PISTA

Documento legal

Política de Privacidade

Última atualização: 7 de maio de 2026 · Vigente

Esta Política de Privacidade descreve como o sistema PISTA — Centro de Comando (operado por Red Lion Company) coleta, utiliza, armazena e compartilha informações no contexto da gestão de tráfego pago (Meta Ads) das marcas Prime Veículos PG, GoO Elétricos PG e Start Mobilidade Santos, todas situadas na Baixada Santista/SP.

Esta política está em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD — Lei 13.709/2018), com os Termos de Plataforma do Meta (Meta Platform Terms) e com as Políticas de Uso de Dados da OpenAI.

1. Quem somos

O PISTA é um sistema interno de gestão de campanhas publicitárias operado por:

  • Razão social/operador: Red Lion Company
  • Responsável pelo tratamento: Enio Macedo
  • E-mail de contato (DPO): contato@redlioncompany.com
  • Endereço: Baixada Santista — SP, Brasil

Para fins desta Política, o PISTA atua como Operador de Dados dos clientes (Prime Veículos PG, GoO Elétricos PG e Start Mobilidade Santos), que são os Controladores dos dados de seus respectivos públicos-alvo.

2. Dados que coletamos

O PISTA coleta e processa as seguintes categorias de dados:

2.1 — Dados do gestor (você)

  • Senha de acesso (armazenada como hash HMAC, nunca em texto puro)
  • Cookie de sessão autenticado (válido por 30 dias)
  • Endereço IP e user-agent dos acessos (logs de servidor)

2.2 — Dados de campanhas Meta Ads

Acessamos via Graph API do Meta (com autorização explícita via System User Token de cada Business Manager):

  • IDs e nomes de contas de anúncio, campanhas, ad sets e ads
  • Métricas de performance (gasto, impressões, cliques, conversões, frequência, CTR, CPC, CPM)
  • Conteúdo de criativos (textos, headlines, mídias, imagem hashes, vídeo IDs)
  • Configurações de targeting (geografia, idade, gênero, interesses, custom audiences)
  • Status de campanhas e adsets (ATIVA, PAUSADA, ARQUIVADA)

Não coletamos dados pessoais identificáveis do público-alvo dessas campanhas (nomes, telefones, e-mails de leads). Esses dados permanecem exclusivamente no Ads Manager do Meta sob responsabilidade dos Controladores.

2.3 — Mídias enviadas pelo gestor

Quando você faz upload de imagens ou vídeos (criativos publicitários):

  • O arquivo é encaminhado diretamente ao Meta (endpoints /adimages e /advideos) e não é armazenado no servidor PISTA
  • Para vídeos: o áudio é enviado à OpenAI Whisper para transcrição automática (em português)
  • A transcrição resultante é processada pelo OpenAI GPT-4o para sugerir copy publicitário
  • Tanto a transcrição quanto a sugestão são exibidas apenas na sua sessão e não são persistidas em banco de dados

2.4 — Cookies

Usamos um único cookie estritamente necessário: gestor-auth (HttpOnly, SameSite=Lax, válido 30 dias) — não rastreia comportamento, é apenas para autenticação. Não usamos Google Analytics, Meta Pixel ou trackers de terceiros nesta interface administrativa.

3. Finalidades do tratamento

Tratamos os dados acima com as seguintes finalidades, conforme art. 7º, V, VI e IX da LGPD:

  • Execução de contrato — gestão de tráfego pago dos Controladores
  • Legítimo interesse — análise de performance, otimização de campanhas, automatização (cron auto-pause)
  • Consentimento — geração assistida de copy via IA (você opta a cada upload de vídeo)
  • Cumprimento de obrigação legal — guarda de logs por 6 meses (Marco Civil da Internet, art. 15)

Não realizamos perfilamento, scoring de crédito, decisões automatizadas que afetem direitos de pessoas naturais, nem comercializamos qualquer dado.

4. Compartilhamento de dados

O PISTA compartilha dados estritamente com os seguintes operadores (subprocessadores):

  • Meta Platforms, Inc. — quando você sobe um criativo ou cria uma campanha, os dados vão diretamente para os endpoints da Graph API. Vide Política de Privacidade do Meta.
  • OpenAI, L.L.C. — vídeos enviados para transcrição. A OpenAI não usa os dados de uso da API para treinar modelos por padrão (vide API Data Usage Policies).
  • Hostinger (VPS) — a infraestrutura roda em servidor da Hostinger no Brasil. Vide Política da Hostinger.

Não compartilhamos dados com nenhum outro terceiro, parceiro comercial ou rede de anúncios. Não vendemos dados em hipótese alguma.

5. Transferência internacional

Por necessidade técnica de uso das APIs Meta e OpenAI, parte dos dados pode ser transferida para servidores nos Estados Unidos. Essas transferências são amparadas por:

  • Cláusulas contratuais padrão (Standard Contractual Clauses) dos respectivos provedores
  • Certificações Privacy Shield onde aplicável
  • Art. 33, IX da LGPD (execução de contrato)

6. Retenção de dados

DadoRetenção
Cookie de sessão30 dias
Logs de acesso (IP/UA)6 meses (Marco Civil)
Tokens API (Meta/OpenAI) em .envAté revogação manual
Métricas Meta (cache em memória)60 segundos
Mídias (não são armazenadas)0 — retransmitidas direto ao Meta/OpenAI

7. Direitos do titular (LGPD art. 18)

Você, enquanto titular de dados pessoais, tem direito a:

  • Confirmação da existência de tratamento
  • Acesso aos dados
  • Correção de dados incompletos, inexatos ou desatualizados
  • Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos
  • Portabilidade dos dados
  • Eliminação dos dados tratados com base em consentimento
  • Informação sobre entidades com as quais compartilhamos dados
  • Revogação do consentimento

Para exercer qualquer um desses direitos, envie e-mail a contato@redlioncompany.com. Responderemos em até 15 dias corridos.

8. Segurança

Adotamos medidas técnicas e organizacionais para proteger os dados:

  • Comunicação criptografada (HTTPS/TLS 1.3) em todas as transações
  • Autenticação por senha + cookie HMAC com timing-safe compare
  • Tokens API armazenados apenas em variáveis de ambiente do servidor (nunca expostos ao cliente)
  • Princípio do menor privilégio — System User com escopos restritos
  • Logs de servidor centralizados com retenção limitada
  • Atualização contínua de dependências (Node 22, Next.js 16)

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, comunicaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados em prazo razoável (LGPD art. 48).

9. Crianças e adolescentes

O PISTA é uma ferramenta administrativa B2B destinada exclusivamente a gestores de tráfego pago maiores de 18 anos. Não coletamos intencionalmente dados de menores de 18 anos. As campanhas publicitárias gerenciadas seguem as Diretrizes da Comunidade do Meta, que restringem público mínimo a 18+ ou 13+ conforme categoria.

10. Compliance com Meta Platform Terms

Ao usar dados da Graph API do Meta, comprometemo-nos a:

  • Não usar dados de plataforma para discriminação injustificada (Meta Platform Terms §3.b)
  • Não combinar dados com fontes externas sem autorização do usuário (§3.c)
  • Excluir dados imediatamente após cessar uso autorizado (§3.d)
  • Manter segurança técnica adequada e relatar incidentes ao Meta (§3.e)
  • Não vender, licenciar ou compra dados de plataforma (§3.f)

11. Alterações desta política

Podemos atualizar esta Política de Privacidade periodicamente para refletir mudanças legais, técnicas ou operacionais. A versão vigente é sempre a publicada nesta URL com a data de atualização no topo. Mudanças materiais serão comunicadas com 30 dias de antecedência aos usuários ativos.

12. Contato

Para qualquer dúvida, solicitação ou denúncia relativa a esta política, entre em contato:

Você também pode formalizar reclamação junto à Autoridade Nacional de Proteção de Dados (ANPD) em www.gov.br/anpd.