Política de Privacidade

1. Quem somos

O Leadsink é um produto de prospecção B2B operado pela Nika Tráfego e Lançamento Ltda, sociedade empresária inscrita no CNPJ sob nº 42.373.609/0001-56, doravante "Leadsink", "nós" ou "Controlador".

Esta Política descreve como coletamos, usamos, compartilhamos e protegemos dados pessoais ao oferecer o serviço acessível em leadsink.app.

2. Dados da Receita Federal

O Leadsink disponibiliza acesso a aproximadamente 68 milhões de CNPJs extraídos da base pública de dados da Receita Federal do Brasil, conforme publicação oficial em dados.gov.br e portais governamentais correlatos.

2.1. Dados de pessoa jurídica

São considerados dados de pessoa jurídica, não cobertos pela LGPD na forma de "dado pessoal":

• Razão social, nome fantasia, CNPJ, NIRE
• CNAE principal e secundários
• Porte, capital social, regime tributário (Simples, MEI, Lucro Real/Presumido)
• Endereço comercial, telefone comercial, email comercial
• Data de abertura, situação cadastral, motivo da situação
• Município, UF, CEP

2.2. Dados de sócios (pessoa física)

A base RF inclui dados de sócios, administradores e representantes legais. Esses são dados pessoais sob LGPD:

• Nome completo do sócio
• CPF parcial (formato padrão da publicação RF, com mascaramento)
• Qualificação do sócio (administrador, sócio cotista, etc)
• Data de entrada na sociedade
• Faixa etária (quando publicada pela RF)

O tratamento desses dados pessoais é amparado pela base legal descrita na seção 3.

3. Base legal LGPD

O tratamento de dados pessoais de sócios pelo Leadsink é amparado nas seguintes hipóteses da Lei 13.709/2018:

3.1. Dado de acesso público (art. 7º, IV)

Os dados são originados de base oficial pública (Receita Federal), publicada como dado aberto pelo Governo Federal. O art. 7º, IV da LGPD dispensa consentimento para tratamento de dados tornados manifestamente públicos pelo titular ou por força legal.

3.2. Legítimo interesse (art. 7º, IX)

O tratamento é necessário para o legítimo interesse do controlador e de terceiros (usuários do Leadsink) em contexto estritamente B2B: identificar empresas potencialmente interessadas em produtos e serviços ofertados pelos usuários.

Em qualquer caso, prevalecem os direitos e liberdades fundamentais do titular (art. 7º, §2º): se você é sócio de uma empresa e não quer aparecer na base, pode solicitar remoção a qualquer momento em /remocao-dados.

3.3. O que NÃO fazemos

Para deixar claro o escopo do tratamento:

• Não vendemos a base de dados como produto separado (acesso é sempre via plataforma, com auditoria)
• Não fazemos prospecção em nome dos usuários (você usa os dados, não o Leadsink)
• Não enriquecemos com dados não oficiais (telefone pessoal de sócio, redes sociais privadas, etc)
• Não cruzamos com bases de saúde, financeiras privadas ou outras categorias sensíveis

4. Dados do usuário (cliente Leadsink)

Quando você cria conta no Leadsink, coletamos:

• Nome completo (obrigatório · pra identificação)
• Email (obrigatório · pra login, notificações, suporte e billing)
• Telefone (opcional · pra suporte rápido em planos pagos)
• Senha (armazenada como hash bcrypt, nunca em texto plano)
• Histórico de uso (buscas, listas criadas, exportações realizadas · pra auditoria e analytics agregado)
• Dados de pagamento (apenas pra planos pagos · processados via Asaas, não armazenamos cartão)
• IP, user agent, timestamps (logs de segurança · 90 dias)

Base legal: execução de contrato (art. 7º, V LGPD) e cumprimento de obrigação legal (fiscal, art. 7º, II).

5. Cookies e analytics

5.1. Cookies essenciais

Usamos cookies estritamente necessários pra manter sua sessão logada e preferências de UI (dark mode, idioma). Sem esses cookies o site não funciona.

5.2. Meta Pixel (Facebook / Instagram Ads)

Utilizamos o Meta Pixel (ID 1744177166602145) nas páginas públicas do site (leadsink.app) para:

• Medir performance de campanhas pagas no Facebook e Instagram Ads
• Criar audiências personalizadas e públicos semelhantes (Lookalike) para marketing
• Otimizar entrega dos anúncios para perfis mais propensos a converter

O Meta Pixel coleta automaticamente: páginas visitadas, tempo de permanência, user agent, IP (parcialmente truncado pelo Meta), e ações que o usuário fizer no site (PageView, ViewContent, Lead). Esses dados são enviados ao Meta Platforms Ireland Ltd. e ficam sujeitos à Política de Privacidade do Meta.

Base legal: art. 7º, IX da LGPD (legítimo interesse para fins de marketing e otimização do serviço). Você pode se opor ao tratamento a qualquer momento desativando cookies no seu navegador ou solicitando bloqueio em /remocao-dados.

5.3. Como desativar o Meta Pixel no seu navegador

Você pode bloquear o Meta Pixel de várias formas:

• Configurações do navegador: bloquear cookies de terceiros (Chrome, Firefox, Safari, Edge têm a opção)
• Extensões: Privacy Badger, uBlock Origin, Ghostery bloqueiam automaticamente
• Modo anônimo: a maioria dos navegadores em modo anônimo já bloqueia trackers de terceiros
• Opt-out global do Meta: em configurações de anúncios do Facebook, você pode desativar uso de dados de sites externos

5.4. Google Analytics 4 (GA4)

Utilizamos o Google Analytics 4 (ID de medição G-PLYY6LC7WX) nas páginas públicas do site para entender comportamento dos visitantes (de onde vêm, quais páginas mais lêem, jornada até converter). Coleta automática inclui: page view, scroll, clicks externos, downloads, busca interna, interações com formulários.

O IP do visitante é anonimizado pelo próprio GA4 antes do armazenamento (configurado via anonymize_ip: true). Dados ficam sujeitos à Política de Privacidade do Google.

Base legal: art. 7º, IX da LGPD (legítimo interesse para fins de medição e otimização do serviço). Você pode se opor a qualquer momento via add-on oficial do Google: Google Analytics Opt-out Browser Add-on ou via configurações do navegador (bloqueio de cookies de terceiros).

5.5. Analytics próprio

Também usamos analytics próprio (servidor Leadsink) pra entender quais páginas convertem melhor dentro do app. Dados ficam no nosso banco, IPs anonimizados após 30 dias. Não compartilhamos esse analytics com terceiros (diferente do Meta Pixel e GA4).

6. Compartilhamento

Compartilhamos dados com terceiros apenas quando estritamente necessário:

• Meta Platforms Ireland Ltd. (Facebook/Instagram Ads) — recebe dados de navegação no site via Meta Pixel: páginas visitadas, eventos de conversão, IP parcial, user agent, ID do navegador. Finalidade: medição e otimização de anúncios pagos. Sob GDPR (que é compatível com LGPD). Detalhes na seção 5.
• Google LLC / Google Ireland Ltd. (Google Analytics 4) — recebe dados de navegação no site via GA4: páginas visitadas, tempo de permanência, dispositivo, fonte de tráfego, eventos. IP anonimizado antes do armazenamento. Finalidade: medição e otimização do serviço. Sob GDPR. Detalhes na seção 5.
• Asaas (gateway de pagamento) — recebe nome, email, CPF do titular do cartão pra processar cobrança. Sob obrigação contratual de sigilo.
• Provedor de email (transacional) — envia notificações de cobrança, recuperação de senha, confirmação de exportação. Sob LGPD.
• Hospedagem (Hetzner Online GmbH, Alemanha · CPX32 dedicado) — infraestrutura física. Sob GDPR (que é compatível com LGPD).
• Autoridades — apenas mediante ordem judicial ou requisição legal expressa.

Não compartilhamos dados pra fins de publicidade, perfil consumidor, score de crédito ou similar.

7. Retenção

• Dados de empresas (RF): atualizamos mensalmente conforme publicação oficial. Empresas baixadas/extintas mantidas por 30 dias após a publicação da baixa, depois removidas.
• Dados de sócios: seguem o ciclo de vida da empresa. Pedidos de remoção em /remocao-dados são processados em até 15 dias úteis.
• Dados do usuário ativo: mantidos durante a vigência da conta.
• Dados do usuário após cancelamento: 90 dias em estado "soft delete" pra permitir reativação, depois anonimização. Dados fiscais (NF emitida) seguem retenção legal de 5 anos.
• Logs de auditoria: 12 meses, depois anonimizados.

8. Segurança

• Senhas armazenadas com bcrypt (cost factor 12)
• Comunicação HTTPS (TLS 1.3) em 100% das páginas, com HSTS
• Banco PostgreSQL com criptografia em repouso (LUKS no disco)
• Backup diário criptografado, retenção 30 dias
• Acesso administrativo via SSH com chave pública (sem senha)
• Rate limiting em endpoints sensíveis (login, signup, exportação)
• Audit log imutável de operações sensíveis (exportações, mudanças de plano, deleção de dados)

9. Seus direitos como titular

A LGPD garante os seguintes direitos:

• Confirmação e acesso — saber se tratamos seus dados e quais são
• Correção — atualizar dados incompletos ou desatualizados
• Anonimização ou bloqueio — quando o dado for desnecessário, excessivo ou tratado em desconformidade
• Eliminação — remoção dos seus dados pessoais (ressalvadas hipóteses legais)
• Portabilidade — receber seus dados em formato estruturado
• Revogação de consentimento — se a base legal for consentimento
• Oposição — quando o tratamento for por legítimo interesse
• Revisão de decisões automatizadas — não aplicável (não usamos decisão automatizada que afete o titular)

Pra exercer qualquer desses direitos, use o canal público em /remocao-dados ou escreva pra dpo@leadsink.app.

10. DPO e contato

O Encarregado de Proteção de Dados (DPO) do Leadsink pode ser contatado em dpo@leadsink.app.

Demandas formais devem incluir: nome, documento de identificação, descrição do pedido e canal pra resposta. Respondemos em até 15 dias úteis. Pedidos relativos à remoção de dados de sócios são tratados como prioritários (até 5 dias úteis).

Você também pode reclamar diretamente à Autoridade Nacional de Proteção de Dados (ANPD).

11. Mudanças nesta política

Esta Política pode ser atualizada periodicamente pra refletir mudanças no produto, legislação ou práticas internas. Mudanças materiais são comunicadas por email pra todos os usuários ativos com pelo menos 30 dias de antecedência.

Você pode consultar o histórico completo de versões em leadsink.app/legal/historico.