1. Quem somos
A e-Merlin LTDA, pessoa jurídica de direito privado inscrita no CNPJ <CNPJ_E_MERLIN>, com sede em <ENDERECO_COMERCIAL_COMPLETO>, oferece a plataforma e-Merlin ("Plataforma" ou "Serviço"), uma solução de gestão de marketing e publicação automatizada em redes sociais.
Esta Política de Privacidade descreve como coletamos, usamos, compartilhamos e protegemos as informações pessoais que você nos fornece ao usar a Plataforma.
Encarregado de Dados (DPO): <NOME_DPO_OU_RESPONSAVEL> — email para assuntos de privacidade: <EMAIL_DPO>.
2. Dados que coletamos
2.1. Dados que você nos fornece diretamente
- Dados de cadastro: nome, email, telefone (opcional), nome da empresa.
- Dados de pagamento: processados por gateway terceiro; armazenamos apenas tokens (nunca número de cartão completo).
- Conteúdo que você cria: textos, imagens, vídeos, áudios produzidos ou enviados para a Plataforma.
2.2. Dados que coletamos automaticamente
- Dados de uso: páginas visitadas, recursos utilizados, tempo de sessão.
- Dados técnicos: endereço IP, tipo de navegador, sistema operacional, identificador de dispositivo.
- Cookies e tecnologias similares: detalhes na Seção 7.
2.3. Dados obtidos via integrações com redes sociais
Quando você conecta uma conta de Instagram, Facebook, TikTok, YouTube ou outra rede à Plataforma via OAuth, nós acessamos:
- Identificação básica da conta: nome de usuário, foto de perfil, ID da conta.
- Páginas/canais que você administra (no caso de Facebook Pages, YouTube channels).
- Permissão para publicar conteúdo na sua conta (apenas o conteúdo que você aprovou na Plataforma).
- Métricas básicas dos seus posts (alcance, engajamento, visualizações) — quando autorizado.
Não acessamos:
- Suas mensagens privadas (DMs).
- Sua lista de seguidores ou contatos.
- Dados de outros usuários da rede além do necessário para identificar publicações suas.
Não armazenamos:
- Sua senha das redes sociais (usamos OAuth — você nunca digita senha pra nós).
- Conteúdo já existente nas suas redes que você não importou para a Plataforma.
2.4. Tokens de acesso (OAuth)
Quando você autoriza a conexão com uma rede social, recebemos um token de acesso que permite à Plataforma publicar em seu nome. Armazenamos esse token de forma criptografada (AES-256-GCM) em nosso banco de dados.
Tokens podem ser revogados a qualquer momento por você na própria rede social (Configurações → Apps conectados) ou diretamente na Plataforma (Projeto → Redes Sociais → Desconectar).
3. Como usamos seus dados
Usamos seus dados para:
- Operar a Plataforma: fornecer login, criar projetos, gerar e publicar conteúdo.
- Comunicar: enviar notificações operacionais (publicação concluída, erro, etc.) e comunicações de produto (atualizações, novos recursos) — você pode descadastrar das comunicações de produto.
- Suportar: responder dúvidas e resolver problemas.
- Melhorar: analisar uso agregado para identificar gargalos e novos recursos.
- Cumprir obrigações legais: atender requisições judiciais e fiscais.
Não usamos seus dados para:
- Treinar modelos de IA com seu conteúdo sem consentimento explícito.
- Vender, alugar ou trocar com terceiros para fins de marketing.
- Análises comportamentais que extrapolem o operacional da Plataforma.
4. Compartilhamento de dados
Compartilhamos dados estritamente com:
4.1. Provedores de infraestrutura (Operadores na terminologia LGPD)
| Provedor | Dado compartilhado | Finalidade |
|---|---|---|
| Vercel Inc. (USA) | Logs e dados de aplicação | Hospedagem da Plataforma |
| Supabase Inc. (USA) | Dados pessoais e conteúdo | Banco de dados PostgreSQL |
| Cloudflare Inc. (USA) | Tráfego HTTP | CDN, DNS, proteção DDoS |
| Clerk Inc. (USA) | Email, nome | Autenticação de usuários |
| Anthropic (USA) | Trechos de texto que você submete a IA | Geração de captions, sugestões de cortes |
| OpenAI (USA) | Áudio/vídeo enviado para transcrição | Whisper transcription |
| Cloudflare R2 (USA) | Mídia enviada | Armazenamento de objetos |
Todos os provedores acima são operadores contratuais sob LGPD e GDPR, com obrigação contratual de proteção e uso restrito.
4.2. Redes sociais
Quando você publica via Plataforma, o conteúdo aprovado por você é enviado à rede social correspondente (Meta, TikTok, etc.). A rede passa a tratar esse conteúdo segundo as próprias políticas de privacidade.
4.3. Requisições legais
Podemos compartilhar dados em resposta a ordem judicial, requisição de autoridade competente ou para defender direitos da e-Merlin LTDA em processos legais.
4.4. Transferência internacional
Alguns operadores listados na Seção 4.1 estão sediados fora do Brasil (EUA, Europa). Garantimos que essas transferências obedecem ao Art. 33 da LGPD, com cláusulas contratuais padrão ou país com nível adequado de proteção.
5. Seus direitos (LGPD)
Como titular de dados pessoais, você tem direito a:
- Confirmação da existência de tratamento.
- Acesso aos dados.
- Correção de dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade.
- Portabilidade dos dados para outro fornecedor.
- Eliminação dos dados tratados com base no consentimento.
- Informação sobre entidades públicas e privadas com as quais compartilhamos seus dados.
- Revogação do consentimento a qualquer momento.
Para exercer qualquer destes direitos, envie email para <EMAIL_DPO> com sua solicitação. Respondemos em até 15 dias úteis.
6. Retenção de dados
Mantemos seus dados pelo período em que você mantiver sua conta ativa, mais 5 anos após o encerramento (para cumprir obrigações fiscais e legais brasileiras).
Tokens OAuth são revogados imediatamente quando você desconecta a conta na Plataforma ou exclui sua conta.
Backups de banco têm retenção de 30 dias, após o que são eliminados automaticamente.
7. Cookies e tecnologias similares
Usamos os seguintes tipos de cookies:
- Essenciais: autenticação, segurança, preferências de sessão. Sem eles a Plataforma não funciona.
- Analíticos: uso agregado da Plataforma (anonimizado).
- Funcionais: lembrar preferências (tema, idioma).
Você pode bloquear cookies não-essenciais pelo navegador. Não usamos cookies de publicidade de terceiros.
8. Segurança
Adotamos medidas técnicas e organizacionais para proteger seus dados:
- Criptografia em trânsito: TLS 1.2+ em todas as conexões.
- Criptografia em repouso: AES-256-GCM para tokens OAuth e dados sensíveis.
- Controle de acesso: Row-Level Security multi-tenant no banco.
- Auditoria: log de acessos a dados sensíveis.
- Monitoramento: alertas automáticos para acessos anômalos.
Apesar das medidas, nenhum sistema é 100% seguro. Em caso de incidente, comunicaremos a você e à ANPD conforme exigência legal (Art. 48 LGPD).
9. Dados de menores
A Plataforma não é destinada a menores de 18 anos. Não coletamos intencionalmente dados de menores. Se identificarmos coleta indevida, removemos imediatamente.
10. Alterações desta Política
Podemos atualizar esta Política periodicamente. Alterações significativas serão comunicadas por email com 30 dias de antecedência. A data da última atualização aparece no topo deste documento.
Versões anteriores ficam disponíveis em https://e-merlin.com.br/privacy/history.
11. Contato
| Para | |
|---|---|
| Suporte geral | <EMAIL_SUPORTE> |
| Privacidade / DPO | <EMAIL_DPO> |
| Solicitações LGPD | <EMAIL_DPO> |
Endereço postal:
e-Merlin LTDA
<ENDERECO_COMERCIAL_COMPLETO>
CNPJ: <CNPJ_E_MERLIN>
Anexo — Mapeamento para exigências das plataformas
Esta seção é técnica, voltada para o reviewer da Meta/TikTok/Google verificar cobertura.
Meta (Facebook / Instagram Graph API)
| Exigência Meta | Seção desta política |
|---|---|
| Identificação do desenvolvedor | Seção 1 |
| Tipos de dados coletados via API | Seção 2.3 e 2.4 |
| Finalidade do uso de cada permissão | Seção 3 |
| Como o usuário pode deletar dados | Seção 5 (eliminação) e Seção 6 (retenção) |
| Contato para questões de privacidade | Seção 11 |
| Política de retenção de tokens | Seção 2.4 e Seção 6 |
TikTok Developer Platform
| Exigência TikTok | Seção desta política |
|---|---|
| Privacy Policy URL pública e acessível | Esta URL: https://e-merlin.com.br/privacy |
| Especificação de dados coletados | Seção 2 |
| Uso de Content Posting API | Seção 2.3 |
| Retenção e exclusão | Seção 6 |
Google API Services User Data Policy
| Exigência Google | Seção desta política |
|---|---|
| Limited Use compliance | Seções 3 e 4 (não usamos dados para outros fins) |
Uso de escopos sensíveis (youtube.upload) | Seção 2.3 |
| Política de retenção | Seção 6 |