Política de Privacidade
Última atualização: 26 de março de 2026
1. Identificação do Controlador
A plataforma SaphAI ("Plataforma") é operada por:
- Razão Social: Dbs Web Ltda.
- CNPJ: 37.915.625/0001-93
- Endereço: Avenida Pau Brasil, Lote 10, Ed. Le Quartier, Sala 304, Águas Claras — DF
- Encarregado de Dados (DPO): Luan Siqueira Farias
- Contato para Privacidade: privacidade@dbsweb.com.br
A Dbs Web Ltda. é a controladora dos seus dados pessoais, nos termos da Lei Geral de Proteção de Dados (Lei 13.709/2018 — LGPD).
2. Dados que Coletamos
Coletamos as seguintes categorias de dados pessoais:
2.1 Dados de Cadastro
- Nome completo, endereço de e-mail e senha (armazenada com hash bcrypt).
- Informações de clientes/marcas que você cadastra na Plataforma (nome, nicho, descrição).
2.2 Dados de Redes Sociais (via OAuth)
- Instagram: nome da conta, ID do usuário, foto de perfil, token de acesso e token de atualização (refresh token), métricas de publicações (curtidas, comentários, alcance, impressões, visualizações de vídeo).
- TikTok: nome de exibição, URL do perfil, token de acesso e token de atualização, métricas de vídeos (visualizações, curtidas, comentários, compartilhamentos).
- LinkedIn: nome, ID da organização, token de acesso. (Quando disponível.)
- X/Twitter: nome de usuário, token de acesso. (Quando disponível.)
Todos os tokens de acesso e tokens de atualização são armazenados de forma criptografada em repouso com algoritmo AES-256.
2.3 Conteúdo
- Textos, legendas e briefings de conteúdo criados por você ou gerados por IA.
- Imagens e vídeos que você faz upload ou que são gerados pela Plataforma.
- Templates e formatos de conteúdo salvos.
2.4 Dados Potencialmente Sensíveis (Imagens de Referência)
A funcionalidade "Estúdio Visual" permite o upload de fotografias de referência para geração de imagens consistentes. Essas fotografias podem conter dados biométricos (traços faciais), classificados como dados pessoais sensíveis pelo Art. 11 da LGPD. O tratamento desses dados ocorre exclusivamente mediante seu consentimento explícito, obtido no momento do upload, e é utilizado unicamente para a finalidade de geração de imagens. Você pode solicitar a exclusão dessas imagens a qualquer momento.
2.5 Dados Técnicos e Cookies
- Cookies de autenticação: utilizados para manter sua sessão ativa (estritamente necessários).
- Cookies de proteção CSRF: utilizados para proteger contra ataques de falsificação de requisição (estritamente necessários).
Não utilizamos cookies de rastreamento, publicidade, analytics de terceiros ou qualquer cookie não essencial.
3. Bases Legais para o Tratamento (Art. 7 e Art. 11, LGPD)
Cada tratamento de dados pessoais possui uma base legal específica:
| Dado / Atividade | Base Legal |
|---|---|
| Dados de cadastro (nome, e-mail, senha) | Execução de contrato (Art. 7, V) |
| Tokens OAuth de redes sociais | Consentimento (Art. 7, I) — obtido no momento da conexão |
| Criação e agendamento de conteúdo | Execução de contrato (Art. 7, V) |
| Coleta de métricas de redes sociais | Execução de contrato (Art. 7, V) |
| Geração de conteúdo por IA (Google Gemini) | Execução de contrato (Art. 7, V) |
| Fotos de referência (dados biométricos) | Consentimento explícito (Art. 11, I) |
| Cookies essenciais (autenticação e CSRF) | Interesse legítimo (Art. 7, IX) |
| Transferência internacional de dados | Cláusulas contratuais padrão + consentimento (Art. 33) |
4. Como Utilizamos seus Dados
- Criar, agendar e publicar conteúdo nas redes sociais em seu nome, conforme instruído por você.
- Gerar conteúdo (textos e imagens) assistido por inteligência artificial com base em seus briefings e instruções.
- Exibir métricas de desempenho das publicações no painel da Plataforma.
- Manter sua sessão autenticada e proteger contra ataques CSRF.
- Manter e melhorar a funcionalidade e a segurança da Plataforma.
- Cumprir obrigações legais e regulatórias.
Não utilizamos seus dados para publicidade direcionada, criação de perfis comportamentais, venda a terceiros ou qualquer finalidade incompatível com as descritas acima.
5. Uso de Inteligência Artificial e Decisões Automatizadas (Art. 20, LGPD)
A Plataforma utiliza modelos de inteligência artificial (Google Gemini) para:
- Gerar textos de conteúdo (copywriting) com base em briefings e instruções fornecidos por você.
- Gerar imagens a partir de prompts e fotografias de referência.
- Analisar características visuais de imagens de referência (extração de DNA visual).
Todo conteúdo gerado por IA é apresentado para sua revisão antes de qualquer publicação. Nenhuma decisão que afete seus direitos é tomada exclusivamente por meio automatizado sem sua revisão e aprovação.
Nos termos do Art. 20 da LGPD, você tem o direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais, bem como de solicitar informações claras e adequadas sobre os critérios e procedimentos utilizados, respeitados os segredos comercial e industrial.
6. Compartilhamento de Dados com Terceiros (Art. 9, V, LGPD)
Compartilhamos seus dados pessoais com os seguintes terceiros, exclusivamente para a prestação do serviço:
| Terceiro | Dados Compartilhados | Finalidade |
|---|---|---|
| Meta Platforms (Instagram) | Tokens OAuth, conteúdo, mídia | Publicação e métricas |
| TikTok (ByteDance) | Tokens OAuth, conteúdo, mídia | Publicação e métricas |
| LinkedIn (Microsoft) | Tokens OAuth, conteúdo | Publicação e métricas |
| X/Twitter | Tokens OAuth, conteúdo | Publicação e métricas |
| Google LLC (Gemini API) | Prompts de texto, prompts de imagem, fotos de referência | Geração de conteúdo e imagens por IA |
| Vercel Inc. | Dados da aplicação (em trânsito) | Hospedagem da aplicação |
| Supabase Inc. | Dados do banco de dados, arquivos de mídia | Banco de dados e armazenamento |
Não vendemos, alugamos ou transferimos seus dados pessoais a terceiros para fins publicitários, de perfilamento comportamental, vigilância ou qualquer finalidade incompatível com a prestação do serviço.
7. Transferência Internacional de Dados (Art. 33-36, LGPD)
Para a prestação do serviço, seus dados pessoais são transferidos para e armazenados em servidores localizados nos Estados Unidos da América, operados pelos seguintes sub-processadores:
- Vercel Inc. (hospedagem da aplicação) — EUA
- Supabase Inc. (banco de dados e armazenamento de arquivos) — EUA
- Google LLC (processamento de IA via Gemini API) — EUA
Essas transferências são realizadas com base nos seguintes mecanismos previstos no Art. 33 da LGPD:
- Cláusulas contratuais padrão (SCCs) conforme Resolução CD/ANPD n.º 19/2024, firmadas com os sub-processadores.
- Seu consentimento específico e destacado para a transferência, obtido nos Termos de Uso (Art. 33, VIII).
Adotamos medidas técnicas e organizacionais para garantir que seus dados permaneçam protegidos durante e após a transferência, incluindo criptografia em trânsito (TLS/SSL) e em repouso.
8. Segurança dos Dados (Art. 46-49, LGPD)
Medidas Técnicas
- Tokens de acesso criptografados em repouso com AES-256.
- Senhas armazenadas com hash bcrypt (nunca em texto claro).
- Conexões ao banco de dados via SSL/TLS.
- Armazenamento de mídia em buckets privados com acesso controlado por URLs assinadas com tempo de expiração.
- Proteção CSRF em todos os fluxos de autenticação OAuth.
Medidas Organizacionais
- Acesso restrito aos dados com base no princípio do menor privilégio.
- Revisão periódica de acessos e permissões.
- Desenvolvimento seguindo princípios de privacy-by-design (Art. 49, LGPD).
Notificação de Incidentes (Art. 48, LGPD)
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, notificaremos a Autoridade Nacional de Proteção de Dados (ANPD) em até 3 dias úteis e comunicaremos os titulares afetados, informando a natureza dos dados envolvidos, as medidas adotadas e as orientações para mitigação de riscos.
9. Retenção e Exclusão de Dados (Art. 15-16, LGPD)
| Categoria de Dado | Período de Retenção |
|---|---|
| Dados de cadastro | Enquanto a conta estiver ativa + 6 meses após exclusão |
| Tokens OAuth | Até a desconexão da rede social ou exclusão da conta |
| Conteúdo e mídia | Até exclusão pelo usuário ou encerramento da conta |
| Métricas de desempenho | 12 meses após a coleta |
| Fotos de referência (biométrico) | Até exclusão pelo usuário ou revogação do consentimento |
| Registros de acesso (logs) | 6 meses (Marco Civil da Internet, Art. 15) |
Ao solicitar a exclusão da sua conta, removeremos seus dados pessoais em até 30 dias, exceto aqueles cuja retenção seja necessária para cumprimento de obrigação legal ou regulatória (Art. 16, LGPD). Conteúdo já publicado nas redes sociais permanece sob controle da respectiva plataforma e deve ser removido diretamente por você.
10. Seus Direitos como Titular de Dados (Art. 18, LGPD)
Nos termos do Art. 18 da LGPD, você tem os seguintes direitos, exercíveis gratuitamente mediante solicitação ao nosso Encarregado de Dados:
- Confirmação da existência de tratamento de seus dados pessoais.
- Acesso aos seus dados pessoais armazenados.
- Correção de dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
- Portabilidade dos seus dados a outro fornecedor de serviço, mediante requisição expressa.
- Eliminação dos dados pessoais tratados com base no seu consentimento.
- Informação sobre entidades públicas e privadas com as quais realizamos uso compartilhado de dados.
- Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
- Revogação do consentimento a qualquer momento, de forma gratuita e facilitada.
Para exercer qualquer destes direitos, entre em contato pelo e-mail privacidade@dbsweb.com.br. Responderemos sua solicitação em até 15 dias, conforme Art. 19 da LGPD.
11. Exclusão de Dados por Solicitação das Plataformas
As redes sociais integradas (Meta/Instagram, TikTok) podem nos notificar quando você revoga o acesso ao nosso aplicativo diretamente na plataforma. Nesses casos, excluiremos todos os dados associados àquela conexão em até 30 dias após o recebimento da notificação.
Você também pode revogar o acesso diretamente pela Plataforma, na seção "Conexões", a qualquer momento.
12. Menores de Idade (Art. 14, LGPD)
A Plataforma é destinada exclusivamente a usuários com 18 anos ou mais. Não coletamos intencionalmente dados pessoais de menores de 18 anos. Caso tomemos conhecimento de que dados de um menor foram coletados, procederemos à eliminação imediata.
13. Alterações nesta Política
Podemos atualizar esta Política de Privacidade periodicamente para refletir mudanças em nossas práticas ou em requisitos legais. Notificaremos você sobre mudanças significativas por e-mail ou por aviso na Plataforma com antecedência mínima de 15 dias. O uso continuado da Plataforma após o período de aviso constitui aceitação da política atualizada.
Versões anteriores desta Política serão mantidas e disponibilizadas mediante solicitação.
14. Reclamação à Autoridade Nacional
Caso considere que o tratamento dos seus dados pessoais viola a LGPD, você tem o direito de apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD), pelo site www.gov.br/anpd.
15. Legislação Aplicável e Foro
Esta Política é regida pelas leis da República Federativa do Brasil, em especial a LGPD (Lei 13.709/2018) e o Marco Civil da Internet (Lei 12.965/2014). Fica eleito o foro da comarca do domicílio do titular dos dados para dirimir quaisquer controvérsias.
16. Contato
Para dúvidas, solicitações ou reclamações sobre esta Política ou sobre o tratamento dos seus dados pessoais:
- Encarregado de Dados (DPO): Luan Siqueira Farias
- E-mail: privacidade@dbsweb.com.br