Documento legal oficial

Bugee Apps — Política de Privacidade

Última atualização: 24 de junho de 2026. Versão: 2.1.

Esta Política de Privacidade está publicada de forma permanente e acessível ao público no endereço https://bugee.com.br/legal/privacy_policy e descreve como a Bugee Apps Ltda. (marca "Bugee"), inscrita no CNPJ sob o nº 48.942.384/0001-98, com sede na Rua Rio Grande do Norte, 1435, sala 708, Savassi, Belo Horizonte/MG, CEP 30130-138 (doravante "Bugee", "nós" ou "nossa"), coleta, utiliza, armazena, compartilha e protege os dados pessoais dos usuários e visitantes do site https://bugee.com.br e da plataforma Bugee Workspace, bem como de seus aplicativos nativos.

Esta Política foi elaborada em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais, "LGPD") e, no que se refere às integrações com os serviços do Google, com a Google API Services User Data Policy, incluindo os requisitos de Limited Use (Uso Limitado). O endereço acima é a URL canônica desta Política, vinculada à tela de consentimento OAuth do Google.

Ao utilizar nossos serviços, você declara estar ciente do conteúdo desta Política. Recomendamos a leitura integral. Em caso de dúvidas, entre em contato pelo e-mail [email protected].

1. Identificação do Controlador e do Encarregado (DPO)

Controlador dos dados pessoais:

  • Razão social: Bugee Apps Ltda.
  • Nome fantasia: Bugee Apps (marca Bugee)
  • CNPJ: 48.942.384/0001-98
  • Endereço: Rua Rio Grande do Norte, 1435, sala 708, Savassi, Belo Horizonte/MG, CEP 30130-138
  • Telefone: (31) 99845-1800
  • E-mail: [email protected]
  • Site: https://bugee.com.br

Encarregado pelo Tratamento de Dados Pessoais (Encarregado/DPO): nos termos do art. 41 da LGPD, a Bugee designou como Encarregada a própria pessoa jurídica Bugee Apps Ltda., que exerce essa função por meio de sua administração, sendo o canal oficial de comunicação com o Encarregado o e-mail [email protected] e, alternativamente, o endereço postal e o telefone indicados acima. Por este canal, qualquer titular pode encaminhar solicitações, dúvidas e reclamações, bem como exercer os direitos previstos na legislação.

2. Definições

Para os fins desta Política, aplicam-se as seguintes definições, conforme a LGPD:

  • Dado pessoal: informação relacionada a pessoa natural identificada ou identificável.
  • Dado pessoal sensível: dado sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural.
  • Titular: pessoa natural a quem se referem os dados pessoais.
  • Tratamento: toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, modificação, comunicação, transferência, difusão ou extração.
  • Controlador: pessoa a quem competem as decisões referentes ao tratamento de dados pessoais. Em relação aos dados de cadastro dos usuários e dos visitantes do site, a Bugee atua como Controladora.
  • Operador: pessoa que realiza o tratamento de dados pessoais em nome do controlador. Em relação aos dados que o usuário insere nos módulos do Workspace sobre terceiros (clientes, contatos, compradores), a Bugee atua como Operadora, sendo o usuário o Controlador desses dados.
  • Suboperador: terceiro contratado para auxiliar na prestação do serviço, tratando dados em nome do operador ou do controlador.
  • Consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada.
  • ANPD: Autoridade Nacional de Proteção de Dados.

3. Papéis de Controlador e Operador

A Bugee atua sob dois papéis distintos, a depender do dado tratado:

  • Como Controladora: em relação aos seus dados de cadastro, perfil, pagamento, navegação e às informações que você nos fornece diretamente para a contratação e o uso da plataforma e para a captação de leads no site.
  • Como Operadora: em relação ao conteúdo que você cria ou insere nos módulos do Workspace, incluindo dados de terceiros (clientes, leads, contatos, compradores, avaliadores e destinatários). Nessa hipótese, você é o Controlador desses dados e é o único responsável por dispor de base legal adequada, por cumprir os deveres de informação e, quando exigível, por obter o consentimento dos titulares, bem como por respeitar os direitos desses titulares.

A Bugee não solicita nem trata, por iniciativa própria e na condição de Controladora, dados pessoais sensíveis dos titulares. Caso você insira, nos módulos do Workspace (por exemplo, Notas, CRM, BugDrive, Chat/WhatsApp) ou em avaliações importadas, qualquer dado pessoal sensível de terceiros, você o faz na qualidade de Controlador e assume a responsabilidade por identificar a hipótese do art. 11 da LGPD que autoriza tal tratamento.

4. Quais Dados Coletamos e Como

Coletamos dados pessoais que você nos fornece diretamente, dados gerados pelo uso da plataforma e dados que você autoriza expressamente a importar de serviços de terceiros (como Google, Meta, LinkedIn e Canva). Abaixo, organizamos os dados por categoria.

4.1. Dados de Conta e Perfil

  • E-mail e senha (a senha é gerida e armazenada de forma protegida pelo serviço de autenticação, nunca em texto puro pela Bugee).
  • Nome completo, foto/avatar, apelido e, quando informados, data de nascimento e telefone (incluindo indicação de WhatsApp).
  • Endereço pessoal e dados de empresa (e-mail, telefone, endereço, cidade, estado, CEP e site da empresa).
  • CPF e RG, quando informados pelo usuário para emissão de contratos, propostas e documentos fiscais ou comerciais.
  • Códigos de verificação enviados por e-mail, armazenados de forma protegida por meio de hash (SHA-256), nunca em texto puro.

4.2. Conteúdo dos Módulos do Workspace

A plataforma é modular e armazena o conteúdo que você cria ou insere em cada ferramenta:

  • CRM: dados de seus clientes e leads (nome, e-mail, telefone, site, empresa, CNPJ, cidade, estado, notas, valores de venda e tags).
  • Gerenciador de Projetos: cartões, tarefas, comentários, colaboradores e leads vinculados.
  • BugDrive: pastas e arquivos enviados por você, incluindo seus metadados.
  • My Card (cartão de visita digital público): título, descrição, foto, capa, links, número de WhatsApp e, quando configurado, snapshot do feed do Instagram. Em páginas públicas, coletamos dados de visitantes (endereço IP, User-Agent e registros de visualização e clique) para fins de estatística.
  • Notas, Agenda e Ferramentas de Desenvolvedor: conteúdo livre de notas, eventos, fluxogramas, mapas mentais e requisições da ferramenta de teste de API.
  • Gerenciador de Senhas: os itens do cofre (nome, URL, usuário, senha e notas) são criptografados no seu próprio dispositivo (AES-GCM) antes de chegarem aos nossos servidores; armazenamos apenas o conteúdo cifrado, ao qual a Bugee não tem acesso em texto puro.
  • Finanças: transações, orçamentos, categorias e tags financeiras.
  • Loja (e-commerce) e Cupons & Pontos: dados de compradores (nome, e-mail, telefone, CPF/CNPJ, endereço de entrega), pedidos, itens, status de pagamento e contas de fidelidade.
  • Criativos IA: prompts, projetos, imagens e textos gerados, brand kits e registros de uso de créditos.
  • Redes Sociais e E-mail: tokens de integração, conteúdo de postagens, mensagens, conversas, contas de e-mail conectadas (cujas credenciais de acesso IMAP/SMTP são gravadas em campos específicos protegidos), anexos e listas de destinatários de campanhas.
  • Chat/Automação (WhatsApp): número de telefone e nome dos contatos, conteúdo e mídias das mensagens, automações e campanhas.

Em relação ao conteúdo que você insere sobre terceiros, a Bugee atua como Operadora, nos termos da Seção 3.

4.3. Dados de Pagamento

  • Por meio dos processadores Asaas e Stripe: identificadores de cliente, e-mail, CPF/CNPJ, telefone e dados de pagamento.
  • Dados de cartão são tokenizados pelo processador de pagamento. A Bugee não acessa o número completo do cartão; armazena apenas o token, a bandeira, os últimos 4 dígitos e a validade.
  • Registros de assinaturas, pagamentos, eventos de webhook e histórico de créditos.

4.4. Leads do Site

Quando você preenche um formulário de contato no site, coletamos nome, e-mail, telefone, preferência de contato, segmento de negócio, objetivo do projeto, plataformas, integrações desejadas, orçamento e descrição, além do endereço IP e do User-Agent do visitante, para fins de contexto e prevenção a fraude.

4.5. Dados de Navegação, Cookies e Analytics

  • Analytics próprio (first-party): registramos páginas acessadas, referenciador, identificador de sessão, país/cidade (geolocalização aproximada por IP), tipo de dispositivo e viewport. Não armazenamos o IP em texto puro; guardamos um identificador pseudonimizado (hash SHA-256 de IP + User-Agent).
  • Cookies e rastreadores de terceiros: Pixel da Meta, Google Analytics (GA4) e Google Tag Manager, conforme detalhado na Seção 6.

5. Finalidades e Bases Legais

Tratamos seus dados pessoais para as finalidades abaixo, sempre amparados por uma base legal prevista no art. 7º (ou art. 11, para dados sensíveis) da LGPD.

  • Autenticação e gestão da conta: base legal de execução de contrato (art. 7º, V).
  • Prestação dos serviços do Workspace e armazenamento do seu conteúdo: execução de contrato (art. 7º, V).
  • Emissão de contratos, propostas e documentos fiscais (CPF, RG, CNPJ): execução de contrato e cumprimento de obrigação legal ou regulatória (art. 7º, II e V).
  • Processamento de pagamentos e cobrança: execução de contrato e cumprimento de obrigação legal (art. 7º, II e V).
  • Recursos de inteligência artificial da plataforma (Criativos IA, agentes, geração de texto e imagem, diagnósticos e sugestões): execução de contrato (art. 7º, V), quando você aciona voluntariamente esses recursos. O acionamento implica o envio do conteúdo necessário a provedores de IA subcontratados (ver Seções 8 e 9), exclusivamente para gerar a saída solicitada.
  • Captação e qualificação de leads do site: diligências pré-contratuais e legítimo interesse (art. 7º, V e IX).
  • Analytics first-party e prevenção a fraude: legítimo interesse (art. 7º, IX), com uso de dados pseudonimizados.
  • Cookies e rastreadores de marketing de terceiros (Pixel da Meta, GA4, GTM): consentimento (art. 7º, I), coletado por meio do banner de consentimento.
  • Integrações com serviços do Google (Login, Google Ads, Google Meu Negócio): consentimento (art. 7º, I), manifestado na tela de consentimento OAuth do próprio Google, revogável a qualquer momento.
  • Integrações com Meta (Instagram/Facebook), LinkedIn e Canva: consentimento (art. 7º, I).
  • Segurança da informação e cumprimento de ordens judiciais ou de autoridades: cumprimento de obrigação legal e exercício regular de direitos (art. 7º, II e VI).

Quando você insere dados de terceiros nos módulos do Workspace, você atua como Controlador e é responsável por identificar a base legal aplicável e por cumprir os deveres de informação e de obtenção de consentimento, quando exigíveis.

5.1. Decisões automatizadas

A Bugee não adota, na condição de Controladora, decisões unicamente automatizadas que produzam efeitos jurídicos ou afetem de forma significativa o titular. Os recursos de qualificação de leads, diagnósticos e automações funcionam como ferramentas de apoio, cujos resultados são sempre submetidos à avaliação e à decisão final de um usuário humano (o anunciante ou operador da conta). Eventuais usos automatizados que você venha a configurar dentro do Workspace são de sua responsabilidade como Controlador. Caso a Bugee passe a adotar decisão automatizada relevante, você poderá solicitar a revisão nos termos do art. 20 da LGPD, pelo canal do Encarregado.

6. Cookies, Tecnologias de Rastreamento e Banner de Consentimento

Utilizamos cookies e tecnologias semelhantes para operar o site, medir audiência e otimizar campanhas. Adotamos um banner de consentimento LGPD que respeita sua escolha:

  • As ferramentas de terceiros (Pixel da Meta, ID 803709464323006; Google Analytics GA4, ID G-LWVVTHL9K4; e Google Tag Manager, ID GTM-W53HXRGR) somente são carregadas no seu navegador após você clicar em "Aceitar".
  • Se você clicar em "Recusar", nenhum rastreador de terceiros é carregado.
  • O analytics próprio (first-party), que registra apenas estatísticas de página de forma pseudonimizada em nossa própria base, continua ativo independentemente da escolha, com fundamento em legítimo interesse.

Revogação do consentimento de cookies: você pode, a qualquer momento, alterar ou revogar sua escolha reabrindo o banner de preferências de cookies disponível no site (link "Preferências de cookies"), o que interrompe o carregamento futuro dos rastreadores de terceiros. Também é possível bloquear ou apagar cookies pelas configurações do seu navegador; observamos, contudo, que a exclusão de cookies pelo navegador não desfaz, por si só, o carregamento de scripts já ocorrido na sessão atual, motivo pelo qual recomendamos o uso do painel de preferências.

Conversions API (CAPI) da Meta: para mensuração de conversões de e-commerce, podemos enviar à Meta, por meio da Conversions API (server-side), eventos de compra contendo dados de contato (e-mail, telefone e nome) previamente convertidos em hash SHA-256, de modo que não são diretamente identificáveis. Esclarecemos, de forma transparente, que esse envio server-side decorre da efetivação de um pedido e da base de legítimo interesse de mensuração, e não é condicionado ao banner de cookies, por ser realizado a partir do nosso servidor (e não por meio de cookies ou scripts no seu navegador). Os dados enviados são limitados ao estritamente necessário e transmitidos em forma de hash.

7. Dados de Usuários do Google (Google API Services)

Esta seção descreve, de forma específica e destacada, como a Bugee acessa, utiliza, compartilha, armazena, retém e exclui os dados obtidos por meio das APIs do Google. O acesso ocorre sempre mediante autorização explícita do usuário, na tela de consentimento OAuth do Google, e pode ser revogado a qualquer momento. A Bugee solicita apenas os escopos mínimos necessários para a funcionalidade que o usuário escolhe ativar (minimização de escopo) e exibe a tela de consentimento OAuth, com os escopos solicitados, antes de qualquer acesso. Há três integrações distintas, cada uma com seus próprios escopos.

7.1. Login com Google (escopos openid, email, profile)

  • Dados acessados (Data Accessed): identificador da conta Google, endereço de e-mail, nome e foto de perfil.
  • Uso dos dados (Data Usage): autenticar o usuário e criar/popular a conta na Bugee. Não utilizamos esses dados para qualquer outra finalidade.
  • Compartilhamento (Data Sharing): os dados de login não são vendidos nem compartilhados com terceiros. São processados pelo serviço de autenticação que opera em nossa infraestrutura própria.
  • Armazenamento e proteção (Data Storage & Protection): a identidade é armazenada pelo serviço de autenticação em nosso ambiente Supabase autogerenciado, hospedado no Brasil, com tráfego sob HTTPS/TLS.
  • Retenção e exclusão (Data Retention & Deletion): os dados permanecem enquanto a conta estiver ativa e são removidos quando a conta é excluída (ver Seção 12), sendo a identidade de autenticação apagada de forma definitiva (hard delete). Você pode também revogar o acesso de Login a qualquer momento em myaccount.google.com/permissions.

7.2. Google Ads (escopo https://www.googleapis.com/auth/adwords)

  • Dados acessados (Data Accessed): e-mail e identificador da conta Google do usuário; tokens de acesso e atualização (OAuth); identificadores das contas de anúncios acessíveis; estrutura e métricas das campanhas, grupos de anúncios, anúncios e palavras-chave (impressões, cliques, custo, conversões, CTR, CPC) da própria conta Google Ads do usuário.
  • Uso dos dados (Data Usage): permitir que o usuário crie, edite, liste, pause, remova e analise as próprias campanhas de Google Ads dentro do painel Bugee. Quando o usuário aciona recursos de inteligência artificial (geração de texto de anúncio ou plano de campanha), o conteúdo de apoio é processado por provedor de IA subcontratado exclusivamente para gerar a saída solicitada.
  • Compartilhamento (Data Sharing): os dados não são vendidos. Não são compartilhados com terceiros, exceto: (a) com a infraestrutura própria que armazena a integração; e (b) quando o usuário aciona recursos de IA, hipótese em que o conteúdo necessário é enviado ao provedor de IA Anthropic, que atua como operador subcontratado, somente para gerar a saída pedida, conforme a Seção 8.
  • Armazenamento e proteção (Data Storage & Protection): os tokens OAuth são armazenados em tabela de integração no banco Postgres do Supabase autogerenciado, hospedado no Brasil, com acesso restrito por Row Level Security (RLS) e por chave de serviço (service_role). Os tokens nunca são devolvidos ao navegador. Tráfego sob HTTPS/TLS.
  • Retenção e exclusão (Data Retention & Deletion): os tokens e quaisquer dados de campanha eventualmente espelhados ou armazenados em cache são mantidos enquanto a integração estiver conectada. O usuário pode desconectar a integração a qualquer momento, ação que descarta os tokens e os dados de integração de Google Ads armazenados pela Bugee. Esclarecemos, de forma transparente, que, em razão da arquitetura atual, a exclusão da conta Bugee não remove automaticamente os tokens da integração de Google Ads; para garantir a remoção desses tokens do nosso ambiente, utilize a função "Desconectar" antes de excluir a conta. Em qualquer caso, você pode revogar o acesso diretamente em myaccount.google.com/permissions e solicitar a remoção residual pelo canal do Encarregado.

7.3. Google Meu Negócio / Google Business Profile (escopo sensível https://www.googleapis.com/auth/business.manage)

  • Dados acessados (Data Accessed): e-mail e nome da conta Google do usuário; tokens OAuth; localizações do negócio (nome, título, endereço, telefone, horários, categorias, site); postagens locais; avaliações (nota, comentário, nome e foto do avaliador, indicação de anonimato) e respostas; e métricas de desempenho do perfil.
  • Uso dos dados (Data Usage): permitir que o usuário gerencie o próprio perfil pelo painel Bugee, editando informações do negócio, criando e excluindo postagens, respondendo avaliações e visualizando o painel de desempenho. Recursos opcionais de IA podem gerar diagnósticos e sugestões de resposta a avaliações, que só são publicadas mediante confirmação do usuário.
  • Compartilhamento (Data Sharing): os dados não são vendidos. Não são compartilhados com terceiros, exceto: (a) com a infraestrutura própria; e (b) quando o usuário aciona recursos de IA, hipótese em que o conteúdo necessário (incluindo texto de avaliações e dados do perfil) é enviado ao provedor de IA OpenAI, que atua como operador subcontratado, somente para gerar a saída pedida, conforme a Seção 8.
  • Armazenamento e proteção (Data Storage & Protection): tokens e dados espelhados em tabelas de integração no Supabase autogerenciado, hospedado no Brasil, protegidos por RLS e chave de serviço, com tráfego sob HTTPS/TLS. Os tokens nunca são expostos ao navegador.
  • Retenção e exclusão (Data Retention & Deletion): mantidos enquanto a integração estiver conectada. A desconexão descarta os tokens e os dados de integração armazenados pela Bugee. Diferentemente da integração de Google Ads, todos os dados espelhados do Google Meu Negócio são vinculados por relação de exclusão em cascata e também são removidos automaticamente quando a conta Bugee é excluída. O usuário também pode revogar o acesso em myaccount.google.com/permissions.

7.4. Dados de terceiros (avaliadores) importados do Google Meu Negócio

Nome e foto de avaliadores do Google Meu Negócio são dados pessoais de terceiros, importados unicamente para exibição e resposta dentro do painel do usuário, em apoio à gestão do próprio perfil do negócio. Adotamos os seguintes compromissos quanto a esses dados: (i) são tratados sob estrita minimização, limitados ao necessário para que o usuário visualize e responda às avaliações; (ii) não são reutilizados para qualquer outra finalidade, não são vendidos, não alimentam publicidade e não são empregados para treinar modelos; e (iii) são removidos do nosso ambiente na desconexão da integração e na exclusão da conta, por estarem sujeitos à exclusão em cascata descrita na Seção 7.3. O mesmo se aplica, no contexto de Google Ads, a dados de terceiros (como clientes finais e métricas associadas), que são tratados apenas para a gestão das próprias campanhas do usuário e não são reutilizados pela Bugee.

8. Limited Use (Uso Limitado) e Conformidade com a Google API Services User Data Policy

O uso e a transferência, pela Bugee, de informações recebidas das APIs do Google aderem à Google API Services User Data Policy, incluindo os requisitos de Limited Use. Em especial, declaramos que, em relação aos dados obtidos via APIs do Google:

  • Não utilizamos os dados para fins de publicidade.
  • Não vendemos os dados.
  • Não transferimos os dados a terceiros, exceto para: (i) prestar ou aprimorar o recurso solicitado pelo usuário; (ii) cumprir exigência legal aplicável; ou (iii) com o consentimento expresso do usuário. O envio de conteúdo do Google aos provedores de IA (Anthropic, no Google Ads, e OpenAI, no Google Meu Negócio), quando o usuário aciona um recurso de IA, enquadra-se exclusivamente na exceção (i): trata-se de processamento automatizado de inferência para gerar a saída pedida pelo usuário, e não de transferência a um terceiro independente.
  • Os provedores de IA atuam como operadores (service providers) sob contrato, processam os dados unicamente para gerar a saída solicitada pelo usuário, não os retêm além do estritamente necessário a essa finalidade e não os utilizam para treinar ou aprimorar seus próprios modelos.
  • Nenhum ser humano lê os dados, salvo: (i) com o consentimento expresso do usuário para dados específicos; (ii) para fins de segurança (como investigação de abuso); ou (iii) para cumprir lei aplicável. O processamento por modelos de IA é automatizado e não constitui leitura humana.
  • Não utilizamos os dados para desenvolver, aprimorar ou treinar modelos de inteligência artificial ou de aprendizado de máquina generalizados. Os recursos de IA da plataforma apenas realizam chamadas de inferência a provedores para gerar a saída solicitada pelo usuário, não havendo treinamento de modelos próprios da Bugee, nem dos provedores, com esses dados.

Texto padrão do Google (em inglês): "Bugee's use and transfer to any other app of information received from Google APIs will adhere to the Google API Services User Data Policy, including the Limited Use requirements."

9. Compartilhamento com Suboperadores e Terceiros

Para operar a plataforma, contamos com prestadores de serviço (suboperadores) que tratam dados pessoais em nosso nome ou recebem dados estritamente para a finalidade indicada. Não vendemos seus dados pessoais. Os principais terceiros são:

  • Supabase (infraestrutura autogerenciada da Bugee, hospedada no Brasil): banco de dados, armazenamento de arquivos e autenticação de toda a plataforma.
  • Asaas: processamento de pagamentos, assinaturas e cobranças (Brasil).
  • Stripe: processamento de pagamentos, assinaturas e créditos.
  • Mercado Pago: processamento de pagamentos da Loja (geração de links de pagamento via Checkout Pro), quando o lojista conecta a própria conta Mercado Pago (Brasil). Recebe os dados do pedido e do comprador necessários à cobrança.
  • Melhor Envio: cotação de frete, emissão de etiquetas e rastreamento de envios da Loja, quando o lojista conecta a própria conta (Brasil). Recebe nome, documento (CPF/CNPJ), endereço completo, contato e dimensões/peso do pedido do comprador, para calcular o frete e gerar a etiqueta de envio.
  • Meta: Pixel e Conversions API (mensuração de marketing, com dados de contato em hash SHA-256), além de Instagram Graph e Facebook (publicação e gestão de conteúdo autorizado pelo usuário).
  • Google: Login, Google Ads, Google Meu Negócio, Google Analytics (GA4) e Google Tag Manager.
  • OpenAI: recursos de inteligência artificial (geração de imagens e textos, diagnósticos e sugestões de resposta a avaliações do Google Meu Negócio), na qualidade de operador subcontratado.
  • Anthropic: recursos de inteligência artificial (agentes, geração de texto de anúncio e plano de campanha do Google Ads), na qualidade de operador subcontratado.
  • Evolution API (serviço de integração de mensageria utilizado pela Bugee): envio e recebimento de mensagens via WhatsApp.
  • n8n (ferramenta de automação operada no ambiente da Bugee): automação de notificações internas de leads captados no site.
  • Hostinger: provedor de hospedagem da infraestrutura de servidores e serviços de envio de e-mail transacional (SMTP), além de hospedagem e entrega de imagens e demais ativos estáticos do site.
  • Canva: importação de designs autorizada pelo usuário.
  • LinkedIn: publicação de conteúdo no perfil do usuário, mediante autorização.
  • ViaCEP: consulta de CEP para preenchimento automático de endereço.
  • ipify: obtenção do endereço IP público do visitante, utilizado para gerar o identificador de visitante em hash e para o registro de captura de IP.
  • ipwho.is: geolocalização aproximada por endereço IP, para fins de estatística de visita.

Os provedores de IA (OpenAI e Anthropic) atuam como operadores subcontratados, processando os dados apenas para gerar a saída solicitada, sem retenção além do necessário e sem uso para treinamento de seus modelos. Também poderemos compartilhar dados pessoais para cumprir obrigações legais ou regulatórias, atender requisições de autoridades competentes e exercer regularmente nossos direitos, inclusive em processos judiciais ou administrativos.

10. Transferência Internacional de Dados

A infraestrutura central da Bugee de banco de dados, armazenamento de arquivos e autenticação é mantida em ambiente autogerenciado (Supabase/Coolify) hospedado fisicamente no Brasil (São Paulo). Assim, o núcleo dos seus dados de conta, conteúdo do Workspace e arquivos permanece em território nacional.

Alguns dos suboperadores listados na Seção 9 estão sediados ou operam servidores fora do Brasil, notadamente nos Estados Unidos e em outros países (por exemplo, Stripe, Meta, Google, OpenAI, Anthropic, Canva e LinkedIn). Dessa forma, ao utilizar os recursos que dependem desses serviços, os dados pessoais estritamente necessários para a finalidade contratada poderão ser transferidos internacionalmente.

Tais transferências observam o disposto no art. 33 da LGPD e ocorrem: (i) quando indispensáveis à execução do recurso que você escolheu utilizar (por exemplo, processar um pagamento internacional, publicar conteúdo numa rede social ou gerar uma saída de IA); e/ou (ii) mediante o seu consentimento, no caso das integrações e dos rastreadores de marketing. A Bugee adota, na medida em que cada fornecedor as disponibiliza, as salvaguardas contratuais oferecidas por esses prestadores (como os respectivos termos de processamento de dados e cláusulas de transferência internacional incorporadas a seus contratos-padrão), e limita os dados transferidos ao mínimo necessário para a finalidade. A Bugee não declara a existência de salvaguardas que não tenham sido efetivamente disponibilizadas pelo respectivo fornecedor.

11. Direitos do Titular

Nos termos do art. 18 da LGPD, você, na qualidade de titular de dados pessoais, pode exercer a qualquer momento os seguintes direitos:

  1. Confirmação da existência de tratamento de seus dados pessoais.
  2. Acesso aos dados.
  3. Correção de dados incompletos, inexatos ou desatualizados.
  4. Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
  5. Portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa.
  6. Eliminação dos dados tratados com base no consentimento, ressalvadas as hipóteses de conservação previstas em lei.
  7. Informação sobre as entidades públicas e privadas com as quais a Bugee compartilhou seus dados.
  8. Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
  9. Revogação do consentimento, a qualquer momento.
  10. Oposição a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento da LGPD.

Para exercer seus direitos, basta entrar em contato pelo e-mail [email protected]. Poderemos solicitar informações adicionais para confirmar sua identidade antes de atender ao pedido, como medida de segurança. Atenderemos às solicitações no menor prazo possível e, em regra, em até 15 (quinze) dias contados do recebimento, podendo esse prazo ser justificadamente prorrogado em hipóteses de complexidade. Você também tem o direito de peticionar perante a ANPD.

12. Retenção e Exclusão de Dados

Mantemos seus dados pessoais somente pelo tempo necessário às finalidades descritas nesta Política, observados os prazos legais aplicáveis. A título de parâmetros concretos de retenção:

  • Dados de conta e conteúdo do Workspace: enquanto a conta estiver ativa. Após a exclusão da conta, são eliminados conforme a Seção 12.1, ressalvadas as hipóteses legais de conservação.
  • Dados e documentos fiscais e de pagamento (notas, recibos, registros de cobrança): pelo prazo exigido pela legislação fiscal e tributária, em regra 5 (cinco) anos, em linha com o art. 173 do Código Tributário Nacional e o art. 27 do Código de Defesa do Consumidor.
  • Registros de acesso e de aplicação (logs de conexão e de uso): pelo prazo do Marco Civil da Internet (Lei nº 12.965/2014), correspondente a no mínimo 6 (seis) meses, podendo ser conservados por período superior para segurança e exercício regular de direitos.
  • Dados tratados com base no consentimento (cookies/rastreadores e integrações): até a revogação do consentimento ou a desconexão da integração.
  • Estatísticas pseudonimizadas de uso (identificador de visitante em hash): por não estarem vinculadas à sua conta, podem ser conservadas de forma agregada por período indeterminado para fins estatísticos.
  • Cópias de segurança (backups): os dados podem persistir em backups cifrados até a rotação ou expiração natural do ciclo de backup, em regra de até 30 (trinta) dias, após o que são sobrescritos.

Esgotadas as finalidades e os prazos legais, os dados são eliminados ou anonimizados.

12.1. Exclusão de conta

Você pode solicitar a exclusão da sua conta diretamente na plataforma, na página de perfil ("Zona de Perigo"), com dupla confirmação. Ao confirmar, executamos um processo automatizado que remove seus dados pessoais de todas as tabelas e áreas de armazenamento de arquivos que contêm seus dados pessoais, além de excluir definitivamente (hard delete) sua conta de autenticação. A exclusão é irreversível. A mesma funcionalidade está disponível nos aplicativos nativos. Conforme detalhado na Seção 7.2, a remoção dos tokens da integração de Google Ads depende do uso prévio da função "Desconectar", recomendando-se desconectar essa integração antes de excluir a conta.

12.2. Canal de exclusão por e-mail (inclusive sem acesso à conta)

Caso você não consiga acessar a sua conta (por exemplo, por perda de credenciais), ou prefira não utilizar a exclusão self-service, você pode solicitar a exclusão dos seus dados enviando pedido para [email protected]. Após a confirmação da sua identidade, processaremos a exclusão no menor prazo possível e, em regra, em até 15 (quinze) dias, ressalvadas as hipóteses legais de conservação.

12.3. Desconexão de integrações

A desconexão de qualquer integração descarta os tokens de acesso correspondentes armazenados pela Bugee. No caso do Google Meu Negócio, a desconexão e a exclusão da conta também removem os dados espelhados do perfil. No caso do Google Ads, a remoção dos tokens depende especificamente da desconexão (ver Seção 7.2). Para revogar o acesso diretamente junto ao Google, utilize myaccount.google.com/permissions.

12.4. Contas inativas

Contas que permanecerem inativas por período prolongado poderão ser objeto de comunicação prévia e, persistindo a inatividade, de eliminação dos dados associados, ressalvadas as hipóteses legais de conservação. Avisaremos o titular, pelos contatos cadastrados, antes de proceder à eliminação por inatividade.

12.5. Ressalvas

Determinados dados podem ser retidos após a exclusão da conta quando necessário para cumprir obrigações legais (por exemplo, registros fiscais e de pagamento) ou para o exercício regular de direitos. Registros existentes em cópias de segurança (backups) podem persistir por período adicional até a sua rotação ou expiração.

13. Segurança da Informação

Adotamos medidas técnicas e administrativas para proteger os dados pessoais. Entre as medidas efetivamente implementadas, destacam-se:

  • Tráfego de dados criptografado sob HTTPS/TLS.
  • Isolamento por usuário via Row Level Security (RLS) no banco de dados, de modo que cada usuário só acessa os próprios dados.
  • Separação entre chaves de acesso públicas e chave de serviço (service_role), com operações administrativas e tokens de integração acessíveis apenas por esta última.
  • Criptografia no lado do cliente (AES-GCM) do conteúdo do cofre de senhas, antes do envio aos nossos servidores, de modo que a Bugee armazena apenas o conteúdo cifrado. As credenciais de contas de e-mail (IMAP/SMTP) são gravadas em campos específicos protegidos.
  • Hash (SHA-256) de códigos de verificação, de identificadores de visitante e dos dados de contato enviados via Conversions API da Meta.
  • Proteção contra CSRF nos fluxos OAuth, com estados de uso único e expiração.
  • Gestão de senhas pelo serviço de autenticação, sem armazenamento em texto puro pela Bugee, e tokenização de dados de cartão pelos processadores de pagamento.

Apesar de nossos esforços, nenhum sistema é totalmente imune a incidentes. Caso ocorra incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos os afetados e a ANPD nos termos da legislação.

14. Dados de Crianças e Adolescentes

A plataforma Bugee não se destina a menores de 18 anos e não coletamos intencionalmente dados pessoais de crianças e adolescentes, não havendo, em nosso cadastro, oferta de serviços direcionada a esse público. Caso eventual tratamento de dados de menor venha a ocorrer, será realizado em seu melhor interesse, nos termos do art. 14 da LGPD. Se você é responsável legal e identificar que um menor sob sua responsabilidade nos forneceu dados pessoais sem a devida autorização, entre em contato pelo e-mail [email protected] para que possamos adotar as providências cabíveis, inclusive a exclusão.

15. Alterações nesta Política e Versionamento

Esta Política pode ser atualizada periodicamente para refletir mudanças em nossos serviços, na legislação ou em nossas práticas de tratamento de dados. A versão e a data de "Última atualização" indicadas no topo deste documento identificam a vigência atual. Em caso de alterações materiais, adotaremos meios razoáveis para informá-lo, como aviso na plataforma ou comunicação por e-mail. Recomendamos a revisão periódica deste documento. O uso continuado dos serviços após a publicação de uma nova versão implica ciência das alterações.

16. Lei Aplicável, Foro e Contato

Esta Política é regida pelas leis da República Federativa do Brasil. Fica eleito o foro da Comarca de Belo Horizonte/MG para dirimir quaisquer controvérsias decorrentes deste documento, com renúncia a qualquer outro, por mais privilegiado que seja.

Para dúvidas, solicitações ou exercício de direitos relacionados a dados pessoais, entre em contato com o Encarregado (DPO):

  • E-mail: [email protected]
  • Telefone: (31) 99845-1800
  • Endereço: Rua Rio Grande do Norte, 1435, sala 708, Savassi, Belo Horizonte/MG, CEP 30130-138