FluxaGrowth
Política de Privacidade
Última atualização: 01 de maio de 2026
Esta Política de Privacidade descreve como o FluxaGrowth ("nós", "nosso") coleta, utiliza, compartilha e protege dados pessoais ao operar nossa plataforma de marketing e gestão de tráfego pago. Este documento foi elaborado em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD).
1. Quem é o controlador dos dados
O FluxaGrowth é operado por:
- Razão Social: [INSIRA RAZÃO SOCIAL DA EMPRESA — ex: CEJUR NORTE PLANEJAMENTO E ACOMPANHAMENTO INDIVIDUALIZADOS DE SERVIÇOS DE CURSOS PARA CONCURSOS LTDA - ME]
- CNPJ: [INSIRA CNPJ — ex: 29.539.382/0001-08]
- Endereço: [INSIRA ENDEREÇO COMPLETO]
- E-mail de contato: lucas@fluxagrowth.com.br
2. Dados que coletamos
2.1 Dados de cadastro e conta
- Nome completo, e-mail, telefone, cargo, empresa
- Senha (armazenada com hash bcrypt — nunca em texto puro)
- Foto de perfil (opcional)
- Identificadores de login social (Google ID, quando aplicável)
2.2 Dados de uso da plataforma
- Logs de acesso (data/hora, IP, user-agent, endpoint acessado)
- Ações realizadas (criação de campanhas, edição de leads, envio de e-mails)
- Preferências e configurações da conta
2.3 Dados de integrações com plataformas de anúncios (TrafficOS)
Quando você conecta suas contas de Meta Ads (Facebook/Instagram), Google Ads ou TikTok Ads ao FluxaGrowth via OAuth, coletamos e armazenamos:
- Tokens de acesso (criptografados em repouso com pgcrypto + AES-256)
- Identificadores de contas de anúncios, pixels, páginas e catálogos
- Métricas de campanhas (impressões, cliques, gastos, conversões, ROAS)
- Metadados de criativos (nomes, formatos, copies, tags)
- Dados de leads recebidos via formulários de Lead Ads
2.4 Dados de tracking (Pixel e CAPI Server-Side)
Quando você instala nosso pixel JavaScript (tracking.js) em seu site, coletamos eventos disparados pelos seus visitantes:
- Identificadores anônimos do navegador (cookie de primeira parte)
- URLs visitadas, eventos personalizados (compras, adições ao carrinho, formulários)
- Hashes SHA-256 de e-mail/telefone (quando informados pelo usuário em formulários)
- Endereço IP (armazenado como hash, nunca em texto puro)
- User-agent
Esses dados são encaminhados de forma server-side para Meta Conversions API, Google Analytics 4 e TikTok Events API, conforme integrações ativadas pelo cliente.
2.5 Dados de leads
Os leads coletados pelos nossos clientes (via formulários, Lead Ads, importação CSV) — incluindo nome, e-mail, telefone, empresa — são armazenados em nossa plataforma como dados operados por nossos clientes. Nesse caso, atuamos como operador nos termos do art. 5º, VII da LGPD.
3. Finalidades do tratamento
Utilizamos seus dados para as seguintes finalidades:
- Prestar os serviços contratados (CRM, e-mail marketing, gestão de tráfego pago)
- Autenticar usuários e prevenir fraudes
- Disparar comunicações operacionais (notificações, alertas, faturamento)
- Sincronizar audiências e enviar eventos de conversão para plataformas de anúncios autorizadas
- Gerar análises agregadas de desempenho com auxílio de inteligência artificial
- Cumprir obrigações legais e regulatórias
- Melhorar e desenvolver novos recursos da plataforma
4. Base legal (LGPD)
Tratamos dados pessoais com fundamento em:
| Tipo de dado | Base legal (art. 7º LGPD) |
|---|---|
| Dados de cadastro e uso da plataforma | Execução de contrato (V) e legítimo interesse (IX) |
| Tokens de plataformas de anúncios | Execução de contrato (V) |
| Dados de tracking e leads | Cumprimento de obrigação legal (II) e legítimo interesse (IX) |
| Comunicações de marketing nossas | Consentimento (I) |
5. Compartilhamento de dados
Compartilhamos dados pessoais apenas quando estritamente necessário para a operação do serviço, com:
- Meta Platforms Inc. (Facebook/Instagram) — para envio de eventos via Conversions API e gestão de campanhas que você autorizou
- Google LLC — Google Ads, Google Analytics 4 (quando ativado pelo cliente)
- TikTok Pte. Ltd. — TikTok Ads e Events API (quando ativado pelo cliente)
- Amazon Web Services Inc. — infraestrutura de armazenamento (S3) e envio de e-mails (SES)
- Anthropic PBC e Google LLC (Gemini) — modelos de inteligência artificial usados para análises (apenas dados estritamente necessários para a análise solicitada)
- Stripe Inc. — processamento de pagamentos
- Autoridades públicas — quando exigido por lei, ordem judicial ou requisição administrativa
Não vendemos, alugamos ou trocamos dados pessoais com terceiros para fins comerciais.
6. Transferência internacional
Alguns de nossos provedores estão localizados fora do Brasil (EUA, Europa). Garantimos que essas transferências ocorram apenas para países com nível adequado de proteção de dados ou com base em cláusulas contratuais padrão e demais salvaguardas previstas no art. 33 da LGPD.
7. Tempo de retenção
| Dado | Prazo de retenção |
|---|---|
| Conta ativa | Enquanto a conta estiver ativa |
| Conta inativa/encerrada | 30 dias após exclusão (vide seção 9), exceto obrigações legais |
| Logs de auditoria e segurança | 12 meses |
| Dados financeiros (faturamento) | 5 anos (art. 27 da Lei 9.317/96) |
| Backups | 90 dias em ciclo rotativo |
8. Segurança
Adotamos as seguintes medidas técnicas e organizacionais:
- Criptografia em trânsito (TLS 1.2+) e em repouso (AES-256 para tokens sensíveis)
- Senhas armazenadas com hash bcrypt (cost ≥ 12)
- Autenticação multi-fator (TOTP) disponível para todas as contas
- Isolamento de dados por tenant via Row-Level Security do PostgreSQL
- Backups automáticos diários com retenção de 90 dias
- Logs de auditoria de todas as ações sensíveis
- Controle de acesso baseado em função (RBAC) e princípio do menor privilégio
- Monitoramento contínuo de segurança e resposta a incidentes
9. Direitos do titular
Nos termos do art. 18 da LGPD, você pode:
- Confirmar a existência de tratamento de seus dados
- Acessar os dados que mantemos sobre você
- Corrigir dados incompletos, inexatos ou desatualizados
- Anonimizar, bloquear ou eliminar dados desnecessários ou tratados em desconformidade
- Portar seus dados a outro fornecedor
- Eliminar dados tratados com base em consentimento
- Revogar o consentimento a qualquer momento
- Obter informação sobre entidades públicas e privadas com as quais compartilhamos dados
- Opor-se a tratamento realizado com fundamento em legítimo interesse
Para exercer seus direitos, envie e-mail para lucas@fluxagrowth.com.br ou utilize o procedimento descrito em nossa página de exclusão de dados. Atendemos solicitações em até 15 dias.
10. Cookies
Utilizamos cookies estritamente necessários para autenticação (sessão) e cookies de primeira parte para tracking de eventos quando o cliente instala nosso pixel em seu site. Não utilizamos cookies de terceiros para publicidade direta.
11. Crianças e adolescentes
Nossos serviços são destinados a empresas e profissionais maiores de 18 anos. Não coletamos intencionalmente dados de menores de 18 anos. Caso identifiquemos coleta indevida, os dados serão eliminados imediatamente.
12. Alterações a esta Política
Podemos atualizar esta Política periodicamente. A versão mais recente estará sempre disponível em fluxagrowth.com.br/privacy, com a data da última revisão indicada no topo. Mudanças relevantes serão comunicadas por e-mail aos usuários ativos.
13. Encarregado de Proteção de Dados (DPO)
- Nome: Lucas Epifânio
- E-mail: lucas@fluxagrowth.com.br
14. Foro
Esta Política é regida pelas leis da República Federativa do Brasil. Fica eleito o foro da comarca de [INSIRA CIDADE — ex: Manaus/AM] para dirimir eventuais controvérsias, com renúncia a qualquer outro, por mais privilegiado que seja.