Política de Privacidade
Última atualização: 28 de maio de 2026
A 16pct ("16pct", "nós") opera uma plataforma de marketing de performance e atendimento que integra dados de WhatsApp, Meta Ads, Google Ads, HubSpot e outros sistemas em nome dos nossos clientes (anunciantes). Esta política descreve quais dados coletamos, por que coletamos, como armazenamos e como você pode exercer seus direitos.
Esta política está em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei 13.709/2018) e com as Políticas de Plataforma da Meta (Meta Platform Terms) para aplicativos que utilizam Marketing API, Conversions API e Graph API.
1. Quem somos
- Controladora: 16PCT Publicidade LTDA
- CNPJ: 58.924.674/0001-62
- Endereço: R. São Borja, 2391 — Centro — Imbé/RS — CEP 95625-000
- Site: https://16pct.com.br
- Contato / DPO: equipe@16pct.com.br
Quando atuamos sob contrato com um anunciante (nosso cliente), somos operadores de dados em nome desse anunciante — o anunciante é o controlador. Quando coletamos dados próprios (ex.: contato comercial em formulário no nosso site), somos os controladores.
2. Quais dados coletamos
2.1 Dados dos nossos clientes (empresas anunciantes)
Quando uma empresa contrata a 16pct, coletamos:
- Nome da empresa, CNPJ, endereço, contatos comerciais.
- Credenciais delegadas para acesso às plataformas do anunciante:
- Meta Business Manager — System User token com escopos
ads_read,ads_management,business_management,pages_read_engagement,pages_messaging(conforme aplicável). - HubSpot — Service Key da conta do cliente.
- Google Ads — refresh token via OAuth 2.0.
- Meta Business Manager — System User token com escopos
- Configuração de campanhas, projetos, audiências, pixels e contas de anúncios.
2.2 Dados de leads e usuários finais (coletados em nome dos clientes)
Como operadores, acessamos:
- Conversas de WhatsApp capturadas via Evolution API: número de telefone, nome de exibição do WhatsApp, conteúdo das mensagens, mídias enviadas, timestamps.
- Dados de atribuição CTWA (Click-to-WhatsApp) da Meta:
ad_id,ctwa_clid, título do anúncio no momento do clique. - Dados de campanhas e insights da Meta Ads via Graph API: spend, impressões, cliques, conversões.
- Eventos de CRM HubSpot via webhook: contatos, deals, estágios de funil, propriedades customizadas.
- Vendas registradas manualmente por vendedores dos clientes em formulário público.
2.3 Dados que enviamos à Meta via Conversions API
Quando configurado pelo cliente, enviamos eventos server-to-server ao pixel Meta do cliente, contendo:
- Nome do evento (ex.:
Lead,Purchase,QualifyLead). event_id(UUID estável para deduplicação).- Dados do usuário com hash SHA-256 antes do envio: email, telefone, nome, sobrenome, país, external_id.
- Dados não-hashed: IP do cliente, User-Agent,
_fbc,_fbp(quando disponíveis). - Dados customizados: valor, moeda, nome do conteúdo.
3. Por que coletamos (finalidades)
| Finalidade | Base legal (LGPD) |
|---|---|
| Executar o contrato com nossos clientes anunciantes | Execução de contrato (art. 7º, V) |
| Atribuir leads a campanhas Meta (CTWA) e medir ROI | Legítimo interesse (art. 7º, IX) do anunciante |
| Disparar eventos de conversão para Meta CAPI | Legítimo interesse do anunciante para otimização de mídia |
| Análise de qualidade de conversas via IA (Anthropic, OpenAI) | Legítimo interesse do anunciante para coaching comercial |
| Enviar comunicações operacionais ao próprio cliente | Execução de contrato |
| Cumprir obrigações legais (fiscais, regulatórias) | Cumprimento de obrigação legal (art. 7º, II) |
Não usamos os dados para fins não declarados aqui. Não vendemos dados a terceiros.
4. De onde vêm os dados
- Diretamente do cliente anunciante (no onboarding e ao longo do contrato).
- Meta Graph API (https://graph.facebook.com) — campanhas, anúncios, insights, audiences.
- Meta Conversions API — nós enviamos eventos para a Meta; recebemos resposta de status.
- Evolution API (gateway WhatsApp Cloud) — mensagens em tempo real via webhook.
- HubSpot Workflows — eventos de funil via webhook.
- Google Ads API — campanhas, conversões, palavras-chave.
- Usuários finais que clicam em anúncios e iniciam conversas, ou que preenchem formulários públicos de venda dos nossos clientes.
5. Onde armazenamos e por quanto tempo
- Banco de dados: Supabase (PostgreSQL) em região US-East. RLS ativada por cliente — usuários da 16pct só acessam dados dos clientes que lhes foram explicitamente vinculados.
- Mídias do WhatsApp: Supabase Storage, com URLs assinadas e expiráveis.
- Logs operacionais: Supabase, retenção de 90 dias para logs detalhados.
Retenção:
- Dados operacionais (conversas, leads, campanhas): mantidos enquanto o contrato com o cliente anunciante estiver vigente.
- Após encerramento do contrato: até 30 dias para exportação pelo cliente, depois deleção.
- Dados fiscais/contábeis: 5 anos (obrigação legal).
- Logs de auditoria de segurança: até 12 meses.
6. Compartilhamento com terceiros (suboperadores)
Para operar a plataforma, compartilhamos dados estritamente necessários com:
| Terceiro | Dado compartilhado | Finalidade |
|---|---|---|
| Meta Platforms, Inc. | Eventos hashed (CAPI), leituras Graph API | Conversion measurement, otimização de campanhas |
| Google LLC | Leituras Google Ads API | Performance reporting |
| HubSpot, Inc. | Eventos de funil (read-only via webhook) | Sincronização CRM |
| Anthropic, PBC | Trechos de conversa textuais | Análise de status/coaching via Claude API |
| OpenAI, OpC | Trechos de conversa textuais | Análise de status/coaching via GPT |
| Supabase, Inc. | Todos os dados operacionais | Hospedagem do banco e storage |
| Vercel, Inc. | Tráfego HTTP e logs | Hospedagem da aplicação web |
| Evolution API | Recebimento de webhooks WhatsApp | Gateway WhatsApp |
Todos os suboperadores têm contratos com cláusulas de proteção de dados equivalentes.
7. Transferência internacional
Os serviços de Supabase, Vercel, Anthropic, OpenAI, Meta, Google e HubSpot processam dados nos Estados Unidos. A transferência ocorre sob garantias contratuais (DPA — Data Processing Agreement) com cada suboperador e atende ao art. 33 da LGPD.
8. Seus direitos (LGPD art. 18)
Você tem direito a:
- Confirmação da existência de tratamento.
- Acesso aos seus dados.
- Correção de dados incompletos ou desatualizados.
- Anonimização, bloqueio ou eliminação de dados desnecessários.
- Portabilidade dos dados.
- Eliminação dos dados tratados com base no consentimento.
- Informação sobre compartilhamento com terceiros.
- Revogação do consentimento.
Para exercer qualquer um desses direitos: envie email para equipe@16pct.com.br com o assunto "Direitos LGPD".
Responderemos em até 15 dias úteis.
Importante: se você é um usuário final (lead ou cliente do nosso cliente anunciante) e quer exercer direitos sobre dados que tratamos em nome desse anunciante, podemos direcionar sua solicitação ao próprio anunciante, que é o controlador.
Para exclusão de dados específica dentro do Meta, consulte nossa página dedicada: https://16pct.com.br/exclusao-de-dados
9. Segurança
- Comunicação entre serviços via HTTPS/TLS 1.2+.
- Tokens de acesso a plataformas terceiras armazenados criptografados no banco, acessíveis apenas via service role.
- RLS (Row Level Security) ativa em todas as tabelas — isolamento por cliente.
- Acesso humano aos dados restrito a usuários autenticados e explicitamente vinculados ao cliente.
- Auditoria de acesso registrada nos logs do Supabase.
- Hashing SHA-256 de PII antes do envio à Meta CAPI.
10. Cookies
No nosso dashboard (https://app.16pct.com.br), usamos apenas cookies técnicos essenciais:
sb-*— sessão Supabase (autenticação).client_view_session— sessão de visualização pública de dashboard de cliente (HMAC, 30 dias).
Não usamos cookies publicitários nem de tracking em nosso domínio próprio.
11. Crianças
Nosso serviço não é direcionado a menores de 18 anos. Não coletamos conscientemente dados de menores.
12. Alterações nesta política
Mudanças relevantes serão comunicadas por email aos clientes contratantes e refletidas na data "Última atualização" no topo desta página.
13. Contato
Encarregado de Dados (DPO): equipe@16pct.com.br 16PCT Publicidade LTDA — CNPJ 58.924.674/0001-62 Endereço: R. São Borja, 2391 — Centro — Imbé/RS — CEP 95625-000 Site: https://16pct.com.br
Para reclamações não resolvidas, você pode também acionar a Autoridade Nacional de Proteção de Dados (ANPD) — https://www.gov.br/anpd