Política de Privacidade

Vicine Criativa(CNPJ 51.681.276/0001-13) ("Vicine", "nós") opera a plataforma Vicine CRM (a "Plataforma"), disponível em https://crm.vicine.com.br. Cada cliente acessa seu próprio espaço de trabalho (workspace) dentro da Plataforma.

Esta política descreve quais dados pessoais coletamos, com qual finalidade, com quem compartilhamos e quais são seus direitos como titular, em conformidade com a LGPD (Lei Geral de Proteção de Dados — Lei 13.709/2018), o GDPR (quando aplicável) e as exigências das plataformas Meta (Facebook, Instagram, WhatsApp) e Google.

2.1 Dados de usuários do CRM

• Nome, e-mail e foto de perfil (autenticação via Supabase)
• Logs de sessão (IP, user-agent, timestamps) para fins de segurança e auditoria
• Configurações de workspace, preferências, papéis

2.2 Dados de leads/clientes finais

Quando o titular do workspace conecta integrações com Meta (Facebook, Instagram, WhatsApp), Google ou outras plataformas, a Vicine CRM passa a receber e armazenar os seguintes dados relativos a contatos/leads do titular:

• Nome, telefone, e-mail, username Instagram, PSID Facebook Messenger
• Conteúdo de mensagens trocadas (WhatsApp, Instagram DM, Messenger), comentários em posts
• Mídia compartilhada (imagens, áudios, vídeos) via URL ou armazenamento em Supabase Storage
• Dados de atribuição: UTM source/medium/campaign, fbclid, gclid, ttclid, página de origem, referrer
• Dados de formulários de briefing preenchidos voluntariamente
• Dados de agendamentos (data, hora, e-mail, notas)
• Tags, lead score, classificação de canal

2.3 Dados das integrações com APIs

• Tokens de acesso de plataformas (Meta, Google) — sempre armazenados criptografados em AES-256 com chave única por instância (pgcrypto)
• Metadados de contas conectadas (nome da página, ID, escopo de permissões)
• Métricas, insights e gerenciamento de campanhas de anúncios (incluindo pausar e ativar campanhas) via API de Marketing da Meta, quando autorizado pelo titular
• Dados de formulários de cadastro de anúncios (Lead Ads) do Facebook e Instagram
• Catálogos de produtos sincronizados via API de Catálogo Meta

• Atendimento: exibir mensagens recebidas no inbox unificado, permitir resposta humana ou por IA
• CRM: organizar contatos em pipeline, aplicar tags, calcular lead score
• Marketing: agendar e publicar posts, enviar broadcasts, gerenciar comentários
• Atribuição: rastrear origem de leads e eventos de conversão server-side (Vicine Tracker)
• IA: processar mensagens via OpenAI/modelo configurado pelo workspace para gerar respostas automáticas, classificar sentimento, sugerir ações
• Segurança: detectar abuso, prevenir fraude, auditar acesso

Não vendemos, alugamos ou licenciamos dados pessoais. Compartilhamos dados apenas com processadores estritamente necessários à operação:

• Supabase Inc. (hospedagem do banco PostgreSQL, Auth e Storage) — região São Paulo (sa-east-1)
• Vercel Inc. (hospedagem da aplicação Next.js) — edge global com cache regional
• OpenAI / Anthropic / Google (somente quando ativado pelo workspace, conforme escolha do modelo de IA) — processamento de mensagens em conversas, sem treino sobre os dados (opt-out via configuração de API)
• Meta Platforms Inc. (envio de respostas via WhatsApp/Instagram/Messenger e leitura de webhooks)
• Google LLC (envio de conversões para Google Ads e GA4 via Tracker, sempre com hash SHA-256 dos identifiers)
• Stripe Inc. (processamento de pagamentos — quando aplicável)
• Resend (envio de e-mails transacionais)

Todos os processadores possuem cláusulas contratuais que garantem o mesmo nível de proteção de dados desta política.

• Mensagens, conversas e contatos: enquanto o workspace estiver ativo + 90 dias após o cancelamento
• Briefings preenchidos: enquanto o workspace estiver ativo
• Logs de auditoria: 12 meses
• Mídia em Supabase Storage: respeitando os mesmos prazos acima
• Backups: até 30 dias após exclusão dos dados principais

Como titular dos dados, você tem direito a:

• Confirmação da existência de tratamento
• Acesso aos dados
• Correção de dados incompletos, inexatos ou desatualizados
• Anonimização, bloqueio ou eliminação de dados desnecessários
• Portabilidade dos dados
• Eliminação dos dados pessoais tratados com seu consentimento
• Informação sobre as entidades com as quais compartilhamos
• Revogação do consentimento

Para exercer qualquer direito, envie um e-mail para contato@vicine.com.br com o assunto "LGPD — Solicitação de titular". Respondemos em até 15 dias úteis.

Em conformidade com a Plataforma Meta, oferecemos endpoint de callback para exclusão de dados que pode ser acionado diretamente pelo Facebook quando um usuário remove o app/integração:

POST https://crm.vicine.com.br/api/meta/data-deletion

Você também pode solicitar a exclusão de seus dados a qualquer momento pelo e-mail acima. A exclusão é processada em até 30 dias e abrange dados primários e backups.

• HTTPS obrigatório em todas as URLs públicas e webhooks
• Tokens de integrações armazenados criptografados em AES-256
• Row Level Security (RLS) em todas as tabelas, isolando dados por workspace
• Verificação de assinatura HMAC-SHA256 em todos os webhooks Meta
• Acesso ao banco restrito a IPs autorizados e tokens com escopo mínimo
• Logs de auditoria de operações sensíveis (criação/exclusão de integrações, alterações de workspace)

Usamos apenas cookies estritamente necessários para autenticação (sessão Supabase Auth) e funcionamento da plataforma. Não utilizamos cookies de rastreamento de terceiros nem analytics dentro da plataforma.

A Plataforma é destinada exclusivamente a uso profissional. Não coletamos intencionalmente dados de menores de 18 anos. Se você é responsável por menor e identificou coleta indevida, contate-nos imediatamente para exclusão.

Podemos atualizar esta política periodicamente. Mudanças materiais serão comunicadas por e-mail aos administradores de workspace com no mínimo 15 dias de antecedência.

Encarregado de Dados (DPO): Vicine Criativa (CNPJ 51.681.276/0001-13)
E-mail: contato@vicine.com.br
Site institucional: https://vicine.com.br