Política de Privacidade

A Trafegix (“Trafegix”, “nós” ou “plataforma”) é um produto operado pela UdiSoftBOX, empresa brasileira sediada em Uberlândia/MG, especializada em tecnologias de apoio à decisão para gestão de redes sociais. Oferecemos uma ferramenta de análise estratégica de contas do Instagram Business, com recomendações geradas por inteligência artificial, automações, monitoramento de engajamento e geração de conteúdo.

Atuamos como controladores dos dados pessoais que coletamos diretamente de você (o titular usuário-assinante) e, em algumas situações, como operadores dos dados que tratamos em nome do usuário — por exemplo, quando processamos comentários, menções ou DMs de terceiros que interagem com o perfil Instagram conectado à plataforma. Nesses casos, o próprio usuário-assinante é o controlador primário dos dados daquelas interações, e a Trafegix atua como processadora contratada.

O encarregado pelo tratamento de dados (DPO — Data Protection Officer) pode ser contatado a qualquer momento pelo e-mail douglasmsf@hotmail.com, ou através da página /dpo.

Coletamos diferentes categorias de dados, sempre respeitando os princípios da finalidade, adequação e necessidade previstos no art. 6º da LGPD.

2.1 Dados de cadastro e identificação

• Nome completo, e-mail, avatar (coletados via provedor de identidade Clerk).
• Identificador único (Clerk User ID) e identificadores internos da conta.
• Dados de faturamento e pagamento, quando aplicável (processados pela Stripe, Inc. — nós armazenamos apenas o ID de cliente e metadados de assinatura).

2.2 Dados da conta Instagram conectada

• Nome de usuário, biografia, website, foto de perfil, número de seguidores e histórico público.
• Métricas e insights fornecidos pela Meta Graph API (alcance, impressões, engajamento, demografia agregada).
• Publicações, carrosséis, reels e stories, incluindo legendas, hashtags, menções e métricas associadas.
• Tokens OAuth (criptografados em AES-256-GCM em repouso) para acesso autorizado à Meta Graph API.

2.3 Dados de terceiros (interagentes)

• Usernames, conteúdo textual de comentários e respostas, sentimento inferido, intenção.
• Conteúdo de Direct Messages (DMs) recebidas pelo perfil conectado, quando essa funcionalidade for ativada.
• Menções ao perfil em posts e stories de outros usuários do Instagram.

Observação: esses dados já são públicos (ou direcionados à conta conectada pelo próprio emissor) e são tratados sob a base legal do legítimo interesse do usuário-assinante para operação da sua estratégia de comunicação, sempre com anonimização em relatórios e exportações agregadas.

2.4 Dados de navegação e uso

• Endereço IP, tipo de navegador, sistema operacional, idioma.
• Páginas visitadas, ações realizadas na plataforma, timestamps.
• Cookies essenciais de sessão (Clerk), cookies opcionais de analytics e marketing (apenas com opt-in ativo).

2.5 Dados de contexto de negócio

• Segmento, subnicho, tipo de negócio, estágio, faixa de receita informada (voluntariamente) em onboarding.
• Configurações, automações criadas, histórico de recomendações aceitas/rejeitadas.

Os dados são tratados para as seguintes finalidades explícitas:

• Prestar o serviço contratado — geração de recomendações estratégicas, geração de conteúdo, automações de engajamento, monitoramento de concorrentes, geração de relatórios.
• Permitir autenticação segura e controle de acesso multi-tenant.
• Processar cobranças, faturamento e renovações de assinatura via Stripe.
• Enviar comunicações transacionais (confirmações, alertas críticos, relatórios semanais agendados).
• Melhorar continuamente a qualidade das recomendações de IA, usando dados agregados e anonimizados do próprio usuário (Layer 4 — aprendizado contínuo).
• Cumprir obrigações legais, regulatórias e requisições de autoridades competentes.
• Prevenir fraudes, uso abusivo, violações dos Termos e violações de direitos de terceiros.

Utilizamos as seguintes bases legais, conforme a finalidade:

• Execução de contrato (art. 7º, V) — tratamento necessário para a prestação do serviço contratado: conexão com Meta Graph API, geração de insights, automações escolhidas pelo usuário, cobrança.
• Consentimento (art. 7º, I e art. 8º) — para cookies não essenciais (analytics e marketing), para envio de comunicações promocionais opcionais e para quaisquer tratamentos não cobertos por outras bases. O consentimento é obtido de forma livre, informada, específica e pode ser revogado a qualquer momento.
• Legítimo interesse (art. 7º, IX e art. 10) — para analisar comentários e menções públicas de terceiros que interagem com o perfil conectado, melhorar o modelo de IA com base em dados agregados, prevenir fraude, segurança da plataforma e análises antienganas. Realizamos teste de balanceamento considerando expectativa legítima do titular.
• Cumprimento de obrigação legal (art. 7º, II) — retenção fiscal (Receita Federal), respostas a ordens judiciais, Marco Civil da Internet, Código de Defesa do Consumidor.
• Exercício regular de direitos (art. 7º, VI) — em processos judiciais, administrativos ou arbitrais.

A Trafegix não realiza tratamento de dados pessoais sensíveis (art. 11 da LGPD — origem racial, convicção religiosa, saúde, dado biométrico, etc.) como parte do fluxo normal do produto. Caso algum conteúdo postado pelo usuário contenha dados sensíveis, eles serão tratados exclusivamente sob consentimento específico ou as demais hipóteses do art. 11.

Seus dados são tratados com rigorosos controles de acesso e compartilhados apenas com os seguintes operadores necessários à prestação do serviço, todos com contratos de tratamento de dados (Data Processing Agreements) vigentes:

• Clerk, Inc. — autenticação e gerenciamento de identidade.
• Meta Platforms, Inc. — Graph API oficial Instagram/Facebook (dados autorizados pelo próprio usuário via OAuth).
• Stripe, Inc. — processamento de pagamentos e gestão de assinaturas.
• Vercel, Inc. — hospedagem da aplicação, Blob Storage (ativos de mídia) e infraestrutura de borda.
• Neon Tech — banco de dados Postgres hospedado em região com proteções adequadas.
• Anthropic PBC e/ou OpenAI L.L.C. — provedores de modelos de linguagem para geração de recomendações, captions e análises (chamadas mediadas por AI Gateway, sem retenção de treino).
• Autoridades públicas — quando exigido por lei ou ordem judicial.

Não vendemos, alugamos ou cedemos dados pessoais para terceiros para fins de marketing. Nenhum dado é usado para treinar modelos genéricos de IA externos sem anonimização completa e consentimento explícito.

5.1 Transferência internacional

Alguns operadores listados acima estão localizados nos Estados Unidos e União Europeia. Essas transferências internacionais ocorrem sob as bases do art. 33 da LGPD (país com grau adequado de proteção, cláusulas contratuais específicas ou garantias apresentadas pelo operador). O titular pode solicitar detalhes ao DPO.

Aplicamos a seguinte política de retenção:

• Conta ativa: todos os dados são mantidos enquanto a assinatura estiver ativa.
• Após cancelamento voluntário: dados são apagados em até 30 dias, exceto dados com obrigação legal de retenção (5 anos para dados fiscais — art. 195 do CTN).
• Dados de logs de auditoria: 12 meses (Marco Civil da Internet, art. 15).
• Dados de insights agregados e anonimizados: podem ser mantidos indefinidamente para fins estatísticos (art. 16, IV da LGPD).
• Backups criptografados: rotacionados a cada 30 dias.
• Tokens OAuth: revogados imediatamente após desconexão da conta Instagram.

Você, como titular dos dados, tem direito a qualquer momento a:

• Confirmação da existência de tratamento de seus dados.
• Acesso aos dados que temos sobre você.
• Correção de dados incompletos, inexatos ou desatualizados.
• Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
• Portabilidade dos dados a outro fornecedor, mediante requisição expressa, em formato estruturado (JSON).
• Eliminação dos dados tratados com base em consentimento (ressalvadas hipóteses legais de guarda).
• Informação sobre com quem compartilhamos seus dados.
• Informação sobre a possibilidade de não fornecer consentimento e suas consequências.
• Revogação do consentimento, com o mesmo grau de facilidade com que foi concedido.
• Revisão de decisões automatizadas que afetem seus interesses (art. 20 da LGPD) — as recomendações geradas por IA na plataforma são sempre apresentadas como sugestões, não decisões finais, e o usuário mantém controle total de aprovação/rejeição.
• Peticionamento perante a Autoridade Nacional de Proteção de Dados (ANPD).

Disponibilizamos funcionalidades self-service para os principais direitos em /contas: exportar todos os seus dados em JSON (portabilidade) e excluir permanentemente sua conta (eliminação). Outras requisições podem ser feitas em /dpo.

A plataforma utiliza três categorias de cookies:

• Essenciais (sempre ativos): autenticação Clerk, sessão, preferência de tema, token CSRF. Sem eles, a plataforma não funciona.
• Analytics (opt-in): medição de uso anônimo agregado para melhoria do produto.
• Marketing (opt-in): pixel de conversão para campanhas próprias da Trafegix.

A escolha do usuário é solicitada no primeiro acesso via banner de consentimento granular e pode ser alterada a qualquer momento limpando o armazenamento local do navegador ou contatando o DPO.

Aplicamos medidas técnicas e organizacionais compatíveis com o estado da arte:

• Criptografia TLS 1.3 em trânsito.
• Criptografia AES-256-GCM em repouso para tokens OAuth e dados sensíveis.
• Isolamento multi-tenant no banco com controle de acesso por workspace.
• Autenticação por provedor especializado (Clerk) com suporte a MFA.
• Princípio do menor privilégio no acesso operacional.
• Logs imutáveis de auditoria por 12 meses.
• Revisões de dependências e patches de segurança contínuos.
• Processo de resposta a incidentes com comunicação em até 48h à ANPD e aos titulares afetados, em caso de incidente de segurança (art. 48 LGPD).

O serviço é destinado exclusivamente a maiores de 18 anos no contexto profissional de gestão de redes sociais. Não coletamos conscientemente dados de crianças ou adolescentes. Caso tenhamos conhecimento de cadastro de menor, providenciaremos a eliminação dos dados imediatamente.

A Trafegix utiliza modelos de linguagem e algoritmos de ranking para gerar recomendações de estratégia, conteúdo, experimentos A/B e automações. Em conformidade com o art. 20 da LGPD:

• Toda recomendação gerada por IA é rotulada como sugestão — a decisão final é sempre humana.
• O usuário pode solicitar revisão humana de qualquer recomendação que tenha afetado seus interesses.
• Disponibilizamos explicações sobre os critérios utilizados (dados de origem, features, pesos).
• Não realizamos tomada de decisão automatizada com efeitos jurídicos sobre terceiros.

Podemos atualizar esta política periodicamente. Alterações relevantes serão comunicadas por e-mail ao usuário-assinante e destacadas na plataforma por pelo menos 30 dias antes da vigência. O histórico de versões anteriores pode ser consultado mediante solicitação ao DPO.

Encarregado de Proteção de Dados (DPO): Douglas Faria
E-mail: douglasmsf@hotmail.com
Endereço: Uberlândia/MG, Brasil
Página de requisições: /dpo

O titular também pode apresentar reclamação diretamente à Autoridade Nacional de Proteção de Dados (ANPD), através de gov.br/anpd.