Privacidade.

Controlador e contato do encarregado

agentshorts é um infoproduto digital operado pela jplgroup. Para o storefront, captura de leads, entrega pós-compra, ativação de licença, suporte, reembolso e acesso ao produto, a jplgroup atua como controladora dos dados de compradores, prospects, direitos de acesso e solicitações de suporte.

Canal do encarregado / DPO: [email protected]. O storefront fica em agentshorts.dev; a entrega de acesso fica em access.agentshorts.dev.

Dados que tratamos

Navegação no storefront: requisições de página, logs técnicos de segurança, escolhas no banner de consentimento e analytics agregado sem cookies. Não usamos cookies de publicidade. O Plausible roda em modo cookieless e não cria perfis publicitários entre sites.

Captura de lead: quando você pede o preview do PDF ou atualizações de lançamento, tratamos email, idioma, estado de consentimento, página de origem, horários, status de confirmação e metadados técnicos antifraude. Usamos esses dados apenas para emails solicitados, atualizações do produto, prova de consentimento, prevenção de abuso e descadastro.

Checkout: ao clicar em comprar, você é redirecionado para a Lemon Squeezy em pedidos internacionais ou para a Kiwify em pedidos brasileiros. Esses provedores tratam pagamento, tributos, nota, prevenção a fraude, reembolso e checkout conforme os próprios termos. A agentshorts não recebe o número completo do cartão.

Depois da compra: os provedores de checkout enviam webhooks assinados com email, nome quando informado, identificador do pedido, produto ou tier comprado, provedor, status do direito de acesso, status de reembolso ou chargeback e referências de recibo/nota. Usamos isso para entregar convites de repositório, arquivos, emails transacionais, suporte, reembolsos, disputas, ativação de licença e registros fiscais/contábeis.

Bases legais — LGPD Art. 7

• Execução de contrato: checkout, entrega do produto, convites de repositório, registros de acesso, criação de chave de licença, suporte ligado à compra, reembolso e revogação de acesso depois de reembolso ou disputa.
• Cumprimento de obrigação legal ou regulatória: recibos, registros contábeis, evidências fiscais, controles antifraude, chargebacks e respostas legalmente exigidas.
• Legítimo interesse: logs de segurança, prevenção de abuso, telemetria de ativação de licença, defesa em disputas, confiabilidade do produto e analytics agregado sem cookies, sempre com balanceamento frente aos direitos do titular.
• Consentimento: lead nurture opcional e atualizações promocionais do produto. Você pode retirar o consentimento pelo link de descadastro ou pelo email do DPO.

Lead nurture

O lead nurture é opcional e baseado em consentimento. Se você envia um email para receber novidades de lançamento, usamos a Resend para enviar a sequência solicitada, mensagens de confirmação e avisos de descadastro. Mantemos uma trilha mínima de consentimento para demonstrar quando a inscrição foi solicitada e bloquear novos emails após descadastro, oposição ou pedido de exclusão.

Operadores e controladores externos

• Lemon Squeezy — checkout internacional, pagamentos, tributos, notas, reembolsos e compliance de pagamento. DPA.
• Kiwify — checkout brasileiro, pagamentos, tributos, notas, reembolsos e compliance de pagamento. A Kiwify menciona seu DPA nos termos da plataforma e publica seus termos de privacidade em Termos e Política de Privacidade.
• Neon — banco Postgres para direitos de acesso, tokens com hash, reembolsos, auditoria de privacidade e eventos de ativação de licença. DPA.
• Cloudflare R2 — armazenamento privado e apoio na entrega de arquivos digitais pagos. DPA.
• Resend — envio de emails transacionais e consentidos sobre acesso, recibos, reembolsos, lançamento e descadastro. DPA.
• GitHub — entrega de convites para repositórios privados quando o tier comprado inclui acesso a código. DPA.
• Plausible — analytics agregado, sem cookies e sem perfis publicitários. DPA.
• Sentry — monitoramento de erros em produção para o storefront e o serviço de acesso, com replay de sessão desativado e sem coleta intencional de email de comprador, token de comprador, id de pedido, GitHub handle ou URL assinada. DPA.

Transferências internacionais

Alguns operadores atuam fora do Brasil, da União Europeia ou do seu país de residência. Usamos os termos, DPAs, cláusulas de transferência e compromissos de segurança publicados por esses fornecedores, e limitamos os dados compartilhados ao necessário para checkout, entrega, suporte, segurança, analytics ou email.

Cookies e armazenamento

Classificação atual do storefront: cookies de publicidade: zero; cookies de analytics: zero; armazenamento estritamente necessário: apenas quando necessário para consentimento, checkout, acesso, prevenção a fraude ou segurança. O Plausible é cookieless e não grava cookies no navegador.

Retenção — LGPD Art. 16

• Direitos de acesso, comprador, reembolso e defesa legal: 5 anos após a compra ou última atividade de disputa.
• Recibos, notas, tributos e registros contábeis: 7 anos quando necessário para obrigações fiscais e contábeis.
• Logs de webhooks e recibos de eventos dos provedores: 90 dias, salvo reembolso, fraude, abuso, chargeback ou retenção legal.
• Telemetria de ativação de licença: 12 meses para detecção de abuso com aviso, suporte e defesa em disputa.
• Registros de comprador apagados: 30 dias de soft-delete antes da exclusão irreversível ou anonimização, salvo retenção obrigatória.
• Lead nurture: até descadastro, retirada de consentimento, pedido de exclusão ou encerramento da finalidade, com registro mínimo para honrar opt-outs.

Direitos do titular — LGPD Art. 18

Você pode pedir confirmação de tratamento, acesso, correção, eliminação ou anonimização, portabilidade, informação sobre compartilhamentos, revisão de decisões automatizadas quando aplicável, retirada de consentimento e oposição a tratamento baseado em legítimo interesse. Também atendemos fluxos razoáveis de restrição e reclamação quando a lei local conceder esses direitos.

Envie solicitações para [email protected]. Podemos pedir informações suficientes para verificar a solicitação, como token de comprador ou referência do pedido. Se não pudermos apagar um registro imediatamente por obrigação fiscal, contábil, antifraude, disputa ou defesa legal, explicaremos a categoria retida e a base de retenção.

Incidentes de segurança — LGPD Art. 48

Se um incidente com dados pessoais puder gerar risco ou dano relevante aos titulares, avaliaremos os deveres de comunicação da LGPD Art. 48, regras equivalentes do GDPR quando aplicáveis e compromissos dos provedores. As notificações podem envolver ANPD, usuários afetados, fornecedores e provedores de pagamento.

Contato

jplgroup · [email protected]