Política de Cookies — Gaia Prime
Versão: v1.0 · Última atualização: 2026-05-07 · Vigência mínima: 30 dias após publicação
Documento canônico ratificado por ADM1 em 2026-05-07. Auto-gerado em conformidade com LGPD Art. 7º (consentimento) + Art. 11º (dados sensíveis quando aplicável), Guia Orientativo da ANPD sobre Cookies e Proteção de Dados Pessoais (2024), e GDPR Art. 6/7 + diretiva ePrivacy 2002/58/CE atualizada (cookies opt-in).
1. O que são cookies
Cookies são pequenos arquivos de dados armazenados pelo seu navegador quando você visita um site. Eles permitem reconhecer seu navegador em visitas futuras, manter você logado, lembrar suas preferências e medir uso agregado.
A Gaia Prime utiliza também tecnologias semelhantes — localStorage, sessionStorage, e cookies HTTP-Only de servidor (não acessíveis por JavaScript) — coletivamente referidas neste documento como "cookies".
2. Como pedimos seu consentimento
Na sua primeira visita a gaiaprime.pro, exibimos um banner de consentimento com três categorias independentes:
| Categoria | Pode recusar? | Pode revogar depois? |
|---|---|---|
| Essenciais | Não — necessários para a plataforma funcionar | Não (sem eles você sai da plataforma) |
| Analíticos | Sim, é opt-in | Sim, a qualquer momento |
| Marketing & Personalização | Sim, é opt-in | Sim, a qualquer momento |
Sua escolha é persistida no localStorage do navegador (chave gaia_consent) e respeitada em todas as visitas subsequentes daquele dispositivo. Você pode reabrir o painel de preferências a qualquer momento clicando no ícone de escudo no canto inferior esquerdo da landing page.
Se você apenas fechar o banner sem escolher, tratamos como rejeição das categorias opcionais (default conservador, alinhado Guia ANPD Cookies 2024 §3.3).
3. Lista nominal de cookies
3.1 Categoria: Essenciais (sempre ativos)
| Cookie | Origem | Finalidade | Duração | Tipo técnico |
|---|---|---|---|---|
next-auth.session-token |
Gaia Prime (BFF) | Sessão autenticada do dashboard pós-login | TTL 30 dias | First-party HttpOnly Secure |
__Host-gaia_utm |
Gaia Prime (servidor) | Atribuição de campanha de origem (UTM) durante o login OAuth | Sessão (ou 30 dias se consent marketing) | First-party HttpOnly Secure |
next-auth.csrf-token |
Gaia Prime | Proteção contra CSRF em requisições de autenticação | Sessão | First-party HttpOnly Secure |
__Secure-next-auth.callback-url |
Gaia Prime | Redirecionamento pós-OAuth | Sessão | First-party HttpOnly Secure |
gaia_consent |
Gaia Prime (localStorage) |
Persistência das suas preferências de cookies | 13 meses | Local storage |
Base legal: Art. 7º IX LGPD (legítimo interesse — funcionamento do serviço) + GDPR Art. 6.1.f. Sem esses cookies, a autenticação e a segurança da plataforma deixam de funcionar.
3.2 Categoria: Analíticos (opt-in)
Ativados apenas se você consentir explicitamente em "Analíticos":
| Cookie | Origem | Finalidade | Duração | Tipo técnico |
|---|---|---|---|---|
_ga, _ga_* |
Google Analytics 4 | Métricas de uso agregado (visitantes únicos, sessões, fontes) | 13 meses (default GA4) | Third-party analítico |
_hjSessionUser_*, _hjSession_* |
Hotjar | Heatmaps e gravações anonimizadas de sessão | 13 meses | Third-party analítico |
O que medimos: páginas mais visitadas, tempo de sessão, dispositivos/navegadores, países (anonimizados), pontos de friction no funil. Nunca medimos conteúdo digitado em campos sensíveis (filtramos via Hotjar data-hj-suppress).
Base legal: Art. 7º I LGPD (consentimento explícito) + GDPR Art. 6.1.a.
Como revogar: ative as preferências e desmarque "Analíticos". Cookies serão expirados na próxima visita.
3.3 Categoria: Marketing & Personalização (opt-in)
Ativados apenas se você consentir explicitamente em "Marketing":
| Cookie | Origem | Finalidade | Duração | Tipo técnico |
|---|---|---|---|---|
__Host-gaia_vid |
Gaia Prime (servidor) | Hash criptográfico SHA-256 de visitor stitching first-party — costura comportamento anônimo ao perfil pós-login | 30 dias sliding window | First-party HttpOnly Secure SameSite=Lax |
_fbp, _fbc (se Pixel ativado) |
Meta Platforms | Atribuição de campanhas Facebook/Instagram | 90 dias (default Meta) | Third-party marketing |
_gcl_au (se Google Ads ativado) |
Google Ads | Atribuição de campanhas Google Ads | 90 dias (default Google) | Third-party marketing |
Sobre __Host-gaia_vid (visitor stitching SOTA — ADR-027):
- É gerado pelo servidor, não pelo seu navegador. JavaScript da página (incluindo extensões maliciosas) não consegue ler.
- Carrega apenas um hash SHA-256 (64 caracteres hex), sem dados pessoais embutidos.
- O comportamento anônimo associado a esse hash fica armazenado em Redis no nosso servidor por 30 dias.
- Quando você se cadastra via Google OAuth, fundimos o histórico anônimo com seu perfil identificado — o que nos permite saber qual conteúdo da landing despertou seu interesse antes de clicar em "Começar Grátis".
- Se você não consentir em Marketing, este cookie nunca é gerado e o comportamento de navegação não é persistido (apenas a primeira visita com IP mascarado para diagnóstico de segurança — Art. 7º X LGPD).
Base legal: Art. 7º I LGPD (consentimento explícito) + GDPR Art. 6.1.a.
Como revogar: ative as preferências e desmarque "Marketing". O cookie __Host-gaia_vid é deletado e os dados no Redis são purgados em até 24 horas (sliding TTL natural ou DELETE explícito).
3.4 Cookies que NÃO usamos
Para clareza:
- Não usamos cookies para retargeting agressivo cross-site sem consentimento;
- Não usamos cookies para fingerprint passivo de dispositivo (canvas fingerprinting, audio fingerprinting, etc.);
- Não usamos cookies de terceiros para vender dados a outras empresas;
- Não compartilhamos o conteúdo do
__Host-gaia_vidcom terceiros — ele é exclusivamente nosso.
4. Estratégia de cookies SOTA da Gaia Prime
A indústria de SaaS B2B brasileira ainda depende fortemente de cookies de terceiros (Google Tag, Facebook Pixel, etc.) para tracking de marketing. Esses cookies estão sendo bloqueados progressivamente:
- Apple Safari (ITP 2.3+): bloqueio default desde 2020;
- Mozilla Firefox (ETP): bloqueio default desde 2019;
- Google Chrome (Privacy Sandbox): descontinuação anunciada para 2024-2025.
A Gaia Prime adota Identidade Ativa First-Party (referência ADR-027): nosso cookie estratégico (__Host-gaia_vid) é gerado e armazenado exclusivamente sob o domínio gaiaprime.pro, com hash criptográfico server-side, e nunca depende de cookies de terceiros.
Por que isso importa para você (Titular):
- Maior privacidade: dados ficam sob nosso controle direto, com regras claras de retenção;
- Maior segurança: hash HttpOnly inviolável de XSS, browser extensions, scripts injetados;
- Maior transparência: lista nominal completa nesta política, sem cookies "secretos" via tags-de-tags.
5. Cookies de terceiros — links para suas políticas
Quando você consente em Analíticos ou Marketing, terceiros podem coletar dados em conformidade com suas próprias políticas:
| Terceiro | Política de Privacidade |
|---|---|
| Google Analytics 4 | https://policies.google.com/privacy |
| Hotjar | https://www.hotjar.com/legal/policies/privacy/ |
| Meta Platforms | https://www.facebook.com/privacy/policy |
| Google Ads | https://policies.google.com/technologies/ads |
Você pode também controlar cookies de terceiros via:
- Configurações do navegador (todos os navegadores permitem bloquear cookies por domínio);
- Painel "Your Online Choices" (NAI/EDAA): https://www.youronlinechoices.eu/;
- Configurações Google "Meu Anúncio": https://adssettings.google.com/.
6. Como gerenciar cookies no seu navegador
Você sempre pode controlar cookies diretamente nas configurações do seu navegador:
| Navegador | Caminho |
|---|---|
| Chrome | Configurações → Privacidade e segurança → Cookies e outros dados do site |
| Firefox | Preferências → Privacidade e segurança → Cookies e dados de site |
| Safari | Preferências → Privacidade |
| Edge | Configurações → Cookies e permissões de site |
Atenção: desativar todos os cookies pode quebrar o funcionamento do dashboard Gaia Prime (login, sessão). Para isso recomendamos manter Essenciais e desativar apenas Analíticos/Marketing.
7. Direitos do Titular (LGPD Art. 18)
Como Titular dos dados associados aos cookies, você tem todos os direitos do Art. 18 LGPD listados na Política de Privacidade §7, incluindo:
- Confirmar quais cookies estão ativos (lista nominal nesta política);
- Revogar consentimento a qualquer momento;
- Solicitar eliminação de dados associados ao seu visitor_id (purga Redis em até 24h);
- Exercer revisão de decisões automatizadas (ex: pontuação Kairos baseada em cookies de marketing).
Canal: privacidade@gaiaprime.pro ou ícone de escudo na landing page.
8. Atualizações desta Política
Alterações materiais (novas categorias, novos cookies, mudança de duração) serão comunicadas com 30 dias de antecedência via banner re-aparecendo na próxima visita, com solicitação de novo consentimento se aplicável. A versão vigente é sempre publicada em https://www.gaiaprime.pro/cookies.
Versionamento: o consent_version armazenado em gaia_consent é checado a cada visita. Se a versão atual for mais recente que a aceita pelo Titular, o banner reaparece automaticamente.
9. Casos de uso típicos (cenários ilustrativos)
Cenário A — Visitante anônimo recusa todos os opcionais
- Você acessa
gaiaprime.pro/; - Banner aparece, você clica em "Recusar opcionais";
- Apenas cookies essenciais ativados (sessão de visita, CSRF);
- Não geramos
__Host-gaia_vid, não carregamos GA4/Hotjar; - Apenas
first_seen_at+ IP mascarado registrado em Redis (Art. 7º X LGPD legítimo interesse — diagnóstico de segurança); - Se você se cadastrar depois, não há histórico anônimo prévio para fundir.
Cenário B — Visitante aceita Marketing, navega 3 dias, então cadastra
- Você acessa
gaiaprime.pro/e aceita "Marketing & Personalização"; - Servidor gera
__Host-gaia_vid(hash SHA-256), Set-Cookie HttpOnly Secure 30d; - Você navega: Hero → ROI Calculator → Use Cases → sai;
- Redis registra: scroll_depth 75%, hover 4s no CTA "Começar Grátis", interação ROI Calculator com R$ 30k/mês de "perda";
- Você volta 3 dias depois, faz Google OAuth;
- Backend faz stitching: histórico anônimo de 3 dias é fundido em
leads.metadata.arapuca.visitor_behavior; - A Cecília (agente de follow-up) recebe contexto rico: "Lead com ROI projetado R$ 30k, alta intenção (hover sustentado CTA, ROI calc completo), latência cadastro 3 dias". Mensagem personalizada de boas-vindas é mais relevante.
Cenário C — Cadastrado quer revogar Marketing
- Você está logado no dashboard;
- Clica no ícone de escudo na landing pública (acessível via menu);
- Desmarca "Marketing", confirma;
gaia_consenté atualizado,__Host-gaia_vidé deletado, registro Redis purgado em até 24h;- Histórico anônimo prévio já fundido em
leads.metadatapermanece (você pode solicitar eliminação total via Art. 18 IV/VI LGPD ao DPO).
10. Foro e legislação
Mesma cláusula da Política de Privacidade §14 e Termos de Uso §13.
Notas de auditoria (não-vinculantes)
- Lei 51 RCEP: lista nominal §3 espelha implementação real (
__Host-gaia_viddefinido em ADR-027 + 29.9.B;gaia_consentlocalStorage definido noCookieConsent.tsx; cookies NextAuth padrão da biblioteca v5). - Guia ANPD Cookies 2024 atendido: seções 3.1 (informação clara e específica), 3.2 (consentimento granular), 3.3 (default conservador para opcionais), 3.4 (revogação simples).
- GDPR ePrivacy alignment: consentimento opt-in para não-essenciais; granularidade por categoria; revogação tão fácil quanto consentimento.
- Lacunas conhecidas para D-H45 review: (a) cookies dinâmicos de campanhas pagas (Pixel Meta, Google Ads) — adicionar à lista quando ativados; (b) Hotjar tag wiring frontend ainda em TODO (
CookieConsent.tsx:43) — depende 29.9.C; (c) versionamentoconsent_versionautomático a implementar (atualmente é manual via timestamp).