Política de Privacidade - Virtual 360 ADS

1. Introdução

O Virtual 360 ADS ("nós", "nossa", "nossos") opera o site https://virtual360ads.com e a plataforma Virtual 360 ADS (o "Serviço").

Esta Política de Privacidade explica como coletamos, utilizamos, divulgamos e protegemos suas informações quando você utiliza nosso Serviço.

Ao acessar ou utilizar o Serviço, você concorda com esta Política de Privacidade. Se você discordar, por favor descontinue o uso.

Esta política se aplica a todos os usuários em todo o mundo, com disposições adicionais para regiões específicas detalhadas nas seções regionais abaixo.

2. Controlador de Dados

O Virtual 360 ADS é um produto da VIRTUAL RL ESPECIALIZADA LTDA, uma empresa registrada no Brasil sob CNPJ 52.197.772/0001-69. O Virtual 360 ADS faz parte do grupo Virtual 360 Zone (www.virtual360zone.com), com mais de 10 anos de experiência em projetos de marketing digital nacionais e internacionais.

Contato: contact@virtual360ads.com.
País de operação: Brasil.
Processamos dados globalmente e cumprimos as leis de proteção de dados aplicáveis em todas as regiões onde operamos.

3. Informações que Coletamos

3.1 Informações Fornecidas Diretamente por Você

Cadastro de conta: nome completo, endereço de email, senha (armazenada como hash bcrypt, nunca em texto puro).
Informações de perfil: detalhes comerciais opcionais que você escolher fornecer.
Informações de cobrança: o processamento de pagamentos é realizado integralmente pela Stripe Inc. Não armazenamos números de cartão de crédito, dados de conta bancária ou credenciais de pagamento completas. Armazenamos apenas IDs de cliente da Stripe e metadados do método de pagamento (bandeira do cartão e últimos 4 dígitos) para fins de exibição.
Gestão de equipe: nomes e endereços de email dos membros da equipe que você convidar.
Comunicações de suporte: conteúdo de emails e mensagens que você envia à nossa equipe de suporte.
KPIs personalizados e configurações de negócio: métricas e metas de marketing que você configura na plataforma.

3.2 Informações Coletadas Automaticamente

Dados de log: tipo de navegador, tipo de dispositivo, sistema operacional, URL de referência, páginas visitadas em nossa plataforma, marcas temporais.
Endereços IP: convertidos em hash usando SHA 256 com sal único antes do armazenamento (para funcionalidades de rastreamento de conversão). Não armazenamos endereços IP brutos.
Dados de cookies: cookies de sessão essenciais e, com seu consentimento, cookies de análise. Consulte nossa Política de Cookies para detalhes.
Informações do dispositivo: resolução de tela, configurações de idioma, fuso horário (coletadas via APIs padrão do navegador).

3.3 Informações de Integrações de Terceiros (Plataformas Conectadas via OAuth)

Quando você conecta plataformas de terceiros através de autorização OAuth (como Google Analytics, Google Ads, Google Search Console, YouTube Analytics, Google Business Profile, Meta Ads, Instagram, entre outras), acessamos dados dessas plataformas APENAS dentro dos escopos que você autoriza explicitamente.
Serviços de API do Google: Acessamos dados de usuário do Google por meio de escopos OAuth 2.0 autorizados. Os dados específicos acessados dependem de quais serviços do Google você conecta. Consulte a Seção 5 (Serviços de API do Google) e nossa página dedicada de Divulgação do Uso dos Serviços de API do Google para detalhes completos.
Dados da Plataforma Meta: Quando você conecta contas do Facebook ou Instagram, acessamos dados de campanhas publicitárias, insights de página e métricas de audiência conforme autorizado pelo fluxo OAuth da Meta.
Outras Plataformas: Cada integração de plataforma acessa apenas os dados necessários para exibir suas análises de marketing em nosso painel. Os escopos são documentados por plataforma nas suas configurações de integração.
Você pode desconectar qualquer plataforma a qualquer momento através de Configurações > Integrações, o que revoga nosso acesso aos dados daquela plataforma.

3.4 Informações do Processador de Pagamentos

A Stripe Inc. nos fornece: status da transação, status da assinatura, histórico de faturas e metadados do método de pagamento (bandeira do cartão, últimos 4 dígitos, mês/ano de expiração). O tratamento dos seus dados de pagamento pela Stripe é regido pela Política de Privacidade da Stripe.

4. Como Utilizamos Suas Informações

Fornecer, operar e manter o Serviço.
Processar pagamentos e gerenciar sua assinatura através da Stripe.
Exibir os dados de suas campanhas publicitárias e análises das plataformas conectadas em nosso painel.
Gerar insights e recomendações com IA usando a API Google Gemini (enviamos APENAS métricas agregadas de campanha para a API, nunca informações de identidade pessoal, nomes, emails ou dados brutos do usuário).
Enviar emails transacionais: códigos de verificação OTP, notificações de cobrança (confirmações de pagamento, pagamentos falhos, alterações de assinatura) e emails de recuperação de carrinho (caso você utilize o módulo de Carrinho Abandonado).
Enviar atualizações do produto e comunicações de marketing APENAS com seu consentimento explícito; você pode optar por sair a qualquer momento via Configurações > Preferências.
Detectar e prevenir fraude, abuso e incidentes de segurança.
Aprimorar e otimizar o desempenho de nossa plataforma e a experiência do usuário.
Cumprir obrigações legais (declarações fiscais, solicitações de autoridades policiais).

O que nunca fazemos: Não vendemos suas informações pessoais a qualquer terceiro. Não usamos suas informações pessoais para publicidade, retargeting ou publicidade baseada em interesses. Não usamos seus dados para determinar capacidade creditícia ou para fins de empréstimo.

5. Divulgação do Uso dos Serviços de API do Google

O uso e a transferência, pelo Virtual 360 ADS, de informações recebidas das APIs do Google a qualquer outro aplicativo obedecerão à Política de Dados de Usuário dos Serviços de API do Google, incluindo os requisitos de Uso Limitado.

Acessamos dados de usuário do Google APENAS para fornecer recursos visíveis ao usuário dentro da plataforma Virtual 360 ADS, especificamente: exibir seus relatórios do Google Analytics, dados do Google Search Console, desempenho de campanhas do Google Ads, análises de canal do YouTube e insights do Google Business Profile em um painel unificado.

Conformidade com Uso Limitado

Nosso uso dos dados de usuário do Google está limitado a fornecer ou aprimorar recursos visíveis ao usuário que são proeminentes na interface da nossa plataforma. Especificamente:

NÃO transferimos dados de usuário do Google a terceiros, a menos que seja necessário para fornecer ou aprimorar recursos visíveis ao usuário, como parte de uma fusão ou aquisição com consentimento do usuário, ou para conformidade legal e de segurança.
NÃO utilizamos dados de usuário do Google para veicular anúncios, incluindo retargeting, anúncios personalizados ou publicidade baseada em interesses.
NÃO permitimos que humanos leiam dados de usuário do Google, exceto: (a) com seu consentimento afirmativo, (b) quando necessário para fins de segurança, como investigação de abuso, (c) para cumprir lei aplicável ou (d) quando os dados estiverem agregados e anonimizados para operações internas.
NÃO utilizamos dados de usuário do Google para treinar modelos generalizados (não personalizados) de inteligência artificial ou aprendizado de máquina.
NÃO vendemos dados de usuário do Google.
NÃO utilizamos dados de usuário do Google para determinar capacidade creditícia ou para fins de empréstimo.

Dados Acessados por Serviço Google

Google Analytics (escopo: analytics.readonly): dados de tráfego do site, métricas de comportamento do usuário, dados demográficos da audiência, canais de aquisição, dados de conversão.
Google Search Console (escopo: webmasters.readonly): dados de desempenho de busca, impressões, cliques, posição média, erros de rastreamento, páginas indexadas.
YouTube Analytics (escopos: yt-analytics.readonly, youtube.readonly): estatísticas do canal, métricas de desempenho de vídeos, retenção de audiência, fontes de tráfego.
Google Business Profile (escopo: business.manage): informações da listagem comercial, avaliações, insights, dados de desempenho local.
Google Ads (escopo: adwords): desempenho de campanhas, métricas de grupos de anúncios, dados de palavras-chave, dados de custo e conversão.

Revogação de Acesso

Você pode desconectar qualquer serviço Google a qualquer momento por meio das suas configurações de Integração na plataforma. Isso revoga imediatamente nosso token OAuth e cessamos o acesso aos dados desse serviço. Você também pode revogar o acesso diretamente nas configurações de segurança da sua Conta Google.

Para detalhes completos, consulte nossa página dedicada de Divulgação do Uso dos Serviços de API do Google.

6. Uso de Dados da Plataforma Meta

Quando você conecta contas Meta (Facebook) ou Instagram, acessamos dados da plataforma conforme definido nos Termos da Plataforma da Meta.
Dados acessados: desempenho de campanhas publicitárias, insights da conta de anúncios, insights da página, métricas de audiência.
Processamos os Dados da Plataforma Meta exclusivamente para exibir suas análises publicitárias em nosso painel.
Não vendemos, alugamos ou compartilhamos Dados da Plataforma Meta com qualquer terceiro.
Não usamos Dados da Plataforma Meta para qualquer finalidade além do fornecimento dos recursos de análise solicitados.
Você pode desconectar integrações Meta a qualquer momento através das configurações de Integração.
Nossa política de privacidade é acessível aos rastreadores da Meta e não é bloqueada geograficamente.

7. Base Legal para o Processamento

Execução contratual: processamento necessário para fornecer os serviços contratados por você.
Interesse legítimo: aprimoramento dos nossos serviços, prevenção de fraude e garantia da segurança da plataforma (ponderado em relação aos seus direitos).
Consentimento: para comunicações de marketing, cookies não essenciais e conexão de integrações opcionais de terceiros.
Obrigação legal: cumprimento de exigências fiscais, contábeis e regulatórias.

8. Compartilhamento de Dados e Terceiros

Não vendemos, alugamos nem trocamos seus dados pessoais. Compartilhamos dados apenas nas seguintes circunstâncias:

Stripe Inc. (EUA): processamento de pagamentos. A Stripe é certificada PCI DSS Nível 1. Privacidade: https://stripe.com/privacy.
Google LLC (EUA): API Gemini para recursos do assistente de IA (recebe apenas métricas agregadas de campanha, sem identificadores pessoais) e OAuth para integrações de plataformas (apenas dados que você autoriza explicitamente via escopos OAuth).
Provedor de infraestrutura de hospedagem: para operação de servidores e armazenamento de dados.
Prestadores de serviço que auxiliam na operação da nossa plataforma, sob acordos rigorosos de processamento de dados.
Conformidade legal: caso seja exigido por lei, ordem judicial, intimação ou autoridade governamental.
Transferências de negócio: em conexão com fusão, aquisição ou venda de ativos, com aviso prévio a você.

Todos os prestadores de serviços terceirizados são contratualmente obrigados a proteger seus dados e a utilizá-los apenas para as finalidades que especificamos.

9. Transferências Internacionais de Dados

Seus dados podem ser transferidos e processados em países distintos do seu país de residência, incluindo Brasil (nosso país de operação) e Estados Unidos (onde nossos processadores terceirizados Stripe e Google operam).
Para transferências do Espaço Econômico Europeu (EEE): nos baseamos nas Cláusulas Contratuais Padrão (SCCs) aprovadas pela Comissão Europeia.
Para transferências do Brasil: cumprimos os requisitos da LGPD para transferências internacionais.
Google e Stripe mantêm seus próprios mecanismos de transferência internacional (Google: SCCs mais medidas suplementares; Stripe: SCCs mais Regras Corporativas Vinculantes).

10. Segurança dos Dados

Todas as senhas são criptografadas com hash usando bcrypt com fator de custo apropriado.
Tokens OAuth e dados sensíveis são criptografados em repouso usando AES 256 GCM.
Todos os dados são transmitidos exclusivamente sobre HTTPS/TLS.
A autenticação utiliza JWT com tokens de acesso de curta duração (em memória) e cookies de refresh token seguros e HTTP only.
Autenticação de dois fatores (2FA) via OTP por email está disponível para todas as contas.
Limitação de taxa (rate limiting) é aplicada em todos os endpoints de API para prevenir abuso.
Endereços IP do rastreamento de conversão são criptografados com hash SHA 256 mais um sal único antes do armazenamento.
Realizamos revisões de segurança regulares e aplicamos atualizações prontamente.
O acesso aos sistemas de produção é restrito apenas a pessoal autorizado.

11. Retenção de Dados

Dados da conta: retidos enquanto sua conta estiver ativa. Excluídos permanentemente mediante sua solicitação de exclusão de conta (Configurações > Danger Zone).
Registros de cobrança: retidos por 7 anos conforme exigido pelas regulamentações fiscais e contábeis aplicáveis.
Logs de auditoria: retidos por 2 anos para fins de segurança e conformidade.
Eventos de rastreamento de conversão: retidos por 90 dias e, em seguida, expurgados automaticamente.
Dados de carrinho abandonado: retidos por 30 dias e, em seguida, expirados automaticamente.
Códigos de verificação OTP: automaticamente removidos em até 1 hora após a expiração.
Tokens OAuth de integrações desconectadas: excluídos imediatamente após a desconexão.
Dados de usuário Google: quando você desconecta um serviço Google, excluímos os tokens OAuth associados imediatamente. Os dados de análise armazenados em cache derivados das APIs do Google são expurgados em até 24 horas após a desconexão.

12. Seus Direitos

Independentemente da sua localização, você tem o direito de:

Acessar seus dados pessoais que mantemos.
Corrigir dados imprecisos ou incompletos.
Excluir sua conta e todos os dados associados.
Exportar seus dados em formato portável.
Retirar consentimento para comunicações de marketing a qualquer momento.
Desconectar qualquer integração de terceiros (revogando nosso acesso aos dados).
Opor-se ao processamento baseado em interesse legítimo.

Para exercer qualquer direito, entre em contato pelo contact@virtual360ads.com ou utilize os recursos de autoatendimento nas configurações da sua conta. Respondemos a todas as solicitações em até 30 dias (ou em prazo menor, se exigido pela lei aplicável).

13. Cookies

Utilizamos cookies para funcionalidades essenciais da plataforma (gestão de sessão, autenticação, proteção CSRF).
Cookies não essenciais (análise, preferências) são ativados APENAS após seu consentimento explícito.
Para detalhes completos, categorias e opções de gerenciamento, consulte nossa Política de Cookies.

14. Privacidade de Menores

Nosso Serviço não é direcionado a indivíduos com menos de 16 anos (ou à idade mínima aplicável na sua jurisdição).
Não coletamos conscientemente dados pessoais de menores.
Caso descubramos que coletamos dados de uma criança, os excluiremos prontamente.
Nossa aplicação NÃO usa Google Sign In para crianças ou recursos direcionados a crianças.

15. Links de Terceiros

Nossa plataforma pode conter links para sites ou serviços de terceiros.
Não somos responsáveis pelas práticas de privacidade desses terceiros.
Recomendamos que você revise as políticas de privacidade deles antes de fornecer qualquer dado pessoal.

16. Alterações nesta Política

Podemos atualizar esta Política de Privacidade periodicamente para refletir mudanças em nossas práticas ou em requisitos legais.
Mudanças materiais serão comunicadas via notificação por email para seu endereço registrado e/ou aviso destacado na plataforma.
A data de "Última atualização" no topo desta página indica a revisão mais recente.
Seu uso continuado do Serviço após as mudanças constitui aceitação da política atualizada.
Recomendamos revisar esta página periodicamente.

17. Informações de Contato

VIRTUAL RL ESPECIALIZADA LTDA
CNPJ: 52.197.772/0001-69
Marca: Virtual 360 ADS
Contato: contact@virtual360ads.com
Site: https://virtual360ads.com
Tempo de resposta: dentro de 30 dias após o recebimento da sua solicitação.

A1. LGPD, Lei Geral de Proteção de Dados (Brasil) LGPD

Cumprimos a Lei Geral de Proteção de Dados do Brasil (Lei 13.709/2018) para todos os usuários localizados no Brasil.

Bases legais para o processamento sob a LGPD: consentimento (Art. 7º, I), execução contratual (Art. 7º, V), interesse legítimo (Art. 7º, IX), obrigação legal (Art. 7º, II).

Seus Direitos sob a LGPD (Art. 18)

Confirmação da existência de tratamento.
Acesso aos seus dados.
Correção de dados incompletos, imprecisos ou desatualizados.
Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos.
Portabilidade dos dados a outro fornecedor de serviço.
Eliminação dos dados pessoais tratados com seu consentimento.
Informação sobre entidades públicas e privadas com as quais compartilhamos dados.
Informação sobre a possibilidade de não fornecer consentimento e suas consequências.
Revogação do consentimento a qualquer momento.
Direito de petição perante a ANPD (Autoridade Nacional de Proteção de Dados).

Encarregado de Proteção de Dados (DPO): contact@virtual360ads.com (a designação do DPO será atualizada quando formalmente nomeado).

Você pode apresentar reclamação à ANPD em www.gov.br/anpd.

A2. CCPA / CPRA (Califórnia, Estados Unidos) CCPA

Esta seção se aplica aos residentes da Califórnia conforme definido pela CCPA (Cal. Civ. Code §1798.100 et seq.) e pelas alterações da CPRA.

Categorias de Informações Pessoais Coletadas

Identificadores: nome, email.
Informações comerciais: registros de cobrança e assinatura.
Atividade em rede de internet ou eletrônica: dados de log, cookies, navegação dentro da nossa plataforma.
Informações profissionais ou relacionadas a emprego: detalhes comerciais opcionais.

NÃO vendemos informações pessoais conforme definido pela CCPA. NÃO compartilhamos informações pessoais para publicidade comportamental cross context.

Seus Direitos sob a CCPA / CPRA

Direito de saber quais informações pessoais coletamos, utilizamos, divulgamos e vendemos.
Direito de excluir informações pessoais.
Direito de optar por sair da venda de informações pessoais (não aplicável, pois não vendemos).
Direito à não discriminação pelo exercício dos seus direitos.
Direito de corrigir informações pessoais imprecisas.
Direito de limitar o uso e a divulgação de informações pessoais sensíveis.

Para exercer seus direitos: envie email para contact@virtual360ads.com ou utilize o recurso de exclusão de conta em Configurações > Danger Zone.

Verificação: verificamos sua identidade por confirmação de email enviada ao seu endereço de email registrado.

Agentes autorizados: você pode designar um agente autorizado mediante permissão escrita assinada. Podemos exigir verificação tanto da autoridade do agente quanto da sua identidade.

Retenção: retemos informações pessoais conforme descrito na Seção 11 (Retenção de Dados).

A3. Outras Jurisdições da América Latina LATAM

Esforçamo-nos para cumprir as leis de proteção de dados em toda a América Latina, incluindo:

Argentina: Ley 25.326 de Proteccion de Datos Personales.
Colômbia: Ley 1581 de 2012 e Decreto 1377 de 2013.
México: Ley Federal de Proteccion de Datos Personales en Posesion de los Particulares (LFPDPPP).
Chile: Ley 19.628 sobre Proteccion de la Vida Privada.
Peru: Ley 29733, Ley de Proteccion de Datos Personales.

Princípios essenciais aplicados em todas as jurisdições: limitação de finalidade, minimização de dados, limitação de armazenamento, exatidão, segurança, transparência e responsabilidade.

E1. Conformidade com o GDPR, Regulamento Geral de Proteção de Dados GDPR

Cumprimos o Regulamento (UE) 2016/679 (GDPR) para usuários localizados no Espaço Econômico Europeu (EEE), no Reino Unido e na Suíça.

Controlador de Dados: VIRTUAL RL ESPECIALIZADA LTDA (CNPJ 52.197.772/0001-69), atuando sob a marca Virtual 360 ADS, contato contact@virtual360ads.com.
Representante na UE: a ser formalmente nomeado antes do lançamento no mercado da UE (será atualizado nesta política).

Bases Legais para o Processamento sob o GDPR

Art. 6(1)(a) Consentimento: comunicações de marketing, cookies não essenciais, integrações opcionais.
Art. 6(1)(b) Execução contratual: fornecimento dos serviços contratados.
Art. 6(1)(c) Obrigação legal: conformidade fiscal e regulatória.
Art. 6(1)(f) Interesse legítimo: segurança da plataforma, prevenção de fraude, melhoria do serviço.

E2. Seus Direitos sob o GDPR GDPR

Direito de acesso (Art. 15): obter confirmação e uma cópia dos seus dados pessoais.
Direito de retificação (Art. 16): corrigir dados imprecisos ou incompletos.
Direito ao apagamento (Art. 17): solicitar a exclusão dos seus dados pessoais ("direito ao esquecimento").
Direito à limitação do tratamento (Art. 18): solicitar a limitação do tratamento em circunstâncias específicas.
Direito à portabilidade dos dados (Art. 20): receber seus dados em formato estruturado e legível por máquina.
Direito de oposição (Art. 21): opor-se ao tratamento baseado em interesse legítimo ou para marketing direto.
Direito relacionado a decisões automatizadas (Art. 22): NÃO tomamos decisões automatizadas que produzam efeitos legais sobre você ou que o afetem de forma similarmente significativa.
Direito de retirar o consentimento (Art. 7(3)): retirar o consentimento a qualquer momento sem afetar a licitude do tratamento anterior.
Direito de apresentar reclamação (Art. 77): você pode apresentar reclamação à autoridade supervisora local.

E3. Transferências Internacionais a partir do EEE GDPR

Os dados são transferidos para o Brasil (nosso país de operação) e para servidores dos nossos subprocessadores nos Estados Unidos.
Mecanismos de transferência: Cláusulas Contratuais Padrão (SCCs) da UE conforme aprovadas pela Decisão 2021/914 da Comissão Europeia.
Salvaguardas dos subprocessadores: Google LLC e Stripe Inc. mantêm suas próprias SCCs e medidas suplementares para transferências de dados da UE.

E4. Avaliações de Impacto à Proteção de Dados GDPR

Realizamos Avaliações de Impacto à Proteção de Dados (DPIAs) para atividades de tratamento de alto risco, conforme exigido pelo Art. 35 do GDPR.
A funcionalidade do nosso pixel de rastreamento de conversão foi avaliada: os IPs dos visitantes são criptografados com hash SHA 256 mais sal, tornando a identificação direta impossível sem dados adicionais mantidos separadamente.

E5. Subprocessadores GDPR

Utilizamos os seguintes subprocessadores:

Stripe Inc. (Estados Unidos): processamento de pagamentos, certificada PCI DSS Nível 1.
Google LLC (Estados Unidos): API Gemini de IA (apenas dados agregados), integrações OAuth (acesso por escopo).
Provedor de hospedagem (Estados Unidos / Brasil): infraestrutura de servidores e armazenamento de dados.

Notificaremos você sobre quaisquer alterações materiais à nossa lista de subprocessadores via email ou notificação na plataforma.