Legal

Política de Privacidade

MH Tecnologia e Ativos Digitais LTDA · CNPJ 57.435.644/0001-20

Termos de Uso →Política de Cookies →Uso de IA →Subprocessadores →

Política de Privacidade — MHX Digital

Versão: 1.0 Data de vigência: 28 de abril de 2026 Última atualização: 28 de abril de 2026 Encarregado (DPO): dpo@mhxdigital.com Dúvidas e canal LGPD: dpo@mhxdigital.com

Sumário

Quem somos
Encarregado de Proteção de Dados (DPO)
Dados que coletamos
Bases legais de tratamento
Como usamos os dados
Compartilhamento com terceiros
Transferência internacional de dados
Tempo de retenção
Segurança da informação
Seus direitos como titular
Incidentes de segurança
Crianças e adolescentes
Cookies e tecnologias similares
Suboperadores e cadeia de tratamento
Atualizações desta política
Contato e canal de denúncia

1. Quem somos

A MH Tecnologia e Ativos Digitais LTDA, inscrita no CNPJ sob nº 57.435.644/0001-20, com sede na Rua Salvador, 458, Adrianópolis, Manaus/AM, CEP 69057-040 (“MHX”, “MHX Digital”, “nós”), respeita a privacidade e a proteção de dados pessoais, observando a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados — “LGPD”) e a legislação correlata.

1.1 Papéis: Controlador e Operador

A MHX atua em diferentes papéis conforme o produto/serviço:

Produto/serviço	Papel da MHX	Controlador dos dados do usuário final
Site institucional mhxdigital.com	Controlador	MHX
Formulário de contato	Controlador	MHX
mhx-agent — perfil próprio MHX	Controlador	MHX
mhx-agent — uso pelo Cliente em suas redes	Operador	Cliente
LexNotify (uso B2B)	Operador	Cliente (escritório/depto. jurídico)
Inception PSI / PsyNCore	Operador	Clínica / Psicólogo
NexusP2P (white-label)	Operador	Cliente VASP
Shield Finance (uso B2B)	Operador	Cliente
MatchCars (marketplace)	Controlador dos dados de cadastro próprio; Operador quando integrado a parceiro	Conforme integração
Software house (B2B, dados do cliente em projeto)	Operador	Cliente contratante

Quando atuamos como Operador, tratamos dados em nome e sob instruções do Controlador (Cliente), observados os limites do contrato e da LGPD. Os direitos dos titulares devem ser exercidos prioritariamente perante o Controlador, e a MHX prestará suporte técnico para tanto.

2. Encarregado de Proteção de Dados (DPO)

A MHX nomeou um Encarregado pelo Tratamento de Dados Pessoais (DPO), conforme art. 41 da LGPD.

Nome/cargo: Encarregado de Dados — MHX Digital
E-mail dedicado: dpo@mhxdigital.com
Endereço postal: Rua Salvador, 458, Adrianópolis, Manaus/AM, CEP 69057-040 (a/c: DPO)

O DPO recebe reclamações, comunicações de titulares, solicitações de exercício de direitos e atua como interlocutor da Autoridade Nacional de Proteção de Dados (ANPD).

3. Dados que coletamos

A coleta varia conforme o produto utilizado. A tabela abaixo consolida as principais categorias.

Dado coletado	Categoria	Produto/contexto	Finalidade
Nome, e-mail, telefone, empresa	Cadastrais	Site (formulário de contato), todos os SaaS	Atendimento, criação de conta, comunicação comercial
CPF/CNPJ, endereço, dados de cobrança	Cadastrais e financeiros	Contratação B2B, faturamento	Faturamento, emissão de NF, prevenção a fraude
IP, user-agent, geolocalização aproximada, fingerprint do navegador	Técnicos / navegação	Site, todos os SaaS	Segurança, prevenção a fraude, analytics
UTM, página de origem, jornada no site	Marketing / navegação	Site	Atribuição de campanha, otimização
Logs de acesso e auditoria	Técnicos	Todos os SaaS	Segurança, conformidade, suporte
Conteúdo de prompts e outputs IA	Conteúdo	mhx-agent, Shield Finance	Geração e entrega do serviço contratado
Tokens OAuth de plataformas (Meta, Google, LinkedIn, TikTok)	Credenciais técnicas	mhx-agent	Publicação e gestão de campanhas em nome do Cliente
Métricas de campanha, posts, leads	Marketing / analytics	mhx-agent	Relatórios e otimização
Dados de processos jurídicos, prazos, partes	Profissionais	LexNotify	Notificações e gestão de prazos do Cliente
Prontuário, anamnese, histórico clínico, prescrições	Sensíveis — saúde (LGPD art. 5º, II)	Inception PSI / PsyNCore	Atendimento clínico (operados pela clínica/psicólogo, MHX armazena)
Áudio/vídeo de teleconsulta	Sensíveis — saúde	Inception PSI	Teleconsulta (transmitida; não gravada por padrão pela MHX)
Documentos KYC (RG, CNH, selfie, comprovantes)	Cadastrais e biométricos quando aplicável	NexusP2P	KYC/AML obrigatório (Lei 9.613/98, Lei 14.478/22)
Carteiras blockchain, transações on-chain	Financeiros	NexusP2P, Shield Finance	Operação P2P, análise de portfólio
Preferências de veículo, simulação de financiamento, score	Cadastrais e financeiros	MatchCars	Marketplace, intermediação de financiamento

3.1 Origem dos dados

Os dados são coletados:

Diretamente do titular (formulários, cadastros, uploads).
Automatizadamente (cookies, logs, métricas de uso).
De terceiros autorizados (provedores OAuth quando o titular conecta sua conta; bureaus de KYC quando contratados; integradores como Foxbit no contexto NexusP2P).

4. Bases legais de tratamento

A MHX trata dados pessoais com fundamento nas hipóteses do art. 7º (e art. 11, para dados sensíveis) da LGPD:

Dado / finalidade	Base legal	Justificativa
Cadastro e operação de contratos B2B	Execução de contrato (art. 7º, V)	Necessário para prestar o serviço contratado
Cadastro de leads via formulário e contato comercial	Consentimento (art. 7º, I) ou Legítimo interesse (art. 7º, IX)	Solicitação espontânea; comunicação comercial proporcional
Cumprimento de obrigações legais (NF, escrituração, AML, retenção fiscal)	Obrigação legal (art. 7º, II)	Lei tributária, Lei 9.613/98, Marco Civil
KYC/AML em NexusP2P	Obrigação legal (art. 7º, II)	Lei 14.478/2022 e Lei 9.613/1998
Logs e segurança	Legítimo interesse (art. 7º, IX) e obrigação legal (Marco Civil)	Prevenção de fraude e cumprimento legal
Analytics e melhoria de produto	Legítimo interesse (art. 7º, IX) com balanceamento, ou consentimento quando exigido por cookies não essenciais	Aprimoramento contínuo do serviço
Marketing direto (newsletter, campanhas)	Consentimento (art. 7º, I) com opt-out a qualquer tempo	Comunicação opcional
Cookies analytics e marketing	Consentimento (art. 7º, I)	Banner de cookies com escolha granular
Tokens OAuth e dados de plataformas (mhx-agent)	Execução de contrato (art. 7º, V)	Função essencial do produto contratado
Defesa em processo judicial/administrativo	Exercício regular de direitos (art. 7º, VI)	Defesa de direitos da MHX
Inception PSI — dados de saúde	Consentimento explícito específico (art. 11, II, “a”) ou tutela da saúde, por profissionais de saúde (art. 11, II, “f”)	A escolha da base é feita pelo Controlador (clínica/psicólogo) conforme o contexto do atendimento

4.1 Sobre dados sensíveis em Inception PSI

Os dados de saúde tratados na plataforma Inception PSI/PsyNCore são dados pessoais sensíveis (art. 5º, II, LGPD) e exigem base legal qualificada do art. 11. A MHX, como Operador, segue as instruções do Controlador (clínica ou psicólogo), que é responsável por:

Obter consentimento explícito específico do paciente, quando aplicável.
Documentar a base de tutela da saúde quando o tratamento ocorrer no contexto de atendimento clínico.
Cumprir a Resolução CFP nº 11/2018 (atendimento psicológico online) e o sigilo profissional do Conselho Federal de Psicologia.

A MHX disponibiliza recursos técnicos (consentimento eletrônico, criptografia, controle de acesso) para suportar a conformidade do Controlador.

5. Como usamos os dados

5.1 Site institucional

Atender solicitações enviadas via formulário.
Enviar materiais informativos e propostas comerciais (mediante consentimento ou no contexto pré-contratual).
Medir desempenho do site, conversões e jornada de usuário.

5.2 Software House (B2B)

Executar projetos contratados, comunicar-se com a equipe do Cliente.
Faturar, emitir notas, cumprir obrigações legais.
Documentar entregas e controle de versão.

5.3 LexNotify

Importar e processar dados de processos, partes e prazos.
Disparar notificações (e-mail, WhatsApp, Telegram) conforme configuração do Cliente.
Gerar relatórios e dashboards para a equipe jurídica.

5.4 Inception PSI / PsyNCore

Armazenar prontuário eletrônico de forma criptografada.
Viabilizar teleconsulta (transmissão segura).
Gerenciar agenda, faturamento e comunicação clínica.
A MHX não acessa o conteúdo clínico salvo em suporte técnico autorizado e logado.

5.5 NexusP2P

Realizar KYC/AML conforme Lei 14.478/2022 e Lei 9.613/1998.
Intermediar tecnicamente as operações P2P entre usuários da plataforma do Cliente VASP.
Manter registros de transações para fins regulatórios e de auditoria.

5.6 MatchCars

Listar veículos, processar buscas, simular financiamentos.
Enviar propostas a parceiros financeiros sob solicitação do usuário.

5.7 Shield Finance

Coletar carteiras públicas e dados de mercado.
Executar modelos preditivos de IA/ML.
Apresentar análises e recomendações não vinculantes ao usuário.

5.8 mhx-agent

Conectar contas do Cliente via OAuth nas plataformas suportadas.
Gerar conteúdo via IA (texto, imagem, vídeo) conforme briefing do Cliente.
Publicar conteúdo, agendar postagens, executar campanhas pagas dentro de tetos definidos.
Coletar e apresentar métricas de desempenho.

6. Compartilhamento com terceiros

A MHX compartilha dados pessoais com terceiros estritamente nas finalidades descritas e sob obrigações contratuais de proteção. A lista completa e atualizada de suboperadores está disponível em /legal/subprocessors.

6.1 Infraestrutura de hospedagem

Terceiro	País	Finalidade	Política de privacidade
Amazon Web Services (AWS)	EUA	Hospedagem cloud, armazenamento, banco de dados	https://aws.amazon.com/privacy/
Vercel	EUA	Hospedagem e edge para front-ends	https://vercel.com/legal/privacy-policy
Railway	EUA	Hospedagem de aplicações backend	https://railway.app/legal/privacy

6.2 Analytics

Terceiro	País	Finalidade	Política
Google Analytics / Google Tag Manager	EUA	Métricas de site, gestão de tags	https://policies.google.com/privacy
PostHog	EUA / UE	Analytics de produto, feature flags	https://posthog.com/privacy
Vercel Analytics	EUA	Métricas de performance e conversão	https://vercel.com/legal/privacy-policy

6.3 IA generativa

Terceiro	País	Finalidade	Observações	Política
Anthropic (Claude)	EUA	Geração de texto, análise	Não treina modelos com dados de API	https://www.anthropic.com/legal/privacy
Groq	EUA	Inferência rápida de LLMs open source	https://groq.com/privacy-policy/
Together AI	EUA	Inferência de modelos open source	https://www.together.ai/privacy
Kling AI	China	Geração de vídeo por IA	Atenção: transferência para país sem decisão de adequação ANPD	https://klingai.com/privacy-policy
Runway	EUA	Geração e edição de vídeo por IA	https://runwayml.com/privacy-policy
Pika	EUA	Geração de vídeo por IA	https://pika.art/privacy

6.4 Plataformas sociais (mhx-agent)

Terceiro	País	Finalidade	Política
Meta (Facebook, Instagram, WhatsApp Business API)	EUA	Publicação, anúncios, atendimento	https://www.facebook.com/privacy/policy/
Google (YouTube, Google Ads)	EUA	Publicação, anúncios	https://policies.google.com/privacy
LinkedIn	EUA	Publicação, anúncios B2B	https://www.linkedin.com/legal/privacy-policy
TikTok	Singapura / China	Publicação, anúncios	Atenção: transferência para país sem decisão de adequação ANPD	https://www.tiktok.com/legal/privacy-policy

6.5 Comunicação

Terceiro	País	Finalidade	Observações
Evolution API	A verificar conforme implantação	Integração não oficial WhatsApp	Risco de banimento do número pelo WhatsApp; uso documentado
Telegram Bot API	Global	Notificações via Telegram	https://telegram.org/privacy
Provedor de e-mail transacional	A declarar conforme integração ativa	Envio de e-mails	—

6.6 Pagamentos

Gateways de pagamento (PIX, cartão, boleto) serão declarados conforme a integração ativa por produto e contratação. A política de privacidade de cada gateway prevalece para os dados ali tratados.

6.7 Outras hipóteses de compartilhamento

Autoridades públicas mediante ordem judicial, requisição administrativa válida ou cumprimento de obrigação legal.
Auditores e advogados vinculados à MHX, sob obrigação de sigilo.
Adquirentes em caso de fusão, aquisição, reorganização societária ou venda de ativos, com notificação aos titulares.

A MHX não vende dados pessoais.

7. Transferência internacional de dados

Considerando que diversos suboperadores estão sediados no exterior, ocorre transferência internacional de dados pessoais, autorizada com base nas hipóteses do art. 33 da LGPD:

Cláusulas contratuais padrão e/ou cláusulas específicas de proteção (art. 33, II).
Necessidade para execução de contrato com o titular (art. 33, V).
Cumprimento de obrigação legal (art. 33, IV).
Consentimento específico, quando aplicável (art. 33, VIII).

7.1 Países de destino

Estados Unidos (AWS, Vercel, Railway, Google, Meta, LinkedIn, Anthropic, Groq, Together AI, Runway, Pika, PostHog).
União Europeia (PostHog, eventualmente).
Singapura (TikTok, eventual roteamento).
China (Kling AI; TikTok pode envolver tratamento na ByteDance).

7.2 Alerta sobre China

Os provedores Kling AI (vídeo) e TikTok (publicação) podem realizar tratamento em jurisdição chinesa, sem decisão de adequação reconhecida pela ANPD. A MHX adota mitigações: (i) minimização de PII enviada a esses provedores; (ii) preferência por alternativas com sede em jurisdição mais protetiva quando possível; (iii) destaque ao Cliente no momento da configuração desses canais; (iv) base legal de execução de contrato e/ou consentimento específico para uso desses recursos.

O Cliente que utilizar essas integrações declara estar ciente do contexto regulatório.

8. Tempo de retenção

Categoria	Prazo de retenção	Fundamento
Leads e contatos comerciais (sem contratação)	3 anos	Legítimo interesse, prescrição comercial
Dados de contrato e cliente B2B	5 anos após o término	Prescrição cível, obrigações fiscais
Documentos e logs KYC/AML (NexusP2P)	5 anos	Lei 9.613/1998, Lei 14.478/2022
Prontuário e dados clínicos (Inception PSI)	20 anos	Resolução CFM nº 1.821/2007, aplicada por analogia
Logs de acesso e conexão	6 meses (mínimo)	Marco Civil da Internet (Lei 12.965/2014)
Logs de aplicação	12 meses (padrão)	Legítimo interesse, segurança
Backups	Rotação de até 90 dias	Continuidade de negócio
Documentos fiscais e contábeis	Conforme legislação tributária (em regra 5 a 10 anos)	Obrigação legal
Dados de marketing (consentimento ativo)	Enquanto durar o consentimento + 6 meses para evidência	Consentimento
Tokens OAuth (mhx-agent)	Enquanto vigente a integração; revogação imediata sob solicitação	Execução de contrato

Findos os prazos, os dados são excluídos ou anonimizados, salvo necessidade de manutenção por outra base legal.

9. Segurança da informação

A MHX adota medidas técnicas e organizacionais compatíveis com o estado da arte e proporcionais ao risco do tratamento, incluindo:

9.1 Criptografia

TLS 1.3 em trânsito para todas as comunicações de produção.
AES-256-GCM em repouso para dados sensíveis (Inception PSI, KYC NexusP2P, tokens OAuth).
Hash de senhas com algoritmos modernos (bcrypt/argon2).

9.2 Controle de acesso

MFA obrigatório para acesso administrativo e para SaaS sensíveis (Inception PSI, NexusP2P, mhx-agent).
Princípio do menor privilégio (least privilege).
RBAC (controle por papéis) e segregação de funções.
Row-Level Security (RLS) para isolamento multi-tenant.

9.3 Monitoramento e auditoria

Logs imutáveis de acesso e operação.
Alertas automatizados para anomalias.
Revisões periódicas de acesso.

9.4 Operacional

Backups diários criptografados, com testes periódicos de restauração.
Plano de continuidade e resposta a incidentes (SLA interno).
Treinamento contínuo de pessoal.
Acordos de confidencialidade com colaboradores e prestadores.

9.5 Gestão de fornecedores

Avaliação de segurança e privacidade de suboperadores.
Cláusulas contratuais de proteção de dados.

Apesar dessas medidas, nenhum sistema é 100% imune a incidentes. A MHX adota processo formal de resposta conforme a seção 11.

10. Seus direitos como titular

Conforme o art. 18 da LGPD, o titular pode exercer, gratuitamente:

Confirmação da existência de tratamento.
Acesso aos dados.
Correção de dados incompletos, inexatos ou desatualizados.
Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
Portabilidade dos dados a outro fornecedor de serviço, observados segredos comerciais e industriais.
Eliminação dos dados tratados com base em consentimento, ressalvadas hipóteses legais de retenção.
Informação sobre entidades públicas e privadas com as quais a MHX compartilhou os dados.
Informação sobre a possibilidade de não fornecer consentimento e suas consequências.
Revogação do consentimento a qualquer tempo.

Adicionalmente:

Oposição ao tratamento realizado com fundamento em hipótese diversa do consentimento, em caso de descumprimento da LGPD.
Revisão de decisões automatizadas que afetem seus interesses (art. 20).
Petição perante a ANPD (https://www.gov.br/anpd).

10.1 Como exercer

Canal: dpo@mhxdigital.com
Resposta: em até 15 (quinze) dias corridos, podendo ser prorrogado mediante justificativa.
Identificação: a MHX poderá solicitar comprovação de identidade para evitar atendimento a terceiros não autorizados.
Operador: quando a MHX atuar como Operador, encaminhará a solicitação ao Controlador (Cliente) e prestará suporte técnico.

11. Incidentes de segurança

Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a MHX comunicará:

À ANPD, no prazo razoável (referência: até 3 dias úteis, sujeito a orientação da ANPD vigente).
Aos titulares afetados, descrevendo: natureza dos dados, titulares envolvidos, medidas técnicas e de segurança utilizadas, riscos relacionados ao incidente, medidas adotadas para reverter ou mitigar os efeitos.

A MHX mantém registro interno de incidentes, ainda que não atinjam o limiar de notificação.

12. Crianças e adolescentes

12.1 Regra geral

Os serviços da MHX não se destinam a menores de 18 anos, e a coleta de dados de menores não é intencional fora do contexto descrito a seguir.

12.2 Exceção — Inception PSI

Atendimento clínico de crianças e adolescentes pela plataforma Inception PSI/PsyNCore é admitido, observando-se:

Consentimento de pelo menos um dos pais ou responsáveis legais, conforme art. 14 da LGPD.
Verificação documental de filiação/responsabilidade pelo psicólogo/clínica (Controlador).
Tratamento no melhor interesse do menor.
Proibição de uso para perfilamento ou marketing direcionado.

12.3 Detecção indevida

Caso a MHX identifique coleta inadvertida de dados de menores fora dessa exceção, providenciará a exclusão imediata e a notificação dos responsáveis legais quando possível.

13. Cookies e tecnologias similares

A MHX utiliza cookies próprios e de terceiros para:

Funcionamento essencial do site e plataformas (sessão, autenticação, segurança).
Analytics de navegação e produto.
Marketing e atribuição de campanhas.

O Usuário pode gerenciar suas preferências por meio do banner de consentimento apresentado na primeira visita e revisitável a qualquer tempo no rodapé do site.

A relação completa de cookies, finalidades e duração está disponível em /legal/cookies.

14. Suboperadores e cadeia de tratamento

A MHX mantém lista atualizada de suboperadores em /legal/subprocessors, com:

Nome do fornecedor.
País de processamento.
Finalidade do tratamento.
Link para a política de privacidade do fornecedor.

Alterações materiais na lista de suboperadores serão notificadas com antecedência razoável aos Clientes B2B impactados, que poderão se opor formalmente, hipótese em que se buscará alternativa ou se admitirá a rescisão sem penalidade.

15. Atualizações desta política

Esta política pode ser atualizada para refletir mudanças legais, regulatórias, operacionais ou de produto.

Notificação prévia de 30 (trinta) dias para alterações materiais, por e-mail e/ou aviso em produto.
Alterações não materiais (correções, ajustes redacionais) entram em vigor com a publicação.
O histórico de versões é preservado e disponibilizado mediante solicitação ao DPO.

16. Contato e canal de denúncia

MH Tecnologia e Ativos Digitais LTDA CNPJ: 57.435.644/0001-20 Rua Salvador, 458 — Adrianópolis Manaus/AM — CEP 69057-040 Telefone: +55 92 98149-4980

Encarregado de Dados (DPO): dpo@mhxdigital.com
Atendimento geral: contato@mhxdigital.com
Autoridade Nacional: ANPD — https://www.gov.br/anpd

Denúncias de uso indevido de dados, suspeitas de incidente ou condutas em desacordo com esta política podem ser encaminhadas confidencialmente ao DPO.

AVISO: Esta política foi elaborada com auxílio de IA jurídica e revisada internamente pela MHX Digital. Para casos específicos, contratos de grande monta, situações litigiosas ou qualquer dúvida com efeitos jurídicos relevantes, recomenda-se a consulta a advogado habilitado pela OAB.

Exercer seus direitos LGPD

Para acessar, corrigir, portar ou solicitar eliminação de seus dados, entre em contato com nosso DPO. Prazo de resposta: 15 dias.

dpo@mhxdigital.com

Se não estiver satisfeito com nossa resposta, você pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD).