Versão 1.0 — última atualização em 13 de abril de 2026.

1. Quem somos e por que esta política existe

Esta Política de Privacidade descreve como o Engaja Político (“Plataforma”) coleta, usa, armazena, compartilha e protege dados pessoais, em conformidade com a Lei Geral de Proteção de Dados Pessoais — LGPD (Lei nº 13.709/2018) e com os Termos da Meta Plataforms aplicáveis ao uso da Instagram Graph API.

O controlador dos dados tratados nesta Plataforma é BRAINPOST SERVICOS DIGITAIS LTDA - EPP , inscrita no CNPJ 34.761.099/0001-66, com sede em Rua Piranji, 45 - Vila Invernada, Sao Paulo - SP, 03.349-050. O Encarregado pelo Tratamento de Dados Pessoais (DPO) é Francisco Olivar Araujo Juca Junior, que pode ser contatado pelo e-mail [email protected].

2. A quem esta política se aplica

Esta política se aplica a três grupos de titulares:

• Políticos usuários — pessoas físicas que criam conta na Plataforma para monitorar o próprio engajamento no Instagram.
• Líderes (apoiadores) — pessoas físicas cadastradas por um político usuário, cujos comentários públicos em posts oficiais do político são contabilizados para fins de pontuação.
• Visitantes — qualquer pessoa que acesse as áreas públicas, incluindo esta página, a página de Termos e o formulário de solicitações LGPD.

3. Definições

• Dado pessoal — informação relacionada a pessoa natural identificada ou identificável (LGPD, Art. 5º, I).
• Tratamento — toda operação com dados pessoais, como coleta, uso, armazenamento, compartilhamento e eliminação (Art. 5º, X).
• Titular — pessoa natural a quem se referem os dados pessoais (Art. 5º, V).
• Controlador — quem decide as finalidades e os meios do tratamento. Aqui, é BRAINPOST SERVICOS DIGITAIS LTDA - EPP.
• Operador — quem realiza o tratamento em nome do controlador.
• Meta Graph API — conjunto de interfaces fornecidas pela Meta Platforms que permite à Plataforma ler posts e comentários públicos do Instagram mediante autorização do titular da conta.

4. Dados que coletamos

4.1. Do político usuário

Coletados diretamente do titular no cadastro e durante o uso:

• Nome completo e endereço de e-mail.
• Senha (armazenada apenas em forma criptografada — bcrypt).
• Nome de usuário do Instagram (opcional, informado no cadastro ou obtido via OAuth).
• Endereço IP e identificador do navegador (user-agent) de cada sessão, registrados em formato anonimizado (hash).
• Data e hora de aceite dos Termos e desta Política, e confirmação de maioridade.
• Tokens de acesso fornecidos pela Meta para ler a conta do Instagram, armazenados com criptografia AES-256-GCM.

4.2. Do líder cadastrado (dados de terceiros)

Quando um político usuário cadastra um líder, armazenamos apenas os campos estritamente necessários para identificar o comentário público vinculado àquele líder:

• Nome informado pelo político.
• Nome de usuário do Instagram do líder.
• Número de WhatsApp (opcional), armazenado com criptografia AES-256-GCM.
• Categoria interna atribuída pelo político.

Não coletamos e-mail, endereço, CPF, documento, foto de perfil ou qualquer dado sensível (LGPD Art. 5º, II) dos líderes. A base legal para esse tratamento está descrita na Seção 13.

4.3. Do Instagram, via Meta Graph API

Com a autorização expressa do político usuário por meio do fluxo OAuth oficial da Meta, lemos os seguintes dados das contas Instagram Business conectadas (escopos instagram_business_basic e instagram_business_manage_comments ):

• Identificador, nome de usuário e dados básicos do perfil do político.
• Lista de posts (identificador, URL, data, tipo de mídia, URL da mídia e da miniatura).
• Comentários públicos feitos nos posts oficiais do político — identificador interno do comentário, identificador e nome de usuário do autor, texto e data.

Importante — minimização de dados. Em respeito ao princípio da minimização (LGPD Art. 6º, III), o texto integral do comentário e o identificador do comentário no Instagram não são armazenados em nosso banco de dados. Persistimos apenas: a contagem de palavras, a data do comentário e o vínculo com o líder previamente cadastrado pelo político. Comentários cujo autor não corresponde a nenhum líder cadastrado não geram registro permanente — apenas um log técnico temporário (ver Seção 10).

4.4. Dados coletados automaticamente

• Cookie de sessão (`session_id`), assinado, HttpOnly, SameSite=Lax e marcado como Secure em produção.
• Logs técnicos de sincronização com a Meta API e snapshots de consumo de cota, usados para diagnóstico.
• Registros de auditoria de ações administrativas.

A Plataforma não utiliza cookies de rastreamento publicitário, pixels de terceiros ou ferramentas de analytics que identifiquem o visitante.

5. Para que usamos os dados e com que base legal

• Operar a conta do usuário (cadastro, login, verificação de e-mail, redefinição de senha, envio de notificações transacionais) — execução de contrato (Art. 7º, V).
• Integrar com o Instagram (ler posts e comentários das contas autorizadas) — execução de contrato (Art. 7º, V) combinada com consentimento específico obtido no fluxo OAuth da Meta.
• Calcular pontuação e ranking de engajamento dos líderes cadastrados pelo político usuário — legítimo interesse (Art. 7º, IX), conforme avaliação documentada na Seção 13.
• Garantir segurança, prevenir fraude e investigar incidentes (registro anonimizado de IP, rate limit, alertas) — legítimo interesse (Art. 7º, IX) e cumprimento de obrigação legal (Art. 7º, II).
• Manter trilha de auditoria técnica (logs de sincronização, auditoria de ações administrativas) — legítimo interesse e obrigação legal (Art. 16).
• Atender solicitações de titulares relativas aos direitos da LGPD — cumprimento de obrigação legal (Art. 7º, II; Art. 18).

6. Com quem compartilhamos seus dados

Nós não vendemos, alugamos ou cedemos dados pessoais. O compartilhamento ocorre apenas com os seguintes operadores necessários ao funcionamento do serviço:

• Meta Platforms, Inc. — fornecedora da Instagram Graph API, a partir da qual lemos posts e comentários públicos mediante autorização do político usuário.
• Provedor de hospedagem em nuvem — Hostinger, responsável pela infraestrutura onde a aplicação é executada.
• Provedor de envio de e-mail transacional — Google (Gmail), usado para enviar mensagens de verificação, redefinição de senha e alertas operacionais.
• Autoridades públicas — quando exigido por lei, ordem judicial ou requisição legítima de autoridade competente.

Mantemos acordos escritos com esses operadores, que se comprometem a tratar os dados apenas conforme nossas instruções e em conformidade com a LGPD.

7. Transferência internacional de dados

A integração com o Instagram envolve, por natureza, transferência de dados a servidores da Meta Platforms, Inc., localizados nos Estados Unidos e em outros países. O provedor de hospedagem e o provedor de e-mail também podem manter infraestrutura fora do Brasil. Nesses casos, a transferência é realizada com base nas hipóteses admitidas pelo Art. 33 da LGPD, em especial: (a) execução de contrato entre controlador e titular; (b) compromissos contratuais dos operadores com padrões equivalentes aos exigidos pela LGPD.

8. Cookies

A Plataforma utiliza apenas um cookie essencial:

• session_id — cookie de sessão, assinado, HttpOnly, SameSite=Lax e marcado como Secure em produção. Serve exclusivamente para manter o usuário autenticado.

Não utilizamos cookies de análise de audiência, de publicidade ou de rastreamento entre sites.

9. Segurança

Adotamos medidas técnicas e administrativas compatíveis com os riscos do tratamento:

• Criptografia em trânsito (HTTPS/TLS) com HSTS habilitado em produção.
• Senhas armazenadas com bcrypt, tokens OAuth e número de WhatsApp do líder criptografados em repouso (AES-256-GCM).
• Endereços IP de sessões registrados em forma de hash.
• Cookies de autenticação assinados, HttpOnly e Secure.
• Proteção contra CSRF, rate limit de login e filtragem de parâmetros sensíveis nos logs.
• Acesso administrativo separado, com registro de auditoria de ações sobre dados.

10. Por quanto tempo guardamos os dados

Guardamos cada categoria de dado apenas pelo tempo necessário às finalidades descritas:

• Conta do usuário: enquanto a conta estiver ativa. Após a solicitação de exclusão, a conta entra em período de carência de 30 dias antes da eliminação definitiva.
• Engajamentos (pontuações calculadas): até 2 anos, com expurgo mensal automático dos registros mais antigos.
• Logs de sincronização com a Meta API: até 90 dias, com expurgo semanal automático.
• Snapshots de consumo da cota Meta: até 7 dias, com expurgo diário automático.
• Alertas operacionais resolvidos: expurgo semanal automático.
• Sessões inativas: expurgo diário automático.
• Códigos de verificação por e-mail: expiram em 15 minutos e são apagados no primeiro uso.
• Registros de auditoria administrativa: retidos pelo prazo definido em política interna e expurgados diariamente.

11. Seus direitos como titular (LGPD Art. 18)

Você pode, a qualquer momento, exercer os seguintes direitos:

• Confirmar a existência de tratamento dos seus dados.
• Acessar e obter cópia dos dados tratados.
• Corrigir dados incompletos, inexatos ou desatualizados.
• Solicitar anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
• Solicitar a portabilidade dos dados a outro fornecedor de serviço.
• Solicitar a eliminação dos dados tratados com consentimento.
• Obter informação sobre as entidades com quem compartilhamos os dados.
• Revogar consentimento previamente concedido.
• Opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, quando houver descumprimento da LGPD.

Para exercer qualquer desses direitos, utilize nosso formulário de solicitações LGPD . Se você já tem conta, pode também exportar seus dados em /minha-conta/exportar e solicitar a exclusão da conta em /minha-conta/excluir, sem necessidade de preencher o formulário.

12. Exclusão de dados provenientes da Meta / Instagram

Se você quiser remover da Plataforma os dados obtidos via Instagram, há três caminhos equivalentes:

• Desconectar a conta do Instagram dentro do painel da Plataforma — tokens são revogados e engajamentos associados passam a não receber novas atualizações.
• Remover o aplicativo no próprio Instagram (Configurações → Apps e sites). A Meta nos notificará automaticamente via Data Deletion Callback, e processaremos a eliminação dos dados associados.
• Enviar um pedido de exclusão pelo formulário em /privacidade/solicitacoes, selecionando o tipo “Eliminação”.

13. Tratamento dos dados dos líderes (apoiadores cadastrados)

Os líderes são pessoas físicas cadastradas pelo político usuário. Eles não criam conta na Plataforma. O tratamento desses dados tem como base legal o legítimo interesse do controlador e do político usuário (LGPD Art. 7º, IX, c/c Art. 10), avaliado em teste de balanceamento documentado. Resumo das salvaguardas adotadas:

• Tratamos apenas o mínimo necessário: nome, nome de usuário do Instagram, WhatsApp opcional (criptografado) e categoria.
• Não armazenamos o texto do comentário nem o identificador do comentário no Instagram — apenas contagem de palavras e data.
• Não realizamos perfilamento comportamental, inferência de opinião política, predição eleitoral ou decisões automatizadas com efeito jurídico sobre o líder.
• Não compartilhamos esses dados com terceiros para fins comerciais ou publicitários.
• O ranking é visível apenas ao político usuário titular da conta, dentro de área autenticada.

Se você é um líder e quer saber se seus dados estão sendo tratados, pedir correção, oposição ao tratamento ou exclusão, use o nosso formulário de solicitações LGPD selecionando o papel “Líder monitorado”. Não é necessário ter conta na Plataforma.

14. Crianças e adolescentes

A Plataforma é destinada exclusivamente a pessoas com 18 anos ou mais. Não coletamos intencionalmente dados de crianças ou adolescentes. Se identificarmos, por nossa iniciativa ou por comunicação de terceiros, dados de pessoa menor de 18 anos, procederemos à exclusão imediata, salvo nas hipóteses previstas no Art. 14 da LGPD.

15. Alterações nesta política

Podemos atualizar esta Política para refletir mudanças operacionais, técnicas ou legais. A versão vigente é sempre a publicada nesta página, com indicação de número da versão e data de atualização. Alterações materiais serão comunicadas aos usuários por e-mail ou na própria Plataforma, com solicitação de novo aceite quando aplicável.

16. Contato do Encarregado (DPO)

• Encarregado: Francisco Olivar Araujo Juca Junior
• E-mail do DPO: [email protected]
• E-mail de privacidade: [email protected]
• Suporte geral: [email protected]

17. Legislação aplicável e foro

Esta Política é regida pela legislação brasileira, em especial pela LGPD (Lei nº 13.709/2018). Fica eleito o foro da comarca de São Paulo para dirimir controvérsias decorrentes desta Política, sem prejuízo das competências do Código de Defesa do Consumidor quando aplicável.

Versão 1.0 publicada em 13 de abril de 2026.