AVISO IMPORTANTE — MINUTA GERADA POR IA
Este documento é uma minuta elaborada com auxílio de inteligência artificial e tem caráter meramente informativo e referencial. Não constitui aconselhamento jurídico. Antes de qualquer uso em produção, publicação ou vinculação a clientes, este texto deve ser revisado, validado e ajustado por advogado(a) habilitado(a) à realidade da empresa, ao seu fluxo real de dados, aos contratos com subprocessadores e à legislação vigente na data da publicação. A Órus Digital não se responsabiliza pelo uso deste modelo sem a referida revisão.
Política de Privacidade — HexTrack
Versão: 1.0
Data de vigência: junho de 2026
Última atualização: junho de 2026
Esta Política de Privacidade descreve como a plataforma HexTrack, operada pela ÓRUS DIGITAL (CNPJ 38.084.946/0001-56, Campinas/Americana — SP), coleta, utiliza, compartilha, armazena e protege dados pessoais, em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados — LGPD), com a Lei nº 12.965/2014 (Marco Civil da Internet) e com o Código de Defesa do Consumidor (Lei nº 8.078/1990), no que aplicável.
1. Papéis: Controlador e Operador (LGPD, art. 5º, VI e VII)
A LGPD distingue o Controlador (a quem cabem as decisões sobre o tratamento) do Operador (quem trata dados em nome do controlador). No contexto do HexTrack:
| Dados | Papel da HexTrack | Papel do Contratante |
|---|---|---|
| Dados dos leads e clientes do Contratante (conteúdo de conversas de WhatsApp, telefones, nomes, valores de venda, etapa de funil) | Operadora — trata esses dados em nome e sob instruções do Contratante, apenas para prestar o Serviço | Controlador — define as finalidades e detém a base legal perante esses titulares |
| Dados de cadastro e cobrança do próprio Contratante (nome, CPF/CNPJ, e-mail, endereço, dados de pagamento) | Controladora — define as finalidades do tratamento | — |
1.1. Como Operadora dos dados dos leads, a HexTrack não utiliza esses dados para finalidades próprias diversas da prestação do Serviço, e o Contratante (Controlador) é o responsável por garantir base legal, informação aos titulares e atendimento aos direitos dos titulares, com o auxílio da HexTrack.
2. Dados que Coletamos
2.1. Dados do Contratante (HexTrack como Controladora)
- Cadastro: nome, e-mail, telefone, nome da empresa, CPF/CNPJ;
- Cobrança: dados de pagamento, endereço de cobrança, histórico de transações (processados via Asaas);
- Uso da Plataforma: logs de acesso, endereço IP, data e hora de acesso, dados de navegação e de dispositivo;
- Comunicações: mensagens trocadas com o suporte.
2.2. Dados tratados em nome do Contratante (HexTrack como Operadora)
Inseridos, importados ou capturados pelo Contratante por meio do Serviço, incluindo dados de terceiros (os leads e clientes do Contratante):
- Conteúdo de conversas de WhatsApp (texto trocado entre o atendente do Contratante e o lead);
- Telefones e nomes de leads e clientes;
- Valores de venda/negociação e dados de funil (etapa, etiquetas, anotações);
- Dados de origem/atribuição (campanha, conjunto, anúncio, link rastreável, gclid, parâmetros de UTM).
2.3. Registros de acesso (Marco Civil da Internet)
Em cumprimento ao art. 15 da Lei nº 12.965/2014, mantemos os registros de acesso à aplicação sob sigilo, em ambiente controlado e seguro, pelo prazo legal mínimo de 6 (seis) meses, podendo conservá-los por prazo superior por exigência legal ou de autoridade competente.
3. Finalidades e Bases Legais (LGPD, art. 7º)
| Tratamento | Finalidade | Base legal (art. 7º) |
|---|---|---|
| Cadastro e gestão da conta | Criar e administrar o acesso do Contratante | Execução de contrato (inc. V) |
| Cobrança e pagamentos (via Asaas) | Processar a assinatura recorrente | Execução de contrato (inc. V) e obrigação legal/fiscal (inc. II) |
| Prestação das funcionalidades (rastreamento, CRM, IA, chatbot, relatórios) | Operar o Serviço contratado | Execução de contrato (inc. V) — e, quanto aos dados de leads, em nome do Contratante (Controlador) |
| Classificação de conversas por IA (Autopilot) | Atualizar etapa do funil automaticamente | Operação em nome do Controlante; o Contratante deve deter a base legal perante o titular (consentimento — inc. I; ou legítimo interesse — inc. IX) |
| Envio de eventos de conversão a Meta/Google | Otimização de campanhas do Contratante | Operação em nome do Controlante; base legal sob responsabilidade do Contratante |
| Segurança, prevenção a fraude e registros de acesso | Proteger a Plataforma e cumprir o Marco Civil | Obrigação legal (inc. II) e legítimo interesse (inc. IX) |
| Suporte e comunicações operacionais | Atender e informar o Contratante | Execução de contrato (inc. V) |
| Melhoria do produto com dados agregados/anonimizados | Evoluir o Serviço | Legítimo interesse (inc. IX), sobre dados anonimizados |
3.1. Para os dados dos leads (em que a HexTrack é Operadora), a definição da finalidade e da base legal cabe ao Contratante (Controlador), que declara, ao contratar, possuir base legal adequada — em especial consentimento (opt-in) ou legítimo interesse — para o tratamento, inclusive para a leitura do conteúdo das conversas pela IA.
4. Inteligência Artificial (Autopilot)
4.1. O recurso de IA lê o conteúdo das conversas entre o atendente do Contratante e o lead para classificar e atualizar a etapa do funil. Para isso, trechos das conversas podem ser enviados ao subprocessador de IA (OpenAI).
4.2. O tratamento é automatizado e probabilístico. O titular dos dados (lead) que for submetido a decisões automatizadas tem direito de solicitar revisão, conforme o art. 20 da LGPD, dirigindo o pedido ao Contratante (Controlador), que poderá acionar a HexTrack para suporte.
4.3. O Contratante é responsável por informar seus leads, quando aplicável, sobre o uso de IA no tratamento das conversas e por obter a base legal correspondente.
5. Compartilhamento e Subprocessadores
Para operar o Serviço, a HexTrack compartilha dados, na medida necessária, com os seguintes subprocessadores:
| Subprocessador | Finalidade | Dados envolvidos | Localização / Transferência |
|---|---|---|---|
| OpenAI | Classificação de conversas por IA (Autopilot) | Trechos de conteúdo de conversas | EUA — transferência internacional |
| Meta (Facebook/Instagram/WhatsApp) | Envio de eventos de conversão; integração de WhatsApp e Ads | Eventos de conversão, identificadores | EUA — transferência internacional |
| Envio de eventos de conversão; integração Google Ads | Eventos de conversão, identificadores (ex.: gclid) | EUA — transferência internacional | |
| Asaas | Processamento de pagamentos da assinatura | Dados de cobrança do Contratante (CPF/CNPJ, endereço, pagamento) | Brasil |
| Provedor(es) de infraestrutura em nuvem | Hospedagem e operação da Plataforma | Dados hospedados na Plataforma | Conforme contrato vigente |
5.1. A HexTrack adota cláusulas e medidas para que os subprocessadores tratem os dados apenas conforme as finalidades aqui descritas e a legislação aplicável.
5.2. Poderemos ainda compartilhar dados para cumprimento de obrigação legal, ordem de autoridade competente, defesa em processos, ou em operações societárias (fusão, aquisição), sempre nos limites legais.
6. Transferência Internacional de Dados (LGPD, art. 33)
6.1. Parte dos dados é transferida a subprocessadores localizados fora do Brasil (Estados Unidos) — notadamente OpenAI, Meta e Google. Tais transferências observam as hipóteses do art. 33 da LGPD, em especial mediante cláusulas contratuais padrão / garantias contratuais de proteção adequada e/ou, quando exigido, consentimento específico e destacado do titular, sendo o Contratante (Controlador) responsável por colher tal consentimento de seus leads quando essa for a base legal aplicável.
6.2. A HexTrack, como exportadora/operadora, mantém-se como ponto de apoio ao Contratante para o atendimento aos direitos dos titulares relacionados a essas transferências.
7. Retenção e Eliminação
7.1. Os dados são retidos enquanto durar a relação contratual e pelos prazos necessários ao cumprimento de obrigações legais, fiscais e de defesa de direitos.
7.2. Os registros de acesso à aplicação são guardados por, no mínimo, 6 (seis) meses (Marco Civil, art. 15). Dados fiscais/contábeis podem ser retidos pelos prazos legais aplicáveis.
7.3. Encerrado o Contrato, os dados do Contratante e os dados tratados em seu nome poderão ser eliminados após período de cortesia para exportação, ressalvada a guarda exigida por lei. Cabe ao Contratante exportar seus dados antes do encerramento.
8. Segurança da Informação
8.1. A HexTrack adota medidas técnicas e administrativas razoáveis para proteger os dados, tais como criptografia em trânsito (HTTPS/TLS), controle de acesso, segregação de ambientes, registro de logs e backups.
8.2. Nenhum sistema é absolutamente imune; em caso de incidente de segurança que possa acarretar risco ou dano relevante, a HexTrack adotará as providências cabíveis e comunicará o Controlador e, quando aplicável, a ANPD e os titulares, na forma do art. 48 da LGPD.
9. Direitos dos Titulares (LGPD, art. 18)
Todo titular de dados pessoais pode exercer, gratuitamente, os seguintes direitos:
- Confirmação da existência de tratamento;
- Acesso aos dados;
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;
- Portabilidade a outro fornecedor, observada a regulamentação da ANPD;
- Eliminação dos dados tratados com base no consentimento;
- Informação sobre o compartilhamento com terceiros;
- Informação sobre a possibilidade de não consentir e suas consequências;
- Revogação do consentimento;
- Revisão de decisões automatizadas (art. 20).
9.1. Quando os dados forem dos leads do Contratante, o titular deve dirigir o pedido ao Contratante (Controlador); a HexTrack atuará como Operadora para auxiliar no atendimento. Quanto aos dados do próprio Contratante, os pedidos podem ser dirigidos diretamente à HexTrack.
10. Encarregado pelo Tratamento de Dados (DPO — LGPD, art. 41)
Em conformidade com o art. 41 da LGPD, a HexTrack disponibiliza canal de contato com o Encarregado pelo Tratamento de Dados Pessoais (DPO), responsável por receber comunicações de titulares e da ANPD, prestar esclarecimentos e adotar providências:
- Encarregado (DPO): *[a definir — inserir nome do responsável]*
- E-mail de contato: info@hex8.ai
A revisar pelo advogado/empresa: indicar o nome do Encarregado e, se desejado, um e-mail dedicado (ex.: privacidade@hex8.ai ou dpo@hex8.ai).
11. Cookies e Tecnologias Semelhantes
11.1. A Plataforma e o site utilizam cookies e tecnologias similares para autenticação, segurança, funcionamento (cookies essenciais) e, quando aplicável, análise de uso e medição (cookies analíticos/de desempenho).
11.2. Cookies de rastreamento de atribuição (ex.: parâmetros de campanha, gclid) podem ser utilizados nos links rastreáveis e nas páginas de captura operadas por meio do Serviço, conforme configurado pelo Contratante.
11.3. O usuário pode gerenciar cookies nas configurações do navegador; a desativação de cookies essenciais pode comprometer funcionalidades.
12. Crianças e Adolescentes
12.1. O Serviço é destinado a empresas e profissionais e não se dirige a menores de 18 anos. O tratamento de dados de crianças e adolescentes, quando porventura existir, observará o art. 14 da LGPD e é de responsabilidade do Contratante (Controlador).
13. Alterações desta Política
13.1. Esta Política pode ser atualizada a qualquer tempo. Alterações relevantes serão comunicadas por e-mail e/ou aviso na Plataforma. A versão vigente é sempre a publicada neste endereço, com indicação de data e versão.
14. Contato
Dúvidas sobre esta Política ou sobre o tratamento de dados podem ser encaminhadas para:
- ÓRUS DIGITAL — CNPJ 38.084.946/0001-56
- E-mail: info@hex8.ai
- Localização: Campinas / Americana — SP, Brasil
*Documento gerado como minuta em junho de 2026 — versão 1.0. Sujeito a revisão jurídica antes do uso em produção.*