Voltar para a página inicial

Documento Legal

Política de Privacidade

Esta Política de Privacidade descreve como a WhatsApp Cloud Platform, solução desenvolvida e operada pela equipe da Chave Mestra Gestão, trata dados pessoais de usuários administradores, agentes, contatos e demais titulares em conformidade com a Lei Geral de Proteção de Dados Pessoais (Lei n.º 13.709/2018), com o Regulamento Geral sobre a Proteção de Dados da União Europeia (GDPR), com normas internacionais aplicáveis e com as políticas oficiais da Meta Platforms Inc. para o uso da WhatsApp Business Platform.

Vigente desde 11 de novembro de 2025.

Resumo rápido

  • Utilizamos dados para autenticar usuários, operar fluxos de mensagens, automações e integrações com a Meta.
  • Todos os dados de mensagens e contatos permanecem segregados por tenant e são armazenados em banco de dados PostgreSQL seguro.
  • Não comercializamos dados pessoais e somente os compartilhamos com suboperadores essenciais (Meta, provedores de infraestrutura, serviço de e-mail e IA sob demanda).
  • Direitos de acesso, correção, portabilidade, exclusão e oposição podem ser exercidos pelo endereço [email protected].
  • É responsabilidade dos clientes obter e gerenciar o consentimento dos contatos antes de iniciar conversas ou campanhas pelo WhatsApp Business API.

Sumário

1. Controlador e canais de contato

A operação da WhatsApp Cloud Platform é conduzida pela equipe da Chave Mestra Gestão, localizada em Florianópolis/SC, Brasil. Somos responsáveis por definir as finalidades e os meios de tratamento dos dados pessoais coletados pela plataforma quando atuamos como provedores SaaS da solução.

Para assuntos relacionados a privacidade e proteção de dados, disponibilizamos os seguintes canais:

Sempre que agirmos como operadora em nome de um cliente (por exemplo, quando um tenant utiliza a nossa infraestrutura para enviar mensagens em sua própria base de contatos), atuamos conforme instruções do cliente/controlador e as regras da Meta para provedores de soluções em nuvem.

2. Dados pessoais tratados

O tratamento é limitado aos dados necessários para autenticar usuários, habilitar integrações com a WhatsApp Business Platform, operar recursos de automação e disponibilizar registros de auditoria. Os principais conjuntos de dados são:

2.1 Dados de cadastro e configuração

  • Nome, e-mail corporativo, senha em formato criptografado (bcrypt) e papel (super admin, owner, admin ou agent).
  • Dados da organização (nome do tenant, slug, fuso horário, metadados administrativos).
  • Tokens de segurança, preferências de notificações, assinaturas de push e registros de login.
  • Dados necessários para viabilizar comunicações e um portal de preferências associado à Newsletter da Chave Mestra Gestão (por exemplo: nome, e-mail e metadados de origem/sistema).

2.2 Credenciais e integrações com a Meta

  • Identificadores de conta comercial, número verificado, phoneNumberId, verifiedName e tokens de acesso fornecidos pela Meta.
  • Dados provenientes do fluxo de Embedded Signup (WABA ID, Meta Business ID, dados de consentimento e webhooks).
  • Logs de sincronização de templates, flows, mensagens e eventos de status enviados pela Graph API.

2.3 Dados de contatos e conversas

  • WhatsApp ID (wa_id), número de telefone, nome de perfil, idioma e demais atributos disponibilizados pelo WhatsApp.
  • Campos opcionais cadastrados pelo cliente (e-mail, endereço, gênero, data de nascimento, redes sociais, atributos personalizados).
  • Histórico de conversas, mensagens (texto, mídia, templates, interações com botões/listas, fluxos), status de entrega e comprovantes.
  • Mídias enviadas ou recebidas (imagens, vídeos, áudios, documentos) e respectivos metadados.

2.4 Conteúdos operacionais do produto

  • Configurações de automação, chatbots, quick replies, fluxos, templates e campanhas.
  • Execuções de automações, registros de broadcasts, métricas de desempenho, rascunhos e agendas.
  • Dados inseridos via APIs públicas, webhooks de saída, integrações com IA e registros de testes.

2.5 Registros técnicos, suporte e conformidade

  • Logs de auditoria, trilhas de acesso, atribuições de conversas, notificações internas, eventos de segurança e erros.
  • Eventos de analytics gerados pela própria plataforma para monitorar estabilidade e qualidade de serviço.
  • Chamados de suporte, e-mails enviados pela plataforma (via Resend) e anotações feitas pela equipe de atendimento.

2.6 Cookies e armazenamento local

  • Cookies de sessão essencial gerados pelo NextAuth para manter usuários autenticados.
  • Preferência de tema (claro/escuro) e outras configurações salvas em localStorage pelo navegador do usuário.
  • Não utilizamos cookies de publicidade ou trackers de terceiros fora dos suboperadores listados nesta política.

3. Finalidades e bases legais

Tratamos os dados pessoais para as seguintes finalidades:

  • Prestação do serviço e execução de contrato: autenticar usuários, provisionar tenants, entregar mensagens, sincronizar templates, registrar automações e disponibilizar dashboards.
  • Conformidade com políticas da Meta: validar tokens, registrar webhooks obrigatórios, manter logs de envio e status conforme exigido pela WhatsApp Business Platform.
  • Cumprimento de obrigações legais: atender solicitações de autoridades, registrar logs de auditoria, prevenir fraudes e respeitar legislações antifraude e de telecomunicações.
  • Legítimo interesse: melhorar usabilidade, monitorar performance, realizar análises agregadas e garantir segurança da informação, sempre considerando direitos e liberdades dos titulares.
  • Consentimento: envio opcional de comunicações de marketing ou materiais informativos, participação em programas beta, uso de IA generativa quando habilitado pelo cliente.

4. Dados de contatos dos clientes

Quando um tenant importa ou recebe contatos pelo WhatsApp Business API, atua como controlador desses dados. A WhatsApp Cloud Platform processa essas informações apenas para viabilizar conversas, campanhas, fluxos e análises contratados. Cabe ao cliente garantir que cada contato forneceu opt-in válido e que o conteúdo das mensagens respeita as WhatsApp Business Messaging Policies e a legislação aplicável.

Oferecemos recursos de exclusão, anonimização e exportação de dados para auxiliar no atendimento às solicitações dos titulares. Ao excluir um contato, removemos suas mensagens, etiquetas e associações ativas, preservando apenas registros mínimos necessários para fins de auditoria e prevenção de abuso.

5. Compartilhamento e suboperadores

Compartilhamos dados pessoais apenas com provedores essenciais para manter o serviço, sempre mediante contratos que observam cláusulas de proteção de dados e as exigências da Meta. Atualmente podemos contar com os seguintes suboperadores:

  • Meta Platforms, Inc. e afiliadas (WhatsApp Business Platform): transmissão de mensagens, templates, flows, delivery receipts e eventos de webhook.
  • Provedores de hospedagem em nuvem: ambientes configurados em plataformas como Vercel, Railway ou infraestrutura dedicada do cliente, responsáveis por executar a aplicação Next.js e os serviços de background.
  • Bancos de dados PostgreSQL gerenciados: serviços de banco de dados em nuvem contratados para armazenar dados transacionais da plataforma.
  • Serviços Redis compatíveis: caches e filas de mensagens para otimização de desempenho e enfileiramento.
  • Plataformas de armazenamento compatíveis com S3 (MinIO ou equivalentes): guarda de mídias enviadas pelos usuários quando configurado pelo tenant.
  • Resend, Inc.: disparo de e-mails transacionais (recuperação de senha, convites, alertas operacionais).
  • Newsletter da Chave Mestra Gestão (portal de preferências e comunicações): criação/atualização de um cadastro associado ao e-mail do usuário para permitir gerenciamento de preferências, descadastro e solicitações de exclusão relacionadas às comunicações. Os dados enviados se limitam ao necessário (ex.: nome, e-mail e metadados de origem/sistema).
  • Fornecedores de IA (OpenAI, Google, Anthropic): apenas quando o tenant habilita agentes de IA ou automações que exigem envio de trechos de conversa para processamento.
  • Consultores e parceiros de suporte: atendimento técnico autorizado, limitado ao necessário e sujeito a obrigações de confidencialidade.

Não compartilhamos, vendemos ou cedemos dados pessoais para fins de marketing externo. Qualquer novo suboperador relevante será comunicado por meio de atualização desta política.

6. Transferências internacionais

Alguns suboperadores podem estar localizados fora do Brasil, incluindo nos Estados Unidos e na União Europeia. Nessas situações aplicamos salvaguardas contratuais, cláusulas padrão e requisitos adicionais exigidos pela LGPD e pelo GDPR, garantindo que o nível de proteção seja equivalente ao oferecido em seu país de origem. A transmissão de dados para a Meta segue estritamente os termos e políticas oficiais do WhatsApp Business Platform.

7. Retenção e descarte

Mantemos os dados pessoais durante a vigência da contratação ou conforme necessário para cumprir obrigações legais, auditorias e exigências da Meta. O controlador pode definir políticas internas de retenção, remover contatos, mensagens ou campanhas diretamente no painel e solicitar a exclusão total da conta. Após o encerramento contratual, realizamos a exclusão ou anonimização dos dados em até 90 dias, preservando logs mínimos que possam ser necessários para defesa judicial ou prevenção a fraudes por até 180 dias adicionais.

8. Medidas de segurança

  • Segregação lógica por tenant, com isolamento de dados e controles de RBAC (role-based access control).
  • Criptografia de senhas com bcrypt, tokens armazenados com hash, chaves de API truncadas e logs de auditoria detalhados.
  • Requisições realizadas exclusivamente por conexões HTTPS/TLS e assinatura das chamadas aos webhooks conforme exigido pela Meta.
  • Monitoramento de eventos críticos, alertas de falhas e políticas de retry com backoff exponencial.
  • Revisões periódicas de permissões, rotação de credenciais e mecanismos de dupla checagem para operações sensíveis.

Apesar de todos os controles, nenhum sistema é 100% imune a incidentes. Caso identifiquemos violação que represente risco ou dano relevante, notificaremos os titulares e a ANPD nos prazos legais, informando as medidas de contenção adotadas.

9. Direitos dos titulares

Os titulares podem exercer gratuitamente os direitos previstos na LGPD, no GDPR e demais normas aplicáveis, incluindo:

  • Confirmação do tratamento e acesso aos dados;
  • Correção de dados incompletos, inexatos ou desatualizados;
  • Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade;
  • Portabilidade para outro fornecedor, observadas segredos comerciais e industriais;
  • Eliminação de dados tratados com consentimento;
  • Informação sobre entidades com as quais compartilhamos dados;
  • Revogação do consentimento e oposição a tratamentos baseados em legítimo interesse;
  • Revisão de decisões automatizadas que afetem seus interesses.

Para exercer quaisquer desses direitos, basta enviar solicitação para[email protected]. Podemos solicitar comprovação de identidade para proteger a conta e os dados em questão.

10. Cookies e tecnologias similares

Utilizamos apenas cookies estritamente necessários para manter a sessão do usuário autenticada (NextAuth) e armazenamos preferências de interface no navegador. Não empregamos cookies de rastreamento de terceiros nem identificadores publicitários. O usuário pode gerenciar cookies nas configurações do navegador; no entanto, desabilitar cookies essenciais pode comprometer o funcionamento do painel administrativo.

11. Automação, IA e decisões automatizadas

A plataforma permite configurar automações de mensagens, fluxos e agentes de IA. Essas funcionalidades operam conforme regras definidas pelo cliente e destinam-se a otimizar atendimento, marketing e suporte. Mantemos registros das decisões automatizadas para garantir transparência e permitir revisão humana. Quando o uso de IA generativa é habilitado, apenas trechos necessários da conversa são enviados ao provedor escolhido e descartados após o processamento, respeitando os termos de cada fornecedor.

12. Webhooks, API e integrações

Disponibilizamos APIs públicas, webhooks de saída e integrações customizadas. Os clientes são responsáveis por configurar endpoints seguros e informar eventuais terceiros envolvidos. Armazenamos os payloads necessários para monitoramento, reprocessamento e auditoria. O uso das APIs deve respeitar esta política, os Termos de Uso e as políticas da Meta.

13. Atualizações desta política

Podemos atualizar esta Política de Privacidade para refletir evoluções do produto, exigências legais ou orientações da Meta. Publicaremos a nova versão nesta página com a data de vigência revisada e, quando mudanças forem substanciais, notificaremos administradores por e-mail ou pelo painel. O uso continuado após a atualização representa concordância com os novos termos.

Em caso de dúvidas, fale com nosso time pelo canal[email protected].