Política de Privacidade
Última atualização: 28 de abril de 2026 · Vigente a partir da mesma data
Tokens criptografados
AES-256-GCM em repouso
Sem acesso a senhas
Nunca pedimos sua senha das redes
Direito de exclusão
Deletamos tudo em até 30 dias
1. Quem somos
O Dropflow é uma plataforma de gestão de conteúdo para redes sociais voltada a artistas musicais e suas equipes. O responsável pelo tratamento dos seus dados é a Dropflow Tecnologia Ltda., com sede no Brasil. Para fins de GDPR, atuamos como controlador de dados.
2. O que coletamos
- Nome e e-mail: fornecidos no cadastro para autenticação e comunicação.
- Tokens OAuth: gerados pelas plataformas sociais (Instagram, TikTok, YouTube, etc.) após sua autorização explícita. Esses tokens permitem que o Dropflow publique conteúdo em seu nome. Nunca coletamos sua senha das redes sociais.
- Conteúdo criado: textos, imagens e vídeos que você cria ou agenda pelo Dropflow.
- Dados de uso: páginas acessadas, ações realizadas e erros — usados exclusivamente para melhorar o produto (via Sentry, sem identificação pessoal além do e-mail).
- Endereço IP e dispositivo: registrados em eventos de login para detecção de acessos suspeitos.
3. O que NÃO coletamos
- Sua senha das redes sociais — usamos exclusivamente OAuth.
- Dados bancários ou de cartão de crédito — pagamentos são processados pelo Stripe, que tem sua própria política.
- Mensagens privadas das suas redes sociais.
- Dados biométricos ou de localização precisa.
- Informações de saúde ou dados sensíveis por natureza (LGPD, art. 11).
4. Como protegemos seus dados
- Criptografia em repouso: Tokens OAuth são criptografados com AES-256-GCM antes de serem salvos no banco de dados. A chave de criptografia é armazenada separadamente nas variáveis de ambiente.
- Criptografia em trânsito: Toda comunicação usa TLS 1.3.
- Isolamento por tenant: Row-Level Security (RLS) no Supabase garante que cada workspace veja apenas seus próprios dados, mesmo no banco compartilhado.
- Acesso mínimo: Apenas membros da equipe autorizados têm acesso aos sistemas de produção, com auditoria de acesso habilitada.
- Monitoramento de erros: O Sentry captura erros de software sem incluir tokens ou conteúdo de usuário nos relatórios.
5. Compartilhamento com terceiros
Não vendemos seus dados. Compartilhamos apenas com provedores essenciais ao funcionamento do serviço, todos com acordos de processamento de dados adequados:
| Provedor | Finalidade | Dados compartilhados |
|---|---|---|
| Supabase | Banco de dados e autenticação | Todos os dados da conta |
| Vercel | Hospedagem e CDN | Logs de acesso e IP |
| Stripe | Processamento de pagamentos | E-mail, nome, dados de cobrança |
| Resend | Envio de e-mails transacionais | E-mail e nome |
| Sentry | Monitoramento de erros | Logs de erro (sem tokens) |
6. Retenção de dados
Mantemos seus dados enquanto sua conta estiver ativa. Após o cancelamento, excluímos todos os dados pessoais em até 30 dias, exceto quando a lei exigir retenção por prazo maior (ex: dados fiscais por 5 anos). Tokens OAuth são revogados imediatamente ao desconectar uma plataforma.
7. Seus direitos — LGPD (Lei nº 13.709/2018)
Como titular de dados pessoais, você tem direito a:
- Acesso: Saber quais dados temos sobre você.
- Correção: Corrigir dados incorretos ou desatualizados.
- Exclusão: Solicitar a exclusão dos seus dados pessoais.
- Portabilidade: Receber seus dados em formato estruturado.
- Revogação de consentimento: Revogar o acesso a qualquer rede social a qualquer momento pela página /connections.
- Oposição: Opor-se a tratamentos com base em legítimo interesse.
Para exercer esses direitos, envie um e-mail para privacidade@dropflow.app com o assunto "Direitos LGPD" e responderemos em até 15 dias úteis.
8. Usuários fora do Brasil — GDPR
Se você está localizado no Espaço Econômico Europeu (EEE), os seguintes direitos adicionais se aplicam sob o Regulamento Geral de Proteção de Dados (GDPR):
- Direito ao esquecimento (apagamento completo).
- Direito de apresentar reclamação à autoridade de proteção de dados do seu país.
- Direito de contestar decisões automatizadas.
A base legal para o tratamento de dados é a execução do contrato (GDPR, art. 6(1)(b)) e o consentimento explícito para tokens OAuth (art. 6(1)(a)).
9. Cookies
Usamos apenas cookies essenciais para autenticação e manutenção de sessão (httpOnly, SameSite=Lax). Não usamos cookies de rastreamento, publicidade ou analytics de terceiros.
10. Alterações a esta política
Publicaremos qualquer alteração significativa nesta página com pelo menos 15 dias de antecedência e enviaremos um aviso por e-mail. O uso continuado do Dropflow após a data de vigência constitui aceite das novas condições.
11. Contato — Encarregado de Dados (DPO)
Respondemos em até 15 dias úteis.