Como o ClickVault bloqueia os cliques?

Nós nos integramos diretamente com a API oficial do Google Ads. Quando nosso sistema detecta um IP fraudulento, ele é automaticamente adicionado à lista de exclusão de IPs da sua campanha.

Preciso instalar algum código no meu site?

Sim, um script leve e assíncrono precisa ser instalado no seu site para analisar o comportamento do usuário e coletar os sinais necessários para o TrustScore.

O ClickVault pode bloquear clientes reais?

Não. O ClickVault oferece a Tag de Conversão que identifica quais IPs são de leads e clientes reais e os protege automaticamente.

Funciona para Facebook Ads ou outras redes?

Atualmente, nossa integração de bloqueio automático é exclusiva para Google Ads (Pesquisa, Display, Shopping e YouTube).

Como funciona o período de teste?

Você tem 14 dias para testar a plataforma completa, sem necessidade de cartão de crédito.

Política de Privacidade — ClickVault

Última atualização: 06 de março de 2026

Versão: 1.0

Controlador: 45.597.034 Jonh Wilian Mariano Catalunha CNPJ: 45.597.034/0001-43 Endereço: Rua Silvino Gregório Dias, 323, Centro, Divino das Laranjeiras — MGWebsite: clickvault.com.br

Sumário

Introdução e Escopo
Definições
Categorias de Titulares e Dados Coletados
Finalidades e Bases Legais do Tratamento
Coleta de Dados por Script de Proteção (t.js)
Cookies e Tecnologias de Rastreamento
Compartilhamento e Operadores de Dados
Transferência Internacional de Dados
Retenção e Eliminação de Dados
Segurança da Informação
Direitos dos Titulares
Inteligência Artificial e Decisões Automatizadas
Responsabilidades do Usuário Anunciante (Controlador)
Incidentes de Segurança
Encarregado de Proteção de Dados (DPO)
Registro de Atividades de Tratamento (ROPA)
Atualizações desta Política
Legislação Aplicável e Foro
Contato

1. Introdução e Escopo

A presente Política de Privacidade ("Política") descreve como a 45.597.034 Jonh Wilian Mariano Catalunha ("ClickVault", "nós", "nosso"), pessoa jurídica inscrita no CNPJ sob o n. 45.597.034/0001-43, com sede na Rua Silvino Gregório Dias, 323, Centro, Divino das Laranjeiras — MG,, realiza o tratamento de dados pessoais por meio da plataforma ClickVault, acessível em clickvault.com.br.

O ClickVault é uma plataforma SaaS (Software as a Service) de proteção contra fraude de cliques e gestão de tráfego para anúncios digitais, especialmente voltada a anunciantes do Google Ads. A plataforma detecta cliques fraudulentos, bloqueia automaticamente IPs suspeitos por meio da API do Google Ads e fornece inteligência de campanha baseada em dados.

Esta Política foi elaborada em conformidade com:

Lei Geral de Proteção de Dados Pessoais (LGPD) — Lei n. 13.709/2018, com as alterações da Lei n. 13.853/2019;
Marco Civil da Internet — Lei n. 12.965/2014;
Decreto n. 8.771/2016, que regulamenta o Marco Civil da Internet;
Código de Defesa do Consumidor — Lei n. 8.078/1990, no que couber.

1.1 Abrangência

Esta Política aplica-se a dois grupos distintos de titulares de dados:

Usuários Anunciantes — pessoas físicas ou jurídicas que se cadastram na plataforma ClickVault, conectam suas contas do Google Ads e utilizam os serviços de proteção e análise de tráfego.
Visitantes de Sites Protegidos — pessoas que acessam páginas de destino (landing pages) de anúncios protegidos pelo ClickVault. Esses visitantes não possuem relação direta com o ClickVault e seus dados são coletados exclusivamente para fins de detecção e prevenção de fraude.

1.2 Aceite

Ao criar uma conta no ClickVault ou utilizar nossos serviços, o Usuário Anunciante declara ter lido, compreendido e concordado com os termos desta Política. Os Visitantes de Sites Protegidos são informados sobre o tratamento de seus dados por meio desta Política, disponível publicamente, sendo o tratamento fundamentado na base legal do legítimo interesse para prevenção de fraudes.

2. Definições

Para fins desta Política, adotam-se as seguintes definições, em conformidade com o Art. 5 da LGPD:

Termo	Definição
Dado Pessoal	Informação relacionada a pessoa natural identificada ou identificável (Art. 5, I, LGPD).
Dado Pessoal Sensível	Dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural (Art. 5, II, LGPD). O ClickVault não coleta dados pessoais sensíveis.
Titular	Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento (Art. 5, V, LGPD).
Controlador	Pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais (Art. 5, VI, LGPD).
Operador	Pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador (Art. 5, VII, LGPD).
Encarregado (DPO)	Pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares dos dados e a Autoridade Nacional de Proteção de Dados — ANPD (Art. 5, VIII, LGPD).
Tratamento	Toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração (Art. 5, X, LGPD).
Anonimização	Utilização de meios técnicos razoáveis e disponíveis no momento do tratamento, por meio dos quais um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo (Art. 5, XI, LGPD).
ANPD	Autoridade Nacional de Proteção de Dados, órgão da administração pública responsável por zelar, implementar e fiscalizar o cumprimento da LGPD (Art. 5, XIX, LGPD).
Script de Proteção (t.js)	Código JavaScript instalado pelo Usuário Anunciante em suas páginas de destino, responsável por coletar dados técnicos do visitante para análise de fraude.
Fingerprint Hash	Identificador único gerado a partir de características técnicas do dispositivo do visitante, processado por meio de função hash SHA-256 irreversível, sem armazenamento do dado bruto original.
Fraud Score	Pontuação numérica atribuída automaticamente a cada visita, indicando a probabilidade de o clique ser fraudulento, com base em parâmetros técnicos objetivos.

3. Categorias de Titulares e Dados Coletados

O ClickVault trata dados pessoais de duas categorias distintas de titulares, cada qual com finalidades, bases legais e papéis diferentes.

3.1 Usuários Anunciantes (Categoria 1)

São as pessoas físicas ou representantes de pessoas jurídicas que criam conta na plataforma ClickVault para utilizar os serviços de proteção de tráfego.

Relação jurídica: Controlador (ClickVault) — Controlador (Usuário Anunciante). O ClickVault é controlador independente dos dados do Usuário Anunciante, que utiliza a plataforma por sua própria vontade e mediante aceite dos termos.

Dados coletados:

Categoria	Dados Específicos	Obrigatoriedade	Fonte
Identificação	Nome completo, endereço de e-mail	Obrigatório	Cadastro direto
Organização	Nome da empresa	Opcional	Cadastro direto
Preferências	Idioma, tema visual, configurações de dashboard	Automático	Uso da plataforma
Autenticação	Hash da senha (bcrypt), tokens de sessão	Obrigatório	Cadastro / Login
Conexão Google Ads	ID da conta Google Ads, tokens OAuth 2.0 (criptografados AES-256)	Obrigatório para uso do serviço	Autorização OAuth
Pagamento	Referência de cliente Stripe (customer_id), histórico de transações, plano ativo	Obrigatório para planos pagos	Stripe
Logs de atividade	Ações realizadas na plataforma, timestamps, IP de acesso	Automático	Uso da plataforma

Dados não coletados do Usuário Anunciante:

Dados de cartão de crédito ou débito (processados exclusivamente pelo Stripe, certificado PCI DSS Level 1);
Documentos pessoais (CPF, RG);
Dados pessoais sensíveis (Art. 11, LGPD).

3.2 Visitantes de Sites Protegidos (Categoria 2)

São as pessoas que clicam em anúncios do Google Ads de clientes ClickVault e acessam páginas de destino onde o script de proteção (t.js) está instalado. Esses visitantes não possuem conta no ClickVault e não interagem diretamente com a plataforma.

Relação jurídica: Controlador (Usuário Anunciante) — Operador (ClickVault). O Usuário Anunciante, ao instalar o script de proteção em seu site, atua como controlador dos dados dos visitantes. O ClickVault atua como operador, processando os dados exclusivamente conforme as instruções do controlador e para a finalidade específica de detecção e prevenção de fraude.

Dados coletados pelo script t.js:

Categoria	Dados Específicos	Método de Coleta
Rede	Endereço IP, provedor de internet (ISP), número do sistema autônomo (ASN), detecção de VPN/proxy	Requisição HTTP
Dispositivo	User Agent (navegador, sistema operacional, versão), fingerprint hash SHA-256	JavaScript client-side
Geolocalização	País e cidade (derivados do IP via banco MaxMind local)	Processamento server-side
Navegação	URL de referência (referrer), URL da página de destino	Requisição HTTP
Campanha	Parâmetro gclid (Google Click Identifier), parâmetros UTM	URL da página
Análise	Fraud Score (calculado automaticamente)	Processamento server-side

Dados não coletados dos Visitantes:

Nome, e-mail ou qualquer informação de identificação direta;
Dados de formulários preenchidos na página do anunciante;
Histórico de navegação além da página de destino;
Cookies — o script t.js não instala cookies no dispositivo do visitante;
Dados pessoais sensíveis (Art. 11, LGPD).

Tratamento de fingerprint: O fingerprint do dispositivo é calculado no navegador do visitante a partir de características técnicas (resolução de tela, fontes instaladas, configurações do navegador), convertido imediatamente em hash SHA-256 antes de qualquer transmissão. O ClickVault nunca armazena o fingerprint bruto — apenas o hash irreversível, que não permite a reconstrução das características originais do dispositivo.

4. Finalidades e Bases Legais do Tratamento

Em conformidade com os princípios da finalidade, adequação e necessidade (Art. 6, I, II e III, LGPD), o ClickVault trata dados pessoais exclusivamente para as finalidades abaixo, cada qual respaldada por base legal específica:

4.1 Tratamento de Dados de Usuários Anunciantes

Finalidade	Base Legal (Art. 7, LGPD)	Detalhamento
Criação e manutenção de conta	Execução de contrato (Art. 7, V)	Necessário para prestação do serviço contratado.
Autenticação e segurança de acesso	Execução de contrato (Art. 7, V)	Garantir que apenas o titular acesse sua conta.
Conexão com Google Ads	Execução de contrato (Art. 7, V)	Funcionalidade essencial do serviço: leitura de campanhas e bloqueio de IPs fraudulentos.
Processamento de pagamentos	Execução de contrato (Art. 7, V)	Cobrança pelos serviços contratados, processada via Stripe.
Comunicações operacionais	Execução de contrato (Art. 7, V)	Notificações sobre o serviço, alertas de segurança, atualizações de status.
Suporte ao cliente	Execução de contrato (Art. 7, V)	Atendimento a solicitações, resolução de problemas técnicos.
Registro de auditoria	Legítimo interesse (Art. 7, IX) + Cumprimento de obrigação legal (Art. 7, II)	Registro de ações para segurança e conformidade.
Emissão de notas fiscais	Cumprimento de obrigação legal (Art. 7, II)	Obrigações fiscais e tributárias (Art. 173, CTN — retenção por 5 anos; legislação comercial — retenção por 10 anos).
Melhoria do serviço	Legítimo interesse (Art. 7, IX)	Análise agregada de uso para aprimoramento de funcionalidades, sem identificação individual.

4.2 Tratamento de Dados de Visitantes de Sites Protegidos

Finalidade	Base Legal (Art. 7, LGPD)	Detalhamento
Detecção de fraude em cliques	Legítimo interesse (Art. 7, IX)	Identificação de padrões de cliques fraudulentos que causam prejuízo financeiro direto ao anunciante. Teste de proporcionalidade realizado (Seção 4.3).
Bloqueio de IPs fraudulentos	Legítimo interesse (Art. 7, IX)	Ação automatizada de proteção, inserindo IPs na lista de exclusão do Google Ads.
Geração de Fraud Score	Legítimo interesse (Art. 7, IX)	Pontuação baseada em parâmetros técnicos objetivos, sem perfilamento comportamental.
Geolocalização por IP	Legítimo interesse (Art. 7, IX)	Identificação de origem geográfica para detecção de padrões anômalos (ex.: cliques de regiões sem relevância para a campanha).
Relatórios de tráfego	Legítimo interesse (Art. 7, IX)	Fornecimento de relatórios ao Usuário Anunciante sobre a qualidade do tráfego de suas campanhas.

4.3 Teste de Proporcionalidade — Legítimo Interesse (Art. 10, LGPD)

Para o tratamento de dados de Visitantes de Sites Protegidos com base no legítimo interesse, o ClickVault realizou o seguinte teste de balanceamento, conforme exigido pelo Art. 10 da LGPD:

Interesse legítimo identificado: Prevenção a fraude e proteção do patrimônio do Usuário Anunciante contra cliques fraudulentos em campanhas de publicidade digital. A fraude de cliques causa prejuízos financeiros diretos e mensuráveis, estimados em bilhões de dólares anuais no mercado global.

Necessidade: O tratamento dos dados técnicos listados (IP, User Agent, fingerprint hash, geolocalização) é estritamente necessário para identificar padrões de fraude. Não é possível detectar cliques fraudulentos sem analisar essas informações técnicas. Métodos menos invasivos (como CAPTCHAs) não são eficazes para detecção de fraude sofisticada e prejudicam a experiência do visitante legítimo.

Expectativa razoável do titular: Um visitante que clica em um anúncio publicitário possui a expectativa razoável de que o site de destino adote medidas de segurança, incluindo proteção contra fraudes. A coleta de dados técnicos para fins de segurança é prática padrão e amplamente aceita no mercado.

Salvaguardas implementadas:

Coleta limitada a dados técnicos — nenhum dado de identificação direta;
Fingerprint processado como hash irreversível (SHA-256) — impossibilidade de reconstrução;
Script não instala cookies no dispositivo do visitante;
Dados retidos por período limitado e configurável pelo anunciante;
Nenhum dado é compartilhado com terceiros para fins publicitários ou de marketing;
Nenhum perfilamento comportamental ou rastreamento entre sites.

Conclusão: Os direitos e liberdades fundamentais do titular não prevalecem sobre o interesse legítimo do controlador, considerando (i) a natureza exclusivamente técnica dos dados, (ii) a finalidade estrita de segurança e prevenção a fraude, (iii) as salvaguardas robustas implementadas, e (iv) a expectativa razoável do titular.

5. Coleta de Dados por Script de Proteção (t.js)

5.1 Funcionamento Técnico

O script de proteção t.js é um código JavaScript que o Usuário Anunciante instala voluntariamente em suas páginas de destino. Ao ser carregado no navegador do visitante, o script:

Coleta dados técnicos do dispositivo e da conexão do visitante (conforme Seção 3.2);
Calcula o fingerprint hash localmente no navegador, utilizando o algoritmo SHA-256;
Envia uma única requisição POST para os servidores do ClickVault contendo os dados coletados;
Não persiste nenhum dado no dispositivo do visitante — nenhum cookie, nenhum armazenamento local (localStorage/sessionStorage), nenhum pixel de rastreamento.

5.2 O que o Script NÃO Faz

Não instala cookies de nenhuma natureza;
Não rastreia o visitante em múltiplos sites ou sessões;
Não acessa dados de formulários, campos de texto ou informações inseridas pelo visitante;
Não intercepta eventos de interação do usuário (cliques em botões, scroll, etc.);
Não carrega scripts de terceiros;
Não executa mineração de criptomoedas ou qualquer processamento não relacionado à detecção de fraude;
Não transmite dados para redes de publicidade, brokers de dados ou quaisquer terceiros além do ClickVault.

5.3 Transparência

O código-fonte do script t.js pode ser inspecionado por qualquer visitante por meio das ferramentas de desenvolvedor do navegador. O script é servido a partir do domínio clickvault.com.br e não é ofuscado de forma a impedir sua auditoria técnica.

5.4 Responsabilidade do Usuário Anunciante

Conforme detalhado na Seção 13, o Usuário Anunciante é o controlador dos dados de seus visitantes e é responsável por:

Informar seus visitantes sobre a coleta de dados por meio de sua própria política de privacidade;
Garantir a existência de base legal para a coleta;
Atender solicitações de titulares relativas a dados coletados em seu site.

6. Cookies e Tecnologias de Rastreamento

6.1 Cookies Utilizados pela Plataforma ClickVault

A plataforma ClickVault utiliza exclusivamente cookies estritamente necessários para o funcionamento do serviço, conforme detalhado abaixo:

Nome do Cookie	Finalidade	Tipo	Duração	Atributos de Segurança
`sb-access-token`	Token JWT de sessão para autenticação do usuário	Estritamente necessário	Sessão (expira ao fechar o navegador ou após timeout de inatividade)	`HttpOnly`, `Secure`, `SameSite=Lax`
`sb-refresh-token`	Renovação automática da sessão sem necessidade de novo login	Estritamente necessário	7 dias	`HttpOnly`, `Secure`, `SameSite=Lax`

6.2 Cookies Não Utilizados

O ClickVault não utiliza:

Cookies de analytics ou medição de audiência (Google Analytics, Hotjar, etc.);
Cookies de marketing ou publicidade (Facebook Pixel, Google Ads remarketing, etc.);
Cookies de terceiros para qualquer finalidade;
Cookies de personalização ou preferências não essenciais;
Pixels de rastreamento ou web beacons.

6.3 Consentimento para Cookies

Por utilizar exclusivamente cookies estritamente necessários para a prestação do serviço contratado, o ClickVault não exibe banner de consentimento de cookies, em conformidade com o entendimento da ANPD de que cookies essenciais podem ser utilizados com base no Art. 7, V (execução de contrato) e Art. 7, IX (legítimo interesse) da LGPD, dispensando consentimento específico.

6.4 Script de Proteção e Cookies

Conforme detalhado na Seção 5, o script de proteção t.js não instala cookies de nenhuma natureza no dispositivo dos Visitantes de Sites Protegidos.

7. Compartilhamento e Operadores de Dados

O ClickVault compartilha dados pessoais exclusivamente com os operadores (subprocessadores) abaixo listados, todos vinculados por contratos que incluem cláusulas de proteção de dados, em conformidade com o Art. 39 da LGPD:

7.1 Operadores Contratados

Operador	Serviço	Dados Compartilhados	Localização	Salvaguardas
Supabase Inc.	Banco de dados, autenticação, armazenamento	Todos os dados de Usuários Anunciantes; dados de visitantes processados	AWS us-east-1 (Virginia, EUA)	DPA assinado; SCCs (Cláusulas Contratuais Padrão); criptografia em repouso; SOC 2 Type II
Vercel Inc.	Hospedagem da aplicação, edge network	Logs de requisição, IP de acesso	Global (primário EUA)	DPA assinado; SCCs; criptografia em trânsito e repouso
Stripe Inc.	Processamento de pagamentos	Referência de cliente (customer_id), dados de transação	EUA / UE	DPA assinado; PCI DSS Level 1; SCCs; ISO 27001
Google LLC	OAuth 2.0 (autenticação), Google Ads API (bloqueio de IPs)	Tokens OAuth (criptografados), ID da conta Google Ads, IPs a bloquear	EUA	DPA assinado; SCCs; ISO 27001; SOC 2
Resend Inc.	Envio de e-mails transacionais	Endereço de e-mail do destinatário, conteúdo do e-mail	Infraestrutura UE	Conformidade GDPR; DPA disponível
Upstash Inc.	Rate limiting (limitação de taxa de requisições)	Identificadores de requisição (IP hash)	Global	DPA disponível; dados efêmeros

7.2 Processadores Locais (Sem Transferência de Dados)

Processador	Serviço	Observação
MaxMind (GeoLite2)	Geolocalização por IP	Banco de dados executado localmente nos servidores do ClickVault. Nenhum dado é transmitido para a MaxMind. A consulta é feita integralmente server-side.

7.3 Inteligência Artificial

Processador	Serviço	Dados Enviados	Salvaguardas
Google (Gemini AI)	Inteligência de campanha e insights	Exclusivamente métricas agregadas e anonimizadas. Nenhum dado pessoal identificável (PII) é enviado.	DPA Google; dados não utilizados para treinamento de modelos; retenção temporária apenas para processamento.

7.4 Compartilhamento Não Realizado

O ClickVault não compartilha dados pessoais com:

Redes de publicidade ou plataformas de marketing;
Brokers de dados ou empresas de enriquecimento de dados;
Redes sociais para fins de publicidade;
Qualquer terceiro para finalidade diversa das descritas nesta Política;
Governos ou autoridades públicas, exceto quando exigido por lei, regulamento ou ordem judicial válida.

8. Transferência Internacional de Dados

8.1 Identificação das Transferências

Conforme o Art. 33 da LGPD, o ClickVault realiza transferência internacional de dados pessoais para os seguintes países:

País	Operador(es)	Dados Transferidos
Estados Unidos	Supabase (AWS us-east-1), Vercel, Stripe, Google	Dados de Usuários Anunciantes e dados de Visitantes processados
União Europeia	Resend, Stripe (operações europeias)	E-mails transacionais, dados de pagamento de clientes europeus

8.2 Mecanismos de Proteção

As transferências internacionais são realizadas com base nos seguintes mecanismos, conforme Art. 33 da LGPD:

Cláusulas Contratuais Padrão (SCCs) — Art. 33, II, "b": Todos os operadores internacionais possuem DPAs (Data Processing Agreements) que incorporam cláusulas-padrão de proteção de dados reconhecidas internacionalmente, em conformidade com as Cláusulas Contratuais Padrão da Comissão Europeia (decisão de adequação cruzada);
Necessidade contratual — Art. 33, V: A transferência é necessária para a execução do contrato celebrado entre o titular (Usuário Anunciante) e o controlador (ClickVault), uma vez que a infraestrutura tecnológica que viabiliza o serviço está hospedada nos Estados Unidos;
Proteção da vida ou da incolumidade física — Art. 33, VI: No que diz respeito à prevenção de fraudes, a transferência contribui para a proteção patrimonial do titular.

8.3 Garantias Adicionais

Criptografia em trânsito (TLS 1.2+) para todas as transferências;
Criptografia em repouso nos servidores de destino;
Controle de acesso restrito (princípio do menor privilégio);
Monitoramento contínuo de segurança pelos operadores;
Compromisso dos operadores de notificar incidentes de segurança.

8.4 Direitos dos Titulares em Relação à Transferência Internacional

O titular pode solicitar informações sobre as entidades públicas e privadas com as quais o ClickVault compartilhou seus dados, incluindo transferências internacionais, por meio do canal de contato indicado na Seção 19.

9. Retenção e Eliminação de Dados

9.1 Prazos de Retenção

O ClickVault adota prazos de retenção proporcionais à finalidade do tratamento, em conformidade com o princípio da necessidade (Art. 6, III, LGPD):

Tipo de Dado	Prazo de Retenção	Justificativa
Eventos de clique e logs de visita	Configurável pelo Usuário Anunciante: 30, 60, 90 ou 365 dias	Período necessário para análise de padrões e geração de relatórios. Eliminação automática (auto-purge) após o prazo.
Conta de Usuário Anunciante	Até a solicitação de exclusão + 90 dias de período de graça	Período de graça para recuperação de conta, após o qual os dados são eliminados definitivamente.
Logs de auditoria	1 (um) ano	Conformidade com boas práticas de segurança da informação e atendimento a possíveis requisições regulatórias ou judiciais.
Notas fiscais e registros financeiros	10 (dez) anos	Obrigação legal — Art. 173 do CTN (5 anos para fins tributários) e legislação comercial (Art. 1.194 do Código Civil).
Tokens OAuth do Google Ads	Até a revogação pelo Usuário Anunciante ou exclusão da conta	Necessário enquanto o serviço estiver ativo. Eliminados imediatamente após revogação.
Dados de sessão (cookies)	`sb-access-token`: sessão; `sb-refresh-token`: 7 dias	Estritamente necessário para autenticação.
Fingerprint hashes	Mesmo prazo dos eventos de clique (30-365 dias)	Vinculado ao propósito de detecção de fraude.

9.2 Eliminação de Dados

Ao término do prazo de retenção ou mediante solicitação do titular, os dados são:

Eliminados definitivamente dos bancos de dados primários;
Eliminados dos backups no próximo ciclo de rotação de backup (máximo 30 dias adicionais);
Impossibilitados de recuperação por meio de processos de sanitização de dados.

9.3 Exceções à Eliminação

Os dados poderão ser retidos além dos prazos indicados exclusivamente quando:

Houver obrigação legal ou regulatória que exija a retenção (Art. 16, I, LGPD);
Forem necessários para o exercício regular de direitos em processo judicial, administrativo ou arbitral (Art. 16, IV, LGPD);
O uso exclusivo do controlador se der com dados anonimizados (Art. 16, IV, LGPD).

10. Segurança da Informação

O ClickVault implementa medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, em conformidade com o Art. 46 da LGPD e o Art. 13 do Decreto 8.771/2016.

10.1 Medidas Técnicas

Medida	Implementação	Detalhe
Criptografia em trânsito	TLS 1.2+ (HTTPS)	Todas as comunicações entre cliente e servidor são criptografadas. Certificados gerenciados automaticamente.
Criptografia em repouso	AWS managed encryption (AES-256)	Dados armazenados nos servidores são criptografados pelo provedor de infraestrutura.
Criptografia de tokens OAuth	AES-256 via pgcrypto (PostgreSQL)	Tokens do Google Ads são criptografados em camada adicional no banco de dados, com chave gerenciada pelo ClickVault.
Row-Level Security (RLS)	Habilitado em todas as tabelas	Cada usuário acessa exclusivamente seus próprios dados. Políticas de segurança aplicadas no nível do banco de dados.
Controle de acesso (RBAC)	4 níveis de acesso (Owner, Admin, Member, Viewer)	Princípio do menor privilégio aplicado. Permissões granulares por funcionalidade.
Hash de fingerprint	SHA-256 irreversível	Fingerprint do dispositivo é convertido em hash antes da transmissão. O dado original nunca é armazenado ou reconstruível.
Cookies seguros	`HttpOnly`, `Secure`, `SameSite=Lax`	Cookies inacessíveis a JavaScript, transmitidos apenas via HTTPS, com proteção contra CSRF.
Validação de entrada	Zod (TypeScript)	Todas as entradas de usuários são validadas e sanitizadas antes do processamento, prevenindo injeção de SQL e XSS.
Rate limiting	Upstash (Redis)	Limitação de taxa de requisições para prevenção de ataques de força bruta e DDoS.
Trilha de auditoria	Registro automático	Todas as ações relevantes são registradas com timestamp, usuário e descrição da ação.

10.2 Medidas Administrativas

Política de senhas: Senhas armazenadas com hash bcrypt; exigência de complexidade mínima;
Princípio do menor privilégio: Acesso a dados e sistemas restrito ao mínimo necessário;
Revisão periódica de acessos: Verificação regular de permissões de acesso;
Atualização de dependências: Monitoramento e atualização de bibliotecas e frameworks para correção de vulnerabilidades;
Contratos com operadores: Todos os operadores estão vinculados por contratos que incluem cláusulas de proteção de dados e confidencialidade.

10.3 Conformidade com o Marco Civil da Internet

Em atenção ao Art. 13 do Decreto 8.771/2016, o ClickVault:

Mantém controle estrito sobre o acesso aos dados, com definição de responsabilidades e de funcionários que tenham possibilidade de acesso;
Utiliza mecanismos de autenticação de acesso aos registros;
Cria inventário detalhado dos acessos aos registros de conexão e de aplicações de internet;
Utiliza soluções de gestão de registros por meio de técnicas que garantam a inviolabilidade dos dados.

11. Direitos dos Titulares

O ClickVault assegura aos titulares de dados pessoais o exercício de todos os direitos previstos no Art. 18 da LGPD:

11.1 Direitos Implementados

Direito	Artigo LGPD	Status	Como Exercer
Confirmação de tratamento	Art. 18, I	Implementado	Solicitação via e-mail ao DPO
Acesso aos dados	Art. 18, II	Implementado	Painel da plataforma (Usuários) ou solicitação ao DPO
Correção de dados	Art. 18, III	Implementado	Painel da plataforma (Usuários) ou solicitação ao DPO
Anonimização, bloqueio ou eliminação	Art. 18, IV	Implementado	Solicitação via e-mail ao DPO
Portabilidade	Art. 18, V	Em implementação	Solicitação via e-mail ao DPO (exportação em formato JSON)
Eliminação dos dados	Art. 18, VI	Implementado	Exclusão de conta no painel ou solicitação ao DPO
Informação sobre compartilhamento	Art. 18, VII	Implementado	Descrito nesta Política (Seção 7) e mediante solicitação
Informação sobre consentimento	Art. 18, VIII	Implementado	Descrito nesta Política (Seção 4)
Revogação do consentimento	Art. 18, IX	Implementado	Revogação de acesso Google Ads no painel; exclusão de conta
Petição à ANPD	Art. 18, par. 1	Orientação fornecida	Informações de contato da ANPD disponibilizadas
Oposição ao tratamento	Art. 18, par. 2	Implementado	Solicitação via e-mail ao DPO

11.2 Como Exercer Seus Direitos

Usuários Anunciantes podem exercer a maioria dos seus direitos diretamente pelo painel da plataforma ClickVault:

Acessar e corrigir dados pessoais nas configurações da conta;
Revogar acesso ao Google Ads;
Excluir a conta e todos os dados associados;
Exportar dados (em implementação).

Para direitos que requerem atendimento manual ou para quaisquer esclarecimentos, o titular deve entrar em contato com o Encarregado de Proteção de Dados (DPO) por meio do e-mail clickvault.br@gmail.com, indicando:

Nome completo;
E-mail associado à conta (se aplicável);
Descrição do direito que deseja exercer;
Informações adicionais que facilitem a identificação do titular e dos dados.

Visitantes de Sites Protegidos devem exercer seus direitos junto ao Usuário Anunciante (controlador) cujo site visitaram. O ClickVault, na qualidade de operador, auxiliará o controlador no atendimento das solicitações. Caso o visitante não consiga identificar o controlador, poderá contatar o ClickVault no e-mail acima para orientação.

11.3 Prazos de Atendimento

Confirmação simplificada: Imediata, quando possível, ou em até 15 (quinze) dias úteis;
Declaração completa: Em até 15 (quinze) dias úteis, contados da solicitação, conforme Art. 19, II, LGPD;
Eliminação de dados: Em até 15 (quinze) dias úteis, exceto para dados sujeitos a retenção legal (Seção 9.3).

11.4 Verificação de Identidade

Para proteção do próprio titular, o ClickVault poderá solicitar informações adicionais para verificação de identidade antes de atender determinadas solicitações, especialmente aquelas que envolvam acesso, eliminação ou portabilidade de dados.

12. Inteligência Artificial e Decisões Automatizadas

12.1 Uso de Inteligência Artificial

O ClickVault utiliza inteligência artificial (Google Gemini) para fornecer insights e recomendações sobre campanhas de publicidade digital. O uso de IA é restrito a:

Análise de métricas agregadas e anonimizadas de campanhas;
Geração de recomendações de otimização;
Identificação de padrões em dados de tráfego.

Nenhum dado pessoal identificável (PII) é enviado ao sistema de IA. Os dados são previamente agregados e anonimizados antes do processamento.

12.2 Decisões Automatizadas

O ClickVault utiliza processos de decisão automatizada para:

Cálculo de Fraud Score: Pontuação numérica atribuída a cada visita com base em parâmetros técnicos objetivos (IP, User Agent, geolocalização, padrão de comportamento). A pontuação não envolve perfilamento comportamental, social ou psicológico — trata-se exclusivamente de análise técnica de indicadores de fraude.
Bloqueio automático de IPs: IPs que ultrapassam o limiar de Fraud Score definido pelo Usuário Anunciante são automaticamente adicionados à lista de exclusão do Google Ads.

12.3 Direito à Revisão (Art. 20, LGPD)

O titular tem direito a solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, conforme Art. 20 da LGPD.

Usuários Anunciantes: Podem ajustar os limiares de detecção e bloqueio, revisar individualmente os IPs bloqueados e reverter bloqueios manuais pelo painel da plataforma.

Visitantes de Sites Protegidos: Podem solicitar revisão por meio do Usuário Anunciante (controlador) ou diretamente ao ClickVault, que fornecerá informações claras sobre os critérios utilizados na decisão automatizada, respeitando o segredo comercial e industrial (Art. 20, par. 1, LGPD).

13. Responsabilidades do Usuário Anunciante (Controlador)

13.1 Papel do Usuário Anunciante

Ao instalar o script de proteção t.js em seu site e utilizar os serviços do ClickVault, o Usuário Anunciante atua como controlador dos dados pessoais dos visitantes de seu site. O ClickVault atua como operador, processando os dados exclusivamente conforme as instruções do controlador e para a finalidade de detecção e prevenção de fraude.

13.2 Obrigações do Usuário Anunciante

O Usuário Anunciante é responsável por:

Informar seus visitantes sobre a coleta de dados por meio do script de proteção, incluindo essa informação em sua própria política de privacidade;
Garantir base legal adequada para a coleta de dados dos visitantes. O ClickVault recomenda o uso do legítimo interesse (Art. 7, IX, LGPD) para fins de prevenção a fraude, porém a responsabilidade pela definição e documentação da base legal é do controlador;
Atender solicitações de titulares — os visitantes de seu site devem exercer seus direitos junto ao controlador (Usuário Anunciante). O ClickVault cooperará no atendimento dessas solicitações na qualidade de operador;
Definir prazos de retenção adequados para os dados de visita, configurando o período apropriado na plataforma;
Não utilizar os dados coletados para finalidades diversas da proteção contra fraude e análise de tráfego;
Cumprir a legislação de proteção de dados aplicável em sua jurisdição.

13.3 Acordo de Processamento de Dados (DPA)

Os Termos de Serviço do ClickVault incluem cláusulas que estabelecem as responsabilidades recíprocas entre controlador e operador, em conformidade com o Art. 39 da LGPD, incluindo:

Instruções para o tratamento;
Obrigação de confidencialidade;
Medidas de segurança;
Condições para subcontratação (subprocessadores);
Cooperação com o controlador;
Eliminação ou devolução de dados ao término do contrato;
Disponibilização de informações para auditoria.

14. Incidentes de Segurança

14.1 Definição

Constitui incidente de segurança qualquer evento adverso confirmado, relacionado à violação na segurança de dados pessoais, tais como acesso não autorizado, destruição acidental ou ilícita, perda, alteração, ou qualquer forma de tratamento inadequado ou ilícito, que possa acarretar risco ou dano relevante aos titulares (Art. 46, LGPD).

14.2 Procedimento de Notificação

Em conformidade com o Art. 48 da LGPD, o ClickVault adota o seguinte procedimento em caso de incidente de segurança:

Detecção e contenção — Identificação imediata do incidente, contenção do dano e preservação de evidências;
Avaliação de risco — Análise da natureza dos dados afetados, dos titulares impactados, do volume de dados e do potencial de dano;
Notificação à ANPD — Comunicação ao órgão regulador em prazo razoável, contendo:
- Descrição da natureza dos dados pessoais afetados;
- Informações sobre os titulares envolvidos;
- Indicação das medidas técnicas e de segurança utilizadas;
- Riscos relacionados ao incidente;
- Medidas adotadas para reverter ou mitigar os efeitos do prejuízo;
Notificação aos titulares — Comunicação aos titulares afetados, quando o incidente puder acarretar risco ou dano relevante, informando:
- A natureza do incidente;
- Os dados potencialmente comprometidos;
- As medidas de mitigação adotadas;
- Recomendações ao titular (ex.: alteração de senha).

14.3 Prazos

O ClickVault compromete-se a comunicar incidentes de segurança:

À ANPD: em até 72 (setenta e duas) horas após a confirmação do incidente, seguindo as melhores práticas internacionais;
Aos titulares afetados: simultaneamente ou em até 48 (quarenta e oito) horas após a comunicação à ANPD.

14.4 Incidentes em Operadores

Os operadores contratados pelo ClickVault (Seção 7) são contratualmente obrigados a notificar o ClickVault sobre incidentes de segurança que envolvam dados pessoais tratados em seu nome, em prazo não superior a 72 (setenta e duas) horas após a detecção.

15. Encarregado de Proteção de Dados (DPO)

Em conformidade com o Art. 41 da LGPD, o ClickVault indica o seguinte Encarregado de Proteção de Dados:

Campo	Informação
Nome	Jonh Wilian Mariano Catalunha
Cargo	Encarregado de Proteção de Dados (Data Protection Officer — DPO)
E-mail	clickvault.br@gmail.com
Telefone	(31) 99066-9062
WhatsApp	+55 33 99859-7870
Endereço	Rua Silvino Gregório Dias, 323, Centro, Divino das Laranjeiras — MG,

15.1 Atribuições do DPO

Conforme Art. 41, par. 2, da LGPD, o Encarregado é responsável por:

I. Aceitar reclamações e comunicações dos titulares, prestar esclarecimentos e adotar providências;

II. Receber comunicações da ANPD e adotar providências;

III. Orientar os funcionários e os contratados da entidade a respeito das práticas a serem tomadas em relação à proteção de dados pessoais;

IV. Executar as demais atribuições determinadas pelo controlador ou estabelecidas em normas complementares.

15.2 Disponibilidade

A identidade e as informações de contato do Encarregado são divulgadas publicamente nesta Política de Privacidade e no website do ClickVault, de forma clara e objetiva, preferencialmente no rodapé do site, conforme Art. 41 da LGPD.

16. Registro de Atividades de Tratamento (ROPA)

Em conformidade com o Art. 37 da LGPD, o ClickVault mantém registro das operações de tratamento de dados pessoais que realiza, contemplando:

16.1 Conteúdo do Registro

Finalidade do tratamento;
Descrição das categorias de titulares e de dados pessoais;
Categorias de destinatários;
Transferências internacionais;
Prazos de retenção;
Descrição das medidas de segurança.

16.2 Disponibilidade

O registro de atividades de tratamento pode ser solicitado pela ANPD a qualquer tempo. O ClickVault mantém esse registro atualizado e disponível para consulta.

16.3 Relatório de Impacto à Proteção de Dados (RIPD)

O ClickVault elaborou Relatório de Impacto à Proteção de Dados Pessoais (RIPD), conforme Art. 38 da LGPD, abordando as operações de tratamento que podem gerar riscos às liberdades civis e aos direitos fundamentais, especialmente:

Tratamento baseado em legítimo interesse (dados de visitantes);
Decisões automatizadas (Fraud Score e bloqueio de IPs);
Transferência internacional de dados.

O RIPD está disponível para consulta pela ANPD mediante solicitação formal.

17. Atualizações desta Política

17.1 Revisão Periódica

O ClickVault reserva-se o direito de atualizar esta Política de Privacidade a qualquer tempo, com o objetivo de adequá-la a novas exigências legais, regulatórias, jurisprudenciais, ou em decorrência de mudanças em nossos serviços, tecnologias ou práticas de tratamento de dados.

17.2 Notificação de Alterações

As alterações serão comunicadas aos Usuários Anunciantes por meio de:

Alterações substanciais: Notificação por e-mail e destaque na plataforma com pelo menos 15 (quinze) dias de antecedência;
Alterações não substanciais: Atualização da data de "Última atualização" no topo desta Política e publicação no site.

17.3 Continuidade do Uso

O uso continuado dos serviços do ClickVault após a notificação de alterações substanciais constitui aceite tácito das novas condições. Caso o Usuário Anunciante não concorde com as alterações, poderá encerrar sua conta a qualquer momento.

17.4 Histórico de Versões

Versão	Data	Descrição
1.0	06/03/2026	Versão inicial da Política de Privacidade

18. Legislação Aplicável e Foro

18.1 Legislação

Esta Política de Privacidade é regida e interpretada de acordo com as leis da República Federativa do Brasil, especialmente:

Lei n. 13.709/2018 (Lei Geral de Proteção de Dados Pessoais — LGPD);
Lei n. 13.853/2019 (Alterações à LGPD e criação da ANPD);
Lei n. 12.965/2014 (Marco Civil da Internet);
Decreto n. 8.771/2016 (Regulamentação do Marco Civil da Internet);
Lei n. 8.078/1990 (Código de Defesa do Consumidor), no que couber;
Regulamentos e orientações da ANPD, conforme publicados.

18.2 Resolução de Conflitos

Eventuais controvérsias relativas a esta Política serão, preferencialmente, solucionadas de forma amigável. Não sendo possível, o titular poderá:

Contatar o DPO (Seção 15) para tentativa de resolução administrativa;
Peticionar à ANPD (Art. 18, par. 1, LGPD) — www.gov.br/anpd;
Acionar o Procon de sua localidade;
Ingressar com ação judicial perante o foro competente.

18.3 Foro

Fica eleito o foro da Comarca de Governador Valadares — MG, com renúncia a qualquer outro, por mais privilegiado que seja, para dirimir quaisquer questões oriundas desta Política, sem prejuízo do foro do domicílio do consumidor, conforme Art. 101, I, do Código de Defesa do Consumidor.

19. Contato

Para quaisquer dúvidas, esclarecimentos, reclamações ou exercício de direitos relacionados a esta Política de Privacidade e ao tratamento de seus dados pessoais, entre em contato:

Canal	Informação
E-mail	clickvault.br@gmail.com
Telefone	(31) 99066-9062
WhatsApp	+55 33 99859-7870
Endereço	Rua Silvino Gregório Dias, 323, Centro, Divino das Laranjeiras — MG,
Horário de atendimento	Segunda a sexta-feira, das 9h às 18h (horário de Brasília)

19.1 Autoridade Nacional de Proteção de Dados (ANPD)

Caso o titular entenda que o tratamento de seus dados pessoais pelo ClickVault viola a legislação de proteção de dados, poderá apresentar reclamação diretamente à Autoridade Nacional de Proteção de Dados (ANPD):

Canal	Informação
Website	www.gov.br/anpd
E-mail	encarregado@anpd.gov.br
Peticionamento eletrônico	peticionamento.anpd.gov.br

ClickVault — Proteção Inteligente para seu Tráfego Digital.

45.597.034 Jonh Wilian Mariano Catalunha CNPJ: 45.597.034/0001-43 Divino das Laranjeiras — MG, Brasil

Documento atualizado em 06 de março de 2026.