Documento legal
Política de Privacidade
Esta Política descreve como a ViperAds trata os dados pessoais dos seus usuários, em conformidade com a Lei Geral de Proteção de Dados (Lei 13.709/2018 — "LGPD").
1. Identificação do controlador
O controlador dos dados pessoais tratados nesta plataforma é [ENTIDADE LEGAL], inscrita no CNPJ sob nº [CNPJ], com sede em [ENDERECO] (doravante "ViperAds", "nós" ou "plataforma").
Para questões relacionadas ao tratamento de dados, você pode entrar em contato com nosso Encarregado pelo Tratamento de Dados (DPO) pelo e-mail [EMAIL_DPO].
2. Dados que coletamos
Coletamos apenas os dados estritamente necessários para a operação da plataforma. As categorias tratadas são:
- Dados de autenticação: e-mail e senha (armazenada em hash, nunca em texto puro) — gerenciados pelo Supabase Auth.
- Dados de perfil (opcionais): nome, telefone e avatar fornecidos voluntariamente pelo usuário.
- Tokens OAuth de integrações externas: tokens de acesso e refresh do TikTok Business API (e futuramente Meta Ads), armazenados com criptografia AES-256 via Supabase Vault.
- Dados operacionais de campanha: identificadores de campanhas, conjuntos de anúncios, criativos, métricas e configurações. Não são dados pessoais de end-users do TikTok — somente metadados das contas que você gerencia.
- Cookies de sessão: cookies
httpOnlyesecurepara manter sua sessão autenticada. - Logs de uso: endereço IP, user-agent, timestamps de ações relevantes (login, criação de campanha, alterações de regras automatizadas) — usados para segurança, auditoria e diagnóstico.
- Dados de pagamento: dados financeiros são processados diretamente pelo Stripe; não armazenamos números de cartão em nossos servidores.
3. Finalidades do tratamento
Tratamos seus dados para as seguintes finalidades:
- Permitir o acesso autenticado à plataforma;
- Gerenciar campanhas no TikTok Ads (e futuras integrações) em seu nome, via APIs oficiais;
- Executar automações e regras configuradas por você (ajustes de orçamento, pausar campanhas etc.);
- Processar cobranças e gerenciar assinaturas;
- Fornecer suporte, prevenir fraude e investigar incidentes de segurança;
- Realizar analytics agregado interno para melhoria do produto (não compartilhamos esses dados com terceiros).
4. Bases legais (LGPD)
O tratamento se fundamenta nas seguintes hipóteses do art. 7º da LGPD:
- Execução de contrato (inc. V): dados necessários para prestação do serviço contratado;
- Legítimo interesse (inc. IX): logs de segurança, prevenção a fraude e analytics interno;
- Consentimento (inc. I): cookies não essenciais e comunicações de marketing (sempre opt-in);
- Cumprimento de obrigação legal (inc. II): retenção de registros fiscais e atendimento a requisições de autoridades competentes.
5. Operadores e subprocessadores
Para operar, compartilhamos dados estritamente necessários com os seguintes operadores, todos com cláusulas contratuais de proteção de dados:
| Operador | Finalidade | Localização |
|---|---|---|
| Supabase Inc. | Autenticação e banco de dados | sa-east-1 (Brasil) |
| Vercel Inc. | Hospedagem do front-end Next.js | Edge global |
| Cloudflare R2 | Armazenamento de mídia (criativos) | Global |
| Upstash Inc. | Redis (cache e filas) | Global |
| Stripe Inc. | Processamento de pagamentos | Global (PCI-DSS) |
| Amazon Web Services (Lambda) | Processamento assíncrono | us-east-1 (EUA) |
Não vendemos nem compartilhamos seus dados com terceiros para fins de marketing.
6. Transferência internacional
Parte dos operadores acima processa dados fora do território brasileiro (EUA e infraestrutura global). Tais transferências são realizadas com base nas garantias previstas no art. 33 da LGPD, incluindo: adesão dos fornecedores a frameworks reconhecidos (GDPR / EU Standard Contractual Clauses), cláusulas contratuais específicas e medidas técnicas de criptografia em trânsito (TLS 1.2+) e em repouso.
7. Retenção de dados
- Dados de conta: retidos enquanto sua conta estiver ativa.
- Logs de uso: 90 dias após geração.
- Backups: mantidos por até 30 dias após a exclusão da conta, exclusivamente para fins de recuperação de desastre.
- Dados fiscais: conforme prazos legais aplicáveis (até 5 anos).
8. Direitos do titular (art. 18 LGPD)
Você pode, a qualquer momento, exercer os seguintes direitos:
- Confirmação da existência de tratamento;
- Acesso aos dados;
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários;
- Portabilidade dos dados a outro fornecedor;
- Eliminação dos dados tratados com base no consentimento;
- Informação sobre entidades públicas e privadas com as quais compartilhamos dados;
- Revogação do consentimento.
Para exercer qualquer um desses direitos, envie um e-mail para [EMAIL_DPO]. Respondemos em até 15 dias.
9. Segurança
Adotamos medidas técnicas e administrativas para proteger os dados:
- Criptografia AES-256 para tokens OAuth e segredos sensíveis;
- HTTPS / TLS 1.2+ obrigatório em todas as comunicações;
- Row Level Security (RLS) no PostgreSQL — usuários só acessam os próprios dados;
- Autenticação multifator (MFA) opcional;
- Princípio do menor privilégio em acessos administrativos e logs de auditoria;
- Backups criptografados e isolados.
Em caso de incidente de segurança que afete seus dados, notificaremos você e a ANPD nos prazos previstos pela LGPD.
10. Menores de idade
A ViperAds é um serviço B2B destinado exclusivamente a maiores de 18 anos com capacidade civil plena ou pessoas jurídicas regularmente constituídas. Não coletamos intencionalmente dados de menores.
12. Alterações desta Política
Podemos atualizar esta Política periodicamente. Mudanças relevantes serão comunicadas por e-mail e através de banner in-app com 30 dias de antecedência. A versão vigente está sempre disponível nesta página, com data de atualização no topo.
13. Contato
Encarregado pelo Tratamento de Dados (DPO): [EMAIL_DPO].
Você também pode registrar reclamação perante a Autoridade Nacional de Proteção de Dados (ANPD) em gov.br/anpd.