LGPD · Avaliação de legítimo interesse

Medição anônima de uso

Como o Compre Barato Alagoas estima quantas pessoas usam o app, de forma anônima e agregada, e por que isso é lícito sob a LGPD.

← Voltar à documentação

Este documento é a avaliação de legítimo interesse (LIA) exigida pela ANPD para medição de audiência. Mantenha-o verdadeiro conforme o código evolui.

Propósito

Queremos saber quantas pessoas diferentes usam o app por dia, com que frequência e em quais horários, para priorizar melhorias e dimensionar a infraestrutura. É medição de audiência — não publicidade, não recomendação personalizada, não venda de dados.

Base legal

Legítimo interesse (LGPD, Art. 7º, IX e Art. 10). Conforme o Guia Orientativo: Cookies e Proteção de Dados Pessoais da ANPD, a medição de audiência pode se apoiar no legítimo interesse quando ocorre em uma configuração restrita. Atendemos a todas as condições dessa configuração (abaixo).

Dados tratados e minimização

O app gera um identificador aleatório próprio da medição (frontend/lib/data/analytics_id.dart, chave analytics_id_v1 em shared_preferences). Ele é separado do token de identidade do dispositivo (o de "salvar na nuvem") e nunca é ligado às listas do usuário, à localização ou a qualquer identidade.
Não contém nome, e-mail, telefone ou qualquer dado direto de identificação.
É enviado no cabeçalho X-Analytics-Id apenas em buscas, e só quando a medição está ligada.
No servidor, o id é salgado e jogado em um HyperLogLog (estrutura probabilística que guarda apenas uma cardinalidade — um número). Não há registro por dispositivo, não há linha que possa ser recuperada para um indivíduo.
O endereço IP não entra nos dados de medição.

Resultado anonimizado (Art. 12)

O dado armazenado é apenas um total agregado (estimativa de aparelhos únicos por período). Agregação é técnica reconhecida de anonimização; o resultado não é reversível por meios razoáveis e, portanto, não é dado pessoal (Art. 12). A exceção do Art. 12, §2 (perfil comportamental) não se aplica: não traçamos perfis.

Configuração restrita (condições atendidas)

Somente dados agregados — HyperLogLog guarda contagem, não rastros.
Sem perfilamento do usuário.
Sem combinação com outros rastreadores ou bases.
Sem compartilhamento com terceiros — Redis próprio, auto-hospedado.
Sem IP nos dados de medição.

Necessidade e proporcionalidade

Não há meio menos invasivo que entregue contagem de aparelhos únicos e retenção: um id estável por aparelho é o mínimo necessário para distinguir "mesmo aparelho voltou" de "aparelho novo". A expectativa do usuário é compatível (medição básica de uso de um app gratuito), o impacto é mínimo (dado anonimizado, sem perfil) e há salvaguardas claras (separação do id, opt-out, anonimização).

Direitos do titular e opt-out (Art. 18, §2)

A medição pode ser desligada a qualquer momento em Configurações → "Estatísticas anônimas de uso". Ao desligar, o app deixa de enviar o id e esquece o identificador localmente. Como o resultado armazenado já é anonimizado, não há registro individual a apagar no servidor.

Transparência

Esta medição é descrita em linguagem simples na Política de Privacidade (seção "Medição anônima de uso"), idêntica à tela de privacidade dentro do app.

Referências

LGPD — Art. 7º, IX e Art. 10 (legítimo interesse); Art. 12 (dados anonimizados); Art. 18, §2 (oposição/opt-out).
ANPD — Guia Orientativo: Cookies e Proteção de Dados Pessoais (medição de audiência em configuração restrita).