Política de Privacidade

Última atualização: 25 de fevereiro de 2026

Versão 2.0 — Veja também nossos Termos de Uso.

1. Identificação do Controlador de Dados

Razão Social: LensBot Tecnologia LTDA

Nome Fantasia: LensBot

CNPJ: Em processo de registro

Endereço: São Paulo, SP — Brasil

Website: uselensbot.com

Email de contato: contato@uselensbot.com

A LensBot (“nós”, “nosso”, “plataforma” ou “Controlador”) é responsável pelo tratamento dos dados pessoais descritos nesta Política de Privacidade, nos termos da Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — LGPD).

2. Encarregado de Proteção de Dados (DPO)

Em conformidade com o Art. 41 da LGPD, designamos um Encarregado pelo Tratamento de Dados Pessoais:

Encarregado (DPO): Gabriel de Sousa Litz

Email: privacidade@uselensbot.com

O Encarregado é o canal de comunicação entre o Controlador, os titulares de dados e a Autoridade Nacional de Proteção de Dados (ANPD).

3. Sobre a Plataforma

A LensBot é uma plataforma de marketing digital com inteligência artificial desenvolvida exclusivamente para óticas e lojas do segmento óptico. Nossos serviços permitem que donos de óticas criem conteúdo profissional para redes sociais, gerenciem suas marcas e publiquem diretamente no Instagram — tudo de forma simples e automatizada.

Público-alvo: Empresários e profissionais do setor óptico. A plataforma é destinada a usuários maiores de 18 (dezoito) anos. Não coletamos intencionalmente dados de menores de idade (Art. 14, LGPD).

4. Dados Pessoais que Coletamos

4.1 Dados fornecidos diretamente por você

Dados de cadastro: nome completo, endereço de email e senha (armazenada com hash criptográfico bcrypt, nunca em texto puro).
Dados da sua ótica: nome da empresa, logotipo, cores da marca, descrição do negócio, endereço comercial e informações de contato.
Conteúdo criado: imagens geradas, legendas, posts, agendamentos e preferências de criação.

4.2 Dados coletados via integração com Instagram (Meta Platforms)

Quando você conecta voluntariamente sua conta do Instagram Business à LensBot, utilizamos o Instagram Business Login com as seguintes permissões oficiais da API da Meta:

instagram_business_basic — Acessa informações básicas do seu perfil Instagram Business:

ID da conta Instagram (identificador numérico)
Nome de usuário (@username)
Foto de perfil
Tipo de conta (Business/Creator)
Contagem de seguidores e publicações
Métricas e insights de alcance, impressões e engajamento das publicações

instagram_business_content_publish — Permite publicar conteúdo no seu feed do Instagram:

Criação e publicação de fotos com legendas no seu feed
Agendamento de publicações para data e hora escolhidas por você

instagram_business_manage_messages (futuro, sujeito a aprovação) — Poderá permitir a gestão de mensagens diretas para atendimento automatizado.

Importante: Não acessamos sua senha do Instagram. A conexão é feita via protocolo OAuth 2.0 seguro, que gera um token de acesso temporário. Não acessamos dados de páginas do Facebook — a integração é feita exclusivamente via Instagram Business Login.

4.3 Dados de pagamento

Pagamentos são processados integralmente pelo Stripe, Inc. Não armazenamos números de cartão de crédito, CVV ou dados bancários em nossos servidores. Armazenamos apenas:

Identificador do cliente no Stripe (customer ID)
Status da assinatura (ativa, cancelada, em atraso)
Plano contratado e datas de faturamento
Histórico de faturas (valores e status de pagamento)

4.4 Dados de uso e navegação

Páginas visitadas, funcionalidades utilizadas e ações realizadas na plataforma
Data e hora de acesso
Endereço IP (para segurança e prevenção de fraudes)
Tipo de navegador e sistema operacional

4.5 Cookies

Utilizamos apenas cookies estritamente necessários para o funcionamento da plataforma:

session: Cookie HTTP-only que mantém sua sessão autenticada (contém um JWT — JSON Web Token). Duração: 7 dias.
refreshToken: Cookie HTTP-only para renovação automática da sessão. Duração: 30 dias.

Não utilizamos cookies de rastreamento, analytics de terceiros, pixels de publicidade ou qualquer mecanismo de tracking comportamental. Não compartilhamos dados de navegação com redes de publicidade.

5. Bases Legais para o Tratamento de Dados (Art. 7, LGPD)

Tratamos seus dados pessoais com base nas seguintes hipóteses legais previstas na LGPD:

Finalidade	Base Legal
Criar e manter sua conta	Execução de contrato (Art. 7, V)
Gerar imagens e legendas com IA	Execução de contrato (Art. 7, V)
Publicar conteúdo no Instagram	Consentimento explícito (Art. 7, I)
Acessar métricas e insights do Instagram	Consentimento explícito (Art. 7, I)
Processar pagamentos	Execução de contrato (Art. 7, V)
Enviar emails transacionais	Execução de contrato (Art. 7, V)
Segurança e prevenção de fraudes	Legítimo interesse (Art. 7, IX)
Cumprir obrigações legais	Obrigação legal (Art. 7, II)

Consentimento para integração com Instagram: A conexão da sua conta do Instagram é voluntária e requer seu consentimento explícito via fluxo de autorização OAuth. Você pode revogar esse consentimento a qualquer momento desconectando sua conta nas configurações da plataforma.

Consequências de negar o consentimento: Caso opte por não conectar o Instagram, você ainda poderá utilizar todas as funcionalidades de criação de conteúdo (geração de imagens e legendas com IA), mas não será possível publicar automaticamente no Instagram nem visualizar métricas de desempenho.

6. Finalidades do Tratamento

Seus dados são tratados para as seguintes finalidades específicas:

Prestação do serviço: Criar sua conta, armazenar dados da sua ótica, gerar criativos com IA e gerenciar seus posts.
Publicação no Instagram: Publicar imagens e legendas no feed do seu Instagram Business quando você agendar ou solicitar uma publicação.
Análise de desempenho: Exibir métricas e insights das suas publicações no Instagram (alcance, impressões, engajamento) no painel da plataforma.
Processamento de pagamentos: Cobrar e gerenciar assinaturas dos planos pagos via Stripe.
Comunicações essenciais: Enviar emails de confirmação de cadastro, recuperação de senha, alertas de segurança e notificações importantes sobre sua conta.
Segurança: Proteger a plataforma contra acessos não autorizados, fraudes e abusos.
Melhoria do serviço: Analisar padrões de uso agregados e anonimizados para melhorar a experiência da plataforma.

Não utilizamos seus dados para: publicidade direcionada, venda de dados a terceiros, criação de perfis comportamentais para fins de marketing, envio de spam ou qualquer finalidade não descrita nesta política.

7. Decisões Automatizadas e Inteligência Artificial

A LensBot utiliza inteligência artificial (Google Gemini) para gerar conteúdo de marketing, incluindo imagens e legendas para posts do Instagram. Informamos que:

A IA gera sugestões de conteúdo — você sempre tem a decisão final de aprovar, editar ou descartar o conteúdo antes de publicar.
Dados enviados à IA incluem: informações da sua ótica (nome, cores, segmento), o tema/objetivo do post e instruções que você fornece. Não enviamos seus dados pessoais (email, senha, dados de pagamento) para a IA.
O conteúdo gerado pela IA é processado pela API do Google Gemini. A Google processa esses dados de acordo com sua própria política de privacidade e termos de API.
Nenhuma decisão automatizada que produza efeitos jurídicos ou que afete significativamente seus interesses é tomada sem sua revisão.

Conforme Art. 20 da LGPD, você tem o direito de solicitar a revisão de decisões automatizadas que afetem seus interesses, entrando em contato pelo email privacidade@uselensbot.com.

8. Compartilhamento de Dados com Terceiros

Não vendemos, alugamos ou comercializamos seus dados pessoais. Compartilhamos dados apenas com os prestadores de serviço estritamente necessários para o funcionamento da plataforma, com os quais mantemos compromissos contratuais de proteção de dados:

Parceiro	Finalidade	Dados compartilhados	País
Meta Platforms / Instagram	Publicação de conteúdo e leitura de métricas	Token OAuth, imagens e legendas para publicação	EUA
Google (Gemini API)	Geração de imagens e textos com IA	Dados da ótica (nome, cores, segmento), instrução do post	EUA
Stripe, Inc.	Processamento de pagamentos	Email, dados de cobrança fornecidos no checkout	EUA
Resend	Envio de emails transacionais	Email e nome do destinatário	EUA
Cloudflare (R2)	Armazenamento de arquivos (imagens, logos)	Arquivos enviados pelo usuário e imagens geradas	Global (CDN)

Também podemos compartilhar dados quando exigido por lei, ordem judicial, ou para proteger direitos, propriedade ou segurança da LensBot, de nossos usuários ou do público.

9. Transferência Internacional de Dados

Para a prestação dos nossos serviços, seus dados pessoais podem ser transferidos e processados fora do Brasil, especificamente nos Estados Unidos da América, onde estão localizados os servidores dos nossos prestadores de serviço (Meta, Google, Stripe, Resend, Cloudflare).

Essas transferências são realizadas com base nas seguintes salvaguardas, em conformidade com os Arts. 33 a 36 da LGPD:

Cláusulas contratuais padrão: Mantemos acordos de proteção de dados com nossos prestadores de serviço que incluem compromissos equivalentes aos da LGPD.
Garantias do destinatário: Todos os parceiros listados possuem certificações e programas de conformidade com leis de proteção de dados (GDPR, Privacy Shield, SOC 2, entre outros).
Minimização de dados: Transferimos apenas os dados estritamente necessários para cada finalidade específica.

10. Segurança dos Dados

Empregamos medidas técnicas e organizacionais adequadas para proteger seus dados pessoais contra acesso não autorizado, destruição, perda, alteração ou vazamento:

Criptografia de senhas: Todas as senhas são armazenadas com hash bcrypt (12 rounds de salt). Nunca armazenamos senhas em texto puro.
Tokens criptografados: Tokens de acesso do Instagram são armazenados de forma criptografada no banco de dados.
HTTPS obrigatório: Toda comunicação entre você e nossos servidores utiliza criptografia TLS/SSL.
Isolamento multi-tenant: Utilizamos Row-Level Security (RLS) no PostgreSQL, garantindo que cada usuário acesse exclusivamente seus próprios dados. Nenhum usuário pode ver ou acessar dados de outro.
Autenticação por JWT: Sessões autenticadas via JSON Web Tokens assinados com chave secreta, transmitidos exclusivamente em cookies HTTP-only.
Infraestrutura protegida: Servidores com firewall configurado, acesso SSH restrito por chave criptográfica, e banco de dados acessível apenas via rede interna.
Rate limiting: Proteção contra ataques de força bruta com limitação de requisições por IP.

11. Retenção e Exclusão de Dados

11.1 Períodos de retenção

Categoria de dados	Período de retenção
Dados de conta (nome, email)	Enquanto a conta estiver ativa + 30 dias após exclusão
Dados da ótica e conteúdo criado	Enquanto a conta estiver ativa + 30 dias após exclusão
Token do Instagram	Até desconexão pelo usuário (excluído imediatamente ao desconectar)
Métricas e insights do Instagram	Enquanto a conta Instagram estiver conectada
Dados de pagamento (Stripe IDs)	5 anos após última transação (obrigação fiscal)
Logs de segurança	90 dias
Códigos de recuperação de senha	10 minutos (expiram automaticamente)

11.2 Exclusão de dados

Seus dados serão excluídos permanentemente nos seguintes cenários:

Exclusão da conta pelo usuário: Ao solicitar a exclusão da sua conta, seus dados são marcados para exclusão e removidos permanentemente após 30 dias. Durante esse período, é possível cancelar a exclusão.
Desconexão do Instagram: Ao desconectar sua conta do Instagram, o token de acesso e dados associados são excluídos imediatamente.
Solicitação da Meta: Se a Meta Platforms solicitar a exclusão de dados de um usuário que removeu o aplicativo LensBot do Instagram, processamos a exclusão automaticamente via nosso endpoint de callback de exclusão de dados.
Solicitação do titular: Você pode solicitar a exclusão de dados específicos ou de todos os seus dados a qualquer momento (veja seção 12).

11.3 Callback de Exclusão de Dados da Meta

Em conformidade com os requisitos da Meta Platform, implementamos um endpoint de callback para exclusão de dados (POST /api/meta/data-deletion). Quando um usuário remove o aplicativo LensBot via configurações do Instagram, a Meta envia uma solicitação assinada (HMAC-SHA256) para esse endpoint, e todos os dados do Instagram associados ao usuário são excluídos automaticamente.

Após o processamento, fornecemos um código de confirmação e uma URL de verificação de status, conforme exigido pela Meta.

12. Seus Direitos como Titular de Dados (Art. 18, LGPD)

Em conformidade com a Lei Geral de Proteção de Dados, você possui os seguintes direitos, que podem ser exercidos a qualquer momento:

I. Confirmação de tratamento: Confirmar a existência de tratamento de dados pessoais.
II. Acesso aos dados: Acessar todos os dados pessoais que mantemos sobre você.
III. Correção: Corrigir dados incompletos, inexatos ou desatualizados.
IV. Anonimização, bloqueio ou eliminação: Solicitar anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
V. Portabilidade: Solicitar a portabilidade dos seus dados a outro fornecedor de serviço, mediante requisição expressa.
VI. Eliminação com consentimento: Solicitar a eliminação dos dados tratados com base no seu consentimento, exceto nas hipóteses de conservação previstas no Art. 16 da LGPD.
VII. Informação sobre compartilhamento: Obter informação sobre as entidades públicas e privadas com as quais compartilhamos seus dados.
VIII. Informação sobre consentimento: Ser informado sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
IX. Revogação do consentimento: Revogar o consentimento a qualquer momento, de forma gratuita e facilitada.

Como exercer seus direitos:

Na plataforma: Acesse Configurações para editar, exportar ou excluir seus dados diretamente.
Por email: Envie sua solicitação para privacidade@uselensbot.com com o assunto “Exercício de Direitos LGPD”.

Responderemos sua solicitação em até 15 (quinze) dias, conforme previsto na LGPD. Poderemos solicitar comprovação de identidade para segurança do processo.

12.1 Revisão de decisões automatizadas (Art. 20, LGPD)

Você tem o direito de solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados pessoais que afetem seus interesses, incluindo decisões destinadas a definir seu perfil pessoal, profissional, de consumo e de crédito ou os aspectos de sua personalidade.

13. Incidentes de Segurança

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares de dados, nos comprometemos a:

Comunicar a Autoridade Nacional de Proteção de Dados (ANPD) em prazo razoável, conforme Art. 48 da LGPD.
Comunicar os titulares afetados, descrevendo a natureza dos dados afetados, as medidas técnicas e de segurança adotadas, os riscos relacionados ao incidente e as medidas que foram ou serão adotadas para mitigar os efeitos.
Documentar internamente o incidente, incluindo causa, extensão, medidas corretivas e preventivas.

14. Conformidade com Políticas da Meta Platforms

A LensBot opera em conformidade com os Termos da Plataforma Meta, a Política de Uso de Dados da Meta para Desenvolvedores e as Diretrizes da Comunidade do Instagram. Especificamente:

Utilizamos dados da API do Instagram exclusivamente para as finalidades declaradas nesta política e aprovadas pela Meta.
Não vendemos, licenciamos ou compramos dados obtidos via API do Instagram.
Não utilizamos dados do Instagram para vigilância, criação de perfis discriminatórios ou qualquer finalidade não autorizada.
Implementamos o endpoint de callback de exclusão de dados conforme exigido pela Meta.
Mantemos registros de tratamento de dados e estamos preparados para auditorias de conformidade da Meta.
Excluímos todos os dados obtidos via API do Instagram quando: (a) o usuário desconecta o Instagram; (b) o usuário exclui sua conta; (c) a Meta solicita exclusão; (d) os dados não são mais necessários para a finalidade original.

15. Alterações nesta Política

Podemos atualizar esta Política de Privacidade periodicamente para refletir mudanças em nossos serviços, práticas de proteção de dados ou exigências legais. Quando realizarmos alterações significativas:

Atualizaremos a data de “última atualização” no topo desta página.
Enviaremos uma notificação por email para os usuários afetados.
Exibiremos um aviso na plataforma quando aplicável.

Recomendamos que você revise esta política periodicamente. O uso continuado da plataforma após alterações constitui aceitação da política atualizada.

16. Autoridade Nacional de Proteção de Dados (ANPD)

Se você acredita que o tratamento dos seus dados pessoais viola a LGPD, você tem o direito de apresentar uma reclamação à:

Autoridade Nacional de Proteção de Dados (ANPD)

Website: www.gov.br/anpd

Email: anpd@anpd.gov.br

Recomendamos que entre em contato conosco primeiro pelo email privacidade@uselensbot.com, para que possamos resolver sua questão diretamente.

17. Legislação Aplicável e Foro

Esta Política de Privacidade é regida pelas leis da República Federativa do Brasil, em especial:

Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018 — LGPD)
Marco Civil da Internet (Lei nº 12.965/2014)
Código de Defesa do Consumidor (Lei nº 8.078/1990 — CDC)

Para a resolução de quaisquer controvérsias, fica eleito o foro da comarca do domicílio do usuário, conforme Art. 101, I do Código de Defesa do Consumidor.

Contato

Para dúvidas sobre esta Política de Privacidade ou para exercer seus direitos:

Email geral: contato@uselensbot.com
Email de privacidade (DPO): privacidade@uselensbot.com
Plataforma: uselensbot.com