Esta Política de Privacidade descreve como a Marketing Suite LTDA
(CNPJ 66.249.398/0001-02), doravante "Marketing Suite",
coleta, utiliza, armazena e protege os dados pessoais de usuários e visitantes do site
marketingsuite.com.br e da plataforma SaaS,
em conformidade com a Lei Geral de Proteção de Dados (Lei 13.709/2018) e
demais legislações aplicáveis.
1. Dados que coletamos
1.1 Dados fornecidos por você
- Cadastro e faturamento: nome, e-mail, telefone, CPF/CNPJ, razão social, endereço, dados de cartão de crédito (tokenizados pela Pagar.me, não armazenamos o número completo).
- Conteúdo operacional: leads capturados, mensagens de WhatsApp, propostas, metas, configurações de agente de IA.
- Imagem de perfil: foto que você opcionalmente envia.
1.2 Dados coletados automaticamente
- Endereço IP, tipo de navegador, sistema operacional, páginas visitadas, data e hora de acesso.
- Cookies de sessão essenciais para autenticação.
- Cookies de preferência (tema escuro/claro, idioma) salvos localmente no seu navegador.
1.3 Dados de terceiros
Quando você conecta uma instância de WhatsApp Business, capturamos metadados das conversas (números, textos) para armazenar no seu CRM. Não acessamos contas pessoais de usuários finais sem autorização explícita.
2. Para que usamos seus dados
- Prestar os serviços contratados (CRM, captura de leads, integração WhatsApp, SDR de IA).
- Processar pagamentos e emitir faturas (via Pagar.me).
- Enviar notificações operacionais (login novo dispositivo, falha de pagamento, alertas).
- Melhorar a plataforma através de análises agregadas e anônimas.
- Cumprir obrigações legais e fiscais.
- Comunicar novidades do produto (opcional, com opção de descadastro).
3. Base legal (LGPD)
- Execução de contrato (art. 7º, V): tratamento necessário para prestar o serviço contratado.
- Consentimento (art. 7º, I): para envio de comunicações de marketing, cookies não-essenciais.
- Legítimo interesse (art. 7º, IX): análises de segurança, prevenção de fraudes.
- Obrigação legal (art. 7º, II): retenção de dados fiscais por 5 anos após encerramento.
4. Com quem compartilhamos
Compartilhamos dados estritamente necessários com os seguintes operadores:
- Pagar.me (pagamentos) e Z-API (WhatsApp), sob acordos de confidencialidade e LGPD.
- Anthropic (Claude, agente de IA), conforme seus termos de privacidade.
- Infraestrutura de hospedagem: Coolify em servidor localizado no Brasil.
- Plataformas de publicidade e medição (operadores): Google LLC (Google Analytics, Google Ads), Meta Platforms Ireland Ltd (Meta Ads, Conversions API) e TikTok Pte Ltd (TikTok Ads). O compartilhamento com essas plataformas só acontece se você aceitar os cookies de marketing no banner; sem esse aceite, nada é enviado a elas.
- Autoridades: quando requisitado por ordem judicial ou lei.
Não vendemos seus dados.
4.1 O que enviamos às plataformas de publicidade
Quando você aceita os cookies de marketing, enviamos a essas plataformas apenas o necessário para medir conversões e habilitar remarketing:
- Dados de contato em hash: e-mail, telefone e nome são convertidos em hash SHA-256 (codificação irreversível) antes do envio. A plataforma recebe o hash, nunca o texto puro.
- Identificadores de campanha:
fbc, fbp, gclid e ttclid, usados apenas para correspondência de conversão.
Não vendemos seus dados. Você pode revogar esse compartilhamento quando quiser pelo link Gerenciar cookies no rodapé.
O evento de cadastro CompleteRegistration só é enviado à Meta (via Conversions API) se você aceitou os cookies de marketing no banner. A base legal desse envio é o seu consentimento (LGPD art. 7º, I).
Se você escolher "Só essenciais" ou recusar, nada é enviado à Meta. Você pode revogar esse consentimento quando quiser pelo link Gerenciar cookies no rodapé.
5. Armazenamento e retenção
- Servidores no Brasil (infraestrutura Coolify), banco de dados MySQL com backups diários.
- Conta ativa: mantemos enquanto você é cliente.
- Após cancelamento: 30 dias para exportação de dados, depois anonimização automática. Dados fiscais mantidos por 5 anos (obrigação legal).
- Logs de segurança: 180 dias.
- Dados de tracking/medição (pixel): retidos por 12 meses e, depois, eliminados automaticamente. O endereço IP já é anonimizado no momento da coleta.
6. Medidas de segurança
- Criptografia TLS (HTTPS) em todas as conexões.
- Senhas armazenadas com hash bcrypt (nunca em texto puro).
- Dados de cartão tokenizados (PCI-DSS, nunca passam por nossos servidores).
- Rate limiting, lockout após tentativas falhas, proteção contra brute force.
- Isolamento multi-tenant: dados de uma empresa são inacessíveis a outras.
- Controle de acesso baseado em cargo (Administrador / Gestor / Vendedor).
- Auditoria de ações sensíveis (em expansão).
7. Seus direitos como titular
Conforme art. 18 da LGPD, você pode:
- Confirmar a existência de tratamento de seus dados.
- Acessar os dados que temos sobre você.
- Corrigir dados incompletos, inexatos ou desatualizados.
- Anonimizar, bloquear ou eliminar dados desnecessários ou tratados em desconformidade.
- Portar seus dados para outro fornecedor (export em JSON/CSV).
- Eliminar dados tratados com base no consentimento.
- Revogar o consentimento a qualquer momento.
- Obter informação sobre com quem compartilhamos seus dados.
- Reclamar à Autoridade Nacional de Proteção de Dados (ANPD).
Para exercer qualquer destes direitos, envie e-mail para dpo@marketingsuite.com.br. Respondemos em até 15 dias.
8. Cookies e rastreamento
Usamos os seguintes tipos de cookies:
- Essenciais: autenticação de sessão, CSRF token, preferência de tema. Não requerem consentimento (LGPD art. 7º, V).
- Analíticos (em uso): medem como o site é usado (páginas mais visitadas, origem do acesso, desempenho) para nos ajudar a melhorar a plataforma. Funcionam via Google Analytics e Google Tag Manager. Base legal: consentimento (LGPD art. 7º, I). Só funcionam após o seu aceite no banner e podem ser revogados a qualquer momento.
- Marketing (em uso): medem a eficácia dos nossos anúncios e permitem remarketing em Google, Meta e TikTok. Base legal: consentimento (art. 7º, I). Só funcionam após o seu aceite e podem ser revogados a qualquer momento.
Você decide. Os cookies analíticos e de marketing só começam a funcionar depois que você aceita no banner. Pode mudar quando quiser pelo link Gerenciar cookies no rodapé, ou nas configurações do navegador. Enquanto não aceita, só os essenciais ficam ativos.
9. Uso de inteligência artificial
O recurso SDR de IA e o gerador de conteúdo do blog usam o modelo Claude da Anthropic para produzir respostas e textos. Mensagens processadas pela IA:
- Não são usadas pela Anthropic para treinar modelos futuros (conforme acordo comercial).
- São armazenadas no seu CRM para auditoria e continuidade da conversa.
- Podem ser desativadas a qualquer momento pelo administrador da conta.
A geração automática de ilustrações também usa Claude (somente SVG vetorial, sem envolvimento de foto de pessoas reais).
10. Transferência internacional
A Anthropic (Claude) e a Pagar.me (processamento de cartão internacional) podem envolver transferência de dados para fora do Brasil. Ambas adotam salvaguardas adequadas (cláusulas contratuais padrão, certificações SOC 2).
11. Google Ads API e conversões offline
Quando a agência conecta uma conta do Google Ads ao Marketing Suite (via autorização OAuth 2.0 do Google), passamos a acessar essa conta em nome da agência, exclusivamente para os serviços contratados. Só acessamos contas que a agência conectou explicitamente; nunca acessamos contas de terceiros sem essa autorização.
11.1 O que acessamos via Google Ads API
- Métricas de performance (impressões, cliques, conversões, custo, ROAS).
- Configuração de campanhas, grupos de anúncio, anúncios, palavras-chave e ações de conversão.
- Identificadores: Customer ID (Google Ads), Campaign ID e GCLID (identificador de clique).
11.2 Conversões offline e Enhanced Conversions
Para atribuir conversões reais às campanhas, o Marketing Suite pode enviar ao Google eventos de conversão offline (quando um lead se torna venda). No recurso Enhanced Conversions, o e-mail e o telefone do consumidor são convertidos em hashes SHA-256 (codificação irreversível) antes do envio; apenas o hash é transmitido ao Google, nunca o dado em texto puro. Esses hashes são usados exclusivamente para correspondência de conversão.
11.3 Base legal e responsabilidades
- Base legal: execução do contrato (art. 7º, V) e legítimo interesse (art. 7º, IX) do anunciante na mensuração das próprias campanhas, sempre com transparência ao titular.
- Transferência internacional: o envio de eventos e hashes ao Google constitui transferência internacional, com as salvaguardas descritas na seção 10.
- Responsabilidade da agência: cabe à agência informar seus consumidores (titulares) sobre o uso de Enhanced Conversions e dispor de base legal adequada perante eles.
11.4 Retenção, não-revenda e revogação
- Não revendemos nem compartilhamos com terceiros os dados acessados via Google Ads API fora do escopo do serviço.
- As métricas sincronizadas são mantidas enquanto a conta estiver conectada; após a desconexão seguem a política de retenção da seção 5.
- A agência pode revogar o acesso a qualquer momento pelo painel ou pelo console do Google. Ao desconectar, o token de autorização é revogado no Google e removido dos nossos servidores.
12. Crianças e adolescentes
O Marketing Suite é destinado a profissionais e empresas. Não coletamos intencionalmente dados de menores de 18 anos. Se você é responsável legal e identificar coleta indevida, entre em contato imediatamente.
13. Alterações desta Política
Podemos atualizar esta Política periodicamente. Mudanças materiais são comunicadas por e-mail e com banner no painel com no mínimo 30 dias de antecedência. A versão atual está sempre disponível nesta URL.
14. Contato e encarregado de dados
Ficou com qualquer dúvida sobre seus dados, ou quer exercer um direito? É só falar com a gente. Nosso encarregado responde em até 15 dias.
Encarregado (DPO): André Tini
E-mail: dpo@marketingsuite.com.br
Endereço: R. Patrocínio Paulista, 222 - Cidade Ariston Estela Azevedo, Carapicuíba - SP, 06390-400 (Marketing Suite LTDA, CNPJ 66.249.398/0001-02).
Se preferir, você também pode reclamar diretamente à Autoridade Nacional de Proteção de Dados pelo site gov.br/anpd.