Política de Privacidade
Última atualização: 17 de maio de 2026
Resumo
- Coletamos email + URL que você nos envia + IP + user-agent da requisição. Nada mais é coletado de você.
- Este site usa SysWP Radar para contar acessos. Sem cookies, sem PII, sem rastreamento entre sites.
- Compartilhamos dados com Resend (email), OpenRouter (análise IA) e Browserless (renderização de páginas) — apenas o necessário para entregar o scan.
- Para excluir, corrigir ou baixar seus dados: dpo@auditto.pro — respondemos em até 15 dias.
1. Quem somos
Auditto é uma marca operada pela SysWP — verificador
independente de conformidade LGPD/GDPR/CCPA para sites. Operamos
auditto.pro e auditto.syswp.com.br
e seus subdomínios (api.auditto.pro,
app.auditto.pro).
Encarregado pelo Tratamento de Dados (DPO): dpo@auditto.pro. Endereço físico e CNPJ disponíveis sob solicitação para titulares que exerçam direitos LGPD.
2. Dados que coletamos
2.1 Quando você submete um scan grátis
- URL do site que você quer escanear.
- Seu email (para enviar o link do relatório).
- Endereço IP e user-agent da requisição (anti-fraude, anti-abuso).
- Timestamp do consentimento (registramos quando você marcou a caixa de aceite).
2.2 Dados gerados pelo scan
Para cumprir o serviço, executamos requisições HTTP públicas ao site que você submeteu e armazenamos: requisições de rede observadas, cookies setados, texto público da política de privacidade, findings de conformidade gerados e plano de ação. Estes dados não são pessoais seus — são metadados sobre o site escaneado.
2.3 Analytics de visita (SysWP Radar)
Este site usa SysWP Radar (radar.syswp.com.br),
ferramenta de analytics first-party do nosso próprio grupo SysWP. O Radar registra apenas:
- URL acessada
- Referer (de onde você veio)
- User-agent (tipo de navegador, sem identificação pessoal)
- País aproximado (via IP, depois descartado)
O que Radar NÃO faz: não usa cookies, não usa fingerprinting do dispositivo, não rastreia entre sites, não vincula visitas a identidade pessoal, não compartilha dados com nenhum terceiro fora do grupo SysWP. Os dados ficam hospedados no Brasil.
3. Para que usamos seus dados
| Finalidade | Base legal LGPD |
|---|---|
| Executar o scan que você solicitou | Execução de contrato (art. 7º, V) |
| Enviar o link do relatório por email | Execução de contrato (art. 7º, V) |
| Exibir o relatório publicamente (free tier) | Consentimento (art. 7º, I) |
| Prevenir abuso (rate limit por IP/email) | Legítimo interesse (art. 7º, IX) |
| Medir tráfego do site (Radar) | Legítimo interesse (art. 7º, IX) |
| Cumprir obrigação legal | Cumprimento de obrigação legal (art. 7º, II) |
4. Com quem compartilhamos
Compartilhamos apenas o estritamente necessário para entregar o serviço. Cada fornecedor abaixo é um operador (LGPD art. 5º, VII) que processa dados em nosso nome, com contrato de processamento de dados (DPA) assinado.
SysWP Radar
BR · radar.syswp.com.brAnalytics first-party do grupo SysWP. Recebe URL acessada, referer, user-agent. Nenhum dado pessoal explícito. Hospedado no Brasil.
Resend
US · resend.comProvedor de email transacional. Recebe: seu email + corpo do email com link do relatório. Não usa para marketing próprio. Política de retenção do Resend: 30 dias para mensagens enviadas.
OpenRouter / Anthropic
US · openrouter.aiRoteador de modelos de IA para extrair fatos da política do site que você submeteu. Recebe: texto público da política do site escaneado (não seus dados pessoais). Configurado com data retention zero nos modelos Anthropic.
Browserless (self-hosted)
BR · browserless.syswp.onlineRenderização headless de páginas web (Chromium). Self-hospedado no nosso servidor BR. Não há transferência a terceiros nem retenção.
Não vendemos seus dados. Não compartilhamos com agências de publicidade, brokers de dados, redes sociais ou ferramentas de marketing analytics.
5. Transferências internacionais
Dois dos nossos operadores (Resend, OpenRouter) processam dados nos Estados Unidos. Conforme LGPD art. 33, a transferência ocorre sob as seguintes salvaguardas:
- Cláusulas contratuais padrão (Standard Contractual Clauses) com cada provedor.
- EUA é signatário do Data Privacy Framework (DPF) sucessor ao Privacy Shield.
- Volume mínimo: enviamos apenas o necessário para a finalidade declarada.
- Você consente com essa transferência ao submeter o scan grátis.
6. Cookies
Não usamos cookies. Nem essenciais, nem analytics, nem marketing. Verifique você mesmo nas ferramentas de desenvolvedor do seu navegador (F12 → Application → Cookies).
O Radar (item 2.3) é deliberadamente cookie-free. Quando você fizer login na app paga
(app.auditto.pro, a ser lançada), aí sim usaremos um cookie
de sessão estritamente necessário, com política específica.
7. Retenção
| Dado | Período |
|---|---|
| Relatórios de scan (público + privado) | 180 dias após o último acesso |
| Email do submitter | 24 meses após o último scan |
| Log de rate limit (IP) | 30 dias |
| Logs de erro do servidor | 90 dias |
| Métricas agregadas do Radar | indefinido (sem identificação) |
8. Seus direitos (LGPD art. 18)
Como titular dos dados, você tem direito a:
- Confirmar a existência de tratamento dos seus dados.
- Acessar os dados que mantemos sobre você.
- Corrigir dados incompletos, inexatos ou desatualizados.
- Anonimizar, bloquear ou eliminar dados desnecessários, excessivos ou tratados em desconformidade.
- Portar seus dados a outro fornecedor.
- Eliminar dados tratados com base em consentimento.
- Saber com quem compartilhamos seus dados.
- Revogar seu consentimento a qualquer momento.
- Apresentar petição à Autoridade Nacional de Proteção de Dados (ANPD).
Para exercer qualquer direito, escreva para dpo@auditto.pro. Respondemos em até 15 dias. Identifique-se com o email que você usou originalmente para evitar acesso indevido por terceiros.
9. Segurança
Conforme LGPD art. 46, aplicamos medidas técnicas adequadas:
- TLS 1.2+ em todas as conexões (HSTS preload).
- Hashing bcrypt em senhas de admin (não armazenamos senhas de usuários free).
- Isolamento de banco em VPC privada, acesso só via rede interna do projeto.
- Logs de acesso com retenção de 90 dias.
- Backup criptografado diário do banco.
- Headers de segurança: HSTS, CSP, X-Frame-Options DENY, Permissions-Policy restrita.
10. Crianças
Não direcionamos nossos serviços a menores de 13 anos. Se descobrirmos que coletamos dados de uma criança sem consentimento de responsável, apagamos imediatamente.
11. Alterações nesta política
Mudanças materiais (novos compartilhamentos, novos tipos de coleta, mudança em retenção) são comunicadas por email a usuários ativos com 30 dias de antecedência. Mudanças cosméticas (correção de redação, ajuste de link) são silenciosas. O campo "Última atualização" no topo desta página reflete sempre a versão atual.
12. Lei aplicável e foro
Esta política é regida pela Lei Geral de Proteção de Dados (Lei 13.709/2018), pelo Marco Civil da Internet (Lei 12.965/2014) e pelo Código de Defesa do Consumidor. Foro: comarca de São Paulo/SP, ressalvado o direito do consumidor de eleger foro de seu domicílio.
13. Contato
Encarregado pelo Tratamento de Dados (DPO): dpo@auditto.pro
Suporte geral: ola@auditto.pro
ANPD: caso prefira reportar diretamente,
gov.br/anpd
