Avaliação de Interesse Legítimo
Controlador de Dados: Dasolve AS (Org.nr 936 035 019),
Lillogata 5P, 0484 Oslo, Noruega
Data da avaliação: 10 de maio de 2026
Última revisão: 10 de maio de 2026
Contato: privacy@archgate.dev
1. Finalidade do tratamento
O Archgate coleta análises de uso anônimas da CLI e relatórios de falha para:
- Entender quais comandos e funcionalidades são utilizados, possibilitando priorização baseada em evidências
- Identificar e corrigir falhas que afetam os usuários (via relatórios de erro do Sentry)
- Medir padrões de adoção entre sistemas operacionais, provedores de CI e métodos de instalação
- Detectar regressões após novas versões comparando taxas de sucesso dos comandos
- Planejar descontinuações entendendo quais funcionalidades têm baixo uso
Sem esses dados, decisões de produto seriam tomadas às cegas, falhas poderiam passar despercebidas e recursos de desenvolvimento seriam mal alocados.
2. Necessidade
Consideramos alternativas menos invasivas:
| Alternativa | Por que é insuficiente |
|---|---|
| Apenas opt-in | Dados da indústria mostram que telemetria opt-in atinge 2-5% de participação, produzindo amostras estatisticamente não confiáveis que não podem representar a base de usuários |
| Relatórios manuais de bugs | Captura apenas problemas que os usuários percebem e escolhem reportar; falhas em pipelines de CI ou ambientes de casos extremos passam permanentemente despercebidas |
| Sem telemetria | Elimina todo sinal quantitativo; decisões se tornam suposições |
| Pesquisas periódicas | Viés de auto-seleção, baixa taxa de resposta, sem detecção de falhas em tempo real |
Telemetria opt-out com dados anônimos é o mecanismo menos invasivo que ainda atinge as finalidades declaradas.
3. Minimização de dados
O tratamento é projetado para coletar o mínimo de dados necessários:
- Identificador anônimo: Um UUID aleatório (não derivado de nenhum dado pessoal)
- Sem PII: Sem nomes, emails, nomes de usuário, endereços IP ou conteúdo de arquivos
- Apenas presença de flags: Registramos quais flags da CLI foram usadas, nunca seus valores
- Identidade de repositório em hash: Hash SHA-256 (primeiros 16 caracteres) — não reversível
- Anonimização de IP: O IP é resolvido para país/região no servidor, e então imediatamente descartado
- Sem vinculação entre serviços: O ID de instalação não é correlacionado com nenhuma identidade externa
Inventário completo de dados: https://cli.archgate.dev/reference/telemetry
4. Salvaguardas
| Salvaguarda | Implementação |
|---|---|
| Anonimização de IP | O PostHog descarta o IP após resolução geográfica; o Sentry remove o IP antes do armazenamento |
| Armazenamento apenas na UE | PostHog UE (Frankfurt), Sentry UE (Frankfurt), Turso UE |
| Retenção limitada | Análises: 1 ano. Relatórios de falha: 90 dias |
| Opt-out fácil |
Um único comando (archgate telemetry disable) ou
variável de ambiente (ARCHGATE_TELEMETRY=0)
|
| Divulgação na primeira execução | Aviso exibido na primeira sessão interativa da CLI |
| Transparência | Todo o código de telemetria é de código aberto (Apache-2.0) e publicamente auditável |
| Sem perfilamento | Nenhum perfil de usuário é criado; sem segmentação comportamental |
| Sem compartilhamento com terceiros | Os dados não são vendidos, alugados ou compartilhados para publicidade ou marketing |
| Processadores mínimos | Apenas o PostHog (análises) e o Sentry (falhas) processam os dados |
| Direitos dos titulares dos dados | Usuários podem solicitar acesso ou exclusão via privacy@archgate.dev (resposta em 30 dias) |
5. Teste de balanceamento
Interesse legítimo do controlador
O Archgate precisa de dados quantitativos de uso e falhas para construir uma ferramenta de desenvolvedor confiável e bem priorizada. Este é um interesse padrão e reconhecido para editores de software (Considerando 47 do GDPR: "o tratamento de dados pessoais estritamente necessário para fins de prevenção de fraude constitui igualmente um interesse legítimo do responsável pelo tratamento em causa" — por analogia, o tratamento para confiabilidade do produto serve a um interesse comparável).
Impacto nos titulares dos dados
- Os dados são anônimos: Um UUID aleatório sem vínculo com nenhuma identidade
- Sem dados sensíveis: Nenhuma informação de saúde, política, religiosa ou financeira
- Sem perfilamento comportamental: Sem publicidade, sem segmentação, sem decisões algorítmicas que afetam os usuários
- Pegada mínima: Alguns kilobytes por sessão da CLI, transmitidos uma única vez
- Sem impacto no serviço: Optar por não participar não tem nenhum efeito na funcionalidade da CLI
- Expectativa razoável: Ferramentas de desenvolvedor comumente coletam telemetria anônima; os usuários razoavelmente esperam isso
Conclusão
O interesse legítimo do controlador em melhoria de produto e detecção de falhas prevalece sobre o impacto mínimo nos titulares dos dados porque:
- Os dados são anônimos e não podem identificar indivíduos
- O tratamento não tem efeito adverso nos titulares dos dados
- Os titulares dos dados mantêm controle total via opt-out fácil e permanente
- A finalidade é proporcional (qualidade do produto, não monetização)
- Salvaguardas robustas (anonimização de IP, armazenamento na UE, retenção limitada, transparência) reduzem ainda mais qualquer risco residual
Base legal: Artigo 6(1)(f) do GDPR — interesses legítimos do controlador.
6. Cronograma de revisão
Esta avaliação será revisada:
- Anualmente (próxima revisão: maio de 2027)
- Quando novos pontos de dados forem adicionados à telemetria
- Quando as finalidades do tratamento mudarem
- Quando um titular dos dados apresentar uma objeção substancial
7. Referências
- Política de Privacidade
- Documentação de telemetria
- Código-fonte de telemetria
- Código-fonte do Sentry
8. Conformidade com a LGPD (Lei 13.709/2018)
Além do GDPR, esta avaliação atende aos requisitos específicos do Art. 10 da Lei Geral de Proteção de Dados (LGPD) brasileira para o tratamento baseado em legítimo interesse.
Requisitos do Art. 10
| Requisito | Como é atendido |
|---|---|
| Finalidades legítimas em situações concretas (caput) | Melhoria de produto, detecção de crashes, priorização de funcionalidades — situações concretas e mensuráveis de operação de software. |
| Dados estritamente necessários (§1º) | Apenas UUID anônimo, metadados de ambiente e contagens agregadas. Nenhum dado pessoal identificável. Flag presence only, never values. |
| Transparência (§2º) | Código-fonte aberto (Apache-2.0), aviso na primeira execução, documentação detalhada em cli.archgate.dev/reference/telemetry. |
| Direito de oposição (§2º c/c Art. 18, §2º) |
Titular pode se opor a qualquer momento via archgate telemetry disable
ou ARCHGATE_TELEMETRY=0, sem nenhuma consequência
funcional.
|
RIPD (Relatório de Impacto à Proteção de Dados Pessoais)
Esta avaliação de legítimo interesse constitui a base do Relatório de Impacto à Proteção de Dados Pessoais (RIPD) previsto no Art. 38 da LGPD. O RIPD completo pode ser apresentado à Autoridade Nacional de Proteção de Dados (ANPD) mediante solicitação, conforme Art. 10, §3º.
O relatório documenta:
- Descrição dos tipos de dados coletados
- Metodologia utilizada para a coleta e tratamento
- Medidas de segurança e mecanismos de mitigação de riscos
- Análise do controlador com relação a medidas, salvaguardas e mecanismos adotados
Base legal e artigos aplicáveis
- LGPD Art. 7, IX: legítimo interesse do controlador
- LGPD Art. 10: requisitos para o tratamento baseado em legítimo interesse
- LGPD Art. 10, §1º: tratamento limitado aos dados estritamente necessários
- LGPD Art. 10, §2º: garantia de transparência e direito de oposição
- LGPD Art. 10, §3º c/c Art. 38: RIPD disponível mediante solicitação da ANPD