Política de Privacidade

Esta política descreve como Netanias Otniel Santos Silva (CNPJ 66.696.236/0001-12), com sede em Jataí, Goiás, Brasil, atuando sob o nome fantasia NOSSX Digital, trata os dados pessoais dos visitantes do site www.nossx.com.br.

A NOSSX é uma agência de gestão de tráfego pago e estratégia de marketing digital. O site é nosso canal institucional de comunicação e captação de leads via formulários, blog e quiz de diagnóstico.

Coletamos três grupos de dados:

• Dados de identificação fornecidos voluntariamente: nome, email e telefone que você preenche em formulários (contato, quiz, lead magnets), bem como o conteúdo das mensagens enviadas.
• Dados de navegação: endereço IP, tipo de navegador, sistema operacional, páginas visitadas, tempo de permanência, origem do tráfego (referer) e dispositivo. Coletados via cookies e tecnologias de rastreamento (detalhadas abaixo).
• Dados derivados para correspondência publicitária: quando você consente com cookies de marketing e envia formulário com email/telefone, esses dados são hasheados (SHA-256) antes de serem enviados à Meta via Conversions API, para correspondência de conversão sem exposição do dado em texto plano. Nunca enviamos email ou telefone em texto plano para Meta ou Google.

Cookies são pequenos arquivos armazenados no seu dispositivo. Usamos cookies próprios e de terceiros, organizados em três categorias:

Cookies das categorias Análise e Marketing só funcionam após seu consentimento expresso. Quando você visita o site pela primeira vez, um banner aparece com três botões:

• Aceitar todos — ativa cookies de análise e marketing.
• Rejeitar opcionais — mantém só cookies necessários.
• Personalizar — escolhe categoria por categoria.

Você pode mudar sua escolha a qualquer momento clicando em "Configurar cookies" no rodapé do site ou no ícone permanente no canto inferior direito. A nova escolha aplica imediatamente — cookies recusados deixam de ser gravados e os dados deixam de ser enviados aos terceiros.

Você também pode bloquear ou apagar cookies diretamente nas configurações do seu navegador (Chrome, Firefox, Safari, Edge). Algumas funcionalidades do site podem depender de cookies necessários — bloqueá-los pode afetar a experiência.

O site implementa o Google Consent Mode v2, padrão da indústria que permite que ferramentas de medição respeitem sua escolha de cookies em tempo real.

Em termos práticos, isso significa que:

• Antes de você decidir,todos os sinais de marketing e análise começam em modo "negado". Nenhum cookie de Meta ou Google é gravado.
• Para usuários na União Europeia, Reino Unido, Espaço Econômico Europeu e Suíça, o modo "negado" é reforçado com tempo de espera maior, em respeito ao GDPR (consentimento prévio obrigatório).
• Quando você escolhe, seu sinal de consentimento propaga automaticamente até nosso servidor de tagging (sst.nossx.com.br), que decide se cada destino pode ou não receber dados.
• O Google Analytics 4 nunca recebe email, telefone, nome ou qualquer dado pessoal direto, mesmo de quem aceita todos os cookies. Esses campos são removidos do payload antes de chegarem ao GA4 (princípio de minimização de dados).
• A Conversions API da Meta só recebe dados (sempre hasheados SHA-256) quando você consente com a categoria Marketing — caso contrário, nada é enviado.

O detalhamento técnico desta cadeia está documentado internamente como DOC-CONSENT-PROPAGATION e pode ser disponibilizado mediante solicitação ao Encarregado de Dados.

Cada finalidade de tratamento tem uma base legal específica conforme a LGPD (Lei nº 13.709/2018):

Não vendemos seus dados. Compartilhamos apenas com os processadores estritamente necessários para operar o site e suas funcionalidades:

• Google LLC / Google Ireland Ltd. — Google Analytics 4 (medição agregada) e Google Cloud Platform (hospedagem do nosso servidor de tagging em sst.nossx.com.br, região us-central1). Finalidade: análise e infraestrutura. Base legal: consentimento + legítimo interesse de infraestrutura.
• Meta Platforms Inc. / Meta Platforms Ireland Ltd. — Meta Pixel (client-side) e Conversions API (server-side). Finalidade: medição de campanhas e remarketing. Base legal: consentimento.
• Resend — envio de emails transacionais (resposta de formulários, confirmações). Finalidade: comunicação. Base legal: procedimentos preliminares.
• Vercel Inc. — hospedagem do site (frontend e funções serverless). Finalidade: infraestrutura. Base legal: legítimo interesse de infraestrutura.
• Hostinger e TurboCloud — DNS e caixas de email empresariais. Finalidade: infraestrutura. Base legal: legítimo interesse de infraestrutura.

Todos esses fornecedores operam sob seus próprios termos de privacidade e cláusulas contratuais de proteção de dados, com salvaguardas reconhecidas para transferência internacional (Cláusulas Contratuais Padrão da Comissão Europeia, Data Privacy Framework EUA-UE quando aplicável).

Alguns dos processadores listados na seção 7 (Google, Meta, Resend, Vercel) operam servidores localizados fora do Brasil, principalmente nos Estados Unidos e na Irlanda. Quando seus dados são transferidos para essas jurisdições, aplicam-se as seguintes salvaguardas:

• Para LGPD: a transferência se baseia em (i) consentimento específico para a finalidade (art. 33, VIII) quando aplicável, e (ii) garantias contratuais de cumprimento de princípios e direitos previstos na lei (art. 33, II e IX), por meio de cláusulas contratuais padrão dos próprios processadores.
• Para GDPR (usuários na UE/EEE): aplicam-se Cláusulas Contratuais Padrão da Comissão Europeia (Standard Contractual Clauses, SCCs) e, quando aplicável, certificação no Data Privacy Framework EUA-UE.

Você pode solicitar mais detalhes sobre as salvaguardas específicas de cada transferência pelo canal indicado na seção 12.

• Mensagens de formulário e respostas de quiz: até 24 meses após o último contato.
• Dados de clientes contratados: enquanto durar a relação contratual + prazo legal de retenção fiscal (até 5 anos pós-encerramento).
• Cookies: conforme tabela na seção 3.
• Dados agregados de navegação no GA4: até 26 meses (padrão Google Analytics).
• Logs de servidor (acesso e segurança): 90 dias.

Findo o prazo, os dados são anonimizados ou eliminados, salvo obrigação legal ou necessidade de defesa em processo administrativo, judicial ou arbitral.

A LGPD (art. 18) garante a você os seguintes direitos:

• Confirmação e acesso: saber se tratamos seus dados e obter cópia.
• Correção: atualizar dados incompletos, inexatos ou desatualizados.
• Anonimização, bloqueio ou eliminação: de dados desnecessários, excessivos ou tratados em desconformidade.
• Portabilidade: a outro fornecedor de serviço, mediante solicitação expressa.
• Eliminação: de dados tratados com base no seu consentimento, ressalvadas hipóteses legais de retenção.
• Informação sobre uso compartilhado com terceiros (já listados na seção 7).
• Revogação do consentimento a qualquer tempo.
• Oposição ao tratamento realizado com base em legítimo interesse.

Remediação técnica em terceiros: mediante sua solicitação, podemos acionar diretamente os endpoints de deleção dos processadores que recebem seus dados — Meta Conversions API Delete User Data e Google Analytics 4 Data Deletion API.

Para exercer qualquer desses direitos, envie email para [email protected] com o assunto "LGPD — [direito que deseja exercer]". Respondemos em até 15 dias, conforme art. 19, II da LGPD.

Se você acessa o site a partir da União Europeia, Reino Unido, Espaço Econômico Europeu ou Suíça, aplicam-se também as proteções do Regulamento Geral de Proteção de Dados (GDPR — Regulamento UE 2016/679), além da LGPD.

Direitos GDPR específicos(art. 15-22): acesso, retificação, apagamento ("direito a ser esquecido"), restrição do tratamento, portabilidade, oposição e direito de não estar sujeito a decisões individuais automatizadas. Esses direitos são exercidos pelo mesmo canal da seção 10.

Bases legais GDPR (art. 6.1): consentimento (a), execução de contrato (b), obrigação legal (c) e legítimo interesse (f). O mapeamento por finalidade segue a tabela da seção 6 com correspondência direta às bases LGPD.

Autoridade de controle: você pode apresentar reclamação à autoridade competente do seu país de residência habitual. Para Portugal, a autoridade é a CNPD (Comissão Nacional de Proteção de Dados). Para outros países da UE, consulte o site da Comissão Europeia.

Ressalva importante: a operação ativa em Portugal/UE será objeto de uma adequação completa ao GDPR antes do lançamento de campanhas pagas nessas regiões, incluindo revisão por advogado especializado, definição de representante na UE (quando aplicável) e atualização desta política com versões em PT-PT e EN.

Atualmente o Encarregado pelo Tratamento de Dados Pessoais (DPO/Encarregado) é o próprio fundador, Netanias Otniel. O canal de comunicação com o Encarregado é o email [email protected], com prazo de resposta de até 15 dias úteis para solicitações relacionadas à LGPD.

Esta política pode ser atualizada para refletir mudanças em ferramentas, processadores, base legal ou regulamentação. A data e versão no topo sempre indicam o documento vigente. Mudanças significativas — como adição de novo processador, alteração de finalidade de tratamento ou expansão para nova região — serão comunicadas via aviso no banner do site por pelo menos 30 dias antes da entrada em vigor.

Esta seção é informativa, voltada a leitores que querem entender o funcionamento interno do tracking. Os termos abaixo aparecem nas seções 2 e 5.

• event_id (UUID v4): identificador único gerado no seu navegador a cada evento de conversão (envio de formulário, conclusão do quiz, clique relevante). Esse ID viaja junto com o Pixel cliente da Meta e com a Conversions API server-side, permitindo que a Meta deduplique o mesmo evento e conte só uma conversão.
• SHA-256: função criptográfica unidirecional aplicada a email, telefone, primeiro nome e último nome antes de enviá-los à Conversions API. O hash não permite recuperar o valor original, mas permite que a Meta encontre correspondência com um usuário em sua base, se houver, e contabilize a conversão. Nunca enviamos email ou telefone em texto plano à Meta.
• Consent Mode v2 (gcs/gcd): parâmetros que viajam em cada hit do GA4, codificando o estado dos 5+ sinais de consentimento (ad_storage, ad_user_data, ad_personalization, analytics_storage, functionality_storage). Esses parâmetros são lidos pelo nosso servidor de tagging em sst.nossx.com.br, que decide se cada tag pode disparar.
• Transformation no servidor de tagging: regra configurada para remover os campos de identificação Meta (email, telefone, nome) do payload antes do encaminhamento ao Google Analytics 4. Garante que o GA4 nunca recebe dados de identificação direta — princípio de minimização de dados aplicado em escala técnica.

Qualquer dúvida sobre esta política, sobre o tratamento dos seus dados ou sobre como exercer seus direitos pode ser dirigida a:

Email: [email protected]

Você também pode consultar os Termos de Uso para informações sobre direitos e deveres no uso do site.