Política de Retenção e Exclusão de Dados — Pyxara Social
Última atualização: 17/11/2025
A presente Política descreve como a {{NOME_LEGAL_DA_EMPRESA}} (“Pyxara Social”, “Processador”) define, aplica e mantém prazos de retenção e exclusão de dados pessoais, em conformidade com:
- GDPR (Art. 5º, 13º, 17º e 30º)
- LGPD (Art. 15º e 16º)
- CCPA/CPRA
- Regras das plataformas Meta, Google/YouTube, TikTok, LinkedIn e X
- Obrigações fiscais e legais aplicáveis
Esta Política integra os Termos de Serviço e o DPA.
1. Princípios Gerais de Retenção
A Pyxara Social adota os seguintes princípios:
- Reter dados apenas pelo tempo necessário para as finalidades do tratamento.
- Evitar retenção excessiva ou injustificada.
- Eliminar ou anonimizar dados definitivamente ao final do prazo.
- Respeitar direitos de eliminação e portabilidade.
- Manter logs obrigatórios pelo menor prazo compatível com a lei ou com requisitos das APIs.
2. Tabela Oficial de Retenção de Dados
A tabela abaixo define claramente o que é mantido, por quanto tempo, por quê, e quando é eliminado.
2.1. Dados de Conta
| Tipo de Dado | Retenção | Motivo |
|---|---|---|
| Nome, email, senha (hash) | Enquanto a conta estiver ativa | Execução do serviço |
| Preferências (idioma, fuso horário, tema) | Conta ativa | Usabilidade |
| Sessões e tokens de acesso interno | Sessão + 1 dia | Segurança |
Após exclusão da conta → removidos imediatamente, exceto registros que exigem retenção legal.
2.2. Tokens OAuth (Facebook, Instagram, TikTok, Google, YouTube, LinkedIn, X)
| Tipo de Dado | Retenção | Motivo |
|---|---|---|
| Tokens OAuth encriptados | Eliminados imediatamente ao encerrar conta | Segurança, conformidade API |
| Tokens expirados | Remoção automática em até 72h | Obrigações Meta/Google |
| Logs de renovação e permissões | 12–24 meses | Requisito de auditoria das plataformas |
2.3. Conteúdos e Mídias do Usuário
| Tipo de Dado | Retenção | Motivo |
|---|---|---|
| Mídias enviadas | Enquanto conta ativa ou até 30 dias após exclusão | Execução do serviço |
| Rascunhos de posts | Conta ativa | Funcionalidade |
| Conteúdo gerado por IA | Conta ativa | Histórico e auditoria |
| Arquivos rejeitados (upload inválido) | 7 dias | Segurança e triagem |
2.4. Publicações Agendadas
| Tipo de Dado | Retenção | Motivo |
|---|---|---|
| Agendamentos futuros | Até execução | Execução do serviço |
| Histórico de agendamentos | 12 meses | Logs e transparência |
| Erros de publicação | 90 dias | Debug e prevenção de falhas |
2.5. Logs e Auditorias (Meta/Google/TikTok/LinkedIn exigem)
| Tipo de Log | Retenção | Motivo |
|---|---|---|
| Logs de publicação | 24 meses | Requisito Meta/IG |
| Logs de API (eventos técnicos) | 12 meses | Auditoria |
| Logs de segurança (falhas de login) | 12–24 meses | Segurança |
| Logs do n8n (workflows) | 90–180 dias | Performance e auditoria |
| Logs de erro | 90 dias | Diagnóstico |
2.6. Dados de Uso e Analytics
| Tipo de Dado | Retenção | Motivo |
|---|---|---|
| Métricas agregadas | Até anonimização | Analytics |
| Métricas pessoais de uso | 6 meses | Melhorias |
| Dados brutos de navegação | 30 dias | Performance |
2.7. Dados Financeiros (se pagamentos estiverem ativos)
| Tipo de Dado | Retenção | Motivo |
|---|---|---|
| Registros de pagamento (Stripe) | 5–10 anos | Obrigação fiscal |
| Faturas | 10 anos | Regulamentação fiscal |
| Registos de reembolsos | 5 anos | Auditoria |
2.8. Backups
| Tipo de Dado | Retenção | Motivo |
|---|---|---|
| Backups da base de dados | 14 a 30 dias | Recuperação de desastres |
| Backups de storage | 30 dias | Segurança |
Backups são encriptados, isolados e removidos automaticamente ao fim do ciclo.
3. Eliminação de Dados
A eliminação ocorre por:
- automatizações internas
- triggers do banco de dados
- processos manuais controlados (quando solicitado)
- flush de tokens OAuth
- limpeza de logs baseada em cron jobs
3.1. Métodos de eliminação
- Deleção permanente na base de dados Supabase
- Remoção física do storage
- Sobrescrita lógica de dados sensíveis
- Exclusão definitiva em backups após expiração
3.2. Irreversibilidade
Após eliminação:
- Não é possível recuperar dados
- Não mantemos cópias ocultas
- Não existe exportação após a conclusão
4. Solicitação de Eliminação pelo Usuário (GDPR/LGPD)
O utilizador pode solicitar:
- eliminação total da conta
- eliminação de conteúdos específicos
- eliminação de tokens OAuth
- revogação de permissões API
Solicitações devem ser enviadas para:
{{EMAIL_LEGAL}}
Prazo para resposta:
- GDPR: até 30 dias
- LGPD: prazo razoável
5. Exceções Legais
A eliminação não ocorrerá quando houver:
- obrigação fiscal
- obrigação contratual
- investigação de fraude
- auditoria pendente
- litígio judicial
- requisitos específicos das APIs (principalmente Meta/Google)
Exemplos:
- Logs obrigatórios da Meta → até 24 meses
- Registros fiscais da Stripe → até 10 anos
5.1. Notas Legais e Obrigações Estruturais
(a) Restrições de Armazenamento de Dados de Terceiros (Conformidade com APIs)
Nos termos das políticas da Meta, Google/YouTube, TikTok, LinkedIn e X, a Pyxara Social não armazena dados de seguidores, listas de contactos, métricas individuais de utilizadores, friends/followers lists, mensagens privadas, audiências, ou quaisquer outros dados pessoais de terceiros obtidos via APIs externas, exceto pelo período estritamente necessário para a execução imediata da função solicitada pelo utilizador.
Esses dados:
- nunca são exportados para sistemas externos,
- nunca são utilizados para fins próprios,
- nunca são retidos para perfilização,
- são eliminados ou descartados assim que deixam de ser necessários.
(b) Jurisdição e Lei Aplicável
Esta Política é regida pela legislação portuguesa e europeia aplicável, incluindo o GDPR e a Lei n.º 58/2019.
Em caso de litígio, o foro competente será o Tribunal da Comarca de {{CIDADE}}, salvo acordo diferente estabelecido por escrito.
6. Anonimização
Quando possível, dados são anonimizados em vez de eliminados.
Exemplos:
- estatísticas agregadas
- métricas de uso
- dados utilizados para machine learning que não identificam usuários
Dados anonimizados não são considerados dados pessoais (GDPR Recital 26).
7. Políticas Específicas por Plataforma
7.1. Meta (Facebook, Instagram)
- tokens eliminados imediatamente ao encerrar conta
- logs mantidos por 24 meses
- dados de seguidores/audiência não podem ser armazenados indefinidamente
- conteúdo publicado permanece na plataforma social (não na Pyxara)
7.2. YouTube / Google
- conformidade com YouTube API User Data Policy
- o utilizador pode revogar acesso em:
https://myaccount.google.com/permissions
7.3. TikTok
- retenção apenas durante a validade das permissões
- nenhum armazenamento a longo prazo sem necessidade operacional
7.4. LinkedIn
- dados de insights não podem ser retidos por mais tempo que o necessário para relatórios
7.5. X (Twitter)
- critérios semelhantes aos de LinkedIn e TikTok
8. Exportação de Dados (Portabilidade)
O utilizador pode solicitar:
- exportação completa da conta
- exportação de mídia
- histórico de posts e agendamentos
- histórico de IA (texto)
Exportação é fornecida em formato:
- JSON
- CSV
- ZIP (mídias)
9. Retenção em Caso de Suspensão por Abuso
Se a conta for suspensa por:
- fraude
- violação das políticas das APIs
- spam
- uso indevido de IA
Os dados podem ser retidos até:
- 24 meses (Meta/Google)
- para contribuir com investigações de segurança
Após isso, são eliminados.
10. Contato
Para solicitações de eliminação, exportação ou esclarecimentos:
{{RESPONSAVEL_TRATAMENTO}}
E-mail: {{EMAIL_LEGAL}}
Endereço: {{ENDERECO_COMPLETO}}
11. Alterações a Esta Política
Atualizações serão publicadas em:
https://{{DOMINIO}}/legal/politica-retencao-exclusao