Quem somos
A Pulsea é uma agência de marketing digital operada por agentes de inteligência artificial com supervisão humana sênior, especializada em saúde. Esta Política descreve como tratamos dados pessoais em nossos serviços.
Durante a fase beta (iniciada em 2026), a Pulsea opera em regime de pré-formalização empresarial. O CNPJ e demais registros serão incluídos nesta Política quando formalizados.
- Contato do encarregado (DPO) — beta:
- dpo@getpulsea.com
- Endereço oficial:
- a ser informado após formalização
Papéis da Pulsea sob a LGPD
Dependendo da atividade, a Pulsea atua em dois papéis distintos:
Como CONTROLADORA
Definindo finalidades e meios de tratamento:
- Dados de visitantes e leads coletados em
getpulsea.com - Dados de clientes ativos coletados para onboarding, operação, cobrança e comunicação
- Dados coletados em pesquisas, feedback e relacionamento comercial
Como OPERADORA
Tratando dados a mando do cliente (médico/clínica) controlador:
- Dados que o cliente nos autoriza a receber ou processar em campanhas de mídia paga
- Dados de conversão transmitidos via Pixel/CAPI implementados pela Pulsea nos ativos digitais do cliente, quando o cliente for controlador desses dados
Quando operamos como operadora, seguimos instruções do cliente controlador e contrato entre as partes. Quando operamos como controladora, as bases legais estão descritas no item 4.
Dados que tratamos
3.1 · De visitantes do site e leads comerciais
- Identificação: nome, email, telefone (opcional), cidade
- Profissionais: especialidade, CRM ou registro profissional (quando aplicável), tamanho da operação
- Navegação: endereço IP, tipo de dispositivo, páginas visitadas, UTMs, referer
- Interação: respostas a formulários, preferências declaradas
3.2 · De clientes ativos
- Identificação da pessoa física responsável: nome completo, CPF, email, telefone
- Identificação institucional: razão social, nome fantasia, CNPJ, endereço, registros profissionais do responsável técnico (ex: CRM)
- Operacionais: briefings, aprovações, comentários, anexos enviados ao portal, conteúdo de campanhas, materiais criativos
- Credenciais delegadas: acessos a contas Meta Business Manager e Google Ads do cliente (via delegação de admin, não armazenamos senhas)
- Financeiros: histórico de pagamentos à Pulsea (a cobrança de mídia ocorre diretamente entre cliente e Meta/Google — ver item 7)
3.3 · Dados sensíveis de saúde
A Pulsea não solicita, coleta ou processa dados de saúde de pacientes do cliente. Nossa atuação é no marketing institucional do profissional/clínica, e não no relacionamento clínico com pacientes.
Eventualmente podemos receber, de forma incidental, imagens ou depoimentos enviados pelo cliente para uso em peças publicitárias. Nesses casos, é responsabilidade do cliente (controlador) ter obtido o consentimento específico e qualificado do titular, conforme arts. 7º, 11 e 14 da LGPD.
3.4 · Dados coletados via Pixel, CAPI e tags analíticas
Para mensurar resultados das campanhas, instalamos Meta Pixel, Conversions API (CAPI), Google Tag e GA4 nos ativos digitais do cliente (quando autorizados). Esses recursos coletam, no site do cliente:
- Eventos de visita, visualização, interação e conversão
- Identificadores hasheados (email, telefone) quando o visitante submete formulários
- Dados técnicos (IP, user-agent, cookies de campanha)
Esses dados são compartilhados com Meta e Google, que atuam como controladores independentes para suas próprias finalidades (entrega e otimização de anúncios). A instalação dessas ferramentas no site do cliente pressupõe banner de cookies adequado e política de privacidade própria do cliente — obrigações do cliente controlador.
Bases legais
Conforme arts. 7º e 11 da LGPD:
| Finalidade | Base legal |
|---|---|
| Responder a contato e enviar material solicitado | Consentimento do titular |
| Prospecção comercial e marketing de relacionamento | Legítimo interesse (art. 7º, IX) |
| Execução de cadastro e prestação do serviço contratado | Execução de contrato (art. 7º, V) |
| Cobrança, emissão fiscal e obrigações contábeis | Obrigação legal (art. 7º, II) |
| Análise de navegação agregada e melhoria do site | Legítimo interesse (art. 7º, IX) |
| Dados sensíveis de saúde (quando aplicável) | Consentimento específico e destacado (art. 11, I) ou tutela da saúde (art. 11, II, "f") |
Compartilhamento com terceiros
Compartilhamos dados com os seguintes processadores para operar o serviço:
| Parceiro | Finalidade | Local | Natureza do dado |
|---|---|---|---|
| Supabase Inc. | Banco de dados, autenticação, storage | EUA | Dados de cadastro, operação, criativos |
| Resend | Envio de emails transacionais | EUA | Email e conteúdo dos emails |
| Inngest | Orquestração de eventos e jobs | EUA | Dados técnicos de execução |
| Anthropic | Modelos de IA usados pelos agentes | EUA | Conteúdo de briefings, criativos e análises |
| OpenAI | Modelos de IA auxiliares | EUA | Conteúdo de briefings, criativos e análises |
| Meta Platforms, Inc. | Veiculação e mensuração de anúncios | EUA | Dados de conversão hasheados, configuração de campanhas |
| Google LLC | Veiculação e mensuração de anúncios | EUA | Dados de conversão hasheados, configuração de campanhas |
| Vercel | Hospedagem do site e portal | EUA | Tráfego de rede |
Transferência internacional: todos os parceiros acima processam dados nos EUA. A transferência ocorre sob hipótese de cumprimento de obrigação contratual com o titular e/ou interesse legítimo, nos termos do art. 33 da LGPD, e com cláusulas contratuais padrão firmadas com cada parceiro.
Não vendemos dados pessoais. Não compartilhamos com terceiros para finalidades alheias às descritas.
Tempo de retenção
| Categoria | Tempo |
|---|---|
| Leads não convertidos | 24 meses contados da última interação |
| Clientes ativos | Durante a vigência do contrato |
| Clientes após rescisão | 5 anos (prazo prescricional fiscal e cível) |
| Dados de navegação agregados | 26 meses (padrão GA4) |
| Emails transacionais | 12 meses |
| Logs técnicos de operação | 6 meses |
Após o prazo, os dados são anonimizados ou descartados, salvo obrigação legal de retenção superior.
Modelo A — cliente paga mídia direto
A Pulsea não intermedeia o pagamento de verba publicitária a Meta e Google. O cliente mantém contas próprias em Meta Business Manager e Google Ads, com cartão e vínculo fiscal próprios. A Pulsea atua como administradora dessas contas sob delegação. Essa arquitetura preserva:
- Independência do fluxo financeiro de mídia
- Relação direta cliente–plataforma para efeitos fiscais
- Liberdade do cliente em portar sua operação
Consequentemente, a Pulsea não armazena dados de cartão de crédito usados pelo cliente para pagar Meta e Google.
Direitos do titular (art. 18 da LGPD)
Você pode, a qualquer tempo e gratuitamente:
- Confirmar a existência de tratamento
- Acessar seus dados
- Corrigir dados incompletos, inexatos ou desatualizados
- Solicitar anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade
- Solicitar portabilidade a outro fornecedor
- Solicitar eliminação de dados tratados com base em consentimento
- Obter informação sobre compartilhamento
- Ser informado sobre a possibilidade de não fornecer consentimento
- Revogar consentimento
Para exercer qualquer direito, envie pedido a dpo@getpulsea.com com assunto "LGPD — [direito solicitado]". Responderemos em até 15 dias.
Cookies
Usamos cookies próprios e de terceiros para:
- Manter sua sessão autenticada no portal (essencial)
- Mensurar tráfego e origem (Google Analytics 4)
- Atribuir campanhas (UTMs e cookies de anúncio do Meta e Google)
Você pode desabilitar cookies não essenciais pelas configurações do seu navegador. A desativação pode prejudicar a navegação.
Segurança
Adotamos medidas técnicas e organizacionais para proteger dados pessoais, incluindo:
- Criptografia em trânsito (TLS 1.2+) e em repouso nos processadores
- Controle de acesso por perfil e autenticação forte para o time Pulsea
- Segregação de ambientes de desenvolvimento e produção
- Backup periódico com testes de recuperação
- Registro de operações sensíveis em audit log
Nenhum sistema é imune a incidentes. Em caso de incidente de segurança que gere risco relevante aos titulares, comunicaremos a ANPD e os titulares afetados nos prazos da LGPD.
Menores de idade
O serviço é dirigido a profissionais de saúde e clínicas. Não coletamos intencionalmente dados de menores de 18 anos. Caso identifique coleta inadvertida, enviaremos remoção imediata.
Alterações desta Política
Podemos atualizar esta Política para refletir mudanças legais, tecnológicas ou do serviço. Alterações relevantes serão comunicadas por email aos clientes ativos e destacadas no site. A versão e data ficam sempre visíveis no cabeçalho.
Disposições finais
Eventuais questões não cobertas aqui seguirão a LGPD, o Marco Civil da Internet (Lei nº 12.965/2014) e demais normas aplicáveis.
Dúvidas: contato@getpulsea.com.