Política de Privacidade — Pista

Última atualização: 06 de maio de 2026

1. Quem somos

O Pista (https://pistatrack.com) é uma plataforma SaaS multi-tenant de rastreamento server-side, atribuição multi-canal e fan-out de conversões para APIs de anúncios. O Pista é operado pela Evergrowth, agência brasileira de marketing digital responsável pela manutenção da plataforma e pelo cumprimento das obrigações legais aplicáveis.

Esta Política descreve como o Pista coleta, usa, armazena e compartilha dados pessoais, em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — "LGPD") e com as políticas das plataformas de anúncios às quais nos integramos (Google, Meta, GA4, TikTok, Pinterest, LinkedIn, Snap, X, Reddit, Microsoft).

Encarregado de Dados (DPO): Sergio Lima — seselimaovi@gmail.com

2. Papéis no tratamento de dados (LGPD)

• Controladora dos dados cadastrais dos próprios usuários do Pista (anunciantes): a Evergrowth (operadora do Pista) é controladora dos dados de quem cria conta na plataforma e contrata o serviço.
• Operadora dos dados pessoais que transitam pela plataforma: em relação aos visitantes/compradores das páginas dos anunciantes-clientes, o Pista atua como operadora, processando dados em nome e por instrução do anunciante (que é o controlador desses dados).

3. Dados que coletamos

3.1 Dos anunciantes (titulares de conta Pista)

• Identificação: nome, e-mail, telefone, CNPJ ou CPF.
• Credenciais OAuth de plataformas conectadas (Google Ads, Meta Business Manager, TikTok Ads, GA4, etc.). Tokens armazenados criptografados em repouso (AES-256-GCM); senhas das contas externas nunca são compartilhadas conosco.
• Dados de uso da plataforma: logs de acesso, IP, agente do navegador, ações executadas no painel.
• Dados financeiros estritamente necessários para cobrança da assinatura.

3.2 Dos visitantes e compradores (rastreados pelos sites dos nossos anunciantes-clientes)

Quando um anunciante instala o script do Pista (track.js) na página de venda dele, o Pista coleta dos visitantes daquela página:

• Identificadores técnicos: cookie de sessão Pista (próprio), fingerprint do navegador, IP, agente do navegador, sistema operacional, dispositivo.
• Identificadores de clique: fbclid, gclid, wbraid, gbraid, ttclid, epik, entre outros.
• UTMs: utm_source, utm_medium, utm_campaign, utm_content, utm_term.
• Cookie GA4 (_ga, _ga_<id>, ga_session_id) quando o site também tem Google Analytics.
• Geolocalização aproximada (país e região) via MaxMind GeoLite2.
• Comportamento de navegação: URLs, tempo de permanência, scroll, formulários enviados (sem o conteúdo digitado).
• Gravação de sessão (rrweb), quando habilitada pelo anunciante. Senhas e campos marcados como sensíveis são automaticamente removidos.

3.3 Dos compradores (após conversão via gateway)

Quando o gateway de pagamento (Greenn, Hotmart, Kiwify, Eduzz, Cakto, Monetizze, Ticto, Hubla, MercadoPago, Nuvemshop) envia o postback de venda, o Pista recebe:

• PII do comprador: nome, e-mail, telefone, CPF.
• Dados da venda: valor, moeda, status, ID da transação, produto.

PII (e-mail/telefone/CPF) é armazenada simultaneamente em texto claro (somente para o anunciante visualizar suas próprias vendas no painel) e em hash SHA-256 irreversível (usado nas chamadas às APIs das plataformas de anúncios — Enhanced Conversions for Web do Google, Customer Information Parameters do Meta, Measurement Protocol do GA4).

4. Para que usamos os dados

• Prestar o serviço SaaS contratado pelo anunciante — execução de contrato (LGPD Art. 7º V).
• Enviar conversões em hash para Google Ads, Meta, GA4, TikTok, etc., otimizando as campanhas do anunciante — legítimo interesse do anunciante (IX).
• Cumprir obrigações fiscais, contábeis e regulatórias — obrigação legal (II).
• Detectar fraude e abuso da plataforma — legítimo interesse (IX).
• Aprimorar o produto via análise agregada e anonimizada — legítimo interesse (IX).

Não vendemos dados. Não compartilhamos dados com terceiros para marketing direto deles.

5. Com quem compartilhamos

• Plataformas de anúncios conectadas pelo anunciante (apenas dados em hash SHA-256, click IDs e valor da venda, conforme spec de cada CAPI): Google Ads, Meta, GA4, TikTok, Pinterest, LinkedIn, Snap, X, Reddit, Microsoft.
• Provedores de infraestrutura sob contrato: Hostinger (hospedagem VPS — Brasil), Resend (e-mails transacionais), Google Cloud (modelos Gemini AI — sem PII), MaxMind (GeoLite2).
• Autoridades públicas mediante ordem legal/judicial.

6. Onde armazenamos

Servidores localizados no Brasil (Hostinger VPS). Dados em hash SHA-256 podem ser processados em data centers internacionais quando enviados às APIs de plataformas de anúncios — em todos os casos os dados saem irreversíveis.

7. Por quanto tempo armazenamos

• Dados cadastrais do anunciante: enquanto a conta estiver ativa + 5 anos para fins fiscais.
• Eventos de tracking (visitas, sessões): 24 meses.
• Postbacks e dados de venda: 5 anos (obrigação fiscal).
• Mensagens WhatsApp (quando integradas): 12 meses (purga automática mensal).
• Gravações de sessão (rrweb): 90 dias.
• Logs de acesso e auditoria: 12 meses.
• Backups criptografados: 90 dias rolling.

8. Seus direitos (LGPD Art. 18)

Você pode solicitar a qualquer momento: confirmação, acesso, correção, anonimização, bloqueio, eliminação, portabilidade, revogação de consentimento, e informação sobre compartilhamento. Envie e-mail para seselimaovi@gmail.com com assunto "LGPD — solicitação de titular". Resposta em até 15 dias corridos.

Se você é visitante/comprador de um site que usa o Pista, sua solicitação será encaminhada ao anunciante (controlador) para resposta direta, conforme Art. 39 da LGPD.

9. Cookies

O Pista usa os seguintes cookies próprios no domínio do anunciante (quando o tracker está instalado):

• pista_visitor — identificador persistente do visitante (90 dias)
• pista_session — identificador da sessão atual (30 minutos de inatividade)
• _pista — cross-domain linker entre página de venda e gateway (sessão)

Cookies de terceiros (Google, Meta, GA4) são governados pelas políticas de cada plataforma.

10. Segurança

HTTPS/TLS 1.3, criptografia em repouso (AES-256-GCM) para credenciais sensíveis, RBAC com isolamento multi-tenant rígido (cada conta nunca acessa dados de outra), logs de auditoria, backups criptografados, hashing SHA-256 antes de qualquer envio externo de PII, política de retenção automatizada. Em caso de incidente que afete dados pessoais, comunicaremos a ANPD e os titulares conforme prazo legal.

11. Crianças e adolescentes

O Pista não é destinado a menores de 18 anos.

12. Mudanças nesta política

Mudanças materiais serão comunicadas por e-mail aos anunciantes ativos com pelo menos 30 dias de antecedência. A data da última atualização aparece no topo desta página.

13. Contato

Encarregado: Sergio Lima
E-mail: seselimaovi@gmail.com
Operadora do Pista: Evergrowth — agenciaevergrowth.com.br

Reclamações também podem ser formalizadas junto à ANPD.