Guuh Analytics
Produtos GIA Magic Finance Consultoria SAP Blog Sobre
Falar com a Guuh
Produtos GIA Magic Finance Consultoria SAP Blog Sobre Contato Falar com a Guuh →
Início › Documentos legais › Política de Privacidade

Política de Privacidade

Como tratamos seus dados, conforme a LGPD.

Versão 1.2 · Documento revisado periodicamente
Política de CookiesExerça seus DireitosAviso de Uso de Inteligência ArtificialTermos de UsoPolítica de PrivacidadeSub-processadores

Política de Privacidade — Guuh Analytics

Versão: 1.2 (v1.2, 09/06/2026 — §2.9: integração com o Google Calendar e cláusula de Uso Limitado dos dados do Google; ajuste de redação no §3. v1.1, 03/06/2026 — §2.4 e §5: inclusão da via de infraestrutura própria de WhatsApp da GIA e da Hetzner Online GmbH como operadora) Publicação: 27 de maio de 2026

Esta Política descreve como a Guuh Analytics (“nós”, “Guuh”) coleta, utiliza, armazena, compartilha e protege dados pessoais dos usuários (“você”, “titular”) dos serviços disponibilizados em guuhanalytics.com.br e seus subdomínios (coletivamente o “Serviço”), em conformidade com a Lei Geral de Proteção de Dados Pessoais — LGPD (Lei nº 13.709/2018), o Marco Civil da Internet (Lei nº 12.965/2014) e o Código de Defesa do Consumidor (Lei nº 8.078/1990).

Ao utilizar o Serviço, você manifesta ciência e concordância com esta Política. Se não concordar, não utilize o Serviço.


1. Controlador e Encarregado (DPO)

Controlador dos dados pessoais (art. 5º, VI, LGPD): Gustavo Henrique Concheto Sistemas e Informática Ltda. (nome fantasia: Guuh Analytics) CNPJ: 36.472.608/0001-66 Endereço: Rua Carlos Caseli, 147 — Jardim Vera Regina — Campo Limpo Paulista/SP — CEP 13.236-340 E-mail: [email protected]

Encarregado pelo Tratamento de Dados Pessoais — DPO (art. 41 LGPD): Nome: Gustavo Henrique Concheto E-mail: [email protected]

O Encarregado é o canal de comunicação entre a Guuh, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD).

Independência funcional do Encarregado. A Guuh é uma empresa enxuta e o Encarregado é também sócio-fundador. Reconhecemos o potencial conflito de interesses entre decisões comerciais e recomendações de proteção de dados. Mitigamos esse risco com (i) registro escrito das decisões do Encarregado em pareceres internos, (ii) submissão das decisões mais sensíveis a parecer jurídico externo, e (iii) revisão anual desta Política e demais documentos legais por profissional jurídico independente.


2. Dados que coletamos

Os dados pessoais tratados variam conforme o produto e o ponto de contato.

2.1 Quando você visita o site institucional

Coletamos automaticamente, por requisição HTTP:

  • Endereço IP (com último octeto anonimizado antes de qualquer processamento analítico);
  • Tipo e versão do navegador (user-agent);
  • Páginas visitadas, horário, referrer (página de origem);
  • Cookies — listados na Política de Cookies.

2.2 Cadastro e conta

No cadastro de qualquer produto coletamos:

  • Nome completo;
  • E-mail;
  • CPF (para prevenção de fraude e multi-conta — Magic Finance e GIA);
  • Senha (armazenada apenas como hash — não temos acesso ao texto plano);
  • Telefone (opcional, para 2FA e notificações);
  • Aceite expresso de Termos, Privacidade e Aviso de IA.

2.3 Magic Finance — dados financeiros do Usuário

Quando você usa o Magic Finance, são tratados os dados que você mesmo insere ou importa, incluindo:

  • Lançamentos financeiros (data, descrição, valor, categoria);
  • Saldo de contas e cartões (declarado pelo Usuário, não obtido por Open Finance);
  • Faturas em PDF (anexadas pelo Usuário para extração assistida por IA);
  • Anotações livres;
  • Metas e caixinhas (reservas com objetivo).

Não acessamos seu banco, não temos integração de Open Finance e não exigimos senha bancária.

2.4 GIA — dados do Contratante (admin)

Quando você contrata a GIA, são tratados:

  • Dados de cadastro (vide §2.2);
  • Razão social, CNPJ, endereço comercial do negócio;
  • Base de conhecimento sobre o negócio (produtos, preços, FAQ, políticas, tom de voz, regras de transferência) — fornecida pelo Contratante;
  • Número de WhatsApp Business conectado e identificadores técnicos do canal — na via oficial da Meta: WABA ID e Phone Number ID; na via de infraestrutura própria da Guuh: identificador da instância de conexão e dados de sessão do WhatsApp;
  • Dados dos atendentes humanos da equipe (nome, e-mail, telefone), cadastrados pelo Contratante;
  • Métricas de uso do painel (logins, ações realizadas).

2.5 GIA — dados dos clientes finais do Contratante (terceiros)

Quando um cliente final do Contratante envia mensagem ao número WhatsApp do Contratante e a Gia responde, são processados:

  • Número de WhatsApp do cliente final;
  • Nome de perfil do WhatsApp (quando disponibilizado por ele);
  • Conteúdo das mensagens trocadas (texto, áudio transcrito, imagem em casos de orçamento);
  • Metadados (horário, status de entrega/leitura);
  • Resumo estruturado do lead gerado (campos como produto/serviço de interesse, endereço, urgência — quando o cliente final informa).

Nesse fluxo, o Contratante é o controlador dos dados dos seus clientes finais (art. 5º, VI da LGPD), e a Guuh atua como operadora (art. 5º, VII), processando os dados exclusivamente para a prestação do Serviço, conforme instruções do Contratante materializadas na configuração da Gia.

2.6 Pagamento

Coletamos dados mínimos para cobrança via AbacatePay: nome, CPF, e-mail, token opaco do meio de pagamento. Não armazenamos PAN, CVV ou dados completos do cartão — esses ficam no AbacatePay e no adquirente.

2.7 Anti-fraude

Em fluxos de autenticação (cadastro, login, recuperação), utilizamos o Cloudflare Turnstile para verificação humana automatizada. Os dados processados pelo Turnstile (fingerprint do navegador, padrão de interação) têm finalidade exclusiva de prevenção de fraude e abuso, com base no legítimo interesse (art. 7º, IX da LGPD).

2.8 Comunicação direta

Quando você nos contata por e-mail, WhatsApp ou formulário, tratamos o conteúdo da mensagem e os dados identificadores que você fornecer, para responder à demanda e manter histórico de atendimento.

2.9 GIA — Integração com o Google Calendar (dados do Google)

Quando o Contratante opta por conectar a própria Agenda do Google à GIA, acessamos — mediante autorização via Google OAuth e somente sobre a conta que concede o acesso — os seguintes dados do Google do Contratante:

  • A lista de agendas do usuário (para ele escolher a agenda de destino);
  • Os eventos da agenda escolhida (criar, ler, atualizar e excluir os compromissos agendados pela Gia ou pela equipe);
  • A disponibilidade livre/ocupado (free/busy), para evitar marcar em cima de compromissos já existentes.

Uso limitado (Limited Use). Esses dados do Google são utilizados exclusivamente para fornecer e melhorar essas funcionalidades de agenda ao próprio usuário que concedeu o acesso. Não os usamos para publicidade, não os vendemos nem transferimos a terceiros, e não os utilizamos para treinar modelos de inteligência artificial. O uso da informação obtida do Google adere à Política de Dados de Usuário dos Serviços de API do Google, incluindo os requisitos de Uso Limitado (Limited Use).

Armazenamento e revogação. Os tokens de acesso do Google são armazenados de forma criptografada. O Contratante pode revogar o acesso a qualquer momento desconectando o Google Calendar no painel da GIA, o que elimina os tokens armazenados e cessa a sincronização; e também pela página de permissões da sua Conta Google (myaccount.google.com → Segurança → Acesso de terceiros).


3. Finalidades do tratamento

Os dados pessoais são tratados para:

Categoria de dadoFinalidades
CadastroCriar e manter sua conta, autenticar acesso, comunicar mudanças no Serviço
Magic Finance — financeiros do UsuárioOperar funcionalidades de organização, categorização, projeções, relatórios, importação de extratos e faturas, alimentar a IA assistente
GIA — ContratanteOperar painel, treinar a base de conhecimento da Gia com o conteúdo que o próprio Contratante fornece (produtos, preços, FAQ — nunca com dados do Google Calendar), gerenciar atendentes, gerar relatórios
GIA — clientes finaisOperar o atendimento automatizado (Gia respondendo), gerar leads para o Contratante, executar handoff humano
PagamentoProcessar cobranças, prevenir inadimplência, emitir nota fiscal
Anti-fraudePrevenir bots, fraude, multi-conta, credential stuffing
Métricas e analyticsMedir uso do Serviço, melhorar UX, dimensionar infraestrutura (com consentimento, no caso de GA4)
AtendimentoResponder dúvidas, registrar histórico de suporte
Cumprimento legalAtender determinações judiciais, autoridades, obrigações tributárias

4. Bases legais

Identificamos para cada finalidade a base legal aplicável da LGPD:

  • Execução de contrato (art. 7º, V): operar todos os recursos contratados, processar pagamento, oferecer suporte;
  • Cumprimento de obrigação legal ou regulatória (art. 7º, II): conservação de logs de acesso pelo Marco Civil, emissão de notas fiscais, atendimento à ANPD e autoridades;
  • Legítimo interesse (art. 7º, IX): prevenção de fraude (Cloudflare Turnstile), segurança da plataforma, defesa em processos;
  • Consentimento (art. 7º, I): cookies não essenciais (analytics, publicidade), comunicações de marketing opt-in, IA assistente quando exigir conteúdo sensível para responder;
  • Proteção do crédito (art. 7º, X): cobrança e gestão de inadimplência;
  • Tratamento por operador (art. 39): no caso da GIA, a Guuh atua como operadora para o Contratante, sob suas instruções, com base legal informada pelo Contratante para os dados dos clientes finais.

5. Compartilhamento — sub-processadores

A Guuh compartilha dados pessoais apenas com operadores (sub-processadores) estritamente necessários à prestação do Serviço, com Contrato de Tratamento de Dados (DPA) assinado. A lista completa, com finalidades, localização e bases legais para transferência internacional, está em Sub-processadores.

Resumo dos principais:

  • Locaweb (Brasil): hospedagem do site Astro e do app Laravel/MySQL do Magic Finance;
  • Hetzner Online GmbH (Alemanha/UE — GDPR): hospedagem do app Node/Postgres da GIA, em servidor dedicado orquestrado via Coolify;
  • Cloudflare Inc. (EUA com CPS): CDN, WAF e Turnstile (anti-fraude);
  • Google LLC — Vertex AI (EUA com CPS): inferência de IA para Magic Finance e GIA;
  • Meta Platforms, Inc. (EUA com CPS): WhatsApp Business Platform — Cloud API, para o tráfego de mensagens da GIA na via oficial;
  • Hetzner Online GmbH (Alemanha/UE — GDPR): servidor dedicado da infraestrutura própria de WhatsApp da GIA, para o tráfego de mensagens quando o Contratante usa essa via (alternativa à Cloud API da Meta);
  • AbacatePay (Brasil): processamento de pagamento;
  • Google LLC — OAuth (EUA com CPS): login social, quando opcionalmente utilizado;
  • Google LLC — Analytics 4 e Ads (EUA com CPS): medição de tráfego e atribuição de campanhas pagas, com consentimento explícito (Consent Mode v2 em denied por padrão).

Não vendemos dados pessoais a terceiros, sob nenhuma hipótese.


6. Transferência internacional

Alguns operadores acima processam dados fora do Brasil (EUA e União Europeia). Para essas transferências aplicamos:

  • Cláusulas-padrão contratuais (CPS) aprovadas pela ANPD por meio da Resolução CD/ANPD nº 19/2024 (art. 33, II da LGPD); e/ou
  • Consentimento expresso do titular, quando aplicável (art. 33, VIII).

Os DPAs e CPS vigentes estão disponíveis para consulta mediante solicitação ao DPO.


7. Retenção

Dados pessoais são mantidos pelo tempo estritamente necessário ao cumprimento da finalidade e às obrigações legais aplicáveis.

CategoriaPrazo de retenção
Conta ativaenquanto ativa
Dados financeiros do Magic Finance5 anos após o encerramento da conta (LGPD art. 16, II — defesa em processos + Decreto 8.771/2016)
Dados da GIA — Contratante5 anos após encerramento da conta (mesma fundamentação)
Dados da GIA — clientes finais (mensagens)24 (vinte e quatro) meses após a última interação, salvo se o Contratante exportar/excluir antes (operação do Serviço pelo Contratante, como controlador)
Logs de acesso (IP, user-agent)6 meses (Marco Civil da Internet, art. 15)
Comunicações de suporte5 anos (defesa em processos)
Faturas e dados de cobrança5 anos (obrigação fiscal)
Dados de IA — prompts e respostas para auditoria30 dias

Após o prazo, os dados são eliminados ou anonimizados de forma irreversível, salvo retenção determinada por autoridade competente.


8. Direitos do titular (LGPD art. 18)

Você tem o direito de:

  • Confirmar a existência de tratamento;
  • Acessar seus dados;
  • Corrigir dados incompletos, inexatos ou desatualizados;
  • Solicitar anonimização, bloqueio ou eliminação;
  • Solicitar portabilidade em formato estruturado e legível por máquina;
  • Eliminar dados tratados com base em consentimento;
  • Obter informação sobre compartilhamento;
  • Revogar consentimento;
  • Opor-se a tratamento por legítimo interesse;
  • Solicitar revisão de decisões automatizadas que afetem seus interesses (art. 20).

Para exercer qualquer direito, consulte Exerça seus Direitos ou escreva a [email protected]. O prazo de resposta é de até 15 (quinze) dias, conforme art. 19, II da LGPD.


9. Decisões automatizadas (art. 20 LGPD)

O Serviço utiliza IA para funções específicas (descritas no Aviso de Uso de IA). Em geral, a IA assiste — não decide sozinha sobre direitos ou interesses dos Usuários ou de seus clientes finais.

Caso decisão automatizada afete seus interesses (por exemplo, classificação automática de transação como suspeita em prevenção de fraude no Magic Finance), o titular tem direito à revisão por pessoa natural, mediante pedido ao DPO, com explicação dos critérios adotados.


10. Segurança da informação

Adotamos medidas técnicas e organizacionais para proteger os dados:

  • Criptografia em trânsito (HTTPS/TLS 1.2+) e em repouso (banco e backups);
  • Hash de senhas (bcrypt cost ≥ 12);
  • Controle de acesso por privilégio mínimo, com logs;
  • Autenticação multifator (2FA) opcional para Usuários, obrigatória para a equipe interna;
  • Webhook signing (HMAC-SHA256) em integrações sensíveis (WhatsApp, AbacatePay);
  • Cloudflare WAF + Turnstile anti-fraude;
  • Backups automáticos diários, com restauração testada trimestralmente;
  • Política de gestão de incidentes: comunicação ao titular e à ANPD em até 72 horas após confirmação de incidente com risco significativo (LGPD art. 48).

Nenhum sistema é completamente imune a falhas. Em caso de incidente relevante, comunicaremos os titulares afetados e a ANPD nos termos da lei.


11. Cookies

O uso de cookies e tecnologias correlatas está disciplinado na Política de Cookies.


12. Crianças e adolescentes

O Serviço não é direcionado a menores de 18 anos. Não coletamos intencionalmente dados de crianças e adolescentes. Caso identifiquemos tal coleta, eliminaremos os dados imediatamente.


13. Comunicações de marketing

Eventuais comunicações de marketing dependem de consentimento opt-in e podem ser revogadas a qualquer momento pelo link de descadastramento no rodapé do e-mail ou por solicitação ao DPO.

Comunicações transacionais (cobrança, recuperação de senha, mudança material de Termos/Política) não dependem de consentimento e não podem ser descadastradas enquanto a conta estiver ativa.


14. Alterações nesta Política

Alterações materiais serão comunicadas por e-mail aos Usuários ativos e por banner no painel do produto com antecedência mínima de 30 dias. Alterações redacionais (sem mudança de direitos) são aplicadas imediatamente, com atualização da data e versão no topo.

Recomendamos consulta periódica a esta página.


15. Lei aplicável e foro

Esta Política rege-se pela legislação brasileira. Fica eleito o foro da Comarca de Campo Limpo Paulista — SP, ressalvado o foro do domicílio do consumidor pessoa física, quando aplicável (art. 101, I do CDC).


16. Contato

  • DPO: [email protected]
  • Suporte: [email protected]
  • WhatsApp: 11 98124-3246
  • Formulário: /contato
  • ANPD: gov.br/anpd — caso queira apresentar reclamação à autoridade.

Precisa exercer seus direitos LGPD? Veja como aqui.

Dúvidas específicas sobre privacidade: [email protected]

Guuh. Analytics

Uma fábrica de aplicações e agentes de IA pra problemas reais do dia a dia.

Produtos

  • Magic Finance
  • GIA · Atendente WhatsApp
  • Acessar Magic Finance
  • Começar grátis

Empresa

  • Sobre a Guuh
  • Blog
  • Contato

Contato

  • [email protected]
  • WhatsApp · 11 98124-3246
  • Formulário

Documentos legais

  • Termos de Uso
  • Política de Privacidade
  • Política de Cookies
  • Aviso de Uso de IA
  • Exerça seus Direitos (LGPD)
  • Sub-processadores
© 2026 Guuh Analytics — todos os direitos reservados Termos · Privacidade · LGPD

Cookies neste site

Usamos cookies essenciais para o funcionamento (sessão, segurança). Também usamos Google Analytics e Google Ads para medir tráfego e atribuir conversões de campanhas pagas — esses dependem do seu consentimento. Saiba mais · Privacidade

Quer ver a Gia atendendo de verdade? Chama ela 😉

Atendimento por IA — com humanos a um pedido de distância.