Política de privacidade

O GMC Auditor é operado pela White Growth Mídias Ltda, sociedade limitada inscrita no CNPJ sob o nº 61.510.956/0001-28, com sede na Av. Presidente Getúlio Vargas, 3934 — 1º andar, Apto 01, Sala A, Centro, Teixeira de Freitas/BA, CEP 45985-200. Site oficial: gmcauditor.pro.

Esta política descreve como tratamos os dados dos usuários do produto GMC Auditor, em especial os dados do Google obtidos via autenticação OAuth para uso da Google Merchant Center API.

Ao conectar uma conta do Google ao GMC Auditor, com sua autorização explícita, coletamos:

• Tokens OAuth (access token e refresh token) emitidos pelo Google para os escopos abaixo, guardados no nosso banco com proteção de banco (TLS em trânsito e criptografia em repouso do Supabase).
• Endereço de email da conta Google (escopo https://www.googleapis.com/auth/userinfo.email), usado apenas para identificar a conexão e exibir o titular da conta na sua interface.
• Dados da conta Google Merchant Center que o usuário possui (escopo https://www.googleapis.com/auth/content): status da conta, account-level issues, status de produtos individuais, configurações de imposto e frete, feeds e suas estatísticas, promotions e disapprovals. Acesso somente leitura — nunca escrevemos no Merchant Center.

Também coletamos dados não-Google que o próprio usuário fornece: nome, telefone, endereço de email do cadastro, domínio da loja Shopify e, opcionalmente, tokens Shopify (Custom App ou OAuth Partner) para cruzar dados do catálogo durante a auditoria.

Os dados Google são usados exclusivamente para entregar a funcionalidade que o usuário solicita: gerar diagnósticos técnicos da conta Merchant Center e do feed de produtos, identificar violações de política do Google Shopping e produzir planos de correção legíveis pelo lojista.

Cada auditoria consome créditos previamente comprados pelo usuário e é iniciada manualmente por ele. Não rodamos auditorias proativamente sem autorização.

Compartilhamos dados Google apenas com prestadores de serviço necessários para operar o produto:

• Supabase (Supabase Inc., EUA) — banco de dados e infraestrutura de autenticação. Tokens OAuth, snapshots de account status e diagnósticos ficam armazenados aqui sob criptografia em repouso. Sub-processador padrão Supabase: AWS.
• Anthropic (Anthropic, PBC, EUA) — API do Claude usada para análise de conformidade. Enviamos apenas o conteúdo do diagnóstico em si (descrição dos problemas, trechos do feed e do site auditado). Tokens OAuth, refresh tokens e identificadores pessoais nunca são enviados à Anthropic. A Anthropic não retém os dados enviados pela API para treinamento de modelos.
• Google (Google LLC) — chamamos as APIs do Merchant Center e, em alguns casos, a Gemini API para análise visual de imagens de produto. Quando usamos a Gemini, enviamos apenas o recorte da imagem analisada, sem identificadores pessoais.
• Hostinger (Hostinger International Ltd., Lituânia) — VPS que hospeda a aplicação.
• Resend (Resend Inc., EUA) — envio de emails transacionais (boas-vindas, reset de senha, notificações de auditoria).

Não vendemos dados Google. Não compartilhamos dados Google com data brokers, plataformas de anúncios, redes de retargeting ou bureaus de crédito.

Em conformidade com a Google API Services User Data Policy (incluindo Limited Use), nós:

• Não usamos dados Google para anúncios direcionados ou retargeting.
• Não usamos dados Google para treinar modelos de inteligência artificial generativa.
• Não vendemos nem licenciamos dados Google a terceiros.
• Não usamos dados Google para avaliação de crédito ou subscrição financeira.
• Não compartilhamos dados Google com brokers de dados.
• Nenhum colaborador acessa dados Google de usuários, exceto: (a) com consentimento explícito do próprio usuário para investigar um problema de suporte, (b) por necessidade legal/segurança, ou (c) em formato agregado e anonimizado para operações internas.
• Não transferimos dados Google a terceiros, exceto para os prestadores de serviço listados acima e apenas no limite necessário para operar o produto.

• TLS 1.2+ em todas as conexões entre o usuário, nossos servidores e os prestadores listados.
• Criptografia em repouso no banco Supabase (AWS Aurora).
• Tokens OAuth ficam isolados por usuário com Row Level Security do Supabase.
• Acesso administrativo ao banco é restrito a operadores autorizados, com autenticação multi-fator.
• Logs de acesso administrativo são auditáveis.
• Pedimos apenas os escopos OAuth estritamente necessários (princípio de menor privilégio).

Tokens OAuth e snapshots de account status ficam armazenados enquanto a conexão Google permanecer ativa. Quando o usuário revoga a conexão (em myaccount.google.com/permissions ou dentro do nosso painel), os tokens são invalidados imediatamente e o registro da conexão é marcado como revogado.

Diagnósticos (relatórios de auditoria) ficam disponíveis na conta do usuário enquanto a conta existir. Ao solicitar a exclusão da conta, todos os dados pessoais e dados Google são apagados em até 30 dias, exceto registros mínimos necessários para cumprimento de obrigações fiscais (notas de venda dos créditos) ou prevenção de fraude.

O usuário tem direito a, a qualquer momento:

• Confirmar a existência de tratamento dos seus dados.
• Acessar os dados que armazenamos sobre ele.
• Corrigir dados incompletos, inexatos ou desatualizados.
• Solicitar anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade.
• Portabilidade dos dados a outro fornecedor.
• Revogar o consentimento e desconectar a conta Google (a revogação não afeta tratamentos anteriores).
• Apagar a conta e todos os dados associados.

Para exercer qualquer direito, escreva para privacy@gmcauditor.pro. Respondemos em até 15 dias úteis.

O GMC Auditor é um produto B2B destinado a operadores de loja Shopify maiores de 18 anos. Não coletamos dados de menores de 18 anos conscientemente. Se identificarmos que uma conta foi aberta por menor de idade, a conta será encerrada e os dados apagados.

Usamos cookies essenciais para manter a sessão do usuário autenticado (cookies do Supabase) e cookies funcionais para preferências de interface. Não usamos cookies de publicidade nem trackers de terceiros para marketing. Logs de servidor podem registrar IP, user-agent e timestamps para fins de segurança.

Podemos atualizar esta política. Mudanças relevantes serão comunicadas por email aos usuários ativos com pelo menos 15 dias de antecedência. A data da última atualização aparece no topo desta página.

Para dúvidas, exercício de direitos ou denúncias de privacidade:

• Email: privacy@gmcauditor.pro
• Endereço: Av. Presidente Getúlio Vargas, 3934 — 1º andar, Apto 01, Sala A, Centro, Teixeira de Freitas/BA, CEP 45985-200.