Saiba como o Zenovay ajuda você a cumprir o RGPD (Regulamento Geral sobre a Proteção de Dados) para a análise do seu site.
O que é o RGPD?
O Regulamento Geral sobre a Proteção de Dados é uma lei da UE que:
- Protege dados pessoais de residentes da UE
- Exige consentimento para coleta de dados
- Concede direitos de acesso e exclusão de dados
- Exige notificações de violação de dados
- Impõe multas significativas por não conformidade
A quem o RGPD se aplica?
O RGPD aplica-se se você:
- Está estabelecido na UE/EEE
- Tem visitantes da UE/EEE
- Oferece bens/serviços a residentes da UE
- Monitora o comportamento de residentes da UE
Conformidade do Zenovay com o RGPD
Design focado em privacidade
O Zenovay é projetado com privacidade em mente:
| Recurso | Descrição |
|---|---|
| Opção sem cookies | O rastreador pode funcionar sem cookies ou armazenamento local |
| Tratamento de IP | IPs são hasheadas para identificação de visitantes, nunca armazenadas em texto simples |
| Minimização de dados | Coletar apenas dados necessários |
| Residência de dados na UE | Os dados principais são armazenados na UE (Frankfurt) para cada plano |
| Portabilidade de dados | Exporte seus dados de conta pessoal (grátis, todos os planos) |
| Direito ao esquecimento | Exclua sua conta e dados de visitantes mediante solicitação |
Dados que coletamos
Coleta padrão (Modo sem cookies):
├── URL da página
├── Referenciador (domínio)
├── Tipo de navegador
├── Tipo de dispositivo
├── País (do IP hasheado, IP não armazenado em texto simples)
└── Identificador de sessão (em memória, não persistente)
Coleta estendida (com cookies/consentimento):
├── URL completa da página com parâmetros
├── URL completa do referenciador
├── Identificador de visitante recorrente
├── Propriedades de eventos personalizados
└── Dados de receita
Opções de configuração
Modo sem cookies
O modo sem cookies permite que o rastreador funcione sem cookies ou armazenamento local — ele usa um identificador de sessão window-scoped armazenado em memória. Esta é a opção legal por padrão para rastreamento antes do consentimento.
Para habilitá-lo para um site:
- Abra as configurações do site e selecione a aba Avançado.
- Em Privacidade & Cookies, ative o Modo sem cookies.
- Salve as alterações.
Na mesma aba Avançado você também pode definir a vida útil do cookie (quando cookies são usados), excluir rotas do rastreamento e mascarar entradas de formulário para que valores sensíveis nunca sejam capturados.
Tratamento de IP
O Zenovay não armazena endereços IP brutos. IPs são usados transitoriamente para derivar o país do visitante e construir um identificador de visitante hasheado e salgado — o IP em texto simples nunca é escrito em sua análise. Veja Tratamento de IP para os detalhes e opções por site.
Integração de consentimento
// Rastrear somente após consentimento
if (hasGDPRConsent('analytics')) {
const script = document.createElement('script');
script.src = 'https://api.zenovay.com/z.js';
script.setAttribute('data-tracking-code', 'YOUR_TRACKING_CODE');
document.head.appendChild(script);
}
Base legal para processamento
Consentimento (Artigo 6.1.a)
Ao usar rastreamento baseado em cookies:
- Implemente banner de consentimento de cookies
- Aguarde opt-in explícito
- Carregue o script de rastreamento após consentimento
- Forneça opção de opt-out fácil
Interesse legítimo (Artigo 6.1.f)
Ao usar o modo sem cookies:
- Documente seu interesse legítimo
- Realize o teste de equilíbrio
- Forneça mecanismo de opt-out
- Minimize a coleta de dados
Modo sem cookies + Interesse legítimo
Avaliação de interesse legítimo
Finalidade: Entender o uso do site para melhorar a experiência do usuário
Necessidade: Análise essencial para:
- Identificar páginas com erros
- Entender fontes de tráfego
- Melhorar o conteúdo
Teste de equilíbrio:
- Mínimo de dados coletados
- Sem identificadores persistentes (modo sem cookies)
- Sem rastreamento entre sites
- Política de privacidade clara
- Opt-out fácil disponível
Conclusão: Interesse legítimo aplica-se no modo sem cookies
Implementação dos direitos do RGPD
Direito à informação (Artigo 13/14)
Forneça política de privacidade clara:
## Coleta de dados analíticos
Usamos o Zenovay Analytics para entender como os visitantes
usam nosso site. Coletamos:
- Páginas visitadas
- Tempo gasto nas páginas
- Tipo de navegador e dispositivo
- País (do IP, IP não armazenado em texto simples)
Não:
- Armazenamos endereços IP em texto simples
- Rastreamos entre sites
- Vendemos dados a terceiros
Os dados são armazenados na UE e retidos por [X] meses.
Direito de acesso (Artigo 15)
Um visitante pode solicitar os dados que você tem sobre ele:
- O visitante envia a solicitação
- Você identifica os dados no Zenovay
- Exporte-os (via API, abaixo)
- Forneça em 30 dias
Via API (Plano Pro e superior):
# Recuperar dados analíticos de um site (filtrar por visitante conforme necessário)
curl -X GET "https://api.zenovay.com/api/external/v1/analytics/{websiteId}/visitors" \
-H "X-API-Key: zv_YOUR_API_KEY"
Separadamente, seus próprios dados de conta pessoal podem ser baixados a qualquer momento de sua página de Perfil no aplicativo — "Baixar meus dados" exporta seu perfil, sites, membros da equipe e histórico da conta como JSON. Isto é grátis em todos os planos (Artigo 20 do RGPD). Veja Baixar meus dados.
Direito ao esquecimento (Artigo 17)
Exclua dados de visitantes mediante solicitação:
- O visitante solicita exclusão
- Identifique seus registros no Zenovay
- Exclua os dados
- Confirme a exclusão
Para excluir os dados de um visitante específico, localize primeiro seus registros — se o visitante foi identificado (você passou um email ou ID de usuário para o rastreador), encontre-o em Usuários Identificados (/analytics/profiles). Para exclusão em lote ou programática, use a API REST (Pro e superior).
Para excluir sua própria conta Zenovay e todos os dados associados, use Excluir conta na sua página de Perfil. Veja Direito ao esquecimento e Excluir minha conta para detalhes.
Direito à restrição de processamento (Artigo 18)
Para pausar o processamento de um visitante enquanto uma disputa é resolvida, entre em contato com o suporte do Zenovay em [email protected] com a solicitação. Não há um botão de auto-serviço "restringir processamento" no painel — a restrição é tratada pelo suporte.
Direito à portabilidade de dados (Artigo 20)
Exporte dados em formato legível por máquina:
Seus dados de conta pessoal: baixe-os de sua página de Perfil no aplicativo ("Baixar meus dados"), que retorna JSON. Grátis em todos os planos.
Dados analíticos de visitantes: recupere via API REST (Pro e superior):
# Recuperar dados analíticos em formato JSON
curl -X GET "https://api.zenovay.com/api/external/v1/analytics/{websiteId}/visitors" \
-H "X-API-Key: zv_YOUR_API_KEY"
Acordo de Processamento de Dados
Quando é necessário
Sob o Artigo 28 do RGPD, um DPA é necessário quando o Zenovay processa dados pessoais em seu nome.
Obtendo um DPA
O Zenovay publica um DPA padrão pré-assinado — você não precisa negociar ou buscar uma assinatura.
- Leia o DPA atual em zenovay.com/legal/dpa (disponível em todos os seis idiomas, sem login necessário).
- Torna-se uma parte vinculante do seu contrato automaticamente quando você aceita os Termos de Serviço no cadastro — sem passo de "aceitar" separado.
- Se sua equipe jurídica precisar de uma cópia contrassinada ou um aditivo personalizado, envie um email para [email protected]. Sem custos.
Veja Encontrar o DPA para o processo completo.
Conteúdo do DPA
Nosso DPA inclui:
- Objeto e duração
- Natureza e finalidade do processamento
- Tipos de dados pessoais
- Categorias de titulares de dados
- Direitos e obrigações
- Lista de subprocessadores
- Medidas de segurança
- Direitos de auditoria
Residência de dados na UE
Localização dos dados
O banco de dados principal do Zenovay é executado na UE (Frankfurt, eu-central-1) para cada cliente, independente do plano. Eventos analíticos, registros de visitantes, sites, dados de equipe e logs de auditoria são armazenados lá. Backups são criptografados em repouso na mesma região.
As solicitações edge são servidas por Cloudflare Workers no ponto de presença mais próximo para baixa latência. Os Workers não persistem dados — eles validam e reenviam eventos para o armazenamento primário da UE. Um pequeno número de subprocessadores baseados nos EUA (por exemplo, Stripe, Resend) são cobertos pelo Data Privacy Framework EU-EUA ou Cláusulas Contratuais Padrão.
Veja Onde meus dados são armazenados? para a visão completa.
Integração de banner de cookies
Gerenciadores de consentimento populares
O Zenovay trabalha com gerenciadores de consentimento incluindo:
- Cookiebot
- OneTrust
- Osano
- Termly
- Soluções personalizadas
Exemplo Cookiebot
window.addEventListener('CookiebotOnAccept', function() {
if (Cookiebot.consent.statistics) {
loadZenovay();
}
});
function loadZenovay() {
const script = document.createElement('script');
script.src = 'https://api.zenovay.com/z.js';
script.setAttribute('data-tracking-code', 'YOUR_TRACKING_CODE');
document.head.appendChild(script);
}
Exemplo OneTrust
OneTrust.OnConsentChanged(function() {
if (OnetrustActiveGroups.includes('C0002')) { // Performance
loadZenovay();
}
});
Requisitos de documentação
Política de privacidade
Inclua:
- Quais dados você coleta
- Por que você os coleta
- Por quanto tempo os mantém
- Quem tem acesso
- Direitos do usuário
- Como fazer opt-out
Registros de processamento
Mantenha documentação sobre:
- Categorias de dados
- Finalidade do processamento
- Períodos de retenção de dados
- Medidas de segurança
- Subprocessadores utilizados
Política de cookies
Se usar cookies:
- Liste todos os cookies
- Explique a finalidade
- Informe a duração
- Vincule ao opt-out
Lista de verificação de conformidade
Medidas técnicas
- Ative o modo sem cookies ou obtenha consentimento
- Revise suas configurações de tratamento de IP
- Defina a retenção de dados adequada
- Implemente a integração de consentimento
Medidas legais
- Referencie o DPA do Zenovay (zenovay.com/legal/dpa)
- Atualize a política de privacidade
- Documente a base legal
- Crie processo de solicitação de titulares de dados
- Mantenha registros de processamento
Medidas organizacionais
- Treine a equipe em RGPD
- Nomeie DPO (se necessário)
- Estabeleça procedimentos de violação
- Auditorias regulares de conformidade
Aplicação e multas
Sanções potenciais
| Nível | Multa máxima | Exemplos |
|---|---|---|
| Inferior | €10M ou 2% da receita | Sem DPA, registros ruins |
| Superior | €20M ou 4% da receita | Sem consentimento, ignorar direitos |
Aplicação recente
Multas relacionadas a análise foram emitidas por:
- Transferência de dados para os EUA sem salvaguardas
- Sem consentimento válido para análise
- Ignorar solicitações de opt-out
Boas práticas
Comece com o modo sem cookies
Ative o modo sem cookies para seu site (configurações do site → Avançado → Privacidade & Cookies). Isto fornece rastreamento mínimo sem exigir consentimento. Seu script permanece simples:
<!-- Rastreamento mínimo, sem necessidade de consentimento -->
<script
defer
data-tracking-code="YOUR_TRACKING_CODE"
src="https://api.zenovay.com/z.js"
></script>
Implemente consentimento adequado
- Não pré-marque caixas de consentimento
- Torne a rejeição tão fácil quanto a aceitação
- Permita escolhas granulares
- Lembre as preferências
- Permita retirada
Revisões regulares
- Audite a coleta de dados trimestralmente
- Revise subprocessadores anualmente
- Atualize políticas quando ocorrerem mudanças
- Teste o tratamento de solicitações de titulares de dados