Política de Privacidade · LGPD

Última atualização: 13 de maio de 2026

1. Controlador

Logic Arts — operador do SaaS Adteo (adteo.io). Encarregado de dados (DPO): dpo@adteo.io.

2. Dados coletados

  • Cadastro: nome, e-mail, senha (hash bcrypt — nunca em texto puro)
  • Empresa: nome do tenant, tipo (agência/empresa), domínio opcional
  • Credenciais OAuth Google Ads: refresh tokens cifrados com Fernet
  • API Keys de terceiros (OpenAI, Anthropic, etc.): cifradas com Fernet
  • Dados de campanhas Google Ads: métricas, campanhas, keywords — espelhados localmente
  • Audit log: ações relevantes com IP e User-Agent
  • Pagamento: gerenciado pela Stripe (PCI-DSS); o Adteo só armazena IDs de referência

3. Finalidade do tratamento

  • Prestar o serviço contratado (diagnósticos, otimizações, relatórios)
  • Faturar a assinatura
  • Comunicação transacional (welcome, password reset, alertas, faturas)
  • Compliance legal (audit log para LGPD e SOX-like)

Base legal: execução de contrato (Art. 7º, V LGPD) e legítimo interesse para segurança e auditoria (Art. 7º, IX LGPD).

4. Compartilhamento com terceiros

Operadores que processam dados a serviço do Adteo:

  • Google Ads API — leitura/escrita das suas próprias contas, com seu refresh token
  • OpenAI / Anthropic — quando você plugar a chave: textos das chamadas LLM enviadas (sem dados pessoais de clientes finais)
  • Stripe — processamento de pagamentos
  • Resend / SMTP provider — envio de e-mails transacionais
  • CyberPanel / Hospedagem — armazenamento físico (Brasil)

Nenhum dado é vendido. Compartilhamentos seguem termos de DPA dos respectivos operadores.

5. Segurança

  • HTTPS obrigatório (Let's Encrypt) em todas as superfícies
  • Senhas com hash bcrypt
  • Tokens OAuth e API keys cifrados com Fernet (AES-128 + HMAC)
  • Backup diário do Postgres
  • Isolamento multi-tenant em todas as queries (tenant_id obrigatório)
  • Audit log imutável de todas as ações

6. Seus direitos (Art. 18 LGPD)

  • Acesso: solicite via dpo@adteo.io
  • Correção: edite no painel ou peça ao DPO
  • Exclusão: solicite a deleção da conta — dados são apagados em 30 dias após cancelamento
  • Portabilidade: exporte campanhas, diagnósticos e relatórios via painel admin
  • Revogação de consentimento: a qualquer momento via portal de cobrança

7. Cookies

Usamos apenas cookies essenciais (JWT em localStorage para autenticação). Não usamos cookies de tracking/analytics de terceiros em superfícies de cliente.

8. Retenção

  • Dados de conta: enquanto ativa + 30 dias após cancelamento
  • Audit log: 5 anos (requisito de compliance)
  • Faturas: 5 anos (requisito fiscal)
  • Backups: rotação 7 diários + 4 semanais

9. Transferência internacional

Dados primários ficam no Brasil. OpenAI, Anthropic, Stripe e Resend operam fora do Brasil (EUA/UE) — transferência baseada em cláusulas contratuais padrão.

10. Contato

Encarregado (DPO): dpo@adteo.io
ANPD: gov.br/anpd