Como tratamos seus dados.

Quem opera essa política.

Controlador dos dados. Level Tecnologia da Informação Ltda — CNPJ 64.685.768/0001-29 — com sede em São Paulo/SP. Em Fase 1, o Growth Club opera dentro do CNPJ da Level Tech (modelo de hospedagem operacional). Se houver spin-off futuro pra CNPJ próprio do Growth Club, os dados são transferidos com aviso prévio de 30 dias e direito de oposição.

Encarregado de proteção de dados (DPO). Henrique Caner — dpo@growthclub.pro. Resposta padrão em até 15 dias úteis.

A quem aplica. Esta política alcança quem se inscreve na newsletter, navega no site, preenche formulários, participa da WhatsApp Community ou compra ingresso de meetup/workshop. Princípios norteadores: minimização (só o necessário), finalidade explícita, transparência radical sobre fluxo de dado.

O que a gente coleta.

De cadastro voluntário. Nome, email, telefone (opcional pra newsletter, obrigatório pra Community), LinkedIn URL, data de nascimento (opcional), cargo, empresa, área de atuação, descrição do trabalho. Tudo informado pelo titular no formulário de candidatura.

De navegação automática. Endereço IP, user agent (navegador + sistema operacional + idioma), páginas visitadas, tempo de sessão, fonte de tráfego (referrer), data e hora de acesso. Coletados via servidor Cloudflare e via tags de analytics no navegador (Google Analytics 4, Meta Pixel).

De interação editorial. Histórico de aberturas e cliques na newsletter (via Substack), histórico de mensagens enviadas pelo Growth Club via WhatsApp (não as mensagens entre membros — essas ficam só no servidor do WhatsApp/Meta).

De transação. Quando há produto pago (meetup ou workshop), processamos nome completo, CPF/CNPJ, endereço de cobrança e dados pra emissão de nota fiscal. Dados do cartão (número, CVV, validade) nunca passam pelos servidores do Growth Club — são tokenizados direto pelo gateway terceiro.

O que a gente NÃO coleta. Dados sensíveis (origem racial, religião, opinião política, saúde, vida sexual, dados genéticos ou biométricos), dados de menores de 18 anos, geolocalização precisa, dados de dispositivos vinculados (cross-device tracking ativo), histórico de navegação fora do nosso site.

Pra que a gente usa.

Cada finalidade tem base legal específica (detalhe em /lgpd):

Envio de newsletter editorial. Base: consentimento. Conteúdo quinzenal com case real + benchmark + link comentado. Você pode descadastrar em 1 clique no rodapé de qualquer email.

Comunicação sobre meetups e eventos. Base: consentimento (cadastro) ou execução de contrato (quem comprou ingresso). Confirmação de inscrição, logística do dia, gravação pós-evento, pesquisa de satisfação.

Operação da WhatsApp Community. Base: consentimento. Convite controlado, moderação editorial, mensagens administrativas (anúncios, mudanças de subgrupo).

Análise agregada de audiência. Base: legítimo interesse. Métricas de tráfego, fonte, tempo de leitura, taxa de abertura de newsletter — tudo em modo agregado, sem identificação individual. Usado pra decidir pauta e melhorar UX.

Atendimento de solicitação direta. Base: legítimo interesse e execução de contrato. Resposta a email de contato, suporte sobre meetup, atendimento DPO.

Cumprimento de obrigação legal. Base: obrigação legal. Retenção fiscal de nota fiscal, comprovante de pagamento e dados contábeis pelo prazo da legislação tributária.

Segurança e prevenção de fraude. Base: legítimo interesse. Detecção de bot, prevenção de spam na newsletter, proteção contra abuso de formulários.

Com quem a gente compartilha.

Processadores que recebem dados pra prestar serviço operacional ao Growth Club, todos sob contrato com cláusulas de confidencialidade e LGPD:

Substack (Substack Inc., EUA). Plataforma de newsletter. Recebe email + nome + histórico de aberturas/cliques. Política própria: substack.com/privacy.

Cloudflare (EUA). CDN e hospedagem do site growthclub.pro + Pages Functions. Recebe IP + user agent + páginas acessadas. Política: cloudflare.com/privacypolicy.

Notion (Notion Labs Inc., EUA). Database de candidatura à Community. Recebe dados de cadastro (nome, email, LinkedIn, área, descrição). Política: notion.so/Privacy-Policy.

Google Analytics 4 (Google LLC, EUA). Métricas agregadas de tráfego. Recebe IP anonimizado + user agent + páginas + eventos editoriais. Política: policies.google.com/privacy.

Meta Pixel (Meta Platforms Inc., EUA). Métricas agregadas pra futura mensuração de campanha (modo agregado, sem cross-device). Política: facebook.com/policy.php.

Tally (Tally Forms BV, Bélgica). Hospedagem de formulários (quando aplicável). Política: tally.so/help/privacy-policy.

WhatsApp (Meta Platforms Inc., EUA). Hospedagem da WhatsApp Community. Recebe telefone + nome de exibição. Mensagens são criptografadas end-to-end pelo próprio WhatsApp — o Growth Club não retém cópia.

Gateway de pagamento. Quando há produto pago, dados de transação vão pra Asaas, Stripe ou similar — definido por evento. Política específica anunciada na página do produto antes da compra.

O que NUNCA fazemos. Sem venda de lista. Sem cessão pra anunciante terceiro. Sem swap com outras newsletters/comunidades. Sem repasse de dado pra empresa parceira (incluindo patrocinador de meetup) — patrocinador recebe relatório agregado, não lista de presença com email.

Cookies e tecnologias similares.

Próprios (first-party). Cookies de sessão estritamente necessários pra o site funcionar (preferência de tema dark/light, estado de formulário em wizard). Tempo de vida: sessão (apagam quando você fecha o navegador).

Terceiros (third-party). Cookies de analytics agregado:

• _ga, _ga_* — Google Analytics 4. Vida útil: até 2 anos.
• _fbp, _fbc — Meta Pixel. Vida útil: até 90 dias.

Você pode bloquear cookies de terceiros nas configurações do navegador (Chrome → Configurações → Privacidade → Cookies; Safari → Preferências → Privacidade; Firefox → Configurações → Privacidade) sem prejudicar a navegação. Métricas agregadas ficam imprecisas, só isso.

Sem cookies de cross-site tracking. Não compartilhamos cookies com anunciantes externos. Não usamos fingerprinting de dispositivo.

Por quanto tempo a gente guarda.

Prazos por categoria de dado:

• Inscrição na newsletter — enquanto o vínculo estiver ativo. Após cancelamento: 6 meses (pra impedir reativação acidental). Depois disso, anonimização.
• Cadastro da Community (Notion) — enquanto você estiver ativo na lista. Após saída voluntária ou banimento por conduta: 1 ano (auditoria interna), depois anonimização.
• Logs de navegação no Cloudflare — 30 dias automáticos.
• Cookies analíticos (GA4, Meta) — entre 90 dias e 2 anos, conforme cada provedor.
• Email de contato e atendimento DPO — 2 anos após resolução, salvo se contestação ainda em curso.
• Notas fiscais e comprovantes de pagamento — 5 anos após o fato gerador, por obrigação fiscal federal.
• Documento de identificação (caso solicitado pra atendimento DPO) — 30 dias após validação, depois eliminação.

Você pode pedir eliminação antecipada via /lgpd. Dados sob obrigação legal continuam retidos pelo prazo legal mesmo após pedido — mas ficam anonimizados pra finalidades não-fiscais.

Como a gente protege.

Criptografia em trânsito. Site servido apenas via HTTPS (TLS 1.3) com HSTS habilitado. Tráfego entre seu navegador e nossos servidores criptografado ponta a ponta.

Criptografia em repouso. Backups de banco de dados são criptografados pelo provedor (Notion, Substack — gestão própria de cada plataforma).

Acesso interno restrito. Em Fase 1, acesso aos dados é restrito ao DPO (Henrique Caner) e à Founder Crew (quando preenchida) — mediante NDA com cláusula LGPD. Sem acesso externo, sem terceirização de moderação.

Notificação de incidente. Em caso de incidente de segurança envolvendo dado pessoal com risco relevante ao titular, comunicamos a ANPD em até 2 dias úteis e o titular afetado em até 5 dias úteis, conforme art. 48 da LGPD. Inclui descrição do incidente, dados envolvidos, medidas tomadas e impacto avaliado.

Transferência internacional de dados.

Vários processadores (Substack, Cloudflare, Notion, Google, Meta, Tally) operam servidores fora do Brasil — principalmente Estados Unidos e União Europeia. Quando seu dado vai pra esses servidores, ele atravessa fronteira.

Base legal pra transferência internacional (LGPD art. 33): o titular consentiu explicitamente no momento do cadastro (newsletter, formulário) ou a transferência é necessária pra execução do serviço contratado.

Países de destino são adequados ou as plataformas usam cláusulas contratuais padrão (Standard Contractual Clauses da UE) pra garantir proteção equivalente.

O que você pode pedir.

Os direitos do art. 18 da LGPD estão todos disponíveis pra você: confirmação e acesso, correção, anonimização, eliminação, portabilidade, revogação de consentimento, informação sobre compartilhamento e oposição. Detalhe de cada direito + processo pra exercer em /lgpd.

Resposta em até 15 dias úteis. Sem custo nas primeiras 2 solicitações por ano. Solicitações repetitivas e excessivas podem ser cobradas por custo administrativo, com aviso prévio.

Quando essa política muda.

Atualizações são publicadas neste link com data de versão visível. Mudanças relevantes (nova finalidade, novo processador, mudança de retenção, mudança de controlador) são avisadas com 30 dias de antecedência via newsletter e via aviso no site.

Continuar usando o site, a Community ou outros canais após o prazo significa aceitar a nova versão. Se discordar, você pode exercer o direito de eliminação ou oposição via DPO.

Encarregado de proteção de dados.

DPO. Henrique Caner — dpo@growthclub.pro. Prazo padrão de resposta: 15 dias úteis a partir da confirmação da titularidade.

Reclamação à autoridade. Caso não fique satisfeito com a resposta, você pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) em gov.br/anpd.