Política de Privacidade

Última atualização: 2 de maio de 2026

O Monoid é construído sobre um único princípio: coletar apenas o necessário, minimizar identificadores imediatamente e evitar perfis de visitantes. Esta política explica quais dados processamos, por quê e como.

1. Quem somos

O Monoid é operado por Izac Cavalheiro (monoid@monoid.website), estabelecido no Brasil. Para dúvidas sobre esta política, entre em contato nesse endereço.

O Monoid não mantém atualmente um estabelecimento na UE, no Reino Unido ou no EEE, e não nomeou um representante nos termos do Art. 27 do RGPD ou do UK GDPR. Essa isenção se aplica porque o tratamento de dados de titulares da UE/RU/EEE não é em larga escala, não envolve categorias especiais de dados e não é suscetível de resultar em alto risco para as pessoas. Monitoramos mensalmente o volume de titulares de dados da UE/EEE tratados. Caso o tratamento supere consistentemente 5.000 titulares distintos da UE/EEE por mês calendário, nomeharemos um representante na UE nos termos do Art. 27 do RGPD (e, de forma separada, um representante no Reino Unido nos termos do Art. 27 do UK GDPR e um representante suíço nos termos do Art. 14 da nFADP) antes que esse limite seja mantido de forma sustentada.

2. Dados de visitantes que coletamos em seu nome

Quando visitantes carregam uma página em um site instrumentado pelo Monoid, o tracker JavaScript envia uma requisição de visualização contendo:

  • O ID do site configurado na tag do script
  • O caminho da página, como /pricing
  • O hostname de referência, quando disponível
  • A largura de tela reportada pelo navegador
  • Um código de país derivado de metadados aproximados da edge
  • Um tipo amplo de dispositivo derivado de uma correspondência de padrão de User-Agent e largura de tela aproximada
  • Um hash diário unidirecional usado apenas para contar visitantes únicos
  • Nomes de eventos personalizados e valores numéricos opcionais, quando seu site chama window.monoid('event', ...) ou ativa o rastreamento automático de interações
  • Duração da página em milissegundos em mudanças de rota ou ao sair da página, usada para calcular o tempo médio no site

O que não armazenamos: Endereços IP, User-Agent completos, cookies, impressões digitais de dispositivo, localização precisa ou identificadores persistentes de visitante entre dias.

O hash único de visitante é calculado como SHA-256(IP + User-Agent + SALT + YYYY-MM-DD). O componente de data significa que o hash muda a cada meia-noite UTC. O SALT secreto torna a reversão impraticável a partir das linhas de analytics armazenadas. O hash é usado como sinal de contagem diária, não como perfil persistente de visitante.

Quando o script opcional de rastreamento de erros (monoid-errors.js) está ativado, o Monoid também registra o tipo de erro JavaScript, o caminho do arquivo de script (sem a string de consulta) e o número da linha e da coluna. Nenhuma mensagem de erro, rastreamento de pilha ou conteúdo de variáveis é coletado.

3. Dados de conta que coletamos

Quando você cria ou usa uma conta Monoid, coletamos:

  • Seu endereço de e-mail (para login e e-mails transacionais)
  • Uma senha armazenada como hash unidirecional com salt se você se registrar com e-mail/senha
  • Identificadores do provedor OAuth se você usar login social (Google, GitHub, Microsoft ou Facebook, quando habilitados) — nunca recebemos suas senhas OAuth
  • Seus nomes de domínio registrados
  • Preferências do dashboard, como intervalos de data, tipos de gráfico e painéis visíveis
  • Tokens de redefinição de senha em formato de hash enquanto o link estiver válido
  • Mensagens de contato e suporte que você envia para nós
  • Informações de cobrança processadas inteiramente pelo Stripe — nunca vemos ou armazenamos números de cartão

4. Cookies e armazenamento

O script do tracker não usa cookies, localStorage nem sessionStorage.

O dashboard do Monoid usa um cookie de sessão httpOnly (user_token) para manter seu login por até 30 dias. Esses cookies são estritamente necessários para o aplicativo e não rastreiam você em outros sites.

5. Como usamos seus dados

  • Dados de visitantes — para fornecer analytics agregado no seu dashboard.
  • E-mail da conta — para enviar boas-vindas, ativação de site, redefinição de senha e comunicados de serviço.
  • Preferências do dashboard — para lembrar seu layout e configurações de gráficos.
  • Mensagens de contato e suporte — para responder às suas solicitações.
  • Dados de cobrança — para processar pagamentos via Stripe e cumprir requisitos de manutenção de registros financeiros.

Não usamos seus dados para publicidade, criação de perfis de visitantes ou qualquer finalidade além da operação do Serviço.

6. Compartilhamento de dados

Compartilhamos dados com:

  • Infraestrutura gerenciada de edge — coleta de dados e hospedagem do aplicativo.
  • Stripe — para processamento de pagamentos.
  • Resend — para entrega de e-mails transacionais e mensagens de contato/suporte.
  • Provedores OAuth — apenas quando você escolhe login social, para concluir a autenticação.

Não vendemos dados. Não compartilhamos dados com anunciantes, corretores de dados ou terceiros fora dos provedores necessários para operar o Monoid.

6a. Transferências internacionais de dados

Cloudflare, Stripe e Resend são empresas sediadas nos EUA. As transferências de dados pessoais para esses provedores são cobertas pelas Cláusulas Contratuais Padrão da UE (SCCs) e pelo Quadro de Privacidade de Dados UE–EUA, pelo Quadro Suíço–EUA (para residentes na Suíça) e pelo Acordo de Transferência Internacional de Dados do Reino Unido ou Adendo do Reino Unido às SCCs da UE (para residentes no Reino Unido). Você pode consultar os mecanismos de transferência de cada provedor: Cloudflare (cloudflare.com/trust-hub/gdpr/), Stripe (stripe.com/legal/dpa), Resend (resend.com/legal/dpa).

6b. Base legal para o tratamento

Tratamos dados pessoais com base nas seguintes fundamentações legais (Art. 6 do RGPD da UE/RU; Art. 6 da nFADP suíça):

  • Analytics de visitantes (hash, sem cookies, rotação diária) — Interesse legítimo (Art. 6(1)(f)): fornecer analytics de audiência com preservação de privacidade aos proprietários de sites é nosso serviço principal, e o design minimiza o impacto nos titulares de dados individuais.
  • Cadastro de conta e prestação do serviço — Execução de contrato (Art. 6(1)(b)).
  • E-mails transacionais — Execução de contrato (Art. 6(1)(b)).
  • Registros de cobrança — Obrigação legal (Art. 6(1)(c)): os regulamentos financeiros exigem a retenção de registros de pagamento.
  • Registros de segurança e dados de limite de taxa — Interesse legítimo (Art. 6(1)(f)): proteger a plataforma contra abuso e acesso não autorizado.

7. Retenção de dados

  • Dados de visualização de página e eventos personalizados — o dashboard suporta até 2 anos (730 dias) de histórico; linhas com mais de 730 dias são removidas pelo processo de limpeza.
  • Dados de conta, sites, preferências de dashboard, vínculos OAuth, cadastros pendentes, pageviews e eventos personalizados associados — removidos do banco ativo quando você exclui sua conta.
  • Tokens de redefinição de senha — válidos por 1 hora e excluídos ou invalidados quando substituídos ou usados.
  • Estado de login OAuth — válido por 10 minutos e excluído depois que o callback é processado.
  • Registros de cobrança — retidos conforme exigido pelos regulamentos financeiros aplicáveis (geralmente 7 anos).

8. Seus direitos

Dependendo de sua jurisdição, você pode ter o direito de:

  • Acessar os dados pessoais que mantemos sobre você
  • Corrigir dados imprecisos
  • Excluir sua conta e todos os dados associados
  • Exportar seus dados de analytics em formato estruturado
  • Objetar ao tratamento com base em interesses legítimos (Art. 21 RGPD / UK GDPR)
  • Registrar uma reclamação junto à autoridade supervisora nacional de proteção de dados

Para analytics de visitantes, fundamentamo-nos no Interesse Legítimo (Art. 6(1)(f)). Nossa Avaliação de Interesse Legítimo (LIA) aplica o teste de três etapas do EDPB: (1) Teste de finalidade — fornecer analytics de audiência com respeito à privacidade é um interesse legítimo tanto do Monoid quanto de seus clientes; (2) Teste de necessidade — cada campo armazenado (caminho da página, hostname do referrer, código de país, categoria de dispositivo, família de navegador, hash diário do visitante, data) é individualmente necessário e nada mais preciso é mantido; endereços IP e strings completas de User-Agent são usados apenas em memória e nunca gravados em armazenamento; (3) Teste de ponderação — o hash SHA-256 de rotação diária é praticamente irreversível sem acesso simultâneo ao IP do visitante, ao User-Agent e à nossa chave secreta; nenhum perfil entre dias é possível; sinais DNT são respeitados; nenhum cookie ou identificador persistente é definido no dispositivo do visitante. No balanço geral, o tratamento impõe risco mínimo aos indivíduos ao mesmo tempo em que habilita uma função essencial do serviço. Você pode solicitar uma cópia do documento LIA completo enviando um e-mail para monoid@monoid.website.

O script opcional de rastreamento de erros é coberto pela mesma avaliação: o valor error_file registrado contém apenas a origem e o caminho de um script — qualquer string de consulta, fragmento ou credenciais incorporadas são removidos tanto no navegador quanto novamente em nossos servidores — portanto ele se enquadra na mesma categoria minimizada, de nível de caminho, do campo de caminho existente. Ele não introduz cookies nem armazenamento no dispositivo, de modo que a posição do Monoid, livre de cookies e de banner de consentimento, permanece inalterada.

Residentes da UE/EEE podem contatar sua autoridade nacional de proteção de dados (lista em edpb.europa.eu). Residentes do Reino Unido podem contatar o ICO (ico.org.uk). Residentes suíços podem contatar o FDPIC (fdpic.ch). Para titulares de contas Monoid, você pode excluir sua conta e todos os dados diretamente na página de configurações da conta.

Para solicitações de acesso, correção, portabilidade ou objeção, envie um e-mail para monoid@monoid.website. Respondemos em 30 dias.

8b. Processamento automatizado e aplicação de limites do plano

O Monoid aplica automaticamente os limites do plano: se um site exceder sua cota mensal de visualizações de página, linhas adicionais não são registradas até o próximo período de faturamento. Essa decisão é tomada automaticamente com base na contagem agregada de visualizações de página da conta, não em qualquer perfil dos visitantes individuais do site. Não constitui uma decisão automatizada com efeitos jurídicos significativos sobre os titulares de dados no sentido do Art. 22 do RGPD ou do UK GDPR Art. 22. Se você usa dados analíticos do Monoid para tomar decisões automatizadas sobre seus próprios usuários, deve divulgar isso separadamente em sua própria política de privacidade.

9. Segurança

Todos os dados são transmitidos via HTTPS. As senhas nunca são armazenadas em texto simples; elas são armazenadas usando hashing de senha unidirecional com salt. Os cookies de sessão são httpOnly, e as chamadas autenticadas da API são restringidas por validações de origem. Registramos eventos relevantes de segurança, como falhas de login, redefinições de senha e confirmações de exclusão de conta.

10. Privacidade de crianças

O Serviço não é direcionado a crianças menores de 16 anos. Não coletamos dados de crianças intencionalmente. Se você acreditar que uma criança criou uma conta, entre em contato e a excluiremos prontamente.

11. Alterações nesta política

Alterações materiais serão comunicadas por e-mail com pelo menos 14 dias de antecedência. A data de "última atualização" acima sempre refletirá a versão atual.

12. Contato

Dúvidas sobre privacidade, solicitações de dados ou preocupações: monoid@monoid.website