Política de Privacidade (NDStation)
Última atualização: 22 de Maio de 2026
1. INTRODUÇÃO E DEFINIÇÕES (LGPD)
Esta Política descreve como a NDStation coleta, usa, armazena e protege os dados pessoais em conformidade com a Lei Geral de Proteção de Dados (LGPD) e com as políticas de uso de APIs do Google, Meta e demais integrações.
1.1. Controlador: Thiago Rodrigues Esteves (NDStation)
CNPJ: 62.601.367/0001-18
Endereço: Av Visconde do Rio Branco, 718 — Governador Valadares/MG — Brasil
1.2. Operador: A NDStation atua como Operadora de Dados em relação aos dados inseridos pelos Usuários na plataforma (Ex: contatos, mensagens do WhatsApp). O Usuário é o Controlador desses dados.
1.3. Encarregado (DPO): Contato: privacidade@ndstation.com.br
2. DADOS PESSOAIS COLETADOS
Coletamos dois tipos de dados:
2.1. Dados do Usuário (Seu Cliente da NDStation):
Dados de Registro: Nome, e-mail, telefone, dados de login e informações da empresa (CNPJ, endereço) para fins de faturamento e acesso.
Dados de Pagamento: Não são armazenados diretamente; são coletados e processados pelo Stripe ou outro parceiro.
2.2. Dados Inseridos pelo Usuário (Dados dos Seus Clientes/Leads):
Informações de Contato (Nome, Telefone, E-mail dos leads do Usuário).
Conteúdo de Mensagens (texto, áudio, imagens) trocadas via WhatsApp.
Histórico Financeiro (registros de Caixa).
2.3. Dados de Integrações OAuth (Google, Meta, TikTok):
Quando o Usuário conecta uma conta externa (Ex: Google, Facebook, Instagram, TikTok), recebemos apenas os dados necessários ao escopo autorizado, conforme detalhado na Seção 4 abaixo.
3. FINALIDADE DA COLETA DE DADOS
Execução do Contrato: Para fornecer o acesso ao CRM, permitir a comunicação via WhatsApp e executar os Serviços de Agência contratados.
Melhoria do Serviço (IA): Dados anônimos e agregados gerados internamente pela plataforma podem ser usados para aprimorar as funcionalidades de IA. EXCEÇÃO IMPORTANTE: dados obtidos via APIs do Google (Google Calendar, Google Drive, YouTube) NUNCA são utilizados para treinamento de modelos de IA, conforme exigido pela Política de Uso de Dados do Usuário das APIs do Google.
Segurança: Prevenção a fraudes e garantia da segurança da plataforma.
4. USO DE DADOS DE APIs DO GOOGLE (LIMITED USE DISCLOSURE)
4.1. Declaração de Uso Limitado (Limited Use): O uso e a transferência, pelo NDStation, de qualquer informação recebida das APIs do Google para qualquer outro aplicativo aderem à Google API Services User Data Policy, incluindo os requisitos de Uso Limitado (Limited Use).
Em conformidade com essa política, a NDStation NÃO:
a) Usa dados das APIs do Google para fins publicitários ou de remarketing;
b) Permite que humanos leiam os dados, exceto: (i) com consentimento explícito do usuário; (ii) para fins de segurança (Ex: investigar abuso); (iii) para cumprir obrigação legal; ou (iv) quando os dados são agregados e anonimizados para uso interno operacional;
c) Transfere dados das APIs do Google a terceiros, exceto: (i) quando necessário para fornecer ou melhorar funcionalidades visíveis ao próprio usuário; (ii) por motivos de segurança; ou (iii) para cumprir lei aplicável;
d) Vende dados obtidos das APIs do Google a terceiros sob nenhuma circunstância;
e) Utiliza dados das APIs do Google para desenvolver, melhorar ou treinar modelos generalizados de Inteligência Artificial ou Machine Learning.
4.2. Escopos OAuth solicitados e finalidade de cada:
a) https://www.googleapis.com/auth/calendar.events e https://www.googleapis.com/auth/calendar.readonly
Finalidade: Sincronizar eventos (reuniões e agendamentos) do Google Calendar do Usuário com a agenda do NDStation, exibir compromissos no calendário interno, e criar/editar/excluir eventos a pedido explícito do Usuário a partir da plataforma.
b) https://www.googleapis.com/auth/drive.file
Finalidade: Armazenar e recuperar APENAS arquivos criados pelo NDStation no Google Drive do Usuário (Ex: relatórios exportados, contratos gerados). Não temos acesso ao restante do Drive do Usuário.
c) https://www.googleapis.com/auth/youtube.upload
Finalidade: Publicar vídeos no canal de YouTube do Usuário a partir do módulo Social Media do NDStation, a pedido explícito e ação direta do Usuário (upload manual de mídia com título, descrição e capa). Não publicamos vídeos automaticamente nem em background.
d) https://www.googleapis.com/auth/youtube.readonly
Finalidade: Listar os vídeos já publicados pelo Usuário no seu canal e exibir métricas básicas (visualizações, curtidas, comentários) no painel de Social Media.
e) openid, email, profile, userinfo.email, userinfo.profile
Finalidade: Autenticar o Usuário e exibir seu nome e foto de perfil na interface do NDStation.
4.3. Retenção e exclusão de dados Google:
Tokens de acesso (access_token) são renovados automaticamente e ficam ativos pelo prazo definido pelo Google (60 minutos). Tokens de renovação (refresh_token) são mantidos enquanto a conta do Usuário estiver conectada. Eventos do Google Calendar são cacheados localmente apenas por sessão; não são persistidos em banco de dados após o logout. Vídeos do YouTube e arquivos do Drive não são armazenados em nossos servidores — apenas referências (IDs) e metadados (título, data) ficam no banco para histórico.
O Usuário pode revogar o acesso a qualquer momento em https://myaccount.google.com/permissions, ou clicando em "Desconectar" no painel de Integrações do NDStation. Após a revogação, todas as referências e metadados associados são apagados em até 7 dias.
5. COMPARTILHAMENTO DE DADOS COM TERCEIROS
A NDStation compartilha os dados estritamente necessários para a operação do serviço:
a) Meta/WhatsApp/Facebook/Instagram: Conteúdo das mensagens, dados de envio e publicações são trafegados pela Meta (Facebook) para que sejam entregues e exibidos nas redes sociais conectadas pelo Usuário.
b) Google: Dados de eventos de calendário, arquivos do Drive criados pelo app e vídeos enviados ao YouTube são trafegados pelas APIs do Google.
c) TikTok: Vídeos enviados ao TikTok pelo módulo Social Media são trafegados pela TikTok Content Posting API.
d) Stripe: Para processamento de pagamentos.
e) Provedores de Nuvem (Hostinger, Supabase): Para armazenamento seguro de arquivos, mídia e dados estruturados.
6. DIREITOS DO TITULAR (LGPD)
O Usuário e os titulares de dados inseridos na plataforma têm os seguintes direitos, que podem ser exercidos mediante solicitação a privacidade@ndstation.com.br:
a) Acesso e confirmação da existência de tratamento;
b) Correção de dados incompletos ou desatualizados;
c) Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade com a LGPD;
d) Portabilidade dos dados;
e) Revogação do consentimento (para finalidades não obrigatórias).
O atendimento à solicitação ocorre em até 15 dias úteis.
7. SEGURANÇA E ARMAZENAMENTO
7.1. Os dados são armazenados em servidores localizados no Brasil (Hostinger) e na infraestrutura Supabase (AWS São Paulo, região sa-east-1).
7.2. Criptografia em trânsito (TLS 1.2+ / HTTPS) e em repouso (AES-256).
7.3. Tokens OAuth são armazenados criptografados no banco de dados.
7.4. Acesso a dados é restrito a colaboradores autorizados via controle de identidade e autenticação multifator (MFA).
7.5. Logs de acesso são mantidos por 6 meses (Marco Civil da Internet).
7.6. Backups são realizados diariamente e mantidos por 30 dias.
8. RETENÇÃO E EXCLUSÃO DE CONTA
Dados pessoais são mantidos enquanto a conta estiver ativa. Após a exclusão (ver Termo de Exclusão de Conta), os dados são apagados em até 30 dias, exceto registros de transações financeiras (5 anos — legislação tributária) e logs de acesso (6 meses — Marco Civil).
Procedimento: Painel de Configurações > Conta > Zona de Perigo > Excluir Conta, OU e-mail para privacidade@ndstation.com.br com assunto "EXCLUSÃO DE CONTA".
9. CONTATO
Dúvidas sobre esta Política, exercício de direitos ou incidentes de segurança:
E-mail (DPO): privacidade@ndstation.com.br
E-mail Geral: contato@ndstation.com.br
Telefone: (33) 98888-1893
Endereço: Av Visconde do Rio Branco, 718 — Governador Valadares/MG — Brasil