Política de Privacidade — PostFeito
Versão: 2.1
Data de vigência: 2026-04-29 (sugestão: 2026-04-29)
Última revisão: 2026-04-29
Esta Política descreve como o PostFeito coleta, utiliza, armazena, compartilha e protege dados pessoais, em conformidade com a Lei nº 13.709/2018 — Lei Geral de Proteção de Dados Pessoais (LGPD) e demais legislações aplicáveis.
1. Quem Somos (Controlador)
1.1. O PostFeito é operado por PROMOVASE MENTORIA E SERVIÇOS LTDA, pessoa jurídica de direito privado inscrita no CNPJ sob o nº 60.594.613/0001-26, com sede em Av. Paulista, 1106 - sala 01 - andar 16 - Bela Vista - São Paulo-SP - CEP 01310-914, Brasil.
1.2. Para os fins da LGPD, o PostFeito atua como Controlador dos dados pessoais coletados na Plataforma (https://postfeito.com.br).
1.3. Encarregado pelo Tratamento de Dados (DPO):
- E-mail:
suporte@postfeito.com.br - Endereço:
Av. Paulista, 1106 - sala 01 - andar 16 - Bela Vista - São Paulo-SP - CEP 01310-914, Brasil
O Titular pode contactar o DPO a qualquer momento para exercer seus direitos ou esclarecer dúvidas sobre o tratamento dos seus dados.
2. Dados que Coletamos
Coletamos diferentes categorias de dados pessoais conforme descrito abaixo.
2.1. Dados de Cadastro
| Dado | Origem | Obrigatório? |
|---|---|---|
| Nome completo | Fornecido pelo Titular | Sim |
| Fornecido pelo Titular ou via Google OAuth | Sim | |
| Senha (hashed) | Fornecida pelo Titular | Sim (se não OAuth) |
| ID Google (sub) | Google OAuth | Apenas se OAuth |
2.2. Dados de Brand DNA (Identidade da Marca)
Cadastrados voluntariamente pelo Titular para configurar a geração de conteúdo:
- Nome da empresa, razão social;
- Cores da marca (hex/RGB);
- Logotipo (arquivo);
- Persona-alvo (descrição textual);
- Tom de voz, glossário, palavras-banidas;
- Dados de contato exibidos na marca: telefone, WhatsApp, website, endereço, handles de redes sociais.
2.3. Dados de Sócios (Partners) — Podem incluir dados pessoais sensíveis
Cadastrados voluntariamente pelo Titular sobre sócios, fundadores ou figuras institucionais da sua empresa:
- Nome, função/cargo, biografia curta;
- Fotografias faciais (até 6 por sócio) — podem ser consideradas dados pessoais sensíveis (art. 5º, II e art. 11 da LGPD) quando utilizadas para identificação inequívoca da pessoa natural (uso biométrico). Por adotar postura conservadora e protetiva, o PostFeito trata as fotografias faciais sob o regime de dados sensíveis, exigindo consentimento específico e destacado por meio de Termo próprio.
Para essa categoria, exigimos consentimento específico e destacado por meio do Termo de Consentimento Facial, disponível em https://postfeito.com.br/legal/termo-consentimento-facial.
2.4. Conteúdo Gerado e Histórico
- Prompts (instruções) enviados pelo Titular;
- Textos (copy) e imagens gerados pela Plataforma;
- Métricas de uso (quantidade de gerações, tipos de post, datas);
- Edições e versões.
2.5. Dados de Pagamento
- Identificadores tokenizados do Stripe (
stripe_customer_id,subscription_id); - Últimos 4 dígitos do cartão (last4) e bandeira;
- Histórico de cobranças e notas fiscais.
Não armazenamos o número completo do cartão (PAN), CVV nem dados sensíveis de pagamento. O processamento é feito pelo Stripe, certificado PCI-DSS Level 1.
2.6. Dados Técnicos e de Cookies
- Endereço IP, user-agent (navegador/dispositivo), localização aproximada;
- Logs de acesso, ações na Plataforma, timestamps;
- Cookies essenciais (sessão, autenticação) e cookies de analytics (vide seção 9).
2.7. Embeddings Semânticos
Vetores numéricos gerados a partir do conteúdo da base de conhecimento do Titular (Brand DNA, posts anteriores) por meio do modelo Voyage-3.5-lite, utilizados internamente para busca semântica e personalização da geração. Os embeddings são representações matemáticas abstratas que, isoladamente, não permitem a identificação direta do Titular; são vinculados ao user_id apenas para finalidade de personalização da experiência do próprio Titular.
3. Finalidades e Bases Legais (Art. 7º e 11 da LGPD)
| Categoria | Finalidade | Base Legal |
|---|---|---|
| Cadastro | Criação e gestão da conta, autenticação | Execução de contrato (art. 7º, V) |
| Brand DNA | Configuração e personalização do Serviço | Execução de contrato (art. 7º, V) |
| Fotografias faciais (Sócios) | Geração de conteúdo com sobreposição de imagem dos sócios | Consentimento específico e destacado (art. 11, I) |
| Conteúdo Gerado | Entrega do Serviço, histórico, exportação | Execução de contrato (art. 7º, V) |
| Pagamento | Cobrança, emissão fiscal, prevenção a fraude | Execução de contrato (art. 7º, V) e obrigação legal (art. 7º, II) |
| Dados técnicos / logs | Segurança, prevenção a fraude, melhoria do Serviço | Legítimo interesse (art. 7º, IX) |
| Cookies analytics | Análise agregada de uso e desempenho | Consentimento via banner (art. 7º, I) |
| Embeddings | Personalização da IA na geração de conteúdo do próprio Titular | Execução de contrato (art. 7º, V) |
| Comunicações de marketing | Envio de novidades, dicas, ofertas (opt-in) | Consentimento (art. 7º, I) |
4. Compartilhamento de Dados e Subprocessadores
4.1. O PostFeito não vende dados pessoais a terceiros.
4.2. Para a prestação do Serviço, compartilhamos dados estritamente necessários com os seguintes operadores/subprocessadores:
| Subprocessador | País / Residência dos Dados | Finalidade | Dados Tratados |
|---|---|---|---|
| Supabase (Postgres + Storage + Auth) | EUA (infra) — dados em sa-east-1 / São Paulo | Banco de dados, armazenamento, autenticação | Cadastro, Brand DNA, fotos, conteúdo |
| OpenAI (gpt-image-2 + LLMs) | EUA | Geração de imagem e texto | Prompts, fotos faciais (na requisição), Brand DNA pertinente |
| OpenRouter / Voyage-3.5-lite | EUA | LLM intermediado e embeddings semânticos | Prompts, conteúdo de KB |
| Stripe (operação Brasil) | Brasil — moeda BRL | Processamento de pagamentos | Nome, e-mail, dados de cartão (token) |
| Resend | EUA | E-mails transacionais | E-mail, nome |
| Inngest | EUA | Orquestração de jobs assíncronos | IDs de tarefa, payloads de pipeline |
| Vercel | EUA / CDN global | Hospedagem da aplicação web | Logs técnicos, IP |
| EUA | OAuth (login federado), opcional | E-mail, ID Google, nome (se Titular usar) |
4.3. Também poderemos compartilhar dados:
- (a) Com autoridades públicas mediante requisição legal, judicial ou administrativa fundamentada;
- (b) No contexto de operações societárias (fusão, aquisição, reestruturação), garantindo às partes adquirentes a continuidade desta Política;
- (c) Para defesa em processos judiciais, administrativos ou regulatórios.
5. Transferência Internacional de Dados (Art. 33 da LGPD)
5.1. Dado que parcela dos subprocessadores está sediada nos Estados Unidos, ocorre transferência internacional de dados pessoais.
5.2. O PostFeito ampara essas transferências com base em:
- Cláusulas contratuais padrão (Standard Contractual Clauses — SCCs) ou DPAs (Data Processing Addendums) firmados com os subprocessadores, em conformidade com a Resolução CD/ANPD nº 19/2024;
- Garantias técnicas e organizacionais adequadas: criptografia em trânsito (TLS 1.2+) e em repouso (AES-256), controle de acesso, audit logs, isolamento por tenant;
- Compromissos contratuais específicos com fornecedores Enterprise/API, em particular:
- OpenAI: o tratamento ocorre conforme os termos contratuais aplicáveis ao plano de API/Enterprise utilizado pelo PostFeito; quando contratualmente disponível, é adotada a configuração de não utilização dos dados para treinamento de modelos e/ou de retenção zero (zero data retention). O Titular pode solicitar ao DPO informações atualizadas sobre o regime contratual vigente;
- Supabase: dados primários armazenados em região sa-east-1 (São Paulo), reduzindo a transferência efetiva para o mínimo necessário à operação da plataforma de gestão.
5.3. O Titular pode solicitar ao DPO informações específicas sobre os mecanismos contratuais aplicáveis a cada subprocessador.
6. Tempo de Retenção
6.1. Dados de cadastro e Brand DNA: mantidos enquanto a conta estiver ativa.
6.2. Histórico de Conteúdo Gerado: mantido por até 12 (doze) meses após o cancelamento da conta, com base em legítimo interesse (art. 7º, IX da LGPD) para fins de backup operacional, eventual reativação da conta pelo Titular e prevenção a fraude. O Titular pode solicitar a exclusão imediata desse histórico a qualquer momento (art. 18, VI da LGPD), hipótese em que o prazo de 12 meses não será aplicado, salvo se houver obrigação legal específica de retenção. Após o término do prazo (ou da solicitação de exclusão), os dados são excluídos de forma irreversível.
6.3. Embeddings semânticos: excluídos em até 30 (trinta) dias após o cancelamento da conta.
6.4. Fotografias faciais de sócios: excluídas imediatamente mediante revogação do consentimento ou exclusão do partner pelo Titular, com remoção do bucket privado e backup removido em até 30 (trinta) dias. (Vide Termo de Consentimento Facial.)
6.5. Dados de pagamento e fiscais: retidos por 5 (cinco) anos após o último ato negocial, em cumprimento à legislação fiscal e tributária aplicável (Decreto nº 9.580/2018, art. 195 do CTN, entre outros).
6.6. Logs técnicos e de segurança: retidos por 6 (seis) meses, conforme art. 15 do Marco Civil da Internet (Lei nº 12.965/2014), podendo ser estendidos mediante requisição judicial.
6.7. Comunicações com suporte: retidas por 24 (vinte e quatro) meses após o último contato.
Após os respectivos prazos, os dados são excluídos ou anonimizados de forma irreversível, salvo se obrigação legal específica determinar retenção mais longa.
7. Direitos do Titular (Art. 18 da LGPD)
7.1. O Titular dos dados pessoais pode, a qualquer momento, exercer os seguintes direitos:
| Direito | Descrição |
|---|---|
| Confirmação e acesso | Saber se tratamos seus dados e obter cópia |
| Correção | Solicitar correção de dados incompletos, inexatos ou desatualizados |
| Anonimização, bloqueio ou eliminação | Solicitar tratamento desses ajustes para dados desnecessários ou tratados em desconformidade |
| Portabilidade | Receber dados em formato estruturado e interoperável |
| Eliminação | Pedir exclusão de dados tratados com base em consentimento |
| Informação sobre compartilhamento | Saber com quem compartilhamos seus dados |
| Revogação do consentimento | Retirar consentimento previamente concedido, com efeito sobre tratamentos futuros |
| Oposição | Opor-se a tratamentos baseados em legítimo interesse |
| Revisão de decisões automatizadas | Solicitar revisão de decisões tomadas exclusivamente por sistemas automatizados que afetem seus interesses |
7.2. Como Exercer
- Auto-atendimento: rota
https://postfeito.com.br/conta/excluir-dados(exclusão e exportação); - E-mail:
suporte@postfeito.com.br; - Prazo de resposta: até 15 (quinze) dias úteis a contar do recebimento da solicitação devidamente identificada, conforme art. 19 da LGPD.
7.3. Verificação de Identidade
Para evitar acesso indevido, podemos solicitar informações adicionais para confirmar a identidade do solicitante antes de atender ao pedido.
8. Segurança da Informação
Adotamos medidas técnicas e organizacionais adequadas para proteger os dados pessoais, incluindo:
- Criptografia em trânsito (TLS 1.2+) em todas as comunicações;
- Criptografia em repouso (AES-256) no banco de dados e nos buckets de armazenamento;
- Controle de acesso baseado em papéis (RBAC) e políticas de Row Level Security (RLS) no Postgres, isolando dados por tenant;
- Hash de senhas com algoritmos modernos (bcrypt/argon2);
- Audit logs de operações sensíveis;
- Backups periódicos com retenção controlada;
- Revisão periódica de permissões e acessos administrativos;
- Segregação de ambientes (desenvolvimento, homologação, produção);
- Requisição de autenticação multifator (MFA) para acessos administrativos internos.
Apesar de todos os esforços, nenhum sistema é 100% seguro. Incidentes de segurança que possam acarretar risco ou dano relevante aos Titulares serão comunicados à ANPD e aos Titulares afetados, conforme art. 48 da LGPD.
9. Cookies
| Tipo | Finalidade | Base Legal |
|---|---|---|
| Essenciais | Sessão, autenticação, segurança CSRF | Execução de contrato |
| Funcionais | Preferências do Usuário (tema, idioma) | Legítimo interesse |
| Analytics | Métricas agregadas de uso (página visitada, tempo, conversão) | Consentimento via banner |
| Marketing | (Atualmente não utilizado) | — |
9.1. O Titular pode gerenciar preferências através do banner de cookies ou nas configurações do navegador. A desativação de cookies essenciais pode comprometer o funcionamento do Serviço.
10. Menores de Idade
10.1. O Serviço é destinado a maiores de 16 (dezesseis) anos. Usuários entre 16 e 17 anos somente poderão usar o Serviço com assistência expressa de responsável legal (conforme cláusula 3.4 dos Termos de Uso), que deve aceitar formalmente os Termos e esta Política no ato do cadastro. O tratamento de dados pessoais de adolescentes nessa faixa observará o melhor interesse do titular (Art. 14, §1º da LGPD).
10.2. O PostFeito não coleta intencionalmente dados de crianças menores de 16 anos. Caso seja identificado tratamento inadvertido de dados de menor de 16 anos, os dados serão excluídos prontamente e o responsável legal poderá contactar o DPO via canal indicado na cláusula 13.
11. Decisões Automatizadas
11.1. A geração de conteúdo via IA configura processamento automatizado, mas:
- Não impacta diretamente direitos jurídicos do Titular (não há decisão de crédito, contratação, sanção etc. baseada exclusivamente em IA);
- O Titular tem controle total sobre o conteúdo gerado, podendo aprovar, editar ou descartar antes da publicação.
11.2. O Titular tem direito a solicitar revisão humana de qualquer decisão automatizada relevante, mediante contato com o DPO.
12. Alterações nesta Política
12.1. Esta Política poderá ser atualizada periodicamente para refletir mudanças legais, regulatórias ou na operação do Serviço. Alterações materiais serão comunicadas com antecedência mínima de 15 (quinze) dias por e-mail e/ou aviso na Plataforma.
12.2. Recomendamos consulta periódica desta página. A versão vigente sempre estará disponível em https://postfeito.com.br/legal/politica-privacidade.
13. Reclamações à Autoridade Nacional de Proteção de Dados
13.1. O Titular tem direito de apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) caso entenda que seus direitos não foram adequadamente atendidos:
- Site: https://www.gov.br/anpd
- Canal de atendimento: disponível no site da ANPD
Recomendamos que o Titular contate primeiramente o DPO do PostFeito (
suporte@postfeito.com.br), buscando solução amigável.
14. Contato
Para qualquer questão relativa a esta Política ou ao tratamento de dados pessoais:
- Encarregado (DPO):
suporte@postfeito.com.br - Suporte geral:
suporte@postfeito.com.br - Endereço:
Av. Paulista, 1106 - sala 01 - andar 16 - Bela Vista - São Paulo-SP - CEP 01310-914, Brasil
15. Glossário
| Termo | Definição |
|---|---|
| Anonimização | Tratamento que torna o dado não associável, direta ou indiretamente, a um indivíduo. |
| ANPD | Autoridade Nacional de Proteção de Dados, órgão regulador da LGPD. |
| Controlador | Pessoa que toma decisões sobre o tratamento de dados pessoais. No PostFeito, somos o Controlador. |
| DPO (Encarregado) | Pessoa indicada pelo Controlador como canal de comunicação com Titulares e ANPD. |
| Dados pessoais sensíveis | Dados sobre origem racial/étnica, convicção religiosa, opinião política, saúde, vida sexual, dados biométricos etc. (LGPD, art. 5º, II). |
| IA generativa | Sistema de inteligência artificial que produz texto, imagem, áudio ou vídeo a partir de instruções do usuário. |
| LGPD | Lei nº 13.709/2018 — Lei Geral de Proteção de Dados Pessoais. |
| Operador | Pessoa que realiza o tratamento de dados em nome do Controlador. Os subprocessadores listados são Operadores. |
| Titular | Pessoa natural a quem se referem os dados pessoais tratados. |
| Tratamento | Toda operação realizada com dados pessoais (coleta, armazenamento, uso, compartilhamento, exclusão etc.). |
PROMOVASE MENTORIA E SERVIÇOS LTDA
CNPJ 60.594.613/0001-26
Av. Paulista, 1106 - sala 01 - andar 16 - Bela Vista - São Paulo-SP - CEP 01310-914, Brasil
DPO: suporte@postfeito.com.br