Política de privacidade.

Domina Influência é uma plataforma SaaS brasileira operada pela Domina Tecnologia e Educação LTDA (CNPJ 67.498.189/0001-65), com sede na Rua Butantã, 468, Pinheiros, São Paulo/SP, CEP 05.424-000. Para fins desta política, chamamos a Domina Tecnologia e Educação de "plataforma" ou "controlador".

De todos os usuários:

• Nome e e-mail (identificação básica).
• Senha (armazenada como hash criptográfico — não a vemos).
• IP e user-agent (logs de acesso pra segurança).
• Data e hora de login (audit log).

De Marcas:

• CNPJ, razão social, endereço (emissão de NF).
• Logo, descrição, redes sociais (perfil público).
• Dados de pagamento (via Pagar.me — não armazenamos cartão).

De Creators:

• CPF (criptografado em repouso AES-256-GCM, usado pra emissão de DARF e validação fiscal).
• Chave PIX (criptografada em repouso, usada exclusivamente pra pagamento).
• Endereço (opcional, pra emissão de DARF).
• Tokens OAuth de redes sociais (criptografados em repouso, usados pra ler métricas oficiais).
• Métricas das contas conectadas (followers, engagement etc).

• Execução de contrato (art. 7º, V): dados necessários pra prestar o serviço (cadastro, pagamento, emissão de NF).
• Cumprimento de obrigação legal (art. 7º, II): CPF/CNPJ pra fins fiscais e antifraude.
• Legítimo interesse (art. 7º, IX): logs de acesso pra segurança e prevenção de fraude.
• Consentimento (art. 7º, I): cookies analíticos (PostHog) — opcional, pode ser revogado.

• Operação da plataforma: gerenciar conta, processar pagamentos, emitir NF, exibir mídia kit/landing.
• Comunicação: e-mail transacional sobre campanhas, candidaturas, pagamentos, atualizações de termos.
• Segurança: detecção de fraude, brute-force, violação de termos.
• Analytics agregado: métricas de produto pra melhorar a plataforma — sempre anonimizado.

Compartilhamos dados estritamente necessários com operadores que processam dados em nosso nome:

• Pagar.me — processamento de pagamentos PIX e splits.
• Notazz — emissão de NFs eletrônicas.
• Cloudflare R2 — storage de arquivos (logos, screenshots).
• Resend — envio de e-mails transacionais.
• Sentry / Better Stack / PostHog — monitoramento e analytics. Configurações de PII desabilitadas quando aplicável.

Não vendemos seus dados. Em hipótese alguma compartilhamos com corretores de dados ou listas de marketing externas.

Quando você conecta sua conta de Instagram, TikTok ou YouTube ao Domina Influência, lemos um conjunto limitado de dados do seu perfil para popular automaticamente seu mídia kit — a página pública visualizada por marcas durante seleção de talentos para campanhas.

Instagram (Meta Platforms):

• Escopos solicitados: instagram_business_basic, instagram_business_manage_insights.
• Dados lidos: username, display name, foto de perfil, bio, contagem de seguidores, contagem de pessoas seguidas, contagem de mídias, métricas de engajamento dos últimos posts.
• Pré-requisito: conta Instagram Business ou Creator. Conexão é feita diretamente via Instagram Login (não requer Facebook Page vinculada).

TikTok:

• Escopos solicitados: user.info.basic, user.info.profile, user.info.stats, video.list.
• Dados lidos: username, display name, avatar, bio, contagem de seguidores, contagem total de curtidas, contagem de vídeos, lista de vídeos públicos recentes.

YouTube (Google):

• Escopo solicitado: https://www.googleapis.com/auth/youtube.readonly.
• Dados lidos: nome do canal, descrição, foto, contagem de inscritos, contagem de vídeos, lista de vídeos públicos recentes.

O que NÃO fazemos:

• Não publicamos conteúdo em seu nome.
• Não lemos mensagens diretas.
• Não rastreamos sua audiência ou outros perfis.
• Não compartilhamos dados das plataformas com terceiros (à exceção dos operadores listados na Seção 5).

Como você revoga:

• No Domina: /creator/redes-sociais → botão "Desconectar" no card de cada rede.
• Diretamente nas plataformas:
  • Meta: accountscenter.facebook.com
  • TikTok: Configurações → Privacidade → Aplicativos conectados.
  • Google: myaccount.google.com/permissions.

Ao revogar, o token OAuth é apagado do nosso banco e métricas históricas são anonimizadas em até 30 dias.

Cumprimos os termos das plataformas: Meta Platform Terms, TikTok Developer Terms of Service e Google API Services User Data Policy — incluindo o requisito de uso limitado ("Limited Use") para dados do Google.

• Conta ativa: dados mantidos enquanto a conta existir.
• Conta excluída: dados anonimizados em até 30 dias, exceto:
• Dados fiscais (NF, transações, CPF/CNPJ): retidos por 5 anos conforme legislação tributária.
• Logs de auditoria: retidos por 2 anos pra fins de compliance e segurança.

Você pode, a qualquer momento, solicitar:

• Confirmação de existência de tratamento dos seus dados.
• Acesso aos dados que temos sobre você.
• Correção de dados incompletos ou inexatos.
• Anonimização ou exclusão de dados não essenciais à operação.
• Portabilidade pra outro serviço (export JSON/CSV).
• Revogação de consentimento (cookies analíticos).

Solicitações: e-mail lgpd@dominainfluencia.com.br ou em /lgpd. Respondemos em até 15 dias úteis.

• Senhas armazenadas como hash bcrypt (irreversível).
• Dados sensíveis (CPF, PIX, OAuth tokens) criptografados em repouso (AES-256-GCM).
• Comunicação criptografada em trânsito (TLS 1.2+).
• Audit log de acesso a dados sensíveis (admins).
• Backups diários com retenção de 30 dias.

Usamos cookies pra:

• Sessão: manter login (essencial, não pode ser desabilitado).
• Tema: lembrar preferência light/dark (essencial pra UX).
• Analytics (PostHog): entender como o produto é usado — pode ser desabilitado.

Quando uma Marca conecta sua loja de e-commerce ao Domina Influência, atuamos como operador de dados da Marca (que é o controlador dos dados de clientes finais dela). Lemos um conjunto limitado de dados via API oficial da plataforma para automatizar convites de UGC pós-compra.

Shopify (Shopify Inc.):

• Escopos solicitados (read-only): read_orders, read_fulfillments, read_products, read_customers. Nunca pedimos escopos de escrita ou exclusão.
• Dados de pedido lidos: ID externo do pedido, valor total, moeda, status (pago, enviado, entregue, cancelado, reembolsado), line items (produto, SKU, quantidade), timestamps de cada estágio.
• Dados do cliente final lidos: e-mail, nome, telefone (quando disponível no checkout). Usados exclusivamente pra disparar convite de UGC pós-compra autorizado pela Marca.
• Dados de produto lidos: ID, título, imagens, variantes. Usados pra alimentar o widget de syndication na PDP da loja.
• Dados da loja: domínio (loja.myshopify.com), ID da shop, nome, fuso horário. Usados pra autenticação e logs.

Webhooks de compliance obrigatórios (GDPR/LGPD):

• customers/data_request — quando um cliente final solicita acesso aos próprios dados, registramos a requisição e atendemos manualmente em até 30 dias via lgpd@dominainfluencia.com.br.
• customers/redact — quando um cliente final solicita exclusão dos próprios dados, apagamos todos os pedidos (e dados associados) daquele e-mail na loja correspondente. Conteúdo produzido por creators (UGC publicado) não é afetado, pois pertence ao creator, não ao customer.
• shop/redact — 48 horas após a Marca desinstalar o app, apagamos integralmente os dados da loja (pedidos, line items, tokens, configurações de webhook). Conteúdo UGC aprovado e publicado pela Marca em campanhas anteriores é preservado pois pertence à relação Marca↔Creator, não à integração da loja.

Outras proteções específicas da integração:

• Tokens de acesso (long-lived) criptografados em repouso (AES-256-GCM).
• Webhook secret criptografado em repouso. Validação HMAC SHA-256 timing-safe em 100% dos eventos recebidos.
• Ao desinstalar (app/uninstalled), apagamos o access token imediatamente e marcamos a loja como desconectada.
• Marca afirma explicitamente, no momento da conexão, ter base legal pra contato pós-compra com seus clientes (consentimento, execução de contrato ou legítimo interesse). Sem afirmação, não enviamos convite UGC.

Nuvemshop e VTEX:

Quando essas integrações forem habilitadas, aplicaremos os mesmos princípios (escopo mínimo read-only, criptografia de tokens, validação HMAC de webhooks, respeito aos pedidos de redact do titular). Esta política será atualizada com os escopos específicos de cada plataforma.

Nosso encarregado pelo tratamento de dados pessoais é alcançável em lgpd@dominainfluencia.com.br. Para atualizações, consulte sempre esta página.