BotoZap← Voltar ao início
Aviso: este documento é um modelo de trabalho e não constitui aconselhamento jurídico. Deve ser revisado por um(a) advogado(a) de proteção de dados antes de uso definitivo em produção.

Política de Privacidade

Última atualização: [DATA DE PUBLICAÇÃO]. Esta Política descreve como o BotoZap trata dados pessoais, em conformidade com a Lei Geral de Proteção de Dados, a LGPD (Lei nº 13.709/2018) e com os termos da WhatsApp Business Platform da Meta.

1. Quem somos (controlador)

O BotoZap é uma plataforma de software como serviço (SaaS) operada por [RAZÃO SOCIAL], inscrita no CNPJ [CNPJ], com sede em [ENDEREÇO]. Contato: [EMAIL DE CONTATO/DPO]. Sempre que esta Política mencionar “BotoZap”, “nós” ou “plataforma”, refere-se a essa pessoa jurídica.

2. Como o serviço funciona

O BotoZap é uma plataforma dev-first que atua como Tech Provider sobre a WhatsApp Cloud API oficial da Meta, em um modelo multi-tenant de dois níveis:

  1. você, nosso cliente (desenvolvedor, agência ou SaaS), cria uma conta;
  2. via Embedded Signup da Meta, você conecta as contas WhatsApp Business dos seus próprios clientes;
  3. o BotoZap envia e recebe mensagens em nome desses números, oferecendo caixa de entrada, templates e APIs.

3. Dados que tratamos

3.1. Sua conta no BotoZap

  • Nome e e-mail de login; credenciais de autenticação;
  • Dados de organização/workspace e configurações;
  • Logs de uso, endereço IP, identificadores de sessão e auditoria;
  • Dados de cobrança e faturamento (ex.: nome/razão social, CPF/CNPJ), quando aplicável.

3.2. Credenciais e ativos da Meta/WhatsApp

  • Tokens de acesso emitidos pela Meta, armazenados de forma cifrada (ver seção 8);
  • Identificadores de WABA, números de telefone e templates de mensagem.

3.3. Conversas de WhatsApp (usuários finais)

Quando uma empresa atendida por você troca mensagens pelo número conectado, processamos em nome do cliente:

  • conteúdo das mensagens (transcript de entrada e de saída);
  • dados de contato do usuário final: identificador do WhatsApp (wa_id, que pode ser um BSUID e não um número de telefone), username público quando definido, número de telefone apenas quando o usuário o compartilha, e nome de perfil;
  • mídia anexada (imagens, áudios, documentos, vídeos);
  • metadados: horários, status (enviado/entregue/lido), identificadores.

O BotoZap não solicita nem incentiva o envio de dados sensíveis pelos usuários finais; o conteúdo das conversas é definido pelos participantes e pelo cliente controlador.

4. Papéis: Controlador e Operador

A LGPD distingue o controlador (quem decide sobre o tratamento) do operador (quem trata em nome do controlador). No BotoZap esses papéis variam conforme o dado:

  • Dados da sua conta (nome, e-mail, login, faturamento, logs): o BotoZap é controlador.
  • Mensagens, contatos e mídia dos usuários finais do WhatsApp: o BotoZap é operador (processador), tratando-os exclusivamente segundo as instruções do cliente, que é o controlador desses dados.

Como controlador dos dados dos usuários finais, você é responsável por definir finalidades e bases legais, obter consentimento/optin quando exigido, manter sua própria política de privacidade e responder, em primeira instância, às requisições dos titulares, com o nosso apoio.

5. Finalidades e bases legais (LGPD, arts. 7º e 11)

  • Criar e manter sua conta; autenticar: execução de contrato (art. 7º, V).
  • Operar a integração com a WhatsApp Cloud API: execução de contrato (art. 7º, V); como operador, segundo instruções do controlador.
  • Segurança, prevenção a fraude/abuso e auditoria: legítimo interesse (art. 7º, IX) e obrigação legal (art. 7º, II).
  • Suporte e comunicação operacional: execução de contrato (art. 7º, V).
  • Obrigações legais e fiscais; cobrança: obrigação legal (art. 7º, II) e execução de contrato (art. 7º, V).
  • Melhoria do produto (métricas agregadas): legítimo interesse (art. 7º, IX).
  • Marketing não essencial, quando houver: consentimento (art. 7º, I), revogável a qualquer tempo.

6. Compartilhamento e subprocessadores

Não vendemos dados pessoais. Compartilhamos apenas com:

  • Meta Platforms / WhatsApp: para enviar e receber mensagens via WhatsApp Cloud API, segundo os termos da Meta.
  • Supabase: banco de dados, autenticação e armazenamento de arquivos (contas, transcripts e mídia).
  • Vercel: hospedagem e entrega da aplicação web.
  • Autoridades públicas: quando exigido por lei ou ordem judicial.

Esses provedores atuam como sub-operadores, sob compromissos contratuais de segurança e confidencialidade.

7. Transferência internacional (LGPD, arts. 33–36)

Alguns provedores (Meta, Vercel e, conforme a região do projeto, Supabase) podem armazenar ou processar dados fora do Brasil, inclusive nos Estados Unidos. Quando há transferência internacional, ela se apoia nas hipóteses do art. 33 da LGPD, em especial garantias contratuais de cumprimento dos princípios e direitos da lei e/ou a necessidade para a execução do contrato com você.

8. Segurança (LGPD, arts. 46–49)

  • Cifragem dos tokens da Meta em repouso (armazenados no Vault do Supabase, separados dos demais dados);
  • Row-Level Security (RLS), garantindo que cada conta só acesse os próprios dados;
  • tráfego cifrado em trânsito (HTTPS/TLS);
  • controle de acesso, autenticação e logs de auditoria;
  • backups regulares, isolamento de ambientes e monitoramento.

Em caso de incidente que possa gerar risco relevante, comunicaremos os afetados e a ANPD nos termos do art. 48 da LGPD.

9. Cookies

Usamos cookies e armazenamento local estritamente necessários para autenticar sua sessão e manter o painel funcionando. Você pode gerenciar cookies no navegador, ciente de que desativar os essenciais pode impedir o login.

10. Retenção e eliminação (LGPD, art. 16)

  • Dados de conta: enquanto a conta estiver ativa e por período razoável após o encerramento, para fins legais e de segurança.
  • Mensagens, contatos e mídia dos usuários finais: mantidos conforme a configuração e as instruções do cliente controlador, ou até o encerramento da conexão/conta.
  • Tokens da Meta: revogados/excluídos ao desconectar a conta.

Cessada a finalidade, os dados são eliminados ou anonimizados, ressalvadas as hipóteses de guarda do art. 16 da LGPD.

11. Seus direitos (LGPD, art. 18)

Você pode, a qualquer momento, exercer os direitos de:

  • confirmação da existência de tratamento e acesso aos dados;
  • correção de dados incompletos, inexatos ou desatualizados;
  • anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade com a lei;
  • portabilidade a outro fornecedor;
  • eliminação dos dados tratados com base no consentimento;
  • informação sobre compartilhamento e sobre o não consentimento;
  • revogação do consentimento e oposição ao tratamento.

Para exercê-los, escreva para [EMAIL DE CONTATO/DPO]. Podemos pedir informações para confirmar sua identidade.

Modelo Tech Provider: se a solicitação envolver mensagens, contatos ou mídia de uma conversa de WhatsApp, nesse tratamento o BotoZap é operador: encaminharemos a requisição ao cliente controlador responsável pelo número e o apoiaremos. Se você é usuário final, recomendamos contatar diretamente a empresa com quem conversou.

12. Encarregado (DPO), art. 41

Encarregado(a): [NOME DO ENCARREGADO], e-mail [EMAIL DE CONTATO/DPO]. Você também pode apresentar reclamações à Autoridade Nacional de Proteção de Dados (ANPD).

13. Dados de crianças e adolescentes

O BotoZap é um produto B2B e não se destina a menores de 18 anos. Não coletamos intencionalmente dados de menores para a operação da conta. Qualquer dado de menor que eventualmente trafegue nas conversas de WhatsApp é de responsabilidade do cliente controlador, que deve observar o art. 14 da LGPD.

14. Alterações desta Política

Podemos atualizar esta Política para refletir mudanças legais ou no serviço. A versão vigente é sempre a publicada nesta página, com a data de última atualização no topo. Mudanças relevantes serão comunicadas pelos canais usuais.

15. Contato

[RAZÃO SOCIAL], CNPJ [CNPJ], [ENDEREÇO]. E-mail [EMAIL DE CONTATO/DPO].

← Voltar ao início