Politica de Privacidade

1. Controlador de dados

Spartaco Tecnologia LTDA (CNPJ em registro), atuando comercialmente como Ape Posta, na qualidade de controladora conforme Art. 5º VI LGPD. Contato do Encarregado (DPO): dpo@apeposta.com.

2. Dados coletados

• Cadastro: email, nome, autenticacao Google OAuth.
• Essência da marca: informacoes da sua marca, publico, tom, objetivos — fornecidas por voce ou extraidas de URL publica que voce autorizou.
• Conteudo gerado: posts, imagens, legendas, hashtags produzidos pela IA a seu pedido.
• Uso: logs de acesso, requisicoes a IA, metricas de publicacao.
• Credenciais de terceiros: tokens de acesso Instagram / Facebook / Twitter / WhatsApp quando voce autoriza publicacao. Tokens Instagram sao armazenados criptografados (AES-256-GCM) e tem validade de ate 60 dias rolling. Detalhes no item 5A abaixo.
• Identificadores Facebook/Instagram: facebook_user_id (ID do seu Facebook) e instagram_business_account_id (ID da conta Instagram Business vinculada a sua Page). Coletados via Instagram Graph API mediante consentimento OAuth e usados exclusivamente para publicar conteudo na sua propria conta.

3. Finalidades

• Prestacao do servico contratado (Art. 7º V LGPD).
• Cumprimento de obrigacoes legais e fiscais (Art. 7º II).
• Seguranca, prevencao de fraude (Art. 7º IX — legitimo interesse).
• Melhoria do produto (dados agregados anonimizados).

4. Bases legais

Execucao de contrato (Art. 7º V), cumprimento de obrigacao legal (Art. 7º II), legitimo interesse (Art. 7º IX, com teste proporcionalidade), e consentimento (Art. 7º I) para comunicacoes de marketing opt-in.

5A. Integracao com Meta (Instagram Graph API)

Quando voce conecta sua conta Instagram Business via OAuth do Facebook, a Ape Posta recebe e armazena, com seu consentimento expresso:

• Token de acesso de longa duracao (validade ~60 dias), criptografado em repouso com AES-256-GCM. Usado exclusivamente para publicar e ler dados da conta IG Business que voce autorizou.
• Seu facebook_user_id, usado para correlacionar solicitacoes de exclusao de dados via Facebook Settings.
• ID e nome da Page do Facebook vinculada ao IG Business, e ID da conta IG Business.
• Permissoes (scopes) solicitadas: instagram_basic, instagram_content_publish, pages_show_list, pages_read_engagement, business_management.

Nao publicamos nada sem sua aprovacao explicita pelo painel. Voce pode revogar o acesso a qualquer momento em Facebook Settings > Apps and Websites > Ape Posta > Remove. A Meta nos notifica via callback automatico, e suas credenciais sao apagadas em ate 24 horas. Veja /data-deletion para detalhes.

5. Compartilhamento com terceiros (sub-operadores)

Seus dados sao processados pelos sub-operadores abaixo, todos com contratos de confidencialidade e seguranca:

• Supabase (PostgreSQL, autenticacao, storage) — servidores US-East; transferencia internacional amparada por clausulas padrao.
• Vercel (hospedagem frontend + serverless) — servidores US/EU.
• Cloudinary (CDN de imagens geradas) — servidores US.
• Google Gemini AI (geracao de texto e imagem quando o usuario escolhe esse provedor) — sem retencao permanente pela Google em API Vertex/Gemini Paid.
• Meta (Instagram), Twitter/X, WhatsApp Business — quando voce autoriza publicacao.
• n8n auto-hospedado na VPS da ApePosta (Hostinger KVM Brasil) — orquestrador de workflows.

6. Transferencia internacional

Dados podem ser transferidos para os EUA (Supabase, Vercel, Cloudinary). Protecao equivalente garantida via clausulas contratuais padrao aprovadas pela ANPD (Autoridade Nacional de Protecao de Dados).

7. Retencao

Dados da conta mantidos enquanto ativa. Apos cancelamento: desativacao imediata e exclusao definitiva em 30 dias, exceto obrigacoes fiscais (5 anos) e logs de seguranca (6 meses).

8. Direitos do titular (Art. 18 LGPD)

Voce tem direito a:

• Confirmacao da existencia de tratamento.
• Acesso aos dados.
• Correcao de dados incompletos/inexatos.
• Anonimizacao, bloqueio ou eliminacao de dados desnecessarios.
• Portabilidade a outro fornecedor.
• Eliminacao dos dados tratados com consentimento.
• Informacao sobre compartilhamento.
• Revogacao do consentimento.
• Oposicao a tratamento por legitimo interesse.

Para exercer qualquer direito, escreva para dpo@apeposta.com. Resposta em ate 15 dias corridos. Para exclusao especifica de dados Instagram/Facebook, consulte /data-deletion.

9. Seguranca

Criptografia em transito (TLS 1.3), em repouso (AES-256), autenticacao multi-tenant com RLS, rotacao de credenciais, HMAC em webhooks. Em caso de incidente de seguranca, notificaremos voce e a ANPD em ate 72 horas (Art. 48 LGPD).

10. Cookies

Usamos cookies estritamente necessarios (autenticacao, seguranca) e analiticos agregados (sem identificacao individual). Voce pode bloquear cookies no navegador — algumas funcionalidades podem parar de funcionar.

11. Alteracoes

Esta politica pode ser atualizada. Mudancas materiais serao avisadas por email ou banner no app com antecedencia de 30 dias.

12. Contato

DPO: dpo@apeposta.com. Voce tambem pode reclamar a ANPD: gov.br/anpd.