Pular para o conteúdo
postato

Política de Privacidade

Última atualização: 2026-04-07

Esta Política de Privacidade descreve como o Postato coleta, usa, armazena, compartilha e protege dados pessoais durante o período de acesso antecipado. O Postato está em desenvolvimento ativo e uma versão final desta política será publicada antes do lançamento geral. Esta política está em conformidade com a Lei Geral de Proteção de Dados (Lei 13.709/2018, "LGPD") e deve ser lida em conjunto com os Termos de Uso.

1. Controlador e contato

O Postato é o controlador dos dados pessoais descritos nesta política. Dúvidas, solicitações e reclamações relacionadas ao tratamento dos seus dados pessoais devem ser enviadas para legal@postato.com.br. O mesmo endereço é o canal oficial para contatar o encarregado pelo tratamento de dados pessoais (DPO) durante o acesso antecipado.

2. Modelo de mediação

O Postato é um mediador entre você e as redes sociais que você conecta. O Postato nunca armazena as credenciais (login e senha) dessas redes. Quando você conecta uma conta social, você autoriza o Postato a agir em seu nome através do fluxo OAuth oficial daquela rede, e o Postato armazena apenas os tokens resultantes, criptografados em repouso.

Você é o publicador do conteúdo entregue através do Postato. O Postato é o transportador que leva o conteúdo da sua interface até a plataforma conectada. Essa distinção define o que o Postato coleta, por quê, e por quanto tempo.

3. Dados que coletamos

O Postato coleta apenas os dados necessários para entregar o serviço. As categorias abaixo descrevem o que é coletado e de onde.

3.1 Dados que você fornece diretamente

  • Dados de conta. Nome, endereço de email, senha (armazenada como hash de mão única) e qualquer outra informação que você forneça ao criar ou atualizar sua conta.
  • Dados de espaço de trabalho. O nome do seu espaço de trabalho e quaisquer configurações que você definir.
  • Dados de cobrança (quando aplicável). Informações necessárias para emissão de notas fiscais, processadas pelo nosso provedor de pagamento. O Postato não armazena números completos de cartão.
  • Comunicações de suporte. Mensagens, capturas de tela e anexos que você envia ao entrar em contato com o suporte.

3.2 Dados gerados pelo seu uso do serviço

  • API keys. O Postato gera API keys (no formato smcp_*) a seu pedido. Apenas um hash de mão única de cada chave é armazenado. O valor em texto claro é exibido a você apenas uma vez, no momento da criação.
  • Conteúdo enviado. O texto, mídia, metadados e parâmetros de agendamento que você envia através da interface para que o Postato publique em seu nome nas redes conectadas.
  • Registros de entrega. Status, marcações de tempo, identificadores devolvidos pela plataforma de destino, mensagens de erro e contagem de reentregas para cada tentativa de publicação.
  • Logs operacionais. Registros técnicos (identificadores de requisição, endereços IP, agentes de usuário, códigos de resposta, durações) gerados para operar o serviço, diagnosticar incidentes e proteger contra abuso.
  • Registros de entrega de webhook. Cargas assinadas, códigos de resposta e marcações de tempo quando você configura endpoints de webhook de saída.

3.3 Dados recebidos de terceiros

  • Tokens OAuth de redes sociais conectadas. Quando você conecta uma conta social, a rede conectada devolve tokens OAuth que autorizam o Postato a agir em seu nome. Esses tokens são armazenados criptografados em repouso e usados apenas para realizar as ações que você, suas aplicações ou seus agentes solicitarem através da interface.
  • Informações públicas de perfil das redes conectadas. Identificadores, nome de exibição e outros campos públicos do perfil devolvidos pela rede durante o fluxo de conexão, usados para identificar a conta conectada dentro do Postato.

3.4 Dados coletados via cookies e tecnologias similares

O site do Postato usa o Google Analytics 4 para entender como os visitantes usam o site. O Google Analytics 4 só carrega depois que você aceita explicitamente os cookies no aviso de consentimento. Se você recusar, nenhuma requisição de medição é feita e nenhum cookie de medição é gravado.

4. Por que tratamos seus dados e com base em qual hipótese legal

O Postato trata dados pessoais apenas para finalidades específicas e legítimas, com base legal clara nos artigos 7º (e 11, quando aplicável) da LGPD.

| Finalidade | Base legal | |---|---| | Criar e manter sua conta | Execução de contrato | | Autenticar requisições via API key, sessão ou MCP OAuth | Execução de contrato | | Validar, enfileirar, transmitir, reentregar e registrar a publicação do conteúdo enviado nas redes conectadas | Execução de contrato | | Armazenar tokens OAuth das redes sociais que você conecta, criptografados, e usá-los para agir em seu nome | Execução de contrato e seu consentimento no momento da conexão | | Gerar logs operacionais para operar o serviço, diagnosticar incidentes e proteger contra abuso | Legítimo interesse | | Aplicar limites de requisição e prevenir abuso, fraude e mau uso | Legítimo interesse | | Comunicar com você sobre sua conta, segurança e mudanças no serviço | Execução de contrato e cumprimento de obrigação legal | | Emitir notas fiscais e cumprir obrigações tributárias (quando aplicável) | Cumprimento de obrigação legal | | Medir uso agregado do site através do Google Analytics 4 | Seu consentimento | | Atender solicitações, reclamações e ordens de autoridades públicas | Cumprimento de obrigação legal e exercício regular de direitos |

O Postato não usa seus dados para publicidade comportamental e não vende seus dados.

5. Compartilhamento e operadores

O Postato compartilha dados pessoais apenas com partes necessárias para entregar o serviço e apenas para as finalidades descritas nesta política. Essas partes atuam como operadores e tratam os dados sob contrato.

Categorias de destinatários:

  • Provedores de infraestrutura em nuvem e hospedagem que executam a aplicação do Postato, o banco de dados e a camada de filas.
  • Provedores de armazenamento de objetos para a mídia que você envia ao Postato.
  • Provedores de envio de email usados para mensagens transacionais como verificação de conta, redefinição de senha e notificações de segurança.
  • Provedor de pagamento (quando a cobrança estiver ativa) usado para processar assinaturas e emitir notas fiscais.
  • Provedor de medição web (Google Analytics 4) limitado ao site e condicionado ao seu consentimento.
  • Redes sociais conectadas (as plataformas que você optar por conectar via OAuth) que recebem o conteúdo enviado para publicá-lo. Após a entrega, o conteúdo passa a ser regido pelas políticas da rede de destino.
  • Autoridades públicas e tribunais quando exigido por lei, ordem judicial ou para defender os direitos do Postato.

O Postato não vende dados pessoais e não compartilha com terceiros para fins de marketing.

6. Transferências internacionais

Alguns operadores listados na seção 5 podem tratar dados pessoais fora do Brasil. Quando isso ocorrer, o Postato se baseia nas hipóteses de transferência internacional permitidas pelo artigo 33 da LGPD, que incluem transferências para países com nível adequado de proteção, cláusulas contratuais e seu consentimento específico, quando aplicável. Você pode solicitar informações adicionais sobre transferências em vigor através do contato da seção 1.

7. Retenção

O Postato mantém dados pessoais apenas pelo tempo necessário para cumprir as finalidades descritas nesta política ou para cumprir obrigações legais. Os critérios gerais são:

  • Dados de conta: mantidos enquanto a conta estiver ativa. Após a exclusão, removidos em até 30 dias, exceto campos que precisem ser retidos para cumprir obrigações legais.
  • Tokens OAuth de redes conectadas: mantidos enquanto a conta social correspondente estiver conectada. Removidos imediatamente na desconexão ou na exclusão da conta.
  • Conteúdo enviado e registros de entrega: mantidos pelo período operacional necessário para reentregar, auditar e reportar entregas, e em seguida arquivados ou removidos conforme regras internas de retenção. Janelas específicas de retenção serão definidas e comunicadas antes do lançamento geral.
  • Logs operacionais: mantidos pelo período estritamente necessário para operar o serviço, investigar incidentes e proteger contra abuso.
  • Registros de cobrança (quando aplicável): mantidos pelo prazo exigido pela legislação tributária e contábil.

Após o período de retenção aplicável, os dados são excluídos ou anonimizados.

8. Segurança

O Postato aplica medidas técnicas e administrativas para proteger dados pessoais, incluindo:

  • Criptografia em trânsito (HTTPS) para todas as interações com a interface.
  • Criptografia em repouso para credenciais sensíveis, incluindo tokens OAuth de redes conectadas e segredos de webhook.
  • Armazenamento de API keys e segredos equivalentes apenas como hashes de mão única, nunca em texto claro.
  • Validação das submissões na entrada do serviço para rejeitar cargas malformadas ou inseguras.
  • Isolamento de espaço de trabalho por construção: dados pertencentes a um espaço de trabalho não são acessíveis a outros espaços.
  • Proteções contra requisições direcionadas a faixas de rede privada e serviços internos a partir de entradas públicas.
  • Aplicação de limites de requisição por API key e por plataforma conectada para prevenir abuso.
  • Acesso interno baseado em mínimo privilégio.

Nenhum serviço é totalmente imune a incidentes. Em caso de incidente de segurança que possa acarretar risco relevante aos seus direitos, o Postato comunicará a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados no prazo definido pela LGPD, pelos meios disponíveis.

9. Seus direitos como titular

Conforme o artigo 18 da LGPD, você tem direito a:

  • Confirmar a existência de tratamento dos seus dados pessoais pelo Postato.
  • Acessar seus dados pessoais.
  • Corrigir dados incompletos, inexatos ou desatualizados.
  • Solicitar anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
  • Solicitar a portabilidade dos seus dados a outro fornecedor de serviço ou produto, observados os segredos comercial e industrial e a regulamentação da ANPD.
  • Solicitar a eliminação dos dados pessoais tratados com base no seu consentimento.
  • Obter informação sobre as entidades públicas e privadas com as quais o Postato compartilhou seus dados.
  • Obter informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
  • Revogar um consentimento previamente concedido a qualquer momento.
  • Opor-se a tratamento realizado com fundamento em uma das hipóteses do artigo 11 da LGPD, em caso de descumprimento.

Você pode exercer esses direitos escrevendo para legal@postato.com.br. O Postato pode precisar verificar sua identidade antes de responder. O Postato responderá no prazo definido pela LGPD e pela ANPD.

10. Crianças e adolescentes

O Postato não é direcionado a crianças ou adolescentes e não coleta intencionalmente dados pessoais de menores de 18 anos. Se você tomar conhecimento de que uma pessoa menor de 18 anos criou uma conta, entre em contato com legal@postato.com.br para que possamos remover a conta e os dados associados.

11. Cookies e rastreamento

O site do Postato não grava cookies não essenciais antes do seu consentimento. O aviso de consentimento de cookies exibido na sua primeira visita permite aceitar ou recusar cookies de medição. Você pode alterar sua escolha a qualquer momento através do mesmo aviso. Cookies estritamente necessários ao funcionamento do site (por exemplo, para lembrar sua escolha de consentimento ou manter uma sessão autenticada) não dependem de consentimento.

12. Decisões automatizadas

O Postato não toma decisões automatizadas que produzam efeitos jurídicos sobre você ou que afetem seus interesses de forma significativa. A validação das submissões e a aplicação de limites de requisição são regras técnicas operacionais e não constituem perfilamento automatizado.

13. Alterações desta política

O Postato pode atualizar esta política. Mudanças materiais serão comunicadas por email para o endereço cadastrado em sua conta com pelo menos 15 dias de antecedência. A data de "Última atualização" no topo desta página sempre reflete a versão mais recente.

14. Contato

Para questões de privacidade, solicitações com base no artigo 18 da LGPD ou para contatar o encarregado pelo tratamento de dados pessoais: legal@postato.com.br