Documento Legal

Política de Privacidade

Esta Política descreve como a CloudWhats, mantida pela equipe da Chave Mestra Gestão, coleta, utiliza, armazena, compartilha e protege dados pessoais e dados operacionais tratados na plataforma, inclusive dados provenientes de integrações como Meta, Stripe, Google Calendar, Nuvemshop, Firecrawl, SMTP, Typebot, Webhooks, widget do site e provedores de IA. Nosso objetivo é operar a plataforma com transparência e em conformidade com a Lei Geral de Proteção de Dados (LGPD)e, quando aplicável, com o GDPR.

Última atualização: 15 de Março de 2026.

Resumo de privacidade e integrações sensíveis

Tratamos dados de contas, usuários, contatos, conversas, tarefas, campanhas, integrações, logs e faturamento para operar a plataforma contratada.
Quando você conecta serviços de terceiros, a CloudWhats passa a tratar os dados estritamente necessários para autenticar, sincronizar e executar os recursos correspondentes.
Pagamentos são processados pela Stripe; não armazenamos o número completo do seu cartão de crédito em nossa base operacional.
Os tenants continuam sendo controladores dos dados comerciais de seus próprios clientes; a CloudWhats atua como operadora/processadora da infraestrutura e das rotinas autorizadas.

1. Controlador e Canais de Contato

Nós somos Responsáveis pelo Processo (Processadores) e operamos de São Sebastião do Caí/RS para clientes globais. Somos o Hub comunicativo e hospedamos bases de dados altamente disponíveis (PostgreSQL/Redis) da plataforma Cloud em Servidores Dedicados Cloud da Hetzner Online GmbH. Para sanar problemas de infraestrutura ou violação LGPD: [email protected].

2. Categorias de Dados Tratados

Para prestar o serviço, podemos tratar as seguintes categorias de dados, conforme os módulos e integrações habilitados pela sua organização:

Contas, usuários e autenticação

Dados cadastrais de administradores e membros da equipe, como nome, e-mail, cargo/função, credenciais de acesso, preferências operacionais e trilhas de login. Senhas são protegidas por hash e segredos específicos podem ser criptografados no armazenamento da aplicação.

Contatos, conversas, mídia e operação comercial

Dados de contatos, conversas, mensagens, anexos, eventos de entrega/leitura, atribuições, notas, tarefas, lembretes, pedidos, CRM, campanhas, templates, automações e demais informações necessárias para operar atendimento, vendas e relacionamento no painel.

Billing, assinaturas e consumo

Identificadores de cliente e assinatura, status de plano, período de trial, cobranças, invoices, uso excedente, add-ons, limites operacionais e eventos financeiros necessários para faturamento via Stripe e para aplicar regras como suspensão por inadimplência.

Integrações e conectores

Tokens, chaves, status de entitlement, parâmetros de configuração e payloads operacionais de integrações como WhatsApp/Meta, Google Calendar, Nuvemshop, Meta Catalog, SMTP, Firecrawl, Typebot, Webhooks outbound e outras integrações que venham a ser habilitadas pela sua organização.

IA, conhecimento e automações

Trechos de histórico de conversa, dados contextuais do contato, tarefas, CRM, lembretes, itens de galeria, instruções de sistema, conteúdo de bases de conhecimento (URLs e arquivos) e logs de acesso do agente, sempre conforme as permissões configuradas no tenant.

Widget, API pública, webhooks e telemetria

Dados de visitantes do widget, sessões, tokens públicos, eventos de campanha, origens permitidas, payloads enviados para endpoints de webhook configurados pelo cliente, respostas de teste/entrega, métricas técnicas, auditoria e erros operacionais sanitizados.

3. Finalidades e Bases do Tratamento

Tratamos dados para prestar o serviço contratado, autenticar usuários, manter a operação do WhatsApp e demais canais, permitir automações, executar integrações, emitir cobranças, sustentar relatórios e proteger a infraestrutura contra abuso, fraude, falhas e uso indevido. Quando uma integração é habilitada, também tratamos os dados estritamente necessários para executar as ações solicitadas no respectivo serviço externo.

As bases jurídicas podem variar conforme o contexto, incluindo execução de contrato, cumprimento de obrigação legal ou regulatória, exercício regular de direitos, proteção do crédito, legítimo interesse e, quando exigido, consentimento obtido pela sua organização ou pelo próprio usuário final em relação ao canal ou comunicação utilizada.

4. Compartilhamento com Terceiros e Suboperadores

Compartilhamos dados somente quando isso é necessário para executar a plataforma, processar cobranças, entregar integrações, manter infraestrutura, responder a exigências legais ou cumprir instruções válidas da sua organização.

Meta Platforms, para operar WhatsApp Cloud API, templates, webhooks, mídia, mensagens, catálogos e, quando aplicável, integrações com Instagram.
Stripe, para checkout, portal do cliente, subscriptions, invoices, pagamentos e eventos de billing.
Google, para autenticação e operações do Google Calendar quando a integração for habilitada.
Provedores de IA, como Google, OpenAI e Anthropic, quando sua organização habilita agentes, automações, transcrição, raciocínio ou respostas assistidas por IA.
Nuvemshop e outros provedores de integração, quando a sua organização sincroniza pedidos, produtos, clientes, status e eventos com esses serviços.
Firecrawl, quando sua organização aciona scraping, crawl, extração estruturada, busca ou agent mode para geração e revisão de leads.
Provedor SMTP escolhido pela sua organização, quando e-mails são enviados a partir do conector configurado por você.
Endpoints externos definidos pela sua organização, quando você configura webhooks outbound, integrações customizadas ou outras entregas para infraestrutura de terceiros sob seu controle.
Provedores de hospedagem, banco de dados, filas, cache, armazenamento, mensageria em tempo real e observabilidade, na medida técnica necessária para operar o serviço.
Autoridades públicas, órgãos reguladores, auditores e poder judiciário, quando houver obrigação legal, requisição válida ou necessidade de proteger direitos, segurança e integridade da plataforma.

5. Dados do usuário do Google (Google user data)

Se você autorizar o conector do Google Calendar, a CloudWhats poderá acessar e processar dados do usuário do Google (Google user data) exclusivamente para disponibilizar funcionalidades de calendário solicitadas por você dentro da plataforma. Isso pode incluir a lista de agendas disponíveis, o identificador da agenda escolhida, metadados de eventos, participantes, lembretes, links do Google Meet e os tokens OAuth necessários para manter a conexão ativa.

Não vendemos dados do usuário do Google, não os compartilhamos com corretores de dados e não os utilizamos para publicidade. Também não usamos dados obtidos de Google APIs para desenvolver, treinar ou melhorar modelos generalistas de IA ou aprendizado de máquina. O compartilhamento, a transferência ou a divulgação desses dados ocorre somente nas hipóteses abaixo, quando estritamente necessário:

Google LLC e seus serviços relacionados, para autenticar sua conta, listar calendários, criar, atualizar, excluir ou consultar eventos, gerar links de videoconferência e enviar convites ou lembretes configurados por você.
Usuários autorizados do seu tenant, conforme permissões internas da plataforma, quando eles precisarem visualizar, configurar ou operar a integração do Google Calendar em nome da sua organização.
Participantes e destinatários adicionados por você ao evento, quando você informar e-mails de convidados, habilitar envio de atualizações (sendUpdates) ou solicitar convites/reminders via Google.
Suboperadores de infraestrutura, como hospedagem, banco de dados, cache, armazenamento e monitoramento, na medida técnica necessária para armazenar tokens, identificadores de agenda, metadados de eventos e logs operacionais sob contrato e controle de acesso.
Provedores de IA configurados pelo tenant, apenas quando a sua organização habilitar explicitamente agentes ou ferramentas com permissão para consultar ou criar eventos do Google Calendar; nesse cenário, os dados retornados são usados apenas para executar a instrução solicitada na sessão do usuário, e não para treinamento generalista.
Autoridades públicas, reguladores, auditores ou órgãos judiciais, quando houver obrigação legal, ordem válida, prevenção a fraude ou necessidade de proteção de direitos, segurança e integridade da plataforma.

Escopos solicitados pela integração com o Google Calendar

A integração solicita acesso para listar as agendas da conta conectada (para seleção pelo usuário) e para criar, editar e consultar eventos nessa agenda. Nenhum outro dado da conta Google é acessado. Ao desconectar a integração, os registros ativos de OAuth são removidos da base operacional, ressalvadas cópias de backup, logs mínimos e retenções técnicas ou legais aplicáveis.

6. IA, automações e bases de conhecimento

A plataforma pode integrar agentes e automações com provedores externos de IA. Quando esses recursos estiverem habilitados, poderemos enviar fragmentos do histórico da conversa, contexto operacional, dados do contato, tarefas, CRM, lembretes, mensagens agendadas, itens de galeria e, quando permitido, dados derivados de integrações como Google Calendar, estritamente para gerar a resposta solicitada ou executar a ação pedida pelo usuário.

O acesso do agente é controlado por permissões granulares configuradas no tenant. Além disso, execuções e acessos a dados podem ser registrados em logs de auditoria para segurança, rastreabilidade e compliance. Bases de conhecimento, URLs e arquivos enviados pela sua organização podem ser processados para indexação e recuperação contextual.

7. Webhooks, widget, API pública e integrações externas

A CloudWhats pode disponibilizar widget de chat para sites, tokens públicos de sessão, APIs e webhooks outbound. Quando você configura um endpoint externo ou incorpora o widget em um site, dados operacionais podem ser enviados para a infraestrutura indicada por você. A plataforma pode assinar payloads, registrar tentativas de entrega e exibir logs operacionais, mas a segurança, disponibilidade e o tratamento no destino configurado continuam sob responsabilidade da sua organização e dos fornecedores escolhidos por ela.

8. Dados de contatos, conversas e operação do cliente

A base de leads, contatos, conversas, tarefas, pedidos, tags, pipeline, campanhas e dados operacionais pertencentes ao tenant são tratados em nome da sua organização. Não utilizamos esses dados para revendê-los, comercializá-los com corretores de dados ou explorar comercialmente a carteira do cliente final do tenant. A plataforma adota isolamento multi-tenant na aplicação e na camada de dados.

9. Transferências Internacionais

Sua organização e seus contatos podem estar no Brasil, enquanto parte dos suboperadores utilizados pela CloudWhats opera infraestrutura em outras jurisdições, incluindo Estados Unidos e Europa. Quando isso ocorrer, dados poderão ser transferidos internacionalmente para viabilizar autenticação, hospedagem, cobrança, IA e integrações, sempre com base legal aplicável e salvaguardas contratuais e técnicas compatíveis.

10. Retenção, suspensão e descarte

Mantemos dados pelo tempo necessário para cumprir as finalidades descritas nesta Política, atender exigências legais, resolver disputas, aplicar nossos contratos e sustentar segurança, auditoria e continuidade operacional. Prazos específicos podem variar conforme o módulo, o conector e o tipo de obrigação aplicável.

Deep Freeze (suspensão operacional por inadimplência ou trial expirado)

Em situações de inadimplência, cancelamento ou expiração do período elegível de uso, a plataforma pode entrar em modo Deep Freeze , no qual rotinas como processamento de eventos em tempo real, agentes de IA, envios e outras automações podem ser suspensas. Dados históricos podem permanecer preservados em modo de leitura, mas eventos novos recebidos durante a suspensão podem deixar de ser processados.

Quando uma integração é desconectada ou cancelada, seus registros operacionais ativos podem ser removidos da base principal conforme o desenho técnico do recurso. Isso não elimina automaticamente backups, logs mínimos, registros de auditoria, informações exigidas por lei ou outras retenções técnicas necessárias para integridade, segurança e prevenção a fraude.

11. Medidas de Segurança

Adotamos controles de acesso por função (RBAC), segregação multi-tenant, verificação de assinaturas em webhooks, trilhas de auditoria, proteção de sessão e transporte seguro via HTTPS/TLS. Também limitamos o acesso interno a dados de integração e monitoramos erros e eventos críticos para reduzir abuso, fraude e uso indevido da plataforma.

12. Direitos dos Titulares

Titulares de dados e organizações controladoras podem exercer, nos termos da legislação aplicável, direitos como confirmação do tratamento, acesso, correção, atualização, anonimização, bloqueio, eliminação quando cabível, portabilidade, informação sobre compartilhamentos e revisão de decisões automatizadas quando aplicável. Solicitações podem demandar validação de identidade e análise da base legal e do papel da CloudWhats em cada operação.

13. Cookies, Logs e Tecnologias Similares

Utilizamos cookies e mecanismos semelhantes para autenticação, segurança de sessão, preferências operacionais, widget, personalizações de interface, armazenamento local de estado e telemetria técnica. O comportamento pode variar entre landing page, dashboard e assets públicos como o widget.

14. Atualizações desta Política

Podemos atualizar esta Política periodicamente para refletir mudanças regulatórias, contratuais, operacionais ou técnicas do produto. A versão vigente ficará disponível nesta página. Dúvidas ou solicitações relacionadas a privacidade podem ser enviadas para [email protected].