Meta API · Operação de redes sociais
Política de Privacidade · Operação Meta API
Versão 1.0 — Vigência: maio de 2026
Esta política descreve como a Creative Soul trata dados de contas Meta (Facebook e Instagram) de clientes B2B que contratam serviços de gestão de redes sociais. Não se aplica a visitantes do site institucional — para isso, veja a Política de Privacidade geral.
1. Escopo desta política
Esta política descreve o tratamento de dados realizado pela Creative Soul .Digital (CNPJ 65.365.064/0001-31) quando opera contas Meta (Facebook Pages, Instagram Business e Meta Business Manager) de clientes B2B — provedores de internet (ISPs) regionais brasileiros — que contratam nossos serviços de gestão de redes sociais e tráfego pago.
Não se aplica a visitantes do site institucional creativesoul.digital nem a usuários do formulário de qualificação. Para esse escopo, consulte a Política de Privacidade geral.
2. Como obtemos acesso às contas Meta dos clientes
O acesso ocorre via Partner-share do Business Manager. O cliente autoriza explicitamente a Creative Soul Business Manager (ID 1456302599073368) como parceira controladora total da Page Facebook + conta Instagram Business + Business Manager dele.
Usamos um System User Token dedicado da Creative Soul — nunca credenciais pessoais de usuários Meta. O token é armazenado criptografado (AES-GCM) no nosso banco de dados, com AAD vinculado ao ID do cliente.
2.1 Permissões solicitadas e propósito
- instagram_basic — identificar a conta IG Business linkada e ler metadados (nome, username, contagem de seguidores).
- instagram_content_publish — publicar conteúdo pré-aprovado pelo cliente no feed Instagram (posts single + carrossel).
- pages_read_engagement — ler métricas dos posts publicados (impressões, alcance, likes, comentários, shares) para relatórios.
- pages_show_list — listar as Pages Facebook que o System User CS tem acesso via Partner-share.
- business_management — confirmar Partner-share ativo e identificar Business Managers delegados (debug/onboarding).
3. Quais dados coletamos via Meta API
Coletamos exclusivamente dados necessários para executar os serviços contratados. Não coletamos dados privados de seguidores individuais.
| Endpoint Meta API | Dado coletado | Finalidade |
|---|---|---|
| /me/accounts | ID e nome das Pages do cliente, IG user ID | Identificar onde publicar |
| /{page_id}?fields=access_token | Page-scoped access token | Operar a Page |
| /{ig_user_id}/media | media_id, status de publicação | Audit de publicação |
| /{page_id}/insights | impressões, alcance, engajamentos agregados | Relatórios mensais |
| /{ig_user_id}/insights | impressões, alcance, engajamentos agregados | Relatórios mensais |
| /me/businesses | ID e nome dos Business Managers acessíveis | Verificar Partner-share ativo |
4. O que NÃO coletamos
Para reforçar transparência, declaramos o que não coletamos da operação Meta API:
- Mensagens privadas (DMs) de seguidores ou contatos do cliente
- Dados pessoais de seguidores individuais (nomes, emails, telefones)
- Conteúdo de contas Meta fora do Business Manager do cliente contratante
- Histórico de navegação ou comportamento de visitantes do feed do cliente
- Localização geográfica precisa de usuários ou seguidores
5. Compartilhamento de dados
Os dados tratados nesta operação são compartilhados exclusivamente com a Meta Platforms Inc. (Facebook/Instagram) por meio das APIs oficiais Meta Graph API e Marketing API. A Meta atua como processadora upstream dos dados — não é terceira no sentido da LGPD, pois é a plataforma controladora dos dados originais.
A política de privacidade da Meta está em facebook.com/privacy/policy.
Não compartilhamos dados desta operação com nenhum outro terceiro. Nossa stack interna (cs-social-media + cs-social-ui + cs-meta-ads) é proprietária e mantida exclusivamente pela Creative Soul.
6. Retenção dos dados
| Categoria | Prazo de retenção |
|---|---|
| System User Token + Page tokens (AES-GCM) | Enquanto contrato ativo. Deletados em até 15 dias úteis após encerramento |
| Métricas agregadas (insights mensais) | Até 24 meses para análise histórica do cliente |
| Audit log de publicações (media_id + timestamp) | Até 24 meses para rastreabilidade |
| Posts publicados no feed do cliente | Permanência sob controle exclusivo do cliente; despublicação a pedido |
7. Direitos do cliente e rota de saída
O cliente é controlador secundário dos dados das contas Meta delegadas. A qualquer tempo pode:
- Revogar Partner-share via Business Manager dele (efeito imediato)
- Solicitar exclusão de tokens e dados associados (em até 15 dias úteis)
- Solicitar despublicação ou edição de posts publicados em seu nome
- Receber export dos dados de métricas tratados em formato estruturado
Para qualquer dessas solicitações: use o formulário em /exclusao-de-dados ou envie email pro dpo@creativesoul.digital.
8. Encarregado de Proteção de Dados (DPO)
Email: dpo@creativesoul.digital
Endereço para correspondência: Creative Soul .Digital · CNPJ 65.365.064/0001-31 · Rua Pais Leme, 215, Cj 1713, Pinheiros, São Paulo/SP
Respondemos solicitações em até 15 dias úteis conforme LGPD Art. 18 §3º.
9. Vigência e atualizações
Versão 1.0 — vigência maio de 2026.
Esta política pode ser atualizada para refletir mudanças nas APIs Meta, novos serviços contratados, ou ajustes regulatórios. Versões anteriores ficam disponíveis no histórico do repositório público.
Versão 1.0 · Vigência: maio de 2026 · Controlador: Creative Soul .Digital — CNPJ 65.365.064/0001-31