Política de Privacidade

01

Quem somos e como esta política se aplica

A Hoop Inteligência em Marketing Ltda., CNPJ nº 66.928.678/0001-47 ("Hoop", "nós", "nosso"), opera a plataforma SaaS disponível em hoopai.com.br, uma solução de otimização de campanhas Meta Ads com inteligência artificial voltada a gestores de tráfego e empresas.

Esta Política de Privacidade descreve como coletamos, tratamos, armazenamos e protegemos os dados pessoais de nossos usuários ("você"), em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD) e com os Termos de Plataforma da Meta.

Ao criar uma conta ou usar a plataforma, você declara ter lido e aceita esta política. Se não concordar, não utilize a plataforma.

02

Quais dados coletamos

Coletamos apenas os dados estritamente necessários para fornecer o serviço. Abaixo estão as categorias e a origem de cada dado:

Categoria	Dados	Origem
Dados de conta	Nome, endereço de e-mail, senha (hash bcrypt — nunca armazenamos a senha em texto plano)	Fornecidos por você no cadastro
Tokens de acesso Meta	Access token e refresh token OAuth 2.0 do Meta Business Manager e da conta de anúncios	Gerados pelo fluxo OAuth Meta, armazenados com criptografia AES-256
Dados de campanhas	Spend, impressões, cliques, CTR, CPC, CPM, ROAS, conversões, orçamento diário/vitalício, status, nome e ID de campanhas, conjuntos e anúncios	Meta Marketing API v20.0 (Graph API), mediante autorização OAuth
Eventos server-side	Eventos de conversão enviados ao pixel Meta via CAPI (ex.: Purchase, Lead) com dados hasheados (SHA-256) conforme exigido pela Meta	Meta Conversions API (CAPI)
Logs de otimização	Histórico de recomendações geradas, ações de orçamento aplicadas (com timestamp e confirmação do usuário), desfazimentos	Gerados internamente pela plataforma
Dados de uso	Páginas acessadas, funcionalidades utilizadas, timestamps, endereço IP, identificadores de sessão	Coletados automaticamente pela infraestrutura
Dados de workspace	Nome do workspace, configurações de multi-tenant, membros associados (apenas e-mail)	Fornecidos por você durante o onboarding

Nunca coletamos dados bancários, de cartão de crédito ou qualquer dado sensível listado no art. 11 da LGPD. O processamento de pagamentos é realizado diretamente pelo nosso provedor (Stripe), que opera com conformidade PCI-DSS.

03

Como usamos os dados

Os dados são tratados com as seguintes finalidades, todas com base nas hipóteses legais da LGPD (art. 7º):

Execução do contrato (art. 7º, V): prover o serviço de otimização — autenticar, buscar dados de campanhas, gerar predições e permitir a aplicação de mudanças de orçamento.
Execução do contrato: processar pagamentos de assinatura via parceiro (Stripe).
Melhoria do serviço (legítimo interesse — art. 7º, IX): utilizamos dados de uso e dados de campanhas anonimizados (conforme art. 5º, III da LGPD — dados que não permitem identificação do titular por meios razoáveis) para aprimorar os modelos preditivos e melhorar a experiência da plataforma. Essa finalidade é sustentada por avaliação de proporcionalidade e necessidade (balancing test): o benefício para o desenvolvimento do serviço e para o conjunto dos usuários é considerado proporcional ao impacto mínimo sobre a privacidade individual, dado que os dados são verdadeiramente anonimizados antes de qualquer uso para esse fim. Por serem dados anonimizados, deixam de ser dados pessoais e seu uso não requer base legal da LGPD; ainda assim, informamos essa finalidade em respeito à transparência. Você pode opor-se a esse uso a qualquer momento, enviando e-mail para contato@hoopai.com.br com o assunto "Oposição — melhoria do serviço". Não utilizamos dados pessoais identificáveis para treinamento de modelos.
Legítimo interesse (art. 7º, IX): monitorar e corrigir erros da plataforma (logs de aplicação, Sentry). Essa finalidade é proporcional ao interesse legítimo da Hoop em manter a estabilidade e segurança do serviço, com impacto mínimo sobre a privacidade dado o caráter técnico e minimizado dos dados de log. Você pode igualmente opor-se a esse tratamento específico conforme descrito acima.
Consentimento (art. 7º, I): enviar comunicações de marketing (newsletter, novidades do produto). Você pode cancelar a qualquer momento via link de unsubscribe.
Cumprimento de obrigação legal (art. 7º, II): atender requisições de autoridades regulatórias quando legalmente exigido.

A normalização de valores monetários em campanhas que utilizam moedas distintas do BRL é feita com cotações públicas obtidas via API do Banco Central do Brasil (BCB/PTAX), sem transmissão de dados pessoais.

04

Integração com Meta (Facebook & Instagram)

A Hoop utiliza a Meta Marketing API (Graph API v20.0) e a Meta Conversions API (CAPI) como bases técnicas do serviço. A integração segue os Termos da Plataforma Meta e as políticas de uso da API.

Permissões OAuth solicitadas:

ads_management — permissão que abrange leitura de métricas, configurações de campanhas e aplicação de alterações de orçamento. Toda modificação nas campanhas é executada exclusivamente mediante confirmação explícita do usuário na interface da Hoop.

O envio de eventos de conversão via Meta Conversions API (CAPI) utiliza um token de acesso ao pixel, configurado separadamente do fluxo OAuth durante o onboarding. Esse token é distinto das permissões acima e opera exclusivamente para transmissão server-side de eventos ao pixel Meta.

O que fazemos com o acesso:

Coletamos métricas de desempenho para gerar predições e recomendações.
Aplicamos alterações de orçamento apenas quando você clica em "Aplicar" e confirma a ação.
Transmitimos eventos de conversão (ex.: Purchase, Lead) ao pixel Meta via CAPI com dados hasheados em SHA-256, conforme padrão obrigatório da Meta. O envio CAPI é realizado na qualidade de operadora, por instrução e sob responsabilidade do anunciante (você), que é o controlador dos dados dos consumidores finais e responsável por ter obtido as autorizações necessárias desses consumidores.

O que NÃO fazemos:

Não publicamos, criamos ou excluímos anúncios sem autorização explícita.
Não compartilhamos os dados Meta de um usuário com outro usuário ou workspace.
Não utilizamos os dados Meta para fins não autorizados pela Meta ou por você.

Exclusão de dados Meta (Data Deletion Callback):

Quando você remove o aplicativo Hoop no painel de aplicativos do Facebook, a Meta aciona automaticamente nossa rotina de exclusão de dados. Todos os dados obtidos via API Meta são deletados em até 30 dias. Você pode acompanhar o status da exclusão enviando e-mail para contato@hoopai.com.br com o assunto "Exclusão de dados Meta".

Você pode revogar o acesso Meta a qualquer momento em Configurações → Integrações → Desconectar Meta. Após a revogação, excluímos o token OAuth armazenado em até 24 horas. A remoção do app no painel do Facebook aciona adicionalmente o Data Deletion Callback descrito acima.

05

Uso de IA e serviços terceiros

A plataforma emprega modelos de inteligência artificial para gerar análises e recomendações:

Serviço	Finalidade	Dados transmitidos
Rede neural própria (PyTorch)	Predições de orçamento e ROAS; processamento primário on-premise/cloud própria	Dados de campanha anonimizados — sem PII
Anthropic Claude API	Análise contextual, sugestões de otimização em linguagem natural, chat de IA	Métricas de campanha anonimizadas (sem nome de usuário, e-mail ou token Meta)
OpenAI API	Suporte complementar de IA para análises textuais	Métricas de campanha anonimizadas (sem PII)

Antes de transmitir qualquer dado para APIs de IA externas, removemos identificadores pessoais (e-mail, nome, token). Os provedores Anthropic e OpenAI comprometem-se contratualmente a não treinar modelos com dados de API, conforme suas respectivas políticas de privacidade de API.

5b

Transferências internacionais de dados (LGPD — art. 33)

Os provedores Anthropic (Claude API), OpenAI, Vercel e AWS estão sediados nos Estados Unidos. O uso desses serviços implica transferência internacional de dados, nos termos do art. 33 da LGPD.

A Hoop adota as seguintes salvaguardas para essas transferências:

Cláusulas contratuais padrão (art. 33, II): os contratos com Anthropic, OpenAI, Vercel e AWS incluem cláusulas de proteção de dados equivalentes às exigidas pela LGPD.
Minimização de dados: apenas dados anonimizados ou estritamente necessários são transmitidos a provedores externos de IA.
Dados de conta e tokens Meta são armazenados exclusivamente em infraestrutura controlada pela Hoop, sem transmissão aos provedores de IA.

A Autoridade Nacional de Proteção de Dados (ANPD) ainda não emitiu decisão de adequação para os Estados Unidos. As transferências acima têm como base legal as garantias contratuais previstas no art. 33, II da LGPD.

06

Compartilhamento de dados com terceiros

Não vendemos seus dados pessoais. Compartilhamos dados somente nas seguintes situações:

Meta Platforms Inc.: envio de eventos de conversão via CAPI (dados hasheados). Acesso bidirecional de métricas via API Marketing, autorizado por você via OAuth.
Anthropic / OpenAI: métricas de campanha anonimizadas para geração de análises — sem PII.
Stripe: processamento de pagamentos. Stripe opera com certificação PCI-DSS nível 1. A Hoop não armazena dados de cartão.
Provedores de infraestrutura (Vercel, AWS ou equivalente): hospedagem e CDN; dados em trânsito cifrados via TLS 1.3; dados em repouso cifrados com AES-256.
Sentry (monitoramento de erros): logs de exceção com dados minimizados e sanitizados — sem e-mail ou token de usuário.
Banco Central do Brasil (BCB): consulta de câmbio via API pública PTAX — sem transmissão de dados pessoais.
Autoridades competentes: quando exigido por lei ou ordem judicial válida.

07

Retenção e exclusão de dados

Conta ativa: dados mantidos enquanto a conta estiver ativa.
Solicitação de exclusão: após solicitação do usuário, os dados pessoais identificáveis são excluídos ou anonimizados nos sistemas ativos em até 30 dias. Cópias de backup podem conter esses dados por até 90 dias adicionais, sendo expurgadas nesse prazo — totalizando no máximo 120 dias até eliminação completa.
Tokens Meta: excluídos em até 24 horas após revogação ou encerramento de conta.
Dados de faturamento: retidos por 5 anos para fins contábeis e fiscais, conforme legislação brasileira.
Logs de uso: retidos por 12 meses para fins de segurança e auditoria, conforme art. 15 do Marco Civil da Internet (Lei nº 12.965/2014).

08

Segurança dos dados

Adotamos medidas técnicas e organizacionais de segurança proporcionais ao risco, incluindo:

Criptografia em trânsito via TLS 1.3 em todas as comunicações.
Tokens OAuth Meta armazenados com criptografia AES-256 em repouso.
Senhas processadas exclusivamente com bcrypt (fator de custo ≥ 12).
Controle de acesso baseado em função (RBAC) com princípio do menor privilégio.
Monitoramento contínuo de erros e anomalias.
Isolamento multi-tenant: dados de workspaces distintos nunca se cruzam.

Limitação de garantia de segurança: Embora a Hoop adote medidas técnicas e organizacionais de segurança compatíveis com o estado da arte e proporcionais ao risco do tratamento, nenhum sistema de informação é absolutamente seguro. A Hoop não pode garantir segurança absoluta contra todos os tipos de ameaças, incluindo ataques cibernéticos sofisticados, vulnerabilidades de dia zero em componentes de terceiros ou falhas em infraestrutura de provedores externos. Na máxima extensão permitida pela legislação brasileira aplicável, a responsabilidade da Hoop por incidentes de segurança estará limitada às obrigações previstas na LGPD e nas condições gerais de limitação de responsabilidade descritas nos Termos de Uso, não abrangendo danos indiretos, lucros cessantes ou perda de oportunidade de negócio decorrentes de incidentes causados por ameaças externas fora do controle razoável da Hoop. Isso não exclui as obrigações legais de notificação e mitigação previstas no art. 48 da LGPD.

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, notificaremos a Autoridade Nacional de Proteção de Dados (ANPD) em prazo razoável, conforme art. 48 da LGPD e orientações da ANPD, e comunicaremos os usuários afetados em tempo hábil com informações sobre a natureza dos dados afetados e as medidas adotadas.

09

Seus direitos como titular (LGPD — art. 18)

Você tem os seguintes direitos sobre seus dados pessoais, exercíveis a qualquer momento:

Confirmação e Acesso (art. 18, I–II)

Confirmar a existência do tratamento e obter uma cópia dos seus dados em formato claro e acessível.

Correção (art. 18, III)

Corrigir dados incompletos, inexatos ou desatualizados a qualquer momento.

Anonimização, Bloqueio ou Eliminação (art. 18, IV)

Solicitar a anonimização, o bloqueio ou a eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.

Portabilidade (art. 18, V)

Receber seus dados em formato estruturado e interoperável para migração a outro fornecedor de serviço.

Informação sobre compartilhamento (art. 18, VI)

Saber com quais entidades públicas e privadas a Hoop compartilhou seus dados.

Revogação do consentimento (art. 18, IX)

Retirar o consentimento a qualquer momento, sem prejudicar tratamentos anteriores baseados em outras hipóteses legais.

Oposição (art. 18, § 2º)

Opor-se a tratamentos realizados com base em legítimo interesse, caso discorde da ponderação realizada.

Consequências da negativa (art. 18, VII)

Ser informado sobre a possibilidade de não fornecer consentimento e sobre as consequências dessa recusa para o uso do serviço.

Revisão de decisão automatizada (art. 18, IX e art. 20)

Solicitar revisão humana de recomendações ou decisões geradas exclusivamente por modelos de IA — especialmente relevante em um serviço baseado em predição algorítmica de desempenho de campanhas.

Para exercer qualquer direito, envie um e-mail para contato@hoopai.com.br com o assunto "Direitos LGPD — [seu direito]". Responderemos em até 15 dias corridos, conforme orientações da ANPD.

Registro de atividades (LGPD art. 37): A Hoop mantém registro interno das atividades de tratamento de dados pessoais, disponível para consulta pela ANPD mediante requisição formal.

10

Cookies e rastreamento

Cookies essenciais: usados exclusivamente para autenticação e manutenção de sessão. Necessários para o funcionamento da plataforma e não requerem consentimento.
Cookies de análise: usados para entender como os usuários navegam na plataforma, a fim de melhorar a experiência. Ativados apenas mediante consentimento.

A Hoop não utiliza cookies de rastreamento de terceiros para fins publicitários na plataforma autenticada. Atualmente não utilizamos ferramentas de analytics de terceiros na plataforma autenticada. Caso isso mude, atualizaremos esta seção e implementaremos mecanismo de consentimento granular antes da ativação.

11

Menores de idade

A plataforma Hoop é destinada exclusivamente a maiores de 18 anos, conforme requisito de elegibilidade nos Termos de Uso. Não tratamos dados de menores de 16 anos (crianças conforme art. 14 da LGPD) nem de adolescentes de 16 a 17 anos sem as garantias previstas em lei. Caso tomemos conhecimento de que dados de um menor foram coletados inadvertidamente, excluiremos tais dados imediatamente e encerraremos a conta associada.

12

Alterações nesta política

Podemos atualizar esta política periodicamente. Em caso de alterações relevantes, notificaremos os usuários por e-mail com 30 dias de antecedência. A data da última atualização sempre estará visível no topo desta página.

Alterações decorrentes de exigências legais ou de autoridades regulatórias poderão ser implementadas imediatamente, com notificação posterior.

13

Contato e Encarregado de Proteção de Dados (DPO)

Para exercer seus direitos, reportar incidentes de privacidade ou esclarecer dúvidas sobre esta política, entre em contato com o Encarregado de Proteção de Dados (DPO) da Hoop, nomeado conforme LGPD art. 41:

Encarregado (DPO): contato@hoopai.com.br
Empresa: Hoop Inteligência em Marketing Ltda., CNPJ nº 66.928.678/0001-47
Endereço: São Paulo, SP — Brasil
ANPD: caso entenda que seus direitos não foram atendidos adequadamente, você pode recorrer à Autoridade Nacional de Proteção de Dados em gov.br/anpd.