Política de Privacidade

Como a Folha Criativa trata os dados pessoais que coleta no app de dashboards de performance. Esta política se aplica aos operadores da agência, às clínicas atendidas e aos titulares cujos dados aparecem em planilhas e campanhas conectadas.

Última atualização: 10 de maio de 2026 Versão 1.0 LGPD · Lei 13.709/2018

Quem somos

A Folha Criativa é uma agência de marketing de performance focada em clínicas de saúde (estética, odontologia, cirurgia plástica, dermatologia, entre outras). Operamos um app próprio de dashboards (app.folhacriativa.com.br) que gera relatórios consolidados de campanhas, redes sociais e atendimento pra cada clínica atendida.

Para fins desta política e da LGPD, atuamos como controladora dos dados de operadores internos da agência e como operadora dos dados de leads e campanhas que pertencem aos clientes (as clínicas).

Definições

  • Titular: pessoa natural a quem se referem os dados pessoais (ex: um operador da agência, um sócio da clínica, um lead capturado em campanha).
  • Controlador: quem decide sobre o tratamento dos dados.
  • Operador: quem trata dados em nome do controlador (a Folha Criativa, em relação aos dados das clínicas).
  • Tratamento: qualquer operação realizada com dados (coleta, armazenamento, análise, transferência, exclusão).
  • Cliente (no app): a clínica atendida pela agência.
  • Operador (no app): pessoa física da agência que usa o app pra atender clínicas.

Dados coletados

Dos operadores da agência

  • Email corporativo (apenas @folhacriativa.com.br)
  • Nome completo
  • Foto de perfil (avatar) — opcional, fornecida pelo próprio operador
  • Função (master / operator)
  • Times aos quais pertence
  • Tokens OAuth de Meta (Facebook/Instagram) e Google — armazenados criptografados
  • Logs de uso da IA (endpoints chamados, tokens consumidos, custo)

Das clínicas atendidas

  • Razão social e CNPJ
  • Endereço completo
  • Dados do sócio administrador: nome, CPF, email, telefone
  • Dados financeiros: contato, dia de pagamento, valor da mensalidade, preferência de envio (email/WhatsApp), informações sobre emissão de NF
  • Instagram da clínica (handle público)
  • URLs de landing pages
  • Briefing, anotações internas, metas, eventos de evolução
  • Estágio do contrato (novo, onboarding, em escala, etc) e nível (1-3 estrelas)

Das campanhas e canais conectados

  • Meta Ads: métricas de campanhas, conjuntos, anúncios, criativos, públicos (via Graph API com OAuth do operador)
  • Instagram (Graph API): posts, métricas de perfil e conteúdo
  • Google Sheets: planilhas CRM, tráfego e dados de apoio (via OAuth do operador). Conteúdo lido pode incluir leads, agendamentos, atendimentos e jornadas.
  • Google Calendar: eventos de reunião criados pelo operador (Meet links, convidados, gravações)

Cookies e sessão

  • Cookie session de autenticação (HttpOnly, Secure, SameSite=Lax) — necessário pro login funcionar
  • Não usamos cookies de rastreamento, analytics de terceiros ou pixels publicitários
Importante: dados de leads que aparecem em planilhas CRM dos clientes pertencem à clínica que os capturou. A Folha Criativa os trata exclusivamente pra gerar dashboards e responder pedidos legítimos do próprio cliente. Não comercializamos esses dados.

Como usamos

Os dados coletados são usados pra:

  • Autenticar operadores e isolar acesso por times
  • Conectar contas externas (Meta Ads, Google Sheets/Calendar) via OAuth
  • Importar e processar dados de campanhas e CRM
  • Aplicar inteligência artificial (Claude, da Anthropic) pra extrair estrutura de planilhas e gerar análises
  • Renderizar dashboards estáticos hospedados em URL pública não-adivinhável (token UUID)
  • Enviar relatórios e convites de reunião por email ou via Google Calendar
  • Auditar uso e custos da IA, manter histórico de eventos relevantes

Base legal

Conforme art. 7º da LGPD, tratamos dados com base em:

  • Execução de contrato (inciso V): para entregar o serviço de dashboards às clínicas atendidas e ao próprio operador da agência.
  • Legítimo interesse (inciso IX): para operação técnica do app, segurança, prevenção a fraude, métricas de produto e melhoria do serviço — sempre balanceado contra direitos do titular.
  • Consentimento (inciso I): quando aplicável, para finalidades específicas que o exijam (ex: cadastro voluntário em listas de marketing).
  • Cumprimento de obrigação legal (inciso II): para fins fiscais, contratuais e regulatórios.

Compartilhamento com terceiros

Compartilhamos dados estritamente com fornecedores essenciais à operação do app, sob contratos que exigem confidencialidade e medidas técnicas adequadas:

FornecedorFinalidadeDados
Anthropic (Claude API) IA pra extração estruturada e análise Trechos de planilhas e prompts de extração
Meta Platforms Graph API (Ads + Instagram) Tokens OAuth · IDs de conta/IG/página
Google LLC APIs Sheets, Calendar, Drive, OAuth Tokens OAuth · escopo da planilha
Railway Hospedagem da aplicação e do banco Todos os dados em repouso

Não vendemos, alugamos ou cedemos dados pra terceiros fora do escopo acima. Nenhum dado é enviado pra brokers de marketing, plataformas de score ou bureaus de crédito.

Transferência internacional

Os fornecedores listados acima estão sediados nos Estados Unidos. Conforme art. 33 da LGPD, autorizamos a transferência baseado em:

  • Cláusulas contratuais padrão (DPA / Standard Contractual Clauses) com cada fornecedor
  • Criptografia em trânsito (HTTPS/TLS) em todas as comunicações
  • Criptografia em repouso para tokens sensíveis (Fernet/AES-128)
  • Hospedagem em provedores com certificações reconhecidas (SOC 2, ISO 27001)

Segurança

Medidas técnicas e organizacionais que adotamos:

  • Transporte criptografado: HSTS habilitado, redirecionamento HTTP→HTTPS forçado
  • Autenticação: senhas com hash forte; sessões HttpOnly + SameSite
  • Tokens OAuth criptografados: armazenados com chave Fernet rotacionável
  • Isolamento por times: operadores só veem clientes dos seus times; master vê tudo
  • Verificação de acesso por endpoint: cada rota privada faz checagem antes de servir
  • Cabeçalhos de segurança: CSP, X-Frame-Options, X-Content-Type-Options, Referrer-Policy
  • Rate limit em rotas que envolvem custo (chat IA)
  • Auditoria: log de chamadas IA com custo, autor e cliente
Apesar das medidas, nenhum sistema é 100% inviolável. Comunique incidentes ou suspeitas pelo email de contato abaixo.

Retenção

  • Dados ativos: mantidos enquanto durar o contrato com a clínica e a relação de trabalho com o operador.
  • Após cancelamento: 30 dias para exportação dos dados pelo cliente, depois exclusão definitiva (cascade no banco).
  • Logs de auditoria de IA: 12 meses, depois agregados sem dados pessoais.
  • Backups: rotacionados pelo provedor de hospedagem; expiram em até 30 dias.
  • Obrigações legais: dados podem ser retidos por períodos maiores quando exigido por lei (ex: registros fiscais por 5 anos).

Seus direitos como titular

Conforme art. 18 da LGPD, você tem direito a:

  • Confirmação da existência de tratamento
  • Acesso aos dados pessoais que tratamos
  • Correção de dados incompletos, inexatos ou desatualizados
  • Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade
  • Portabilidade a outro fornecedor de serviço
  • Eliminação dos dados tratados com base em consentimento
  • Informação sobre entidades públicas e privadas com as quais compartilhamos dados
  • Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa
  • Revogação do consentimento, quando o tratamento se basear nele

Para exercer qualquer direito, envie um email pra gabriel.mendes@folhacriativa.com.br identificando-se. Respondemos em até 15 dias úteis.

Cookies

Usamos apenas o cookie session (autenticação). Ele é essencial pro login funcionar — sem ele você não consegue acessar o app. Atributos:

  • HttpOnly — não acessível via JavaScript
  • Secure — só enviado via HTTPS
  • SameSite=Lax — não enviado em requisições cross-site (proteção CSRF)
  • Expira ao fechar o navegador ou após inatividade

Não usamos cookies de rastreamento, analytics de terceiros (Google Analytics, Hotjar, etc), pixels publicitários ou qualquer outro mecanismo de profiling cross-site.

Mudanças nesta política

Podemos revisar esta política a qualquer momento. Mudanças materiais serão comunicadas pelo email cadastrado dos operadores com pelo menos 30 dias de antecedência antes de entrarem em vigor.

O histórico de versões é mantido — versões anteriores podem ser solicitadas pelo email de contato.

Contato

Dúvidas, pedidos LGPD ou comunicação de incidentes:

Razão social: Folha Criativa
Email: gabriel.mendes@folhacriativa.com.br
Site: folhacriativa.com.br

Encarregado pelo Tratamento de Dados (DPO): pode ser contatado via mesmo email acima, com assunto começando em [LGPD].