política de privacidade
1. Identificação do Controlador
Nome Fantasia: Octo 360
CNPJ: 66.564.316/0001-14
Endereço: Rua José Barnabé de Mesquita, 399 — Vila Duque de Caxias, Campo Grande/MS, CEP 79100-200
E-mail do Encarregado (DPO): [email protected]
Site: https://octo360.com.br
A Octo 360 é a controladora dos dados pessoais tratados por meio deste site, nos termos do art. 5º, VI da Lei nº 13.709/2018 (Lei Geral de Proteção de Dados — LGPD).
2. Dados Pessoais Coletados
2.1 Dados fornecidos diretamente pelo titular (formulário de contato)
- Nome completo
- Endereço de e-mail
- Número de WhatsApp (com DDD)
- CEP (opcional)
- Estado e cidade
- Nome da empresa
- Faturamento mensal estimado (faixa selecionada pelo titular)
- Segmento de mercado
- Registro de consentimento (categorias aceitas, versão, data e hora)
2.2 Dados coletados automaticamente durante a navegação
- Identificadores de sessão e visitante (gerados localmente, sem vínculo com conta)
- Endereço IP (capturado no servidor e convertido em hash SHA-256 para armazenamento — o IP bruto não é persistido)
- Localização aproximada por IP (país, estado, cidade — via cabeçalhos do servidor Vercel/Cloudflare)
- User Agent (navegador, sistema operacional, tipo de dispositivo)
- Dados de navegação: páginas visitadas, seções visualizadas, profundidade de scroll, tempo de permanência, cliques em CTAs e interações com formulários
- UTMs e parâmetros de campanha (utm_source, utm_medium, utm_campaign, utm_content, utm_term)
- Referrer (URL de origem da visita)
- Resolução de tela e viewport
- Idioma do navegador e fuso horário
- Cookies e identificadores de plataformas de anúncio (_ga, _fbp, _fbc, ttclid, ttp) — apenas com consentimento explícito do titular
3. Finalidades do Tratamento e Bases Legais
Tratamos seus dados pessoais com base nas hipóteses previstas no art. 7º da LGPD. A tabela abaixo descreve cada finalidade e a base legal correspondente:
| Finalidade | Dados utilizados | Base legal (art. 7º LGPD) |
|---|---|---|
| Contato comercial após envio do formulário | Nome, e-mail, WhatsApp, empresa, faturamento, segmento | Consentimento (inciso I) e execução de procedimento preliminar a contrato (inciso V) |
| Segurança, prevenção de abuso e funcionamento técnico do site | IP (hasheado), user agent, identificador de sessão | Legítimo interesse (inciso IX) — necessário para integridade e segurança do serviço |
| Mensuração de performance e analytics | Dados de navegação, identificadores de sessão, UTMs | Consentimento (inciso I) |
| Marketing, remarketing e campanhas de anúncios | Dados de formulário hasheados, cookies de plataformas (_fbp, _fbc, ttclid, _ga) | Consentimento (inciso I) |
| Personalização da experiência de navegação | Comportamento de navegação, preferências inferidas | Consentimento (inciso I) |
| Melhoria de produtos, softwares e automações internas | Dados de interação, padrões de uso, metadados técnicos | Consentimento (inciso I) |
| Treinamento interno de inteligências artificiais e agentes | Dados de navegação, respostas de formulário, metadados | Consentimento (inciso I) |
| Geolocalização para personalização regional | IP (aproximado) e, se autorizado, localização precisa do navegador | Consentimento (inciso I) |
O tratamento com base em legítimo interesse é realizado apenas quando necessário para finalidades que não prejudicam os direitos e liberdades fundamentais do titular, nos termos do art. 10 da LGPD. O titular pode opor-se a esse tratamento conforme o art. 18, IX.
4. Pseudonimização e Hashing de Dados Pessoais
Antes de qualquer transmissão a plataformas de publicidade (Meta, Google, TikTok), os dados pessoais identificáveis (nome, e-mail, telefone, endereço) são pseudonimizados via SHA-256, conforme exigido pelas APIs oficiais de cada plataforma (Meta Conversions API, Google Enhanced Conversions, TikTok Events API). O endereço IP do visitante é convertido em hash SHA-256 internamente e o valor bruto não é persistido em banco de dados.
Essa técnica reduz significativamente o risco de identificação indevida em casos de acesso não autorizado, mas não elimina completamente o caráter pessoal dos dados nos termos do art. 5º, I da LGPD.
5. Compartilhamento com Terceiros
5.1 Operadores (tratam dados conforme nossas instruções)
- Supabase Inc. — banco de dados relacional e armazenamento de eventos. Dados armazenados em servidores AWS na região sa-east-1 (São Paulo, Brasil). Política de Privacidade
- Vercel Inc. — hospedagem da aplicação web e processamento server-side. Dados transitam por infraestrutura global da Vercel. Política de Privacidade
5.2 Controladores independentes (com consentimento do titular)
- Meta Platforms Ireland Ltd. — Meta Pixel e Conversions API (CAPI). Dados transmitidos: e-mail, telefone, nome e endereço hasheados (SHA-256), identificadores _fbp e _fbc, IP e user agent. Política de Privacidade
- Google LLC — Google Analytics 4 (GA4), Google Tag Manager e Google Ads Enhanced Conversions. Dados transmitidos: identificador _ga, dados de navegação, dados hasheados para conversões aprimoradas. Política de Privacidade
- TikTok Technology Ltd. — TikTok Pixel e Events API. Dados transmitidos: e-mail, telefone e nome hasheados, identificadores ttclid e ttp. Política de Privacidade
6. Transferência Internacional de Dados
Alguns operadores e controladores independentes listados na seção 5 estão sediados fora do Brasil (EUA e Irlanda). A transferência ocorre com fundamento no art. 33 da LGPD:
- Cláusulas contratuais específicas com os fornecedores (art. 33, II);
- Consentimento específico e destacado do titular para plataformas de publicidade (art. 33, VIII).
O armazenamento primário de dados de leads e eventos de rastreamento ocorre no Supabase em infraestrutura AWS sa-east-1 (São Paulo), dentro do território brasileiro.
7. Retenção de Dados
| Categoria de dado | Prazo de retenção | Critério |
|---|---|---|
| Dados do formulário (leads) | 5 anos após o último contato comercial | Prazo prescricional do Código Civil (art. 206, §5º) para relações contratuais |
| Registros de consentimento | 5 anos | Cumprimento de obrigação legal (art. 7º, II LGPD + art. 8º, §5º) |
| Logs de eventos de rastreamento | 13 meses | Padrão GA4 para comparação anual; após esse período, excluídos ou anonimizados |
| Registros de segurança (IP hasheado) | 90 dias | Prevenção e investigação de abuso |
Após o término do prazo, os dados são excluídos permanentemente ou anonimizados de forma irreversível, nos termos do art. 16 da LGPD.
8. Direitos dos Titulares (art. 18 LGPD)
O titular dos dados pessoais tem os seguintes direitos, exercíveis a qualquer momento mediante solicitação ao DPO:
- Confirmação e acesso (inciso I e II): confirmar se tratamos seus dados e obter cópia.
- Correção (inciso III): corrigir dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação (inciso IV): para dados desnecessários, excessivos ou tratados em desconformidade.
- Portabilidade (inciso V): receber seus dados em formato estruturado e interoperável.
- Eliminação dos dados tratados com consentimento (inciso VI): solicitar exclusão de dados cujo tratamento se baseia exclusivamente no consentimento.
- Informação sobre compartilhamento (inciso VII): saber com quais entidades compartilhamos seus dados.
- Recusa ao consentimento (inciso VIII): ser informado sobre as consequências de não fornecer consentimento.
- Revogação do consentimento (inciso IX): revogar o consentimento a qualquer momento, sem prejuízo da legalidade do tratamento anterior.
- Revisão de decisões automatizadas (inciso X): solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado que afetem seus interesses.
Para exercer qualquer desses direitos, envie solicitação para: [email protected]
Prazo de resposta: até 15 dias úteis a partir do recebimento, conforme art. 19, §3º da LGPD.
O titular também pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD): www.gov.br/anpd
9. Segurança dos Dados
Adotamos as seguintes medidas técnicas e organizacionais para proteger os dados pessoais:
- Transmissão exclusiva via HTTPS/TLS 1.2+;
- Pseudonimização de dados sensíveis (hashing SHA-256) antes do armazenamento e transmissão;
- Controle de acesso ao banco de dados via Row Level Security (RLS) no Supabase;
- Rate limiting em todos os endpoints de API para prevenção de abuso;
- Separação entre chaves de servidor (service role) e chaves de cliente (publishable key);
- Security Headers HTTP: HSTS, X-Content-Type-Options, X-Frame-Options, CSP e Referrer-Policy.
Em caso de incidente de segurança que resulte em risco ou dano relevante aos titulares, a Octo 360 comunicará a ANPD e os titulares afetados no prazo máximo previsto no art. 48 da LGPD.
10. Cookies e Tecnologias Similares
Para informações detalhadas sobre os cookies utilizados, suas categorias, finalidades e como gerenciá-los, consulte nossa Política de Cookies.
11. Menores de Idade
Este site não é direcionado a menores de 18 anos. Não coletamos intencionalmente dados pessoais de crianças ou adolescentes. Caso identifiquemos que dados de menor foram coletados sem consentimento dos responsáveis, excluiremos os dados imediatamente. Notificação: [email protected]
12. Encarregado pelo Tratamento de Dados (DPO)
Nos termos do art. 41 da LGPD, o encarregado pelo tratamento de dados pessoais da Octo 360 pode ser contactado por:
- E-mail: [email protected]
- Prazo de resposta: até 15 dias úteis
13. Atualizações desta Política
Esta Política pode ser atualizada periodicamente. Quando as alterações forem materiais, notificaremos o titular por aviso visível no site ou por e-mail (quando disponível). A data de vigência está indicada no topo deste documento. Para finalidades baseadas em consentimento, solicitaremos novo consentimento quando necessário.
14. Lei Aplicável e Foro
Esta Política é regida pela Lei nº 13.709/2018 (LGPD) e, subsidiariamente, pelo Marco Civil da Internet (Lei nº 12.965/2014) e pelo Código de Defesa do Consumidor (Lei nº 8.078/1990). Para dirimir controvérsias não resolvidas pela ANPD, fica eleito o foro da comarca do domicílio do controlador.