Política de Privacidade

1. Quais dados coletamos

• Dados de conta: nome, email, senha (criptografada via hash unidirecional)
• Perfil de negócio: categoria, ticket médio, público-alvo, localização, canal de venda e demais informações fornecidas durante o onboarding ou configuração do perfil
• Dados de uso: páginas visitadas, ações no dashboard, horários de acesso, tipo de dispositivo, endereço IP, dados de navegação e interações com a plataforma
• Dados importados pelo usuário: quando você conecta ferramentas externas (como plataformas de analytics ou gestão) ou importa dados de vendas, coletamos as informações que você explicitamente autoriza durante o processo de conexão
• Dados de pagamento e transacionais: dados de cartão de crédito são processados integralmente pela operadora de pagamentos contratada e a OpenSix não tem acesso a eles. Armazenamos o histórico completo de transações: plano contratado, ciclos de cobrança, valores pagos, datas de pagamento e cancelamento, identificadores de fatura, status de cobrança e dados necessários para emissão de documentos fiscais. Estes dados são retidos pelo prazo exigido pela legislação fiscal brasileira
• Dados de comunicação: mensagens enviadas ao suporte, feedbacks, avaliações e interações por email

2. Base legal para o tratamento (LGPD Art. 7)

Cada tipo de dado é tratado com base em um fundamento legal específico:

• Dados de conta e perfil de negócio: execução de contrato (Art. 7, V), necessários para prestar o serviço contratado. Este tratamento não depende de consentimento e permanece válido enquanto o contrato estiver ativo
• Dados de uso e analytics: legítimo interesse (Art. 7, IX), para melhoria contínua da plataforma, personalização da experiência, treinamento de modelos de análise de dados, segurança e prevenção a fraude
• Dados transacionais e fiscais: cumprimento de obrigação legal (Art. 7, II), retenção obrigatória conforme legislação tributária e fiscal brasileira (CTN Art. 173 e Art. 174)
• Dados importados (analytics, vendas): consentimento (Art. 7, I), você autoriza explicitamente durante a conexão
• Comunicações de marketing: consentimento (Art. 7, I), você pode revogar a qualquer momento
• Dados para exercício regular de direitos: retenção de dados necessários para defesa em processos judiciais, administrativos ou arbitrais (Art. 7, VI)
• Dados anonimizados e agregados: dados que não permitem identificação não são considerados dados pessoais (Art. 12) e podem ser utilizados livremente, sem restrições, para pesquisa, benchmarks, inteligência de mercado e melhoria dos modelos estatísticos

3. Para que usamos seus dados

• Gerar insights e recomendações personalizadas para seu negócio
• Treinar, aprimorar e validar modelos de inteligência artificial e aprendizado de máquina, utilizando dados anonimizados e agregados, incluindo o cruzamento e enriquecimento com outras fontes de dados anonimizados e dados públicos
• Enviar comunicações operacionais: alertas, resumos e atualizações sobre seu uso
• Produzir benchmarks setoriais, insights agregados e inteligência de mercado que poderão ser disponibilizados a outros usuários ou terceiros, sempre de forma anonimizada e agregada, sem identificação individual
• Garantir a segurança da plataforma, prevenir fraudes e identificar atividades suspeitas
• Cumprir obrigações legais, regulatórias e fiscais
• Exercer direitos em processos judiciais, administrativos ou arbitrais

4. Como armazenamos e protegemos

Seus dados são armazenados em banco de dados relacional com criptografia em repouso (AES-256) e em trânsito (TLS 1.2+). Senhas são processadas com algoritmos de hash unidirecional e nunca armazenadas em texto puro. O acesso ao banco de dados é restrito por políticas de segurança em nível de linha, garantindo que cada usuário acesse apenas seus próprios dados.

Embora adotemos medidas de segurança adequadas ao estado da técnica, nenhum sistema de armazenamento ou transmissão de dados é completamente seguro. O usuário é responsável por manter procedimentos próprios de backup dos dados que considerar críticos.

5. Integração com Google Analytics 4

Quando você conecta seu Google Analytics 4 à plataforma, solicitamos acesso somente leitura por meio do scope analytics.readonly. Isso significa que:

• Não alteramos nenhum dado ou configuração na sua conta do Google Analytics
• Acessamos apenas métricas agregadas: tráfego, conversões, dispositivos e padrões temporais
• Não acessamos dados pessoais de visitantes individuais do seu site

Armazenamento de tokens: o refresh token do Google é encriptado com Fernet (AES-128-CBC) antes de ser salvo no banco de dados. A chave de encriptação é armazenada separadamente como variável de ambiente. O access token é temporário (expira em aproximadamente 1 hora) e é renovado automaticamente quando necessário.

Como revogar: você pode desconectar o Google Analytics a qualquer momento na página de Configurações do dashboard. Seus tokens serão removidos imediatamente. Você também pode revogar o acesso nas configurações de segurança da sua conta Google.

A OpenSix segue as Políticas de Dados de Usuário dos Serviços de API do Google, incluindo os requisitos de Uso Limitado (Limited Use).

6. Integração com Meta Ads

Quando você conecta sua conta de Meta Ads à plataforma, solicitamos acesso somente leitura por meio da permissão ads_read. Isso significa que:

• Não criamos, editamos ou excluímos campanhas, anúncios ou qualquer configuração na sua conta de Meta Ads
• Acessamos apenas métricas agregadas de performance: impressões, cliques, gastos, conversões, CPM, CPC e ROAS
• Não acessamos dados pessoais de indivíduos alcançados pelos seus anúncios
• Os dados são utilizados exclusivamente para gerar insights e recomendações dentro do seu próprio dashboard
• Não compartilhamos seus dados de campanhas com terceiros e não os utilizamos para direcionamento de anúncios

Armazenamento de tokens: o token de acesso do Meta é armazenado de forma segura no banco de dados com criptografia em repouso. O token tem validade de 60 dias e é renovado automaticamente quando necessário. Caso a renovação não seja possível, você será notificado para reconectar.

Como revogar: você pode desconectar o Meta Ads a qualquer momento na página de Configurações do dashboard. Seu token será removido imediatamente. Você também pode revogar o acesso nas configurações de Integrações Comerciais do Facebook.

A OpenSix segue as Políticas da Plataforma Meta e os Termos de Desenvolvedor do Meta, incluindo as restrições sobre uso e armazenamento de dados obtidos via API.

7. Cookies e rastreamento

• Essenciais: cookies de autenticação, necessários para o funcionamento do login e sessão. Não podem ser desativados
• Analytics: ferramentas de analytics de uso, para compreender padrões de uso e melhorar a plataforma
• Marketing: pixels e tags de marketing, para medir a eficiência de campanhas publicitárias

Você pode recusar cookies não-essenciais (analytics e marketing) pelo banner de consentimento exibido no primeiro acesso. Sua preferência será respeitada e armazenada localmente.

8. Compartilhamento de dados

Não vendemos seus dados pessoais. Dados anonimizados e agregados (como benchmarks setoriais, tendências de mercado e insights estatísticos que não permitem a identificação de nenhum usuário individual) podem ser compartilhados ou comercializados como produtos de inteligência de mercado, pois não constituem dados pessoais nos termos da LGPD. Compartilhamos dados pessoais apenas com os seguintes operadores, estritamente para a prestação do serviço:

• Provedor de infraestrutura e banco de dados: armazenamento, autenticação e segurança dos dados
• Provedor de analytics: medição e análise de uso da plataforma
• Provedor de marketing digital: medição de eficiência de campanhas publicitárias
• Operadora de pagamentos: processamento de cobranças e transações financeiras
• Provedor de hospedagem: disponibilização e distribuição da plataforma

Podemos também compartilhar dados: (a) quando exigido por lei, determinação judicial ou autoridade competente; (b) com empresas do mesmo grupo econômico da OpenSix; (c) em caso de fusão, aquisição ou transferência de ativos, com o cessionário ou adquirente, mantidas as condições desta política; (d) com parceiros e prestadores de serviço que auxiliem na operação da plataforma, mediante obrigações de confidencialidade e proteção de dados compatíveis com esta política.

9. Transferência internacional de dados

Parte dos nossos operadores e prestadores de serviço pode estar sediada fora do Brasil. A transferência internacional dos seus dados é realizada com base no Art. 33 da LGPD, garantindo que os destinatários adotam níveis adequados de proteção de dados. Todos os operadores contratados possuem políticas de privacidade e medidas de segurança compatíveis com a legislação brasileira. Ao utilizar a OpenSix, você reconhece e concorda com a transferência dos seus dados para os países onde nossos operadores estão sediados.

10. Retenção de dados

Os prazos de retenção variam conforme a natureza do dado e a base legal aplicável:

• Dados da conta ativa: mantidos integralmente enquanto sua conta estiver ativa
• Após cancelamento do plano: dados pessoais do perfil mantidos por até 60 (sessenta) dias para exportação. Após esse prazo, os dados pessoais identificáveis serão removidos. Antes da remoção, a OpenSix realizará a anonimização dos dados que possuam valor agregado para melhoria dos modelos e produção de inteligência de mercado
• Após solicitar exclusão: dados pessoais identificáveis removidos em até 30 dias, precedidos pela anonimização dos dados relevantes. A versão anonimizada, que não permite sua identificação, é retida pela OpenSix
• Dados transacionais e fiscais: histórico completo de pagamentos, faturas e documentos fiscais retidos por no mínimo 5 (cinco) anos após o encerramento da conta, conforme exigido pela legislação tributária brasileira (CTN Art. 173 e Art. 174)
• Dados para defesa legal: dados necessários para exercício regular de direitos em processos judiciais, administrativos ou arbitrais poderão ser retidos por até 5 (cinco) anos após o encerramento da conta, conforme prazos prescricionais aplicáveis (Art. 7, VI da LGPD)
• Dados de uso e comportamento: padrões de uso, métricas de engajamento e dados comportamentais são continuamente anonimizados e agregados durante a operação da plataforma. As versões anonimizadas são retidas indefinidamente para treinamento de modelos e produção de benchmarks
• Modelos de IA treinados: modelos de aprendizado de máquina treinados ou aprimorados com dados anonimizados não contêm dados pessoais identificáveis e não são afetados por solicitações de exclusão. São propriedade da OpenSix e retidos por prazo indeterminado
• Dados anonimizados e agregados: retidos indefinidamente. Conforme Art. 12 da LGPD, dados anonimizados não são considerados dados pessoais e não estão sujeitos a solicitações de exclusão, portabilidade ou acesso

11. Seus direitos (LGPD Art. 18)

Conforme a Lei Geral de Proteção de Dados (Lei 13.709/2018), você tem direito a:

• Confirmar a existência de tratamento dos seus dados
• Acessar seus dados pessoais
• Corrigir dados incompletos, inexatos ou desatualizados
• Solicitar anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade
• Solicitar portabilidade dos seus dados
• Solicitar eliminação dos dados tratados com base em consentimento
• Obter informação sobre com quem seus dados foram compartilhados
• Revogar consentimento para cookies não-essenciais e comunicações de marketing

A revogação do consentimento não afeta o tratamento realizado anteriormente com base nesse consentimento, nem o tratamento fundamentado em outras bases legais (como execução de contrato, legítimo interesse ou exercício regular de direitos). A solicitação de exclusão de dados pessoais não afeta: (a) dados já anonimizados e agregados; (b) modelos de inteligência artificial já treinados; (c) dados retidos por obrigação legal ou fiscal; (d) dados necessários para defesa em processos. O exercício de determinados direitos pode resultar na impossibilidade de continuar utilizando o serviço, caso os dados sejam essenciais para a prestação do mesmo.

12. Dados de terceiros

Se você importar dados que contenham informações de terceiros (como dados de clientes do seu e-commerce), você declara e garante que: (a) possui base legal adequada para compartilhar esses dados com a OpenSix; (b) os titulares foram devidamente informados sobre o compartilhamento; (c) os dados foram obtidos de forma lícita e em conformidade com a legislação aplicável. Você é o único responsável por eventuais reclamações de titulares relacionadas a dados importados por você. A OpenSix tratará esses dados exclusivamente para gerar insights para o seu negócio, na qualidade de operador.

13. Controlador e encarregado de dados

O controlador dos seus dados pessoais é a OpenSix, acessível pelo domínio opensix.dev. O encarregado de proteção de dados (DPO) pode ser contatado pelo email opensix.team@gmail.com. As informações completas de identificação do controlador (razão social, CNPJ e endereço) estão disponíveis mediante solicitação ao encarregado.

14. Como exercer seus direitos

Envie um email para opensix.team@gmail.com identificando-se e descrevendo sua solicitação. Responderemos em até 15 dias úteis, conforme prazo estabelecido pela LGPD. Poderemos solicitar informações adicionais para confirmar sua identidade antes de atender a solicitação, visando proteger seus dados contra acessos não autorizados.

Caso entenda que o tratamento dos seus dados pessoais viola a legislação aplicável, você tem o direito de peticionar perante a Autoridade Nacional de Proteção de Dados (ANPD), conforme previsto no Art. 18, §1 da LGPD.

15. Alterações nesta política

Podemos atualizar esta política periodicamente para refletir mudanças nos nossos serviços, práticas de tratamento de dados ou na legislação aplicável. Notificaremos por email sobre mudanças substanciais. A versão atualizada estará sempre disponível nesta página com a data da última atualização. O uso continuado da plataforma após a notificação constitui aceitação da política revisada.