Política de Privacidade
1. Quem somos (controlador)
O Engajou, operado por HSATISFY LTDA, CNPJ 31.967.457/0001-01, com sede em São Paulo/SP, é o controlador dos dados pessoais tratados nesta Plataforma, na forma da Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018).
2. Dados que coletamos
2.1 Dados que você nos fornece
- Cadastro: nome, e-mail, telefone (formato E.164, opcional em cadastro via Google), senha (armazenada em hash bcrypt).
- Login social: ao usar Google, recebemos identificador, e-mail, nome e foto de perfil do provedor.
- Conteúdo do Usuário: textos, imagens, prompts, exemplos de referência, perfis de voz, links e demais materiais enviados ou gerados na Plataforma.
- Conexões com redes sociais: ao conectar LinkedIn ou Instagram via OAuth, armazenamos identificadores externos, handle, nome de exibição, avatar, escopos concedidos, tokens de acesso e atualização (criptografados via AWS KMS) e datas de expiração.
- Faturamento: nome, e-mail e identificadores de assinatura/cliente gerados pelo processador de pagamento. Dados completos de cartão são processados e armazenados pela AbacatePay; o Engajou não armazena PAN, CVV nem dados sensíveis de cartão.
2.2 Dados coletados automaticamente
- Dados de acesso e segurança: endereço IP, data/hora, tipo de navegador, sistema operacional, identificadores de sessão e logs de auditoria de ações relevantes.
- Cookies estritamente necessários (ver Seção 7).
2.3 Dados de terceiros
- Research (apenas plano Empresarial e mediante sua instrução): ao informar uma URL pública de perfil do LinkedIn ou Instagram, contratamos a Apify para coletar publicações públicas e extrair tom de voz. Esses dados são usados exclusivamente para configurar o perfil de voz do seu Workspace.
3. Finalidades e bases legais
| Finalidade | Dados | Base legal (LGPD) |
|---|---|---|
| Criar e manter sua Conta | Cadastro, autenticação | Execução de contrato (art. 7º, V) |
| Operar pipelines, geração de conteúdo e publicações | Conteúdo do Usuário, tokens das redes | Execução de contrato (art. 7º, V) |
| Cobrar assinaturas e gerir inadimplência | Cadastro, identificadores de assinatura | Execução de contrato (art. 7º, V) |
| Enviar comunicações transacionais (verificação, recibos, alertas) | E-mail, dados da operação | Execução de contrato (art. 7º, V) |
| Garantir segurança, prevenir fraudes e abusos | Logs, IP, auditoria | Legítimo interesse (art. 7º, IX) e cumprimento de obrigação legal (art. 7º, II) |
| Cumprir obrigações fiscais, contábeis e legais | Dados de faturamento | Obrigação legal (art. 7º, II) |
| Research de perfis sociais (Apify) | URLs informadas pelo Usuário | Consentimento (art. 7º, I) e execução de contrato |
| Aprimorar a Plataforma (métricas agregadas e anônimas) | Logs de uso | Legítimo interesse (art. 7º, IX) |
4. Conteúdo do usuário e IA
Para gerar texto e imagens, o Engajou envia o Conteúdo do Usuário e instruções aos provedores de modelos de linguagem e geração de imagem listados na Seção 5 (Anthropic, OpenAI e Google). Esses provedores tratam os dados como operadores, sob acordos contratuais, e — conforme as políticas atuais de cada um — não utilizam os dados enviados via API para treinar seus modelos. O Engajou também não usa o Conteúdo do Usuário para treinar modelos próprios ou de terceiros.
5. Compartilhamento e operadores
Compartilhamos dados com operadores estritamente necessários para operar o serviço, sob contratos que exigem confidencialidade e medidas de segurança adequadas:
| Operador | Finalidade | Categoria de dados |
|---|---|---|
| Anthropic (Claude) | Geração de texto | Conteúdo do Usuário, prompts |
| OpenAI | Geração de texto e imagem | Conteúdo do Usuário, prompts |
| Google (Gemini) | Geração de texto e imagem | Conteúdo do Usuário, prompts |
| AbacatePay | Processamento de pagamentos (PIX e cartão) | Dados de faturamento e pagamento |
| Resend | Envio de e-mails transacionais | E-mail e conteúdo da mensagem |
| Google OAuth | Autenticação por conta Google | Identificador, e-mail, nome, avatar |
| LinkedIn (Microsoft) | OAuth e publicação no LinkedIn | Tokens, identificadores e conteúdo dos posts |
| Meta (Instagram) | OAuth e publicação no Instagram Business | Tokens, identificadores e conteúdo dos posts |
| Apify | Coleta de dados públicos para Research (sob sua instrução) | URLs de perfis públicos |
| Supabase | Banco de dados PostgreSQL gerenciado | Todos os dados aplicáveis |
| Amazon Web Services (AWS) | Hospedagem (Amplify), armazenamento (S3), criptografia (KMS), CDN (CloudFront), agendamento (EventBridge) e funções (Lambda) | Todos os dados aplicáveis |
Não vendemos dados pessoais. Compartilhamentos com autoridades ocorrem apenas quando exigidos por lei, ordem judicial ou solicitação legítima de autoridade competente.
6. Transferências internacionais
Alguns operadores acima estão sediados fora do Brasil (EUA e União Europeia, principalmente). As transferências internacionais ocorrem com base em cláusulas contratuais e garantias adequadas, conforme o art. 33 da LGPD, restritas ao mínimo necessário para a prestação do serviço.
7. Cookies e tecnologias semelhantes
Utilizamos apenas cookies estritamente necessários para o funcionamento da Plataforma:
- Cookie de sessão (Auth.js): mantém você autenticado.
engajou-workspace: armazena o último Workspace selecionado.
Não utilizamos cookies de publicidade nem de rastreamento de terceiros. Cookies adicionais para observabilidade (Sentry, PostHog) são opcionais e só são ativados se configurados, com aviso prévio.
8. Retenção e exclusão
8.1 Conta ativa. Mantemos seus dados enquanto a Conta estiver ativa e pelo tempo necessário para prestar o serviço.
8.2 Exclusão a pedido. Você pode excluir sua Conta a qualquer momento pelo painel ou pela rota /api/me/delete. A exclusão lógica é imediata; uma exclusão definitiva (hard delete) é executada em até 30 dias após a solicitação.
8.3 Exportação de dados. Você pode exportar seus dados em formato JSON pela rota /api/me/export, incluindo Workspaces, assinaturas, perfis de voz, posts, contas sociais conectadas e até os 200 últimos registros de auditoria.
8.4 Retenção legal. Dados fiscais, contábeis e de prevenção a fraudes podem ser retidos pelos prazos legais aplicáveis (ex.: até 5 anos para registros financeiros), mesmo após a exclusão da Conta.
9. Segurança da informação
Adotamos medidas técnicas e administrativas razoáveis para proteger seus dados, incluindo:
- Criptografia em trânsito (TLS) e em repouso para dados sensíveis;
- Tokens de redes sociais cifrados com envelope encryption via AWS KMS;
- Senhas armazenadas exclusivamente em hash com bcrypt;
- Controle de acesso por papéis e princípio do menor privilégio;
- Logs de auditoria das ações sensíveis;
- Verificação de assinatura HMAC nos webhooks de pagamento.
Nenhum sistema é totalmente imune a riscos. Em caso de incidente que possa acarretar risco ou dano relevante aos titulares, comunicaremos a ANPD e os afetados em prazo razoável, conforme o art. 48 da LGPD.
10. Seus direitos como titular
A LGPD garante os seguintes direitos, exercíveis pelos canais da Seção 13:
- Confirmação da existência de tratamento;
- Acesso aos dados;
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade com a LGPD;
- Portabilidade dos dados a outro fornecedor;
- Eliminação dos dados tratados com base em consentimento;
- Informação sobre entidades públicas e privadas com as quais compartilhamos seus dados;
- Informação sobre a possibilidade de não fornecer consentimento e suas consequências;
- Revogação do consentimento;
- Oposição a tratamento realizado com fundamento em hipóteses dispensadas de consentimento, em caso de descumprimento da LGPD.
11. Crianças e adolescentes
O Engajou é destinado a maiores de 18 anos. Não tratamos conscientemente dados de crianças ou adolescentes. Se identificarmos cadastro indevido, a Conta será encerrada e os dados eliminados.
12. Alterações desta política
Esta política pode ser atualizada para refletir mudanças legais, operacionais ou de funcionalidade. Alterações relevantes serão comunicadas por e-mail ou aviso na Plataforma com antecedência mínima de 15 dias.
13. Contato e Encarregado (DPO)
Para exercer direitos, esclarecer dúvidas ou reportar incidentes:
- E-mail geral: contato@engajou.app
- Encarregado de Dados (DPO): contato@atgconsulting.com
- Autoridade Nacional de Proteção de Dados (ANPD): www.gov.br/anpd