Pular para o conteúdo

Política de Privacidade

Política de Privacidade Partili

Como tratamos dados pessoais de igrejas, administradores e doadores. Inclui uso do Google Analytics (GA4) e cookies de medição sob consentimento.

Vigente desde 20 de abril de 2026Versão v1.1Voltar para o site

Política de Privacidade Partili

Versão 1.1 — vigente a partir de 20 de abril de 2026

Esta política descreve como a Partili coleta, usa, armazena e protege dados pessoais, em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018).

O que mudou em relação à v1.0: adicionamos o uso do Google Analytics 4 (GA4) para medição de audiência da nossa página pública, explicitando os cookies _ga e _ga_*, a base legal (consentimento), o direito de revogá-lo a qualquer momento e o banner de consentimento de cookies (opt-in). Detalhes nas seções 2.3, 3, 4 e, principalmente, 9 (Cookies).

1. Controlador e Encarregado (DPO)

2. Dados que Coletamos

2.1 Igrejas e administradores.

  • Identificação: nome, email, telefone, cargo, CPF (quando necessário)
  • Dados da igreja: CNPJ, endereço, dados bancários
  • Documentos de KYC: estatuto, ata de eleição, comprovante de endereço, etc.

2.2 Doadores.

  • Identificação: nome, email, telefone (opcional), CPF (opcional, para relatório IR)
  • Dados de doação: valor, método de pagamento, fundo/campanha escolhido
  • Comunicação: preferências de email, histórico de mensagens

2.3 Dados técnicos e de medição.

  • Logs de acesso (IP, user-agent, timestamp)
  • Cookies essenciais para autenticação
  • Cookies e identificadores de medição de audiência (Google Analytics 4): páginas visitadas, eventos de interação (cliques, scroll, submissão de formulários), origem de tráfego (referrer/UTM), tipo de dispositivo, cidade/estado aproximados derivados do IP. A coleta desses dados só ocorre após você aceitar o banner de consentimento de cookies. Mais detalhes na seção 9.

3. Para Que Usamos Esses Dados

  • Executar o contrato (art. 7º, V, LGPD): processar doações, emitir recibos, gerar relatórios fiscais, enviar confirmações por email
  • Obrigação legal (art. 7º, II): cumprir exigências fiscais, trabalhistas e regulatórias (KYC/AML)
  • Legítimo interesse (art. 7º, IX): prevenir fraude e garantir segurança da plataforma (auth, rate limiting, detecção de abuso). Produção de estatísticas internas agregadas e não-identificáveis sobre uso do produto.
  • Consentimento (art. 7º, I):
  • Envio de comunicação de marketing e newsletter (sempre opt-in com double opt-in)
  • Medição de audiência via Google Analytics 4 (cookies _ga / _ga_*) nas páginas públicas (landing, blog, fluxo de doação anônima). Você pode aceitar, recusar ou revogar o consentimento a qualquer momento — ver seção 9.

4. Com Quem Compartilhamos

Compartilhamos dados estritamente necessários com os seguintes operadores/subprocessadores:

| Operador | Finalidade | País de tratamento | |----------|------------|--------------------| | Asaas | Processamento de pagamentos (PIX, cartão, boleto) e KYC | Brasil | | Stripe | Cobrança da assinatura SaaS da igreja | EUA (cláusulas contratuais padrão) | | Resend | Envio de emails transacionais e marketing | EUA (cláusulas contratuais padrão) | | Supabase | Hospedagem do banco de dados e Storage | Brasil (sa-east-1, São Paulo) | | Upstash | Fila de jobs assíncronos (Redis) | Brasil (sa-east-1) | | Railway | Hospedagem da aplicação backend | EUA (cláusulas contratuais padrão) | | Vercel | Hospedagem do frontend (Next.js) | EUA (cláusulas contratuais padrão) | | Google LLC (Google Analytics 4) | Medição de audiência das páginas públicas (mediante consentimento) — identificador do GA: G-EVRR25B5V5 | EUA (cláusulas contratuais padrão) | | Anthropic | OCR de documentos KYC (sem retenção pelo Anthropic) | EUA (cláusulas contratuais padrão) | | Autoridades | Quando legalmente obrigados | Brasil |

Nunca vendemos dados pessoais. Dados de um doador só são visíveis para a igreja à qual ele doou. Dados coletados pelo Google Analytics (seção 9) não são cruzados com doações, contas de igrejas ou identidades cadastrais — são usados apenas para estatísticas agregadas de navegação nas páginas públicas.

5. Transferência Internacional

A maior parte do tratamento ocorre em território nacional (Supabase/Upstash sa-east-1). Alguns subprocessadores listados acima (Stripe, Resend, Railway, Vercel, Google, Anthropic) podem tratar dados em servidores fora do Brasil, sempre sob cláusulas contratuais padrão de proteção adequada, nos termos do art. 33 da LGPD.

6. Tempo de Retenção

  • Dados de doação: 5 anos após a última doação (obrigação fiscal)
  • Dados de KYC: 10 anos após o encerramento da conta (exigência regulatória)
  • Logs de acesso: 6 meses
  • Dados de marketing: até a revogação do consentimento
  • Cookies e dados do Google Analytics: retenção padrão configurada em 14 meses (após esse prazo, o Google apaga automaticamente os eventos com identificadores de usuário). O cookie _ga tem validade de até 2 anos no navegador, e _ga_* até 2 anos, mas podem ser apagados pelo usuário a qualquer momento (ver seção 9).

Após o prazo, os dados são anonimizados ou apagados definitivamente.

7. Seus Direitos (LGPD)

Você pode, a qualquer momento, exercer os direitos previstos no art. 18 da LGPD:

  • Confirmação e acesso — saber quais dados temos sobre você
  • Correção — corrigir dados incompletos ou desatualizados
  • Anonimização ou eliminação — exclusão de dados desnecessários
  • Portabilidade — receber seus dados em formato estruturado (JSON)
  • Revogação de consentimento — a qualquer momento, sem justificativa, inclusive o consentimento de cookies de medição (seção 9)
  • Informação sobre compartilhamento — com quem compartilhamos seus dados
  • Oposição ao tratamento realizado com fundamento em legítimo interesse

Canais para exercer direitos:

  • Doadores: portal do doador (/donor/data-requests) ou email nossa página de contato
  • Administradores: painel da igreja ou email nossa página de contato
  • Unsubscribe de marketing: link em cada email enviado
  • Revogação do consentimento de cookies: banner de cookies (ícone flutuante no rodapé) ou configurações do próprio navegador

Responderemos em até 15 dias.

8. Segurança

Aplicamos medidas técnicas e organizacionais para proteger seus dados:

  • Criptografia em trânsito — TLS 1.2+ em todas as conexões
  • Criptografia em repouso — AES-256-GCM para campos sensíveis (ex: chaves do Asaas)
  • Hashing de senhas — bcrypt com 12 salt rounds
  • Isolamento multi-tenant — Row Level Security (RLS) no PostgreSQL
  • Auditoria — log imutável de alterações sensíveis
  • Backups — diários, criptografados, retidos por 30 dias

9. Cookies e Tecnologias Similares

Usamos dois grupos de cookies, tratados de forma distinta conforme a LGPD:

9.1 Cookies essenciais (sem consentimento)

Esses cookies são estritamente necessários para o funcionamento do site e não exigem consentimento (art. 7º, V, LGPD — execução do contrato/prestação do serviço):

| Cookie / storage | Finalidade | Duração | |------------------|------------|---------| | Tokens de sessão JWT (localStorage ou HttpOnly cookie) | Manter você autenticado no painel ou no portal do doador | Sessão / até logout | | CSRF/anti-bot | Proteção contra requisições forjadas | Sessão | | Preferências de UI (tema, idioma) | Lembrar suas configurações visuais | 1 ano |

9.2 Cookies de medição de audiência — Google Analytics 4 (com consentimento)

Usamos o Google Analytics 4 (GA4) — identificador da propriedade: G-EVRR25B5V5 — para entender como os visitantes chegam e navegam nas nossas páginas públicas (landing, blog institucional, página de doação anônima). Os cookies do GA4 só são instalados após você aceitar o banner de consentimento de cookies. Se você recusar, nenhum cookie do GA é instalado e nenhum evento de navegação é enviado ao Google.

Cookies instalados (apenas com consentimento):

| Nome | Finalidade | Duração | Fornecedor | |------|------------|---------|------------| | _ga | Distingue usuários únicos para fins estatísticos (ID aleatório gerado no navegador) | Até 2 anos | Google LLC | | _ga_EVRR25B5V5 (prefixo _ga_*) | Mantém o estado da sessão do GA4 para essa propriedade específica | Até 2 anos | Google LLC | | _gid (eventual) | Distingue usuários em uma janela curta | 24 horas | Google LLC |

Base legal: art. 7º, I, da LGPD — consentimento livre, informado e inequívoco, manifestado no banner de cookies exibido na primeira visita.

Dados coletados pelo GA4 (sempre agregados e não-identificáveis para a Partili):

  • Páginas visitadas e tempo em cada página
  • Eventos de interação (cliques em CTAs, scroll, envio de formulários)
  • Origem de tráfego (site de referência, campanhas UTM)
  • Tipo de dispositivo, navegador e sistema operacional
  • Cidade/estado aproximados derivados do IP (o Google anonimiza o IP completo antes de armazenar)

O que a Partili NÃO faz com esses dados:

  • Não cruzamos dados do GA com sua identidade cadastrada (nome, email, CPF, igreja, doações)
  • Não usamos os dados do GA para fins de publicidade personalizada
  • Não habilitamos os recursos de Google Signals nem de publicidade no GA4
  • Não compartilhamos dados do GA com nenhum terceiro além do próprio Google (na qualidade de operador)

Como revogar o consentimento a qualquer momento:

  1. Banner de cookies: clique no ícone flutuante de cookies no rodapé do site e escolha "Recusar" ou "Gerenciar preferências". A revogação é imediata — os cookies do GA são removidos do navegador e nenhum novo evento é enviado.
  2. Configurações do navegador: você pode apagar os cookies _ga e _ga_* manualmente ou bloquear cookies de terceiros nas configurações do seu navegador.
  3. Opt-out oficial do Google: instalar a extensão Google Analytics Opt-out Add-on.

Revogar o consentimento não afeta o tratamento feito enquanto o consentimento estava válido — apenas interrompe novas coletas.

9.3 Cookies de terceiros não utilizados

Não utilizamos cookies de publicidade comportamental, pixels de redes sociais (Facebook, TikTok, LinkedIn), nem qualquer outro tipo de rastreador de terceiros além do Google Analytics descrito acima.

10. Menores de Idade

A Partili não é destinada a menores de 18 anos sem representação legal. Se identificarmos conta de menor sem consentimento do responsável, a conta será encerrada.

11. Alterações nesta Política

Novas versões são publicadas em /public/legal/privacy. Mudanças materiais serão comunicadas por email. Versões anteriores ficam disponíveis em /public/legal/privacy/:version para consulta e auditoria.

Histórico de versões:

  • v1.1 — 20 de abril de 2026 (versão vigente): adição do uso do Google Analytics 4 (GA4, ID G-EVRR25B5V5) para medição de audiência nas páginas públicas, sob consentimento explícito via banner de cookies. Detalhamento dos cookies _ga e _ga_*, base legal, direito de revogação a qualquer momento, período de retenção (14 meses no Google) e listagem completa de subprocessadores com país de tratamento.
  • v1.0 — 17 de abril de 2026: versão inicial.

12. Contato

Garanta acesso antecipado e 3 meses grátis.

Entre na lista em menos de 30 segundos. Sem compromisso.

Usamos cookies necessários para o funcionamento do site e, com seu aceite, cookies de análise (Google Analytics) para entender como as pessoas usam o Partili e melhorar o produto. Saiba mais na Política de Privacidade.