Política de Privacidade
Última atualização: 8 de maio de 2026
1. Quem somos
O Worxpace é uma plataforma para gestão integrada de clientes, jobs criativos, aprovações e agendamento de publicações em redes sociais. Esta política descreve como tratamos os dados dos usuários que acessam o sistema e dos clientes/marcas que as agências gerenciam dentro dele.
2. Dados que coletamos
- Cadastro de usuário: nome completo, email, foto de perfil (avatar) e função na agência (administrador ou personalizado).
- Cadastro de agência: nome, logo e configurações internas.
- Cadastro de clientes da agência: nome, logo, briefings, manuais de marca e perfis sociais associados.
- Conteúdo produzido: jobs (briefing, mídia, histórico), comentários internos, fluxos de aprovação e posts agendados.
- Integrações OAuth: ao conectar contas do Meta (Instagram/Facebook), LinkedIn, TikTok ou YouTube, armazenamos tokens de acesso criptografados com AES-256-GCM, junto com o identificador externo da conta, o nome público (display name ou nome do canal) e a foto de perfil/avatar/canal (apenas a URL da imagem hospedada pela própria plataforma — não fazemos cópia local). Não armazenamos sua senha dessas plataformas.
- Dados do YouTube (YouTube API Services): ao conectar um canal do YouTube via Google OAuth, o Worxpace usa YouTube API Services. Coletamos apenas metadados públicos do canal autorizado (channel ID, nome, avatar, contagem de inscritos e contagem de vídeos) para exibir o canal selecionado no painel da agência. O escopo `youtube.upload` é usado exclusivamente para publicar vídeos agendados pela própria agência no canal conectado. Você pode revogar o acesso a qualquer momento em myaccount.google.com/permissions. Esta integração observa os YouTube API Services Terms of Service e a Política de Privacidade da Google.
- Dados de uso: registros de ações no sistema (criação de jobs, mudanças de status, comentários) usados para histórico e auditoria.
3. Como usamos seus dados
- Operação do produto: autenticação, gestão de permissões, exibição de jobs, comentários, aprovações e relatórios.
- Publicação automática: os tokens das integrações sociais são usados exclusivamente para publicar posts nas datas/horários agendados pela agência, nas contas conectadas pelo próprio cliente.
- Notificações: alertas in-app sobre menções em comentários, aprovações pendentes, falhas de publicação e atribuições de jobs.
- Aprovações públicas: links únicos (`/aprovacao/<token>`) permitem que o cliente final aprove ou peça ajustes sem precisar de cadastro.
Não usamos seus dados para venda, marketing comportamental para terceiros ou treinamento de modelos de IA fora do contexto do próprio Workspace.
4. Compartilhamento com terceiros
Trabalhamos com fornecedores que processam dados em nosso nome, sempre sob acordos contratuais e somente para os fins descritos aqui:
- Supabase — banco de dados PostgreSQL e autenticação. Localização: AWS São Paulo (sa-east-1).
- Vercel — hospedagem do front-end e funções serverless.
- Meta Platforms (Instagram & Facebook) — publicação de conteúdo via Graph API oficial, somente nas contas conectadas voluntariamente pelo cliente.
- LinkedIn — publicação de conteúdo via API oficial, somente nas contas/páginas conectadas.
- TikTok — publicação de conteúdo via Content Posting API oficial, somente nas contas conectadas.
- Google & YouTube — autenticação via Google OAuth e publicação de vídeos via YouTube Data API v3, somente nos canais conectados.
- cron-job.org — disparo de tarefas programadas (publicação automática de posts agendados).
- Anthropic — geração assistida de copy via Claude API, quando o usuário aciona explicitamente as ferramentas de IA.
Nunca vendemos seus dados.
5. Segurança
- Toda a comunicação ocorre sob HTTPS/TLS.
- Tokens das integrações sociais são criptografados em repouso com AES-256-GCM.
- O banco de dados usa Row Level Security (RLS) do PostgreSQL para isolar os dados de cada agência e impedir acesso cruzado.
- Senhas dos usuários nunca são armazenadas pela Worxpace — toda a autenticação acontece via Supabase Auth com hashing seguro.
- Cookies httpOnly e validação de CSRF nos fluxos de OAuth protegem contra request forgery.
6. Seus direitos
- Acessar seus dados: visualizar todas as informações que mantemos sobre você no painel do Workspace.
- Revogar integrações: a qualquer momento, em Cliente → Integrações → Desconectar. Os tokens são apagados imediatamente do nosso banco. Você também pode revogar o acesso diretamente no Meta Business Suite, no LinkedIn Settings, no TikTok Settings ou em myaccount.google.com/permissions (Google/YouTube).
- Solicitar exclusão da conta ou exportação dos dados: envie email pra contato@agenciabehave.com e responderemos em até 7 dias úteis.
- Corrigir dados incorretos: a maioria das informações é editável diretamente no painel.
7. Retenção
Mantemos seus dados enquanto a conta estiver ativa. Ao solicitar a exclusão, removemos as informações pessoais em até 30 dias, exceto quando houver obrigação legal de retenção (registros fiscais, por exemplo).
8. Cookies e armazenamento local
Usamos cookies httpOnly somente para autenticação (sessão Supabase) e cookies temporários durante fluxos OAuth (validação de CSRF). Não usamos cookies de rastreamento ou analytics de terceiros.
9. Mudanças nesta política
Podemos atualizar esta política periodicamente. Mudanças relevantes são comunicadas via email ou notificação no Workspace, com pelo menos 15 dias de antecedência.
10. Contato
Dúvidas, solicitações ou reclamações sobre esta política:
contato@agenciabehave.com