Política de Privacidade

1. Introdução

A DLS DIGITAL LTDA - ME, inscrita no CNPJ sob o nº 51.309.642/0001-08, doravante denominada simplesmente "LowTrack", "nós", "nosso(a)" ou "plataforma", é uma empresa brasileira de tecnologia dedicada ao desenvolvimento de soluções de rastreamento, atribuição de conversões e automação de campanhas publicitárias digitais. O presente documento constitui a Política de Privacidade da LowTrack e tem por finalidade informar, de maneira transparente, clara e acessível, como tratamos os dados pessoais dos usuários de nossa plataforma, sejam eles clientes diretos (anunciantes, lojistas, gestores de tráfego) ou titulares de dados cujas informações são processadas em virtude das relações comerciais mantidas por nossos clientes com seus consumidores finais.

A LowTrack se compromete integralmente com os princípios e garantias estabelecidos na Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais — LGPD), no Decreto nº 7.724/2012 (Marco Civil da Internet), bem como nas normas correlatas do ordenamento jurídico brasileiro e das melhores práticas internacionais de governança da informação e privacidade. Ao utilizar nossos serviços, disponíveis por meio do domínio lowtrack.com.br e subdomínios associados, o usuário declara ter lido, compreendido e concordado com os termos aqui estipulados.

2. Papéis e Relação Jurídica (Controlador x Operador)

A LGPD distingue entre controlador, operador e encarregado (DPO). Para fins de transparência jurídica, esclarecemos nossos papéis em cada contexto de tratamento:

• Cliente LowTrack (anunciante/gestor): quando você se cadastra em nossa plataforma, fornecendo nome, e-mail e outras informações de identificação, a LowTrack atua como controladora desses dados, respondendo diretamente pelo tratamento em conformidade com a LGPD.
• Clientes finais (compradores/consumidores): quando sua loja ou funil de vendas envia dados de clientes finais para nossa plataforma, via webhook de venda ou pixel de rastreamento, você (nosso cliente) é o controlador desses dados. A LowTrack atua estritamente como operadora, tratando tais dados apenas para executar as finalidades contratadas (atribuição de vendas, envio de eventos CAPI, geração de métricas, regras automáticas), sem utilização para finalidades próprias ou diversas daquelas autorizadas.
• Processamento de dados pelo Meta/Google: a LowTrack pode, a critério do cliente, encaminhar eventos e dados ao Meta Platforms, Inc. (Meta Ads) e outras plataformas parceiras. Nesse fluxo, a LowTrack atua como suboperadora, e o cliente deve verificar os termos de privacidade do destinatário final.

3. Definições e Glossário

Para fins de interpretação uniforme desta Política, adotamos os seguintes significados:

• Dado pessoal: informação relacionada a pessoa natural identificada ou identificável, conforme art. 5º, inciso I, da LGPD.
• Dado pessoal sensível: dado sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, saúde, vida sexual, dado genético ou biométrico (art. 5º, inciso II, LGPD).
• Tratamento: toda operação realizada com dados pessoais, como coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle (art. 5º, inciso X, LGPD).
• Titular: pessoa natural a quem se referem os dados pessoais (art. 5º, inciso V, LGPD).
• Controlador: pessoa natural ou jurídica que decide sobre o tratamento de dados pessoais.
• Operador: pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador.
• Encarregado (DPO): pessoa indicada pelo controlador para atuar como canal de comunicação entre o controlador, o titular e a ANPD.
• Pixel: script JavaScript de rastreamento inserido pelo cliente em suas páginas de vendas, responsável por capturar UTMs, identificadores de clique e dados de navegação.
• Webhook: endpoint HTTP configurado para receber, em tempo real, notificações de eventos de compra das plataformas de pagamento integradas pelo cliente.
• CAPI (Conversions API): API do Meta Ads que permite o envio direto de eventos de conversão do servidor para o Meta, complementando o rastreamento via navegador.
• UTM: parâmetros de campanha (utm_source, utm_medium, utm_campaign, utm_content, utm_term) utilizados para identificar a origem do tráfego.

4. Base Legal para o Tratamento de Dados

Todo tratamento realizado pela LowTrack fundamenta-se em bases legais específicas previstas no art. 7º e art. 11 da LGPD, conforme detalhado abaixo:

Finalidade	Base Legal (LGPD)	Descrição
Cadastro e autenticação	Art. 7º, IV — execução de contrato	Para criar e gerenciar sua conta na plataforma.
Integração com Meta Ads	Art. 7º, IV — execução de contrato	Para sincronizar campanhas e métricas conforme contratado.
Rastreamento via pixel (cliente final)	Art. 7º, V — legítimo interesse do controlador (cliente)	Atribuição de vendas e otimização de campanhas.
Webhook de vendas (cliente final)	Art. 7º, V — legítimo interesse do controlador (cliente)	Registro de transações e cálculo de KPIs.
Envio de eventos CAPI ao Meta	Art. 7º, V — legítimo interesse / Art. 7º, I — consentimento	Quando habilitado pelo cliente na integração.
Notificações operacionais	Art. 7º, IV — execução de contrato	E-mails e push sobre conta e campanhas.
Regras automáticas e IA	Art. 7º, IV — execução de contrato	Quando o cliente contrata o add-on de Gestor IA.
Logs de segurança	Art. 7º, VI — legítimo interesse da LowTrack	Proteção da infraestrutura e prevenção de fraudes.
Cumprimento de obrigação legal	Art. 7º, II — obrigação legal	Retenção de dados exigida por lei ou ordem judicial.

5. Dados que Coletamos

Os dados tratados pela LowTrack dividem-se em três grandes categorias:

5.1. Dados de Cadastro do Cliente LowTrack

• Identificação: nome completo ou nome de exibição, endereço de e-mail.
• Autenticação: credenciais de login (senha com hash criptográfico), tokens OAuth do Google (quando login via Google é utilizado).
• Perfil: foto de perfil carregada via OAuth Google, preferências de uso da plataforma.
• Faturamento: dados necessários à emissão de notas fiscais e cobrança, quando aplicável.

5.2. Dados de Integração e Operacionais

• Meta Ads: tokens de acesso OAuth do Meta (criptografados em AES-256-GCM), identificadores de contas de anúncio (ad_account_id), identificadores de campanhas, conjuntos de anúncios e anúncios criativos (ads).
• Plataformas de pagamento: webhooks recebidos de gateways parceiros (Hotmart, Monetizze, Eduzz, Nuvem Shop, BananaPay, Hero Checkout, entre outros), contendo dados de transação.
• Preferências: filtros salvos, configurações de dashboards, integrações ativas, notificações habilitadas.

5.3. Dados de Clientes Finais (coletados via pixel e webhook)

• Rastreamento (pixel): parâmetros UTM (source, medium, campaign, content, term), identificadores de clique (fbclid, gclid, wbraid), endereço IP, user-agent do navegador, fbp (Facebook browser ID) e fbc (Facebook click ID), geolocalização aproximada (cidade, estado, país) obtida por geolocalização de IP.
• Webhook de vendas: nome completo do comprador, endereço de e-mail, número de telefone, CPF, endereço IP no momento da compra, identificador da transação, valor pago, produto adquirido, dados de entrega (quando fornecidos pelo gateway).

6. Finalidades Detalhadas por Categoria de Dado

Abaixo detalhamos como cada categoria de dado é utilizada:

1. Cadastro e conta (cliente): criação e gestão do acesso, suporte técnico, comunicações operacionais sobre serviço, faturamento e cobrança.
2. Dados de campanhas e anúncios (Meta Ads): sincronização diária de campanhas, leitura de spend, impressões, cliques, visualizações, conversões; atribuição de vendas aos criativos/conjuntos/campanhas correspondentes.
3. Cliques e navegação (pixel): atribuição de vendas a campanhas específicas com base nos parâmetros UTM e identificadores de clique; cálculo de taxas de conversão por fonte de tráfego.
4. Vendas (webhook): registro de receita, cálculo de ROI, análise de produtos, order bumps, taxa de aprovação, geração de relatórios e dashboards para o cliente.
5. CAPI (Meta): envio de eventos de compra, iniciação de checkout, visualização de página e outros eventos customizados ao Meta Ads, de forma a melhorar o desempenho dos algoritmos de otimização de audiência.
6. Notificações e push: envio de alertas sobre gasto de campanhas, ações da IA, vencimento de plano, relatórios diários.
7. Regras automáticas (add-on IA): análise automática de KPIs, sugestão e execução de ações (pausar campanha, ajustar orçamento, duplicar anúncio, notificar gestor).

7. Compartilhamento de Dados e Subprocessadores

A LowTrack não vende, aluga ou comercializa dados pessoais de qualquer natureza. Os dados são compartilhados apenas com subprocessadores estritamente necessários à operação da plataforma, conforme tabela abaixo:

Subprocessador	Finalidade	Localização	Garantias
Meta Platforms, Inc.	Envio de eventos CAPI e leitura de métricas de anúncios	Estados Unidos / Irlanda	Cláusulas contratuais padrão e termos de uso do Meta
Google LLC	Autenticação OAuth (login) e Firebase Cloud Messaging (push)	Estados Unidos	Termos de serviço Google e LGPD
EasyPanel / Hospedeiro de Infraestrutura	Hospedagem de servidores, banco de dados e aplicação	Brasil	Contrato de hospedagem com cláusulas de confidencialidade
Cloudflare, Inc.	CDN, proteção DDoS, DNS e armazenamento R2 (mídias)	Estados Unidos / Global	Termos de privacidade Cloudflare e adequação à LGPD
Mercado Pago / Lowify	Processamento de assinaturas e cobranças da plataforma LowTrack	Brasil	Contrato de prestação de serviços de pagamento
Autoridades competentes	Cumprimento de ordem judicial ou obrigação legal	Brasil	Requisição fundamentada na legislação vigente

Para solicitar a lista atualizada de subprocessadores, encaminhe e-mail para lgpd@lowtrack.com.br.

8. Segurança da Informação e Proteção de Dados

A LowTrack adota um conjunto abrangente de controles de segurança, alinhados às melhores práticas da indústria e às exigências do art. 46 da LGPD:

8.1. Camadas de Segurança Técnica

• Criptografia em trânsito: todo o tráfego entre usuário e plataforma utiliza TLS 1.2 ou superior (HTTPS). Redirecionamento automático de HTTP para HTTPS.
• Criptografia em repouso: tokens de acesso a terceiros (Meta Ads, Google OAuth) são criptografados com AES-256-GCM antes de serem armazenados no banco de dados.
• Hash de senhas: credenciais de acesso são armazenadas com algoritmo bcrypt, com salt automático, impedindo a recuperação da senha original mesmo em caso de vazamento do banco.
• Isolamento multi-tenant: todos os dados são segregados por dashboard_id, garantindo que um cliente nunca acesse os dados de outro.
• Rate limiting: controle de requisições por IP e por usuário (30/min para endpoints principais, 60/min para tracking), prevenindo abuso e ataques de força bruta.
• Filtro anti-bot: validação de user-agent, bloqueio de crawlers maliciosos, requisições de social previewers e ferramentas de monitoramento automatizado.
• Proteção de endpoints: validação de tokens Bearer, autenticação por sessão ou HMAC, verificação de origem (CORS restrito para endpoints internos, liberado apenas para pixel e webhooks).
• Validação de inputs: todos os parâmetros recebidos via pixel e webhook passam por validação rigorosa de tipo, tamanho e caracteres permitidos, mitigando injeção de código e ataques XSS.

8.2. Camadas de Segurança Administrativa

• Acesso aos servidores restrito a pessoal autorizado, com autenticação por chave SSH e 2FA.
• Logs de auditoria de acessos administrativos.
• Política interna de uso aceitável e confidencialidade assinada por todos os colaboradores.
• Revisão periódica de permissões e contas de serviço.
• Backup diário automatizado do banco de dados, com retenção mínima de 7 dias.

9. Incidentes de Segurança e Comunicação

Em conformidade com o art. 46, §3º, da LGPD, a LowTrack mantém plano de resposta a incidentes de segurança. Caso ocorra qualquer evento que possa comprometer a confidencialidade, integridade ou disponibilidade dos dados pessoais tratados:

1. A LowTrack avaliará imediatamente a natureza, extensão e gravidade do incidente.
2. Adotará medidas técnicas e administrativas para conter o evento e mitigar danos.
3. Notificará a ANPD, nos termos do art. 46, §3º, da LGPD, quando o incidente apresentar risco ou dano relevante aos titulares.
4. Comunicará aos titulares afetados (clientes LowTrack) e, quando exigível, aos titulares de dados finais (compradores), por meio dos canais de contato cadastrados.

O prazo de notificação à ANPD observará o limite legal de tempo razoável, considerando a complexidade do incidente e a necessidade de investigação interna. A notificação conterá descrição do incidente, dados afetados, medidas adotadas e orientações aos titulares.

10. Prazos de Retenção e Eliminação

Aplicamos rigorosamente o princípio da minimização (art. 6º, III, LGPD) e da necessidade (art. 16, LGPD). Os prazos de retenção são:

Categoria de Dado	Prazo de Retenção	Método de Eliminação
Dados de cliente final (nome, e-mail, telefone, CPF)	7 dias após a venda	Exclusão automática via rotina diária (cron)
Cliques e navegação (IP, user-agent, fbp/fbc, geo)	7 dias	Exclusão automática via rotina diária (cron)
Logs de acesso e segurança	3 dias	Exclusão automática via rotina diária (cron)
Métricas agregadas (spend, receita, ROAS — sem PII)	Indefinido	Não aplicável (dados anonimizados/estatísticos)
Dados de cadastro do cliente LowTrack	Enquanto a conta estiver ativa	Exclusão em até 30 dias após solicitação ou inatividade prolongada
Dados de faturamento (notas fiscais)	5 anos ou prazo legal exigido	Arquivamento conforme legislação tributária

A LowTrack reserva-se o direito de manter dados por prazo superior ao indicado quando necessário para cumprimento de obrigação legal, exercício regular de direito em processo judicial ou proteção de crédito, nos termos do art. 16, parágrafo único, da LGPD.

11. Direitos do Titular e Como Exercê-los

O titular de dados pessoais possui os direitos previstos nos arts. 18 a 22 da LGPD. A LowTrack assegura todos esses direitos, que podem ser exercidos mediante solicitação formal:

11.1. Direitos do Titular (resumo)

• Confirmação e acesso (art. 18, I e II): confirmar se seus dados estão sendo tratados e obter cópia dos dados pessoais tratados.
• Correção (art. 18, III): solicitar a correção de dados incompletos, inexatos ou desatualizados.
• Anonimização, bloqueio ou eliminação (art. 18, IV): requerer a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
• Portabilidade (art. 18, V): solicitar a portabilidade dos dados a outro fornecedor, observados os segredos comercial e industrial.
• Eliminação (art. 18, VI): exigir a eliminação dos dados pessoais tratados com base no consentimento, quando revogado.
• Informação (art. 18, VII): obter informação sobre entidades públicas ou privadas com as quais a LowTrack compartilhou seus dados.
• Revogação de consentimento (art. 18, VIII): revogar o consentimento, quando o tratamento se fundar nessa base legal.
• Revisão de decisões automatizadas (art. 20): solicitar revisão de decisões tomadas exclusivamente com base em tratamento automatizado de dados pessoais que afetem interesses.

11.2. Como exercer seus direitos

O titular poderá exercer seus direitos mediante requisição expressa, enviada por e-mail para o DPO (lgpd@lowtrack.com.br), contendo:

1. Nome completo e documento de identificação (RG/CPF ou CNPJ, conforme o caso).
2. Descrição clara do direito que deseja exercer e, se possível, identificação dos dados em questão.
3. Meio de contato para retorno (e-mail ou telefone).
4. Data e assinatura (ou equivalente eletrônico).

A LowTrack responderá ao titular em até 15 (quinze) dias, contados do recebimento da solicitação, podendo prorrogar por igual período mediante justificativa. Em caso de indeferimento, a resposta conterá fundamentação legal.

12. Cancelamento de Conta e Exclusão de Dados

O cliente LowTrack pode solicitar o cancelamento de sua conta e a exclusão de seus dados pessoais a qualquer tempo, enviando e-mail para lgpd@lowtrack.com.br. Após a solicitação:

1. A conta será suspensa em até 48 horas, impedindo novos acessos.
2. Os dados pessoais do cadastro (nome, e-mail, foto) serão eliminados em até 30 dias, salvo obrigação legal de retenção.
3. Os dados de clientes finais (compradores) já retidos sob a gestão do cliente serão eliminados conforme o prazo de retenção estabelecido (7 dias para vendas e cliques).
4. Eventuais notas fiscais e registros contábeis serão mantidos pelo prazo legal exigido.
5. A LowTrack poderá manter registros anonimizados (métricas agregadas) para fins estatísticos e históricos, desde que não permitam a reidentificação do titular.

13. Cookies e Tecnologias de Rastreamento

A plataforma LowTrack utiliza as seguintes tecnologias:

• Cookies de sessão: necessários à autenticação e navegação segura na plataforma. São cookies de primeira parte, eliminados ao encerrar a sessão ou após período de inatividade.
• Pixel de rastreamento (script do cliente): quando o cliente instala nosso script em suas páginas, o navegador do visitante armazena IDs de clique e UTMs via localStorage e cookies de primeira parte, com finalidade exclusiva de atribuir conversões ao anunciante. Esses dados não são acessíveis por terceiros nem pela LowTrack para fins diversos da atribuição.
• Google Analytics / Tag Manager: a LowTrack não utiliza diretamente essas ferramentas em sua plataforma, mas o cliente pode utilizá-las em suas páginas externas, sob sua própria responsabilidade.

O usuário pode gerenciar cookies e localStorage diretamente nas configurações de seu navegador. A desativação de cookies de sessão poderá comprometer o funcionamento da plataforma.

14. Análise Automatizada, IA e Perfilamento

A LowTrack oferece, como add-on opcional, o recurso Gestor IA, que utiliza modelos de inteligência artificial para analisar métricas de campanhas e sugerir ou executar ações de otimização. Esclarecemos:

• O Gestor IA processa apenas dados agregados e métricas de campanhas (spend, receita, ROAS, CTR, CPA), sem acesso a dados pessoais identificáveis de clientes finais.
• O cliente decide, por meio de preferências configuráveis, quais ações a IA pode executar automaticamente (modo dry-run ou execução real).
• Todas as ações da IA são registradas em log de auditoria (ai_actions_log), acessível ao cliente.
• O cliente pode desativar o Gestor IA a qualquer momento pelo painel.

Não realizamos perfilamento de pessoas naturais com base em dados sensíveis, nem tomamos decisões exclusivamente automatizadas que produzam efeitos jurídicos ou significativos sobre o titular, nos termos do art. 20 da LGPD.

15. Idade Mínima e Proteção de Menores

A plataforma LowTrack destina-se exclusivamente a pessoas maiores de 18 (dezoito) anos. Não coletamos intencionalmente dados pessoais de menores de idade. Caso o titular identifique que seus dados, ou dados de menor sob sua guarda, foram fornecidos indevidamente à plataforma, solicitamos contato imediato para adoção das medidas cabíveis (eliminação dos dados e cancelamento de eventuais contas criadas).

16. Transferência Internacional de Dados

Os servidores principais de processamento e armazenamento da LowTrack localizam-se no Brasil. No entanto, alguns subprocessadores (Meta Platforms, Google, Cloudflare) podem processar dados em território estrangeiro, particularmente nos Estados Unidos e na União Europeia. Nessas hipóteses:

• A transferência ocorre exclusivamente para execução dos serviços contratados (CAPI, OAuth, CDN).
• Adotamos as salvaguardas previstas no art. 33 da LGPD, incluindo cláusulas contratuais padrão, certificações de adequação e compromissos de conformidade com a LGPD por parte dos subprocessadores.
• Os dados transferidos limitam-se aos estritamente necessários (eventos de conversão, tokens de acesso, push notifications).

17. Propriedade Intelectual, Confidencialidade e Sigilo

Todo o conteúdo da plataforma LowTrack — incluindo, mas não se limitando a, marca, logotipo, interface, código-fonte, documentação, manuais e materiais de suporte — é de propriedade exclusiva da LowTrack Tecnologia LTDA, protegido pela legislação de direitos autorais e de propriedade industrial.

Os dados de campanhas, criativos, estratégias de anúncio e demais informações inseridas pelo cliente na plataforma são tratados com sigilo e confidencialidade. A LowTrack compromete-se a:

• Não divulgar, comercializar ou utilizar dados de campanhas do cliente para fins estranhos ao contrato.
• Restringir o acesso aos dados estritamente ao pessoal técnico necessário à prestação do serviço.
• Manter acordos de confidencialidade com todos os subprocessadores e colaboradores.

18. Responsabilidades do Usuário e do Cliente

O cliente LowTrack, enquanto controlador dos dados de seus clientes finais, assume as seguintes responsabilidades:

1. Transparência: informar seus clientes finais (compradores) sobre o uso de pixels e webhooks, mediante política de privacidade própria em seu site ou checkout.
2. Consentimento: obter, quando necessário, o consentimento do titular para tratamento de dados pessoais, especialmente para fins de remarketing e CAPI.
3. Segurança do pixel: garantir que o script do pixel seja instalado apenas em domínios autorizados e em conformidade com os termos do Meta Ads.
4. Atualização de dados: manter seus cadastros e integrações atualizados, evitando o envio de dados desnecessários ou desatualizados.
5. Não uso indevido: não utilizar a plataforma para coletar dados de forma fraudulenta, enganosa ou em violação à LGPD.

A LowTrack poderá suspender ou encerrar a conta do cliente que violar as disposições acima, sem prejuízo das medidas legais cabíveis.

19. Resolução de Conflitos, Foro e Legislação Aplicável

Esta Política é regida pelas leis da República Federativa do Brasil. Em caso de controvérsia ou divergência relacionada ao tratamento de dados pessoais, o foro competente para dirimir questões envolvendo a LowTrack é o da comarca de São Paulo/SP, com exclusão de qualquer outro, por mais privilegiado que seja, salvo hipótese de consumidor final que opte pelo foro de seu domicílio.

Antes de qualquer ação judicial, as partes comprometem-se a buscar a solução amigável da controvérsia mediante mediação ou negociação direta por prazo de 30 (trinta) dias.

20. Alterações e Atualizações desta Política

A LowTrack poderá atualizar esta Política de Privacidade periodicamente para refletir mudanças na legislação, na operação da plataforma ou na adoção de novos subprocessadores. Alterações relevantes serão comunicadas:

• Por e-mail ao endereço cadastrado na conta do cliente.
• Por meio de aviso no painel da plataforma ao acessar o sistema.
• Por publicação da data de atualização no cabeçalho desta página.

O uso continuado dos serviços após a publicação de alterações constitui aceitação tácita dos novos termos. Caso o cliente não concorde com as mudanças, poderá solicitar o cancelamento da conta nos termos da seção 12.

21. Dados de Contato, DPO e Canal de Comunicação

Para exercer direitos, esclarecer dúvidas, reportar incidentes ou solicitar informações adicionais sobre esta Política, utilize os canais abaixo:

• E-mail do DPO (Encarregado): lgpd@lowtrack.com.br
• E-mail geral / Suporte: contato@lowtrack.com.br
• Razão social: DLS DIGITAL LTDA - ME
• CNPJ: 51.309.642/0001-08
• Endereço: Avenida Mafra, 453 — Guaratuba/PR — CEP 83.280-000
• Website: lowtrack.com.br

O DPO é o canal oficial para comunicação com titulares de dados e com a Autoridade Nacional de Proteção de Dados (ANPD).

---

Esta Política de Privacidade foi elaborada em conformidade com a Lei nº 13.709/2018 (LGPD), o Marco Civil da Internet (Lei nº 12.965/2014) e as melhores práticas de governança e privacidade de dados.