Compliance
LGPD & DPA
Este documento complementa a Política de Privacidade com informações detalhadas sobre o cumprimento da Lei nº 13.709/2018 (LGPD) pela Huios Soluções Digitais LTDA (CNPJ 66.743.876/0001-36), operadora do boraADS. Aqui descrevemos sub-operadores, transferências internacionais, fluxo de atendimento a titulares, resposta a incidentes e modelo de DPA disponível para clientes empresariais.
1. Papéis e responsabilidades
Em geral, o cliente do boraADS atua como controlador dos dados pessoais que insere ou expõe pela conexão da conta Google Ads. A Huios atua como operador, tratando esses dados exclusivamente para executar as finalidades contratadas. Para os dados de cadastro do próprio cliente, a Huios atua como controladora.
2. Encarregado pelo Tratamento de Dados (DPO)
Nosso Encarregado é o contato oficial com titulares e com a Autoridade Nacional de Proteção de Dados (ANPD):
- Nome: Guilherme dos Santos Fernandes
- E-mail: dpo@boraads.com.br
- Empresa: Huios Soluções Digitais LTDA
- CNPJ: 66.743.876/0001-36
3. Sub-operadores (sub-processadores)
Mantemos a lista abaixo atualizada. Ao usar a Plataforma, o Cliente autoriza expressamente o uso destes sub-operadores. Alterações nesta lista serão comunicadas com antecedência mínima de 15 dias por e-mail.
| Sub-operador | Finalidade | País | Salvaguarda |
|---|---|---|---|
| Google LLC | Google Ads API — mutations e leitura de dados autorizada por OAuth. | EUA | Cláusulas contratuais padrão |
| Anthropic PBC | Modelos Claude para geração de recomendações. Configurado com Zero Data Retention. | EUA | ZDR + cláusulas contratuais padrão |
| Supabase Inc. | Banco de dados Postgres com Row Level Security multi-tenant + Supabase Auth. | EUA (AWS us-east-1) | Cláusulas contratuais padrão |
| Vercel Inc. | Hospedagem do aplicativo web e da landing page. | EUA | Cláusulas contratuais padrão |
| Inngest Inc. | Fila de jobs assíncronos (execução dos agentes). | EUA | Cláusulas contratuais padrão |
| Asaas Pagamentos S.A. | Processamento de pagamentos via Pix, boleto e cartão. Emissão de NFS-e. | Brasil | N/A |
| Resend Inc. | Envio de e-mails transacionais. | EUA | Cláusulas contratuais padrão |
| Sentry, Inc. | Observabilidade de erros com filtros de PII. | EUA | Cláusulas contratuais padrão |
| PostHog Inc. | Analytics de produto (eventos sem PII). | EUA | Cláusulas contratuais padrão |
4. Transferência internacional
A maioria dos sub-operadores está sediada nos Estados Unidos. As transferências internacionais ocorrem sob a hipótese do art. 33, II da LGPD (cláusulas contratuais padrão revisadas pela ANPD ou pelo controlador) e/ou hipóteses de art. 33, V (necessária para execução de contrato a pedido do titular). Cópias das cláusulas estão disponíveis sob solicitação ao DPO.
5. Bases legais
| Tratamento | Base legal (LGPD) |
|---|---|
| Operação da Plataforma e execução dos agentes | Art. 7º, V — execução de contrato |
| Cobrança, emissão de NFS-e e retenção fiscal | Art. 7º, II — cumprimento de obrigação legal |
| Telemetria, segurança e prevenção a fraude | Art. 7º, IX — legítimo interesse |
| Comunicações de marketing opt-in | Art. 7º, I — consentimento |
| Cessão de dados a autoridades | Art. 7º, II e Art. 11, II |
6. Direitos do titular — fluxo de atendimento
Para exercer qualquer dos direitos previstos no art. 18 da LGPD,
envie um e-mail para dpo@boraads.com.br
com o assunto Solicitação LGPD — [tipo]. Trataremos seu pedido
seguindo este fluxo:
- Acuse de recebimento em até 48 horas úteis.
- Verificação de identidade — pediremos comprovação razoável (ex.: envio do pedido a partir do e-mail cadastrado ou documento oficial).
- Análise técnica e legal em até 15 dias corridos.
- Resposta formal por escrito com a ação tomada, justificativa em caso de negativa parcial/total e indicação do direito de reclamação à ANPD.
Em casos complexos, o prazo pode ser estendido em até mais 15 dias corridos, com comunicação justificada ao titular antes do vencimento.
7. Resposta a incidentes
Mantemos plano de resposta a incidentes que inclui:
- Detecção contínua via Sentry, alertas de Supabase e auditoria de logs.
- Triagem em até 4 horas após detecção interna de evento qualificável como incidente.
- Comunicação à ANPD e aos titulares afetados em até 72 horas da confirmação do incidente, conforme art. 48 LGPD e Resolução CD/ANPD nº 15/2024, quando o incidente apresentar risco ou dano relevante.
- Pós-incidente: análise de causa raiz documentada, mitigação implementada e revisão de salvaguardas.
8. Retenção e exclusão
Veja seção 6 da Política de Privacidade. Resumo:
- Dados operacionais: 30 dias após cancelamento.
- Audit log de execuções: 12 meses (governança).
- Dados fiscais: 5 anos (legislação tributária).
- Tokens OAuth: revogados imediatamente em desconexão/cancelamento.
9. Portabilidade e exportação
O Cliente pode exportar todo o histórico de auditorias, recomendações, configurações e audit log em formato JSON estruturado diretamente no painel (menu Configurações → Exportar dados) a qualquer momento. A exportação fica disponível por 7 dias e é entregue com referências legíveis (não apenas IDs internos).
10. Contrato de Tratamento de Dados (DPA)
Para clientes empresariais que precisem de um Data Processing Agreement (DPA) formal e separado, disponibilizamos modelo padrão alinhado à LGPD e à recomendação da ANPD. O DPA cobre:
- Objeto, natureza e duração do tratamento.
- Tipo de dados e categorias de titulares.
- Obrigações específicas do operador.
- Sub-operadores autorizados (anexo dinâmico desta página).
- Salvaguardas de transferência internacional.
- Resposta a incidentes (4h triagem + 72h comunicação).
- Auditoria e direito de inspeção.
- Devolução/destruição dos dados ao fim do contrato.
Para receber o modelo de DPA por e-mail, envie um pedido para dpo@boraads.com.br.
11. Cookies
Usamos exclusivamente cookies essenciais (autenticação Supabase + preferência de tema). Não utilizamos cookies de marketing, remarketing ou rastreamento de terceiros nesta landing nem no aplicativo. PostHog e Sentry operam via SDK sem set de cookies, com identificação por ID interno.
12. Reclamação à ANPD
O titular pode, a qualquer momento, apresentar petição à Autoridade Nacional de Proteção de Dados: gov.br/anpd