Política de Privacidade
Última atualização: 12 de abril de 2026
Esta Política de Privacidade descreve como a Criah Conecte ("Criah", "nós" ou "nosso") coleta, usa, armazena e protege as informações fornecidas por usuários da plataforma de gerenciamento de marketing digital disponível em https://analytics.criah.com.br/public (o "Serviço").
Ao utilizar o Serviço, você concorda com as práticas descritas nesta política. Caso não concorde, não utilize a plataforma.
1. Quem somos
A Criah é uma agência de marketing digital que oferece a plataforma Criah Conecte para centralizar a gestão e análise de campanhas publicitárias em múltiplas plataformas de anúncios, incluindo Meta Ads (Facebook/Instagram), Google Ads, Google Analytics, LinkedIn Ads e TikTok Ads.
Para dúvidas ou solicitações relacionadas à privacidade, entre em contato pelo e-mail: [email protected].
2. Dados que coletamos
Coletamos apenas os dados necessários para a operação do Serviço:
2.1 Dados de cadastro
- Nome completo e endereço de e-mail (para criação e autenticação de conta).
- Senha (armazenada em hash bcrypt — nunca em texto puro).
- Papel/permissão dentro da plataforma (administrador, gestor, visualizador).
2.2 Tokens OAuth de plataformas de terceiros
Para conectar contas de anúncios, o Serviço armazena tokens de acesso OAuth fornecidos por plataformas externas. Todos os tokens são criptografados em repouso utilizando AES-256-CBC.
| Plataforma | Dados armazenados | Finalidade |
|---|---|---|
| Meta (Facebook/Instagram) | Access token, Page ID, Ad Account ID, App ID/Secret do cliente | Leitura de métricas de campanhas, insights de página e conta de anúncios |
| Google Ads | Access token, Refresh token, Customer ID, Login Customer ID (MCC) | Leitura de desempenho de campanhas de pesquisa, display e vídeo |
| Google Analytics (GA4) | Access token, Refresh token, Property ID | Leitura de métricas de audiência e comportamento de usuários no site |
| LinkedIn Ads | Access token, Account URN, Organization URN/ID | Leitura de desempenho de campanhas e estatísticas de seguidores da organização |
| TikTok Ads | Access token, Advertiser ID | Leitura de métricas de campanhas e vídeos patrocinados |
2.3 Dados de desempenho de campanhas
Métricas agregadas de campanhas (impressões, cliques, investimento, conversões etc.) são armazenadas em cache no nosso banco de dados com o objetivo de reduzir chamadas às APIs externas e melhorar o desempenho dos dashboards. Esses dados são de natureza agregada e não identificam individualmente usuários finais das campanhas.
2.4 Dados de navegação e logs
- Endereço IP, agente de usuário (browser) e horário de acesso — para fins de segurança e auditoria.
- Logs de operações críticas (login, alteração de credenciais, desconexão de contas).
- Tempo de resposta de chamadas às APIs externas — para monitoramento de desempenho.
3. Como usamos seus dados
- Autenticação e controle de acesso — verificar sua identidade e suas permissões na plataforma.
- Integração com plataformas de anúncios — usar os tokens OAuth para buscar métricas em seu nome.
- Exibição de dashboards e relatórios — consolidar dados de campanhas para análise.
- Notificações operacionais — alertar sobre expiração de tokens ou falhas de sincronização.
- Segurança — detectar e prevenir acessos não autorizados.
- Cumprimento legal — atender a obrigações legais ou regulatórias aplicáveis.
Não vendemos, alugamos nem compartilhamos seus dados pessoais com terceiros para fins comerciais.
4. Compartilhamento de dados
Seus dados podem ser compartilhados apenas nas seguintes situações:
- APIs de plataformas externas: Seus tokens OAuth são enviados diretamente às APIs da Meta, Google, LinkedIn e TikTok para recuperar métricas. Nenhuma informação além do token é compartilhada.
- Prestadores de serviço de infraestrutura: Servidores de hospedagem e banco de dados contratados para operar o Serviço. Esses prestadores estão sujeitos a acordos de confidencialidade.
- Obrigações legais: Quando exigido por lei, ordem judicial ou autoridade competente.
5. Retenção de dados
- Tokens OAuth: Mantidos enquanto a conta da plataforma estiver conectada. Excluídos imediatamente ao desconectar.
- Cache de métricas: Retidos por até 30 dias para fins de desempenho.
- Logs de auditoria: Retidos por até 90 dias.
- Dados de conta: Retidos enquanto a conta estiver ativa. Após solicitação de exclusão, removidos em até 30 dias.
6. Segurança
Adotamos medidas técnicas e organizacionais para proteger seus dados:
- Criptografia AES-256-CBC para todos os tokens OAuth em repouso.
- Senhas armazenadas com bcrypt (custo mínimo 10).
- Comunicação via HTTPS (TLS) em todas as transmissões.
- Sessões com
HttpOnly,SameSite=Laxe proteção CSRF por token. - Controle de acesso baseado em papéis (RBAC).
- Rate limiting para prevenir abusos de API.
Nenhum sistema é 100% seguro. Em caso de incidente, notificaremos os usuários afetados conforme exigido pela LGPD.
7. Permissões OAuth solicitadas
Durante o fluxo de autorização OAuth, o Serviço solicita apenas as permissões estritamente necessárias para leitura de dados de campanhas. Nunca solicitamos permissões para publicar conteúdo, enviar mensagens ou realizar ações em nome do usuário.
| Plataforma | Permissões solicitadas |
|---|---|
| Meta | ads_read, read_insights, pages_read_engagement, leads_retrieval, instagram_business_manage_insights |
| Google Ads | adwords (somente leitura), email |
| Google Analytics | analytics.readonly, email |
| r_ads, r_ads_reporting, r_basicprofile, r_organization_social | |
| TikTok | ad.read (somente relatórios) |
7-A. Uso de dados das APIs Google — Política de Dados do Usuário
O uso e a transferência de informações recebidas das APIs Google para qualquer outro aplicativo estão em conformidade com a Google API Services User Data Policy , incluindo os requisitos de uso limitado.
Especificamente, os dados obtidos via Google APIs:
- São usados somente para exibir métricas de campanhas nos dashboards da plataforma.
- Não são usados para treinar modelos de IA/ML.
- Não são vendidos ou compartilhados com anunciantes.
- Não são transferidos para terceiros, exceto infraestrutura necessária para operar o serviço.
7-B. Como revogar o acesso
Você pode revogar o acesso da Criah Conecte às suas contas Google a qualquer momento:
- Dentro da plataforma: Acesse Clientes → [seu cliente] → Canais e clique em "Desconectar" ao lado de Google Ads ou Google Analytics.
- Diretamente pelo Google: Acesse myaccount.google.com/permissions e remova "Criah Conecte" da lista de aplicativos com acesso.
Após a revogação, todos os tokens de acesso são excluídos imediatamente do nosso sistema. Os dados de métricas em cache são removidos em até 30 dias.
8. Seus direitos (LGPD)
Em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018), você tem os seguintes direitos:
- Confirmação e acesso: Saber se tratamos seus dados e obter uma cópia.
- Correção: Solicitar a correção de dados incompletos ou incorretos.
- Exclusão: Solicitar a exclusão de dados desnecessários ou tratados com base em consentimento revogado.
- Portabilidade: Receber seus dados em formato estruturado.
- Revogação de consentimento: Revogar o consentimento para tratamento a qualquer momento.
- Oposição: Se opor ao tratamento em determinadas circunstâncias.
Para exercer qualquer direito, entre em contato por: [email protected]. Responderemos em até 15 dias úteis.
9. Cookies
O Serviço utiliza apenas cookies de sessão essenciais para autenticação. Não utilizamos cookies de rastreamento de terceiros, publicidade ou analytics comportamental.
10. Menores de idade
O Serviço é destinado exclusivamente a profissionais de marketing e empresas. Não coletamos conscientemente dados de menores de 18 anos.
11. Alterações nesta política
Podemos atualizar esta política periodicamente. Notificaremos usuários sobre mudanças relevantes por e-mail ou notificação na plataforma. A data de "Última atualização" no topo indica quando ocorreu a revisão mais recente.
12. Contato
Criah — Agência de Marketing Digital
E-mail para privacidade: [email protected]
Plataforma: https://analytics.criah.com.br/public