Política de privacidade

Última atualização: 20 de maio de 2026.

Esta política descreve como o Fixei.app ("Fixei", "nós") coleta, utiliza e protege os dados pessoais dos usuários do serviço disponível em https://fixei.app. Ao usar o Fixei, você concorda com os termos descritos aqui.

1. Quais dados coletamos

• Dados da conta: e-mail; e, opcionalmente, nome e foto de perfil quando você entra com Google.
• Conteúdo do usuário (itens, diretórios, tags, anexos): processado em trânsito pelo Fixei e armazenado exclusivamente no seu Google Drive e no IndexedDB do seu navegador. Não retemos cópia no nosso banco de dados — ver item 4.
• Telefone (opcional): apenas se você habilitar a captura via WhatsApp, para vincular as mensagens recebidas à sua conta.
• Dados de uso técnico: logs de acesso (IP, data/hora, user-agent) gerados pelo servidor por motivos de segurança e diagnóstico.
• Pagamento: dados de cartão e cobrança são processados diretamente pelo Mercado Pago. O Fixei não armazena dados de cartão.

2. Como usamos seus dados

• Autenticar você e manter sua sessão.
• Processar seu conteúdo em trânsito para escrevê-lo no seu próprio Google Drive (sem retenção no nosso servidor).
• Gerar e manter backups periódicos (diários, semanais e mensais) dentro do seu próprio Drive — ver item 4.1.
• Quando você usa as integrações opcionais (API/MCP/WhatsApp): receber o conteúdo, gravar no seu Drive e descartar o payload original.
• Enviar e-mails operacionais (confirmação de conta, lembretes de cobrança, exportação LGPD, avisos sobre o serviço).
• Processar a assinatura Anual via Mercado Pago (cobrança recorrente até cancelamento).

Não usamos seus dados para publicidade nem treinamos modelos de IA com o seu conteúdo.

3. Login com Google e acesso ao Drive

O login com Google é opcional e segue o padrão OAuth 2.0. Quando você habilita a sincronização com o Drive, o Fixei solicita o escopo drive.appdata, que dá acesso apenas a uma pasta privada do app dentro do seu Drive (application data folder). Esse escopo:

• Não permite ler nem listar outros arquivos do seu Drive.
• Não é visível para outros aplicativos.
• É usado exclusivamente para ler e escrever o índice (fixei-index.json), os arquivos por item (item-{uuid}.json) e os ZIPs de backup periódico do Fixei.

Você pode revogar o acesso a qualquer momento em myaccount.google.com/permissions.

4. Onde seus dados ficam (zero-retention no servidor)

O Fixei é local-first com zero-retention de conteúdo: o conteúdo que você cria (itens, diretórios, tags) não é armazenado no nosso banco de dados em nenhum momento. Ele fica:

• No seu navegador: em IndexedDB, para permitir uso offline e acesso instantâneo. Você pode limpar essa cópia pelas configurações do navegador a qualquer momento.
• No seu Google Drive: dentro da pasta privada do app (ver item 3), como índice e arquivos por item.

Quando seu conteúdo passa pelos nossos servidores (ao escrever no Drive, servir um link público que você gerou, ou processar entrada das integrações API, MCP ou WhatsApp), ele é processado em memória e descartado imediatamente após o uso. Não fica em banco de dados nem em logs persistentes.

No servidor do Fixei (PostgreSQL em infraestrutura própria, com acesso restrito), guardamos apenas:

• Dados da conta: e-mail, nome, foto de perfil, plano atual, status de assinatura.
• Telefone, se você habilitou a captura via WhatsApp, exclusivamente para vincular mensagens recebidas à sua conta.
• Snapshots de links compartilhados: quando você gera um link público (/s/<token>) para um item ou diretório, criamos uma cópia congelada do conteúdo daquele momento, para servir o link sem depender do seu navegador. Você pode revogar o link a qualquer momento, o que apaga o snapshot.
• Registros mínimos de uso técnico (ver item 1).

4.1. Backups periódicos no seu Drive

Para te proteger contra perda acidental, o Fixei mantém duas camadas de backup — ambas dentro do seu próprio Drive (na pasta privada do app), nunca no nosso servidor:

• Histórico nativo do Google Drive: cada arquivo do Fixei mantém revisões automáticas, permitindo reverter alterações pontuais (ex.: você editou e quer voltar à versão anterior).
• Snapshots ZIP periódicos: até 7 diários, 4 semanais e 12 mensais. Permite restauração completa em caso de problema maior.

Você pode listar e baixar qualquer backup pela página Backups. Restauração total ou item-a-item pode ser solicitada por [email protected].

4.2. Captura via WhatsApp

A captura via WhatsApp é opcional e usa o número oficial do Fixei. O canal pode ser operado por um dos seguintes provedores, dependendo da configuração ativa no momento do uso:

• WhatsApp Cloud API da Meta — canal oficial operado pela Meta Platforms, Inc.
• Evolution API (Baileys) — biblioteca não-oficial que conecta a uma conta WhatsApp (não-Business) via WebSocket, hospedada em infraestrutura do Fixei.

Quando ativada, independentemente do provedor:

• Você vincula seu número de telefone à sua conta (verificação por código).
• Mensagens enviadas ao número oficial do Fixei (texto, áudio, imagem, link) são processadas e gravadas como item no seu próprio Drive.
• Após o processamento, o payload original da mensagem e as mídias temporárias são descartados dos nossos servidores.
• Quando o canal está operando via Cloud API da Meta, a Meta mantém metadados da conversa conforme a política da WhatsApp Business; o Fixei não tem controle sobre essa retenção.
• Quando o canal está operando via Evolution API, a Meta ainda detém metadados de tráfego do WhatsApp como provedora da rede, mas o roteamento ocorre por conta WhatsApp vinculada à infraestrutura do Fixei, sem uso da API Business oficial.

4.3. Limites: o que zero-retention não cobre

O Fixei não armazena seu conteúdo no servidor, mas pra evitar mal-entendido vale explicitar o que isso não significa:

• Não há criptografia ponta-a-ponta (E2E). Seus itens ficam no seu próprio Drive em formato legível (JSON). O Google, como provedor do Drive, tem acesso técnico ao conteúdo, sujeito à política de privacidade do Google. Optamos por não criptografar contra o Google porque isso quebraria funcionalidades centrais (links compartilhados, conversão por IA, captura via WhatsApp e busca server-side via API/MCP).
• Quem acessar sua conta Google acessa seus dados. A fonte de verdade é o seu Drive: alguém que comprometa sua conta Google consegue ler o conteúdo do Fixei. Recomendamos ativar verificação em duas etapas em myaccount.google.com/security.
• Links públicos são públicos. Qualquer pessoa com o token de um link /s/<token> consegue ler o snapshot até você revogar.
• Backups em ZIP seguem o mesmo modelo. Os snapshots de backup no seu Drive não são criptografados pelo Fixei — são legíveis para quem tem acesso ao seu Drive.
• O conteúdo enviado por integrações trafega em claro até o Drive. Ao usar API, MCP ou WhatsApp, o conteúdo passa pelos servidores do Fixei via HTTPS, é gravado no seu Drive e descartado — mas não é criptografado de ponta a ponta entre você e o destino.

Se você precisa armazenar dados que exigem proteção contra o próprio provedor de armazenamento (ex.: documentos sob NDA estrito, segredos regulados), o Fixei não foi desenhado pra esse caso de uso — considere ferramentas com criptografia ponta-a-ponta nativa.

5. Compartilhamento com terceiros

Não vendemos seus dados. Compartilhamos com terceiros apenas quando estritamente necessário para operar o serviço:

• Google — para autenticação, armazenamento e backup no seu próprio Drive e análise de uso do site (Google Analytics, mediante consentimento — ver item 6.1).
• Mercado Pago — para processar pagamentos e a recorrência do plano Anual.
• Meta (WhatsApp Cloud API ou rede WhatsApp via Evolution API/Baileys) — apenas se você habilitar a captura via WhatsApp, para operar o canal de mensagens. Ver item 4.2 pra detalhes de cada provedor.
• Provedor de e-mail transacional — para envio de e-mails operacionais.
• Autoridades — quando exigido por ordem judicial ou obrigação legal.

6. Cookies e tecnologias similares

Usamos dois tipos de armazenamento no seu navegador:

• Essenciais: cookies de sessão (autenticação) e de proteção contra CSRF. Não exigem consentimento porque são indispensáveis para o serviço funcionar.
• Análise (opcionais): cookies do Google Analytics 4, ativados apenas após você clicar em "Aceitar" no banner exibido na primeira visita. Você pode revogar a qualquer momento limpando os cookies do navegador ou usando o opt-out abaixo.

Não usamos cookies de rastreamento publicitário nem de remarketing.

6.1. Google Analytics

Usamos o Google Analytics 4 (GA4), da Google LLC, para entender como o site é navegado (páginas mais visitadas, tempo de permanência, dispositivos) e melhorar a experiência. O GA4 só carrega após seu consentimento explícito via banner e está configurado da seguinte forma:

• Anonimização de IP ativada — o GA não armazena seu IP completo.
• Google Signals desativado — sem rastreamento entre dispositivos baseado em dados de anúncio.
• Personalização de anúncios desativada — seus dados não são usados para publicidade.
• O GA roda apenas no site público (landing, planos, política, termos). Dentro do app autenticado (dashboard, itens, conta) nada é rastreado.

Dados coletados pelo GA4: identificador anônimo gerado pelo navegador, páginas visitadas, referrer, tipo de dispositivo, navegador, sistema operacional e país (estimado pelo IP, sem armazenar o IP). Esses dados são processados pela Google conforme a política de privacidade do Google.

Para revogar o consentimento: limpe os cookies do site no seu navegador ou instale o Google Analytics Opt-out Add-on.

7. Seus direitos (LGPD)

Conforme a Lei Geral de Proteção de Dados (Lei 13.709/2018), você pode:

• Acessar e exportar seus dados, em formato ZIP, pela página Minha conta.
• Corrigir dados incompletos ou desatualizados.
• Solicitar a exclusão da sua conta e dados associados.
• Revogar consentimentos a qualquer momento.

Solicitações relacionadas aos seus dados podem ser feitas pelo e-mail [email protected] e são atendidas em até 15 dias.

8. Retenção

Mantemos seus dados enquanto sua conta estiver ativa. Após a exclusão da conta, os dados são removidos do banco de dados em até 15 dias. Logs de acesso podem ser mantidos por até 6 meses por motivos de segurança, conforme o Marco Civil da Internet.

9. Segurança

Todo tráfego entre você e o Fixei é criptografado via HTTPS. Tokens de API são armazenados com hash unidirecional. O acesso ao Drive usa OAuth 2.0 com escopo restrito (drive.appdata), sem leitura dos demais arquivos do seu Drive.

O Fixei não usa criptografia ponta-a-ponta — seu conteúdo fica em claro no seu próprio Google Drive (ver item 4.3). Nenhum sistema é 100% seguro; em caso de incidente que afete seus dados, comunicaremos por e-mail e à ANPD quando aplicável.

10. Crianças

O serviço não é destinado a menores de 13 anos. Não coletamos conscientemente dados de crianças.

11. Alterações nesta política

Podemos atualizar esta política. Mudanças significativas serão comunicadas por e-mail e pela própria página. A data da última atualização sempre aparecerá no topo do documento.

12. Contato

Dúvidas, solicitações de dados ou denúncias: [email protected].