1. IDENTIFICAÇÃO

A presente Política de Privacidade aplica-se aos dados pessoais tratados pela NODUS (Élcio Souza, prestador de serviços de tecnologia), proprietário e operador da plataforma SaaS disponível em https://api.elciosouza.com.br e domínios correlatos.

Esta Política está em conformidade com:

• Lei nº 13.709/2018 — Lei Geral de Proteção de Dados Pessoais (LGPD) Lei 13.709/18
• Lei nº 12.965/2014 — Marco Civil da Internet Lei 12.965/14
• Decreto nº 8.771/2016 — Regulamentação do Marco Civil
• Lei nº 8.078/1990 — Código de Defesa do Consumidor (quando aplicável) CDC
• Resoluções da Autoridade Nacional de Proteção de Dados (ANPD)

2. OBJETO E APLICABILIDADE

2.1. Esta Política descreve como a NODUS coleta, usa, armazena, compartilha e protege dados pessoais relacionados:

• Aos usuários da plataforma (administradores, atendentes, gestores das empresas contratantes);
• Aos visitantes do site https://api.elciosouza.com.br;
• Aos leads finais (clientes da CONTRATANTE) cujos dados são processados pela Plataforma como Operador.

2.2. Papéis (LGPD art. 5º):

• A NODUS atua como CONTROLADOR dos dados de seus próprios usuários (cadastros, autenticação, suporte, faturamento);
• A NODUS atua como OPERADOR dos dados de leads dos clientes (CONTRATANTES), processando-os por conta e ordem destes.

3. DADOS COLETADOS

3.1. Dados de cadastro (usuários e administradores da plataforma)

• Nome completo
• E-mail
• Telefone / WhatsApp
• Senha (armazenada com hash bcrypt — não reversível)
• Dados de autenticação (códigos OTP, tokens JWT)
• Logs de acesso: data, hora, IP, user agent (art. 13 Marco Civil art. 13)

3.2. Dados comerciais (CONTRATANTE pessoa jurídica)

• Razão social, CNPJ, endereço
• Dados do representante legal (nome, CPF, e-mail)
• Dados de pagamento (processados exclusivamente pela Stripe Inc. — a NODUS não armazena número de cartão)
• Histórico de faturas e contratos

3.3. Dados de leads finais (processados como Operador)

• Nome (quando informado)
• Telefone (necessário pro WhatsApp)
• Mensagens trocadas via WhatsApp
• Identificadores de marketing: GCLID, FBCLID, WBRAID, GBRAID, CTWA_CLID
• UTMs (utm_source, utm_medium, utm_campaign, utm_content, utm_term)
• Cidade, estado, país (inferidos por IP ou DDD)
• Página de origem, referenciador
• Histórico de status (clicou → conversa → qualificado → convertido)

3.4. Dados gerados automaticamente

• Métricas de uso da Plataforma
• Logs de erro e diagnóstico
• Cookies essenciais para autenticação (sessão)

4. BASES LEGAIS (LGPD ART. 7º)

Tratamento	Base Legal
Cadastro e operação da plataforma	Execução de contrato (art. 7º, V) LGPD art. 7º V
Processamento de leads pelo CONTRATANTE	Execução de contrato + interesse legítimo (art. 7º, V e IX)
Faturamento e cobrança	Execução de contrato (art. 7º, V)
Cumprimento de obrigações fiscais	Obrigação legal (art. 7º, II)
Logs de acesso (Marco Civil)	Obrigação legal (art. 7º, II) + art. 15 Marco Civil
Segurança e prevenção a fraudes	Interesse legítimo (art. 7º, IX)
Comunicações de marketing (newsletter)	Consentimento (art. 7º, I) — opt-in expresso
Análise estatística e melhoria do serviço	Interesse legítimo (art. 7º, IX) — dados anonimizados sempre que possível

5. FINALIDADES DO TRATAMENTO

Os dados são tratados exclusivamente para:

• Prover as funcionalidades da Plataforma conforme o plano contratado;
• Autenticar usuários e prevenir acesso não autorizado;
• Capturar identificadores de marketing e atribuir leads aos anúncios;
• Enviar conversões offline para Google Ads, Meta Ads e Google Analytics 4 (em nome da CONTRATANTE);
• Classificar leads via inteligência artificial (modelos da Anthropic e/ou OpenAI);
• Gerar relatórios e métricas para a CONTRATANTE;
• Faturar, cobrar e emitir notas fiscais;
• Prestar suporte técnico via WhatsApp;
• Cumprir obrigações legais e atender requisições de autoridades competentes;
• Defender direitos da NODUS em processos judiciais ou administrativos.

6. COMPARTILHAMENTO E SUB-OPERADORES

6.1. A NODUS compartilha dados pessoais apenas com sub-operadores estritamente necessários à prestação do serviço, todos vinculados contratualmente a obrigações de proteção de dados:

Sub-operador	Finalidade	Dados
Anthropic (Claude)	Classificação de leads e auto-reply via IA	Texto de mensagens
OpenAI	Transcrição de áudios (Whisper) e fallback de IA	Áudio, texto
Google LLC	Conversões offline (Google Ads), eventos (GA4), favicons	Hash de telefone/email, GCLID, valor
Meta Platforms	Conversions API (CAPI)	Hash de telefone/email, FBCLID/CTWA_CLID, valor
Stripe Inc.	Processamento de pagamento	Dados do cartão (não armazenados pela NODUS), e-mail, valor
WhatsApp Cloud API / Provedores aprovados	Envio e recebimento de mensagens	Telefone, conteúdo da mensagem
Hospedagem (Easypanel/Hostinger/AWS)	Armazenamento e processamento	Todos os dados
SMTP (Gmail/Hostinger)	Envio de e-mails transacionais	E-mail destinatário

6.2. A NODUS não vende dados pessoais a terceiros para fins de marketing.

6.3. Compartilhamento com autoridades públicas ocorrerá mediante requisição formal e fundamentada, conforme art. 11 da LGPD.

6.A. USO LIMITADO DE DADOS DO GOOGLE (GOOGLE API SERVICES USER DATA POLICY)

6.A.1. O uso que a NODUS faz de informações obtidas via APIs do Google — incluindo Google Ads, Google Analytics, Google Tag Manager, Google Search Console e Google Business Profile — adere estritamente à Google API Services User Data Policy, incluindo os requisitos de Uso Limitado (Limited Use).

• Finalidade restrita: utilizamos os dados obtidos via APIs do Google exclusivamente para fornecer as funcionalidades voltadas ao usuário do NODUS que foram explicitamente autorizadas pelo titular — auditorias, dashboards, sincronização de conversões offline, leitura de campanhas, envio de eventos e automações solicitadas.
• Sem transferência a terceiros: não transferimos dados obtidos via APIs do Google a terceiros, exceto quando estritamente necessário para operar o serviço (provedores de infraestrutura listados na seção 6.1), quando exigido por lei, ou com consentimento explícito do usuário.
• Sem uso publicitário: não utilizamos dados do Google para publicidade, incluindo publicidade segmentada ou retargeting.
• Sem uso para treinamento de IA: dados obtidos via APIs do Google não são utilizados para treinar, melhorar ou desenvolver modelos de inteligência artificial — próprios ou de terceiros. O processamento por modelos de IA (Anthropic Claude, OpenAI) é feito apenas em tempo de inferência para classificar mensagens e gerar respostas, sob cláusulas contratuais de não-retenção e não-treinamento.
• Sem scoring de crédito: dados obtidos via APIs do Google não são utilizados para avaliar crédito, conceder empréstimos, analisar risco de inadimplência nem para qualquer finalidade de credit scoring ou decisão financeira automatizada.
• Sem leitura humana: nenhum operador humano da NODUS lê dados do Google obtidos via APIs, exceto (a) com consentimento explícito do usuário; (b) para fins de segurança — investigação de abuso ou vulnerabilidade; (c) para cumprir a legislação aplicável; ou (d) para operações internas, e somente após os dados terem sido agregados e anonimizados.
• Armazenamento seguro de tokens: refresh tokens e access tokens OAuth obtidos dos usuários são armazenados criptografados em repouso e só são utilizados para as chamadas de API estritamente necessárias às funcionalidades autorizadas pelo usuário.
• Revogação: o usuário pode revogar o acesso do NODUS às APIs do Google a qualquer momento, tanto pela interface do NODUS (botão "Desconectar Google") quanto diretamente em myaccount.google.com/permissions. A NODUS também recebe e processa automaticamente eventos de Cross-Account Protection (RISC) do Google para invalidar tokens quando a conta de origem é comprometida, desabilitada ou revogada.

Limited Use of Google User Data — English version:
NODUS's use of information received from Google APIs adheres to the Google API Services User Data Policy, including the Limited Use requirements.

Specifically: (1) Google user data is used solely to provide the features explicitly authorized by the user; (2) we do not transfer this data to third parties except as required to operate the service, comply with law, or with explicit user consent; (3) we do not use Google user data for serving advertisements, including retargeting or personalized ads; (4) we do not use Google user data to train, improve, or develop any AI/ML models (our own or third-party); (5) we do not use Google user data for credit scoring, lending decisions, or any form of automated financial eligibility assessment; (6) no NODUS human reads Google user data except with user consent, for security, to comply with law, or on aggregated and anonymized data.

7. TRANSFERÊNCIA INTERNACIONAL

7.1. Alguns sub-operadores estão sediados no exterior (Estados Unidos, União Europeia). A transferência observa as garantias do art. 33 da LGPD LGPD art. 33:

• Países com nível adequado de proteção (UE — GDPR);
• Cláusulas Contratuais Padrão (Standard Contractual Clauses) com provedores nos EUA;
• Garantias específicas firmadas pelos operadores (Google, Meta, Anthropic, OpenAI, Stripe — todos certificados em programas como ISO 27001, SOC 2 Type II).

8. RETENÇÃO E ELIMINAÇÃO

Categoria	Prazo	Fundamento
Logs de acesso	6 meses	Art. 15 Marco Civil Lei 12.965/14
Logs de aplicação	6 meses	Art. 16 Marco Civil
Dados de leads ativos	Vigência do contrato + 90 dias	Execução de contrato
Mensagens de WhatsApp	Vigência do contrato + 90 dias	Execução de contrato
Dados financeiros e fiscais	5 anos após emissão da NF	Art. 195 CTN CTN art. 195
Cadastro de usuários após cancelamento	90 dias e então excluído	Possibilidade de reativação
Backups	30 dias rotativos	Recuperação técnica

Após os prazos acima, os dados são eliminados de forma irreversível, exceto quando: (i) houver retenção legal obrigatória; (ii) houver processo judicial ou administrativo em curso; (iii) o titular consentir expressamente em prazo maior.

9. SEGURANÇA

A NODUS adota medidas técnicas e administrativas razoáveis para proteger os dados pessoais, em conformidade com os arts. 46 a 49 da LGPD LGPD arts. 46-49:

• Criptografia em trânsito: TLS 1.2+ em todas as conexões;
• Criptografia em repouso: AES-256 para credenciais sensíveis (tokens, senhas com bcrypt);
• Controle de acesso: autenticação OTP via e-mail, JWT com expiração, controle baseado em função (RBAC);
• Logs de auditoria: registro de ações administrativas relevantes;
• Backups periódicos: criptografados e armazenados em região distinta;
• Hospedagem certificada: provedores com ISO 27001 e/ou SOC 2;
• Atualizações de segurança: aplicadas regularmente em dependências e sistema operacional;
• Anti-DevTools no painel cliente: impede acesso casual a credenciais expostas no navegador.

Incidentes de segurança que possam acarretar risco ou dano relevante aos titulares serão comunicados à ANPD e aos titulares afetados em prazo razoável (preferencialmente até 48h após constatação), conforme art. 48 LGPD.

10. COOKIES E TECNOLOGIAS SIMILARES

A NODUS utiliza cookies essenciais para o funcionamento da Plataforma:

• Cookies de sessão: autenticação JWT — necessários, sem alternativa;
• Cookies de preferência: tema, idioma, atendente selecionado;
• localStorage / sessionStorage: tokens de acesso e dados temporários da interface.

A landing pública pode usar cookies de análise (Google Analytics) e pixels (Meta Pixel) — uso opcional, mediante interação com o site.

11. DIREITOS DO TITULAR (LGPD ART. 18)

Os titulares de dados podem exercer, gratuitamente e a qualquer tempo, os seguintes direitos previstos no art. 18 da LGPD LGPD art. 18:

1. Confirmação da existência de tratamento;
2. Acesso aos dados;
3. Correção de dados incompletos, inexatos ou desatualizados;
4. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
5. Portabilidade a outro fornecedor;
6. Eliminação dos dados tratados com base no consentimento;
7. Informação sobre entidades públicas e privadas com as quais houve compartilhamento;
8. Informação sobre a possibilidade de não fornecer consentimento e suas consequências;
9. Revogação do consentimento;
10. Oposição a tratamento realizado sem consentimento, em descumprimento à LGPD.

Como exercer: envie solicitação para contato@nodus.com.br, indicando: (i) qual direito quer exercer; (ii) dados que comprovem sua titularidade. Resposta em até 15 dias úteis.

Caso seja titular de dados processados em nome de uma CONTRATANTE (lead), a solicitação será encaminhada à empresa controladora dos seus dados.

12. CRIANÇAS E ADOLESCENTES

A Plataforma NODUS não é destinada a menores de 18 anos. Não coletamos intencionalmente dados de crianças ou adolescentes. Caso identifiquemos coleta inadvertida de dados de menores, eliminaremos imediatamente, conforme art. 14 da LGPD.

13. ALTERAÇÕES DESTA POLÍTICA

Esta Política pode ser atualizada periodicamente. Alterações materiais serão comunicadas com antecedência mínima de 30 dias por e-mail. A versão vigente está sempre disponível em https://api.elciosouza.com.br/privacy-policy, com data de última atualização indicada no topo.

14. ENCARREGADO DE DADOS (DPO) E CONTATO

Em caso de inconformidade na resposta, o titular pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD): https://www.gov.br/anpd.