microsoft) sob garantias contratuais adequadas (Standard Contractual Clauses aprovadas pela Comissão Europeia).

7. Retenção de dados

Seus dados serão mantidos pelo tempo necessário para cumprir as finalidades descritas nesta política, ou conforme exigido por lei. Dados de conta serão mantidos enquanto sua licença estiver ativa. Você pode solicitar a exclusão a qualquer momento.

8. Menores de idade

Nossos serviços não são direcionados a menores de 18 anos. Não coletamos intencionalmente dados de menores. Caso identifiquemos dados de um menor, eles serão excluídos imediatamente.

9. Integrações com plataformas externas (TikTok API)

Utilizamos a TikTok Content Posting API (oficial) exclusivamente para que o titular do site (Thiago Brito) publique seu próprio conteúdo (vídeos e carrosséis) na conta pessoal @thidebrito. Nenhum dado de visitantes deste site é enviado ao TikTok por meio desta integração.

• Dados acessados via TikTok: informações públicas da conta autorizada (nome, avatar, lista de vídeos próprios e métricas públicas), obtidas via OAuth 2.0 oficial.
• Escopos solicitados: user.info.basic, video.upload, video.publish, video.list — estritamente os necessários para agendar e publicar conteúdo próprio.
• Armazenamento: tokens de acesso OAuth são mantidos localmente no ambiente de publicação (Postiz self-hosted), nunca compartilhados e nunca persistidos em servidores de terceiros.
• Conteúdo comercial: publicações promocionais são marcadas com brand_content_toggle, em conformidade com a TikTok Commercial Content Policy e com o CONAR (regulamentação publicitária brasileira).
• Revogação: a autorização pode ser revogada a qualquer momento em tiktok.com/setting/applications.

O uso da TikTok API segue os Termos para Desenvolvedores do TikTok.

10. Alterações nesta política

Podemos atualizar esta política periodicamente. Alterações significativas serão comunicadas por e-mail ou aviso no app. A data de atualização no topo desta página será sempre atualizada.

11. Contato

Para dúvidas, solicitações ou exercício de direitos relacionados a esta política:

• Responsável: Thiago Brito
• E-mail: contato@thidebrito.com.br
• Instagram: @thidebrito