Política de Privacidade

1. Quem somos

A Extrema Limpeza Ltda. ("Higio" ou "nós"), pessoa jurídica de direito privado, inscrita no CNPJ sob o nº 54.903.333/0001-50, com sede em São Paulo/SP, atua como controladora dos dados pessoais tratados na plataforma disponibilizada em https://agencia.higio.com.br.

Para o exercício dos direitos previstos na LGPD, nomeamos um Encarregado pelo Tratamento de Dados Pessoais (DPO), que pode ser contatado pelo e-mail dpo@higio.com.br.

2. Dados que coletamos

Coletamos apenas os dados necessários à prestação do serviço de gestão de anúncios. Os dados tratados incluem, mas não se limitam a:

• Dados de cadastro: nome completo, e-mail, telefone, senha (armazenada em formato criptografado).
• Dados da empresa: razão social, nome fantasia, CNPJ, endereço, área de atuação e cidades/bairros atendidos.
• Dados do Facebook / Instagram: identificador da Página (page id), nome da Página, token de acesso da Página, identificador da conta de anúncios e identificador do Business Manager, quando aplicável.
• Dados do WhatsApp Business: identificador da conta WhatsApp Business (WABA ID), identificador do número de telefone (phone number ID), nome de exibição e status de verificação.
• Dados de campanha: criativos (imagens, textos e vídeos fornecidos pelo próprio cliente), parâmetros de segmentação, valor de verba e métricas agregadas (impressões, cliques, custo por resultado, leads recebidos).
• Dados financeiros: histórico de recargas de carteira, valores, meios de pagamento (apenas metadados — os dados do cartão ficam com o Mercado Pago) e comprovantes.
• Logs de acesso: endereço IP, data e hora, identificador do dispositivo, sistema operacional e navegador, em cumprimento ao art. 15 do Marco Civil da Internet.

3. Para que usamos seus dados

Utilizamos os dados coletados exclusivamente para as finalidades abaixo:

• Criar, editar, veicular, pausar e encerrar campanhas de anúncios em nome do cliente.
• Compartilhar anúncios utilizando a Página do Facebook e o número de WhatsApp Business expressamente autorizados pelo cliente.
• Gerenciar o saldo da carteira pré-paga e processar recargas via PIX ou cartão.
• Gerar relatórios de desempenho e métricas agregadas de campanhas.
• Prestar atendimento, suporte técnico e enviar comunicações operacionais essenciais.
• Cumprir obrigações legais, regulatórias, contábeis e fiscais, bem como exercer direitos em processos judiciais, administrativos ou arbitrais.

4. Base legal para o tratamento

Todo tratamento de dados é fundamentado em ao menos uma das hipóteses legais previstas no art. 7º da LGPD:

• Execução de contrato (art. 7º, V): processamento necessário para cumprir o contrato firmado com o cliente, incluindo a veiculação dos anúncios contratados.
• Cumprimento de obrigação legal ou regulatória (art. 7º, II): retenção de registros fiscais, contábeis e de acesso.
• Consentimento (art. 7º, I): para finalidades específicas como envio de comunicações de marketing, revogável a qualquer momento.
• Legítimo interesse (art. 7º, IX): prevenção a fraudes, segurança da plataforma e melhoria de produtos.

5. Compartilhamento com terceiros

A Higio Agência não vende, aluga ou comercializa dados pessoais. O compartilhamento ocorre apenas com operadores e parceiros estritamente necessários à prestação do serviço, todos submetidos a obrigações contratuais de confidencialidade e proteção de dados:

• Meta Platforms, Inc. (Facebook, Instagram, WhatsApp) — veiculação e mensuração de campanhas, sujeita às políticas da plataforma Meta.
• Google LLC (Firebase) — autenticação, banco de dados e hospedagem de recursos.
• Mercado Pago — processamento de pagamentos via PIX e cartão.
• Google LLC (Gemini API) — geração assistida de textos publicitários, com apenas os dados estritamente necessários à composição dos criativos.
• SendGrid ou provedor de e-mail equivalente — envio de e-mails transacionais e notificações operacionais.
• Autoridades públicas — mediante ordem judicial, requisição legal legítima ou obrigação regulatória.

6. Permissões concedidas pelo Meta

Para operar o serviço, o aplicativo "Gerencia Anuncio" (ID da Meta: 1815486452742464) solicita as permissões abaixo. Cada permissão é utilizada exclusivamente para a finalidade declarada, e nunca alteramos configurações da Página, conta WhatsApp Business ou Business Manager do cliente sem sua autorização expressa:

• ads_management — criar, editar, pausar e encerrar campanhas de anúncios veiculadas em nome do cliente.
• ads_read — ler métricas e configurações das campanhas criadas, para fins de relatório.
• business_management — acessar o Business Manager do cliente apenas para vincular a Página autorizada e a conta de anúncios durante a configuração inicial.
• pages_manage_ads — criar anúncios utilizando a Página autorizada pelo usuário; não alteramos postagens, informações de contato, imagem de capa ou qualquer configuração da Página.
• pages_read_engagement — consultar métricas públicas de engajamento da Página, para dimensionar públicos e avaliar desempenho.
• pages_show_list — exibir a lista de Páginas administradas pelo usuário durante o fluxo de conexão, permitindo que ele escolha qual Página utilizar.
• whatsapp_business_management — vincular a conta WhatsApp Business autorizada para que os anúncios "Click-to-WhatsApp" direcionem para o número correto.
• whatsapp_business_messaging — receber metadados mínimos necessários à roteirização de leads gerados pelos anúncios ao número de WhatsApp escolhido.

7. Armazenamento, segurança e retenção

Os dados são armazenados em servidores localizados em data centers contratados junto a provedores de nuvem reconhecidos (Google Cloud / Firebase), com criptografia em trânsito (TLS 1.2+) e em repouso. Tokens de acesso do Meta são armazenados com criptografia simétrica AES-256, sendo acessíveis apenas aos processos autenticados que executam o envio de anúncios.

A retenção segue os seguintes critérios:

• Dados de conta e campanhas ativas: enquanto a conta do cliente estiver ativa.
• Dados fiscais e contábeis (faturas, recargas, comprovantes): 5 (cinco) anos após o encerramento da relação, em cumprimento ao art. 195, I, da Constituição e à legislação tributária aplicável.
• Logs de acesso: mínimo de 6 (seis) meses, nos termos do art. 15 do Marco Civil da Internet.
• Dados após exclusão solicitada: anonimização ou eliminação em até 30 (trinta) dias, com preservação apenas dos registros obrigatórios por lei.

Para solicitar a exclusão de seus dados, consulte nossa página de Exclusão de Dados.

8. Direitos do titular

Nos termos do art. 18 da LGPD, você pode, a qualquer momento e mediante solicitação gratuita, exercer os seguintes direitos:

• Confirmação da existência de tratamento.
• Acesso aos dados tratados.
• Correção de dados incompletos, inexatos ou desatualizados.
• Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos.
• Portabilidade dos dados a outro fornecedor de serviço ou produto.
• Eliminação dos dados tratados com base em consentimento.
• Informação sobre entidades públicas e privadas com as quais compartilhamos dados.
• Informação sobre a possibilidade de não fornecer consentimento e suas consequências.
• Revogação do consentimento.
• Revisão de decisões tomadas unicamente com base em tratamento automatizado que afetem seus interesses.

Para exercer qualquer desses direitos, entre em contato pelo e-mail contato@higio.com.br ou diretamente com o DPO em dpo@higio.com.br. Responderemos em prazo não superior a 15 (quinze) dias.

9. Segurança da informação

Adotamos medidas técnicas e administrativas proporcionais ao risco do tratamento, entre as quais:

• Comunicação criptografada (HTTPS / TLS 1.2 ou superior) em todas as rotas públicas.
• Criptografia em repouso (AES-256) para tokens e segredos.
• Controles de acesso baseados em função (RBAC) e princípio do menor privilégio.
• Registros de auditoria de acesso a dados sensíveis e alterações de configuração.
• Testes de invasão (pentests) anuais realizados por empresa independente.
• Plano de resposta a incidentes com notificação à ANPD e aos titulares, quando exigido por lei.

Nenhum sistema é absolutamente seguro. Caso identifique alguma vulnerabilidade, por favor reporte em dpo@higio.com.br.

10. Cookies e tecnologias similares

Utilizamos apenas cookies estritamente necessários ao funcionamento da plataforma e cookies analíticos de primeira parte (próprios), para medir uso interno e melhorar a experiência.

• Essenciais: autenticação da sessão, proteção contra CSRF e preferências básicas de interface.
• Analíticos próprios: métricas de uso internas, processadas apenas por nós, sem compartilhamento com redes publicitárias ou corretoras de dados.

Não utilizamos pixel de terceiros, cookies de rastreamento publicitário ou tecnologias de fingerprinting em nosso site institucional ou painel.

11. Crianças e adolescentes

A plataforma é destinada exclusivamente a pessoas maiores de 18 anos e a pessoas jurídicas. Não direcionamos nossos serviços a crianças e adolescentes e não coletamos intencionalmente dados de menores de 18 anos. Caso tome conhecimento de coleta inadvertida, providenciaremos a eliminação imediata.

12. Alterações desta Política

Esta Política pode ser revisada periodicamente para refletir mudanças legais, regulatórias ou em nossos serviços. Alterações materiais serão comunicadas por e-mail aos usuários ativos com antecedência mínima de 30 (trinta) dias antes da entrada em vigor. A data de última atualização está indicada no topo deste documento.

13. Contato e DPO

Para dúvidas, solicitações ou reclamações relativas a esta Política de Privacidade:

• Encarregado pelo Tratamento de Dados (DPO): dpo@higio.com.br
• Contato geral: contato@higio.com.br
• Endereço: São Paulo, SP

Você também pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) por meio do canal oficial em gov.br/anpd.