Política de Privacidade
Esta Política descreve como a AgendIA coleta, usa, armazena e protege os dados pessoais tratados na Plataforma, em conformidade com a Lei nº 13.709/2018 (LGPD) e o Marco Civil da Internet.
1. Controlador e Operador
Esta Plataforma é operada por Rodrigo de Souza Francisco, CPF 145.149.206-57 ("AgendIA", "Provedor" ou "nós"), pessoa física desenvolvedora responsável pelo sistema. Para fins da LGPD:
- O estabelecimento contratante (salão, barbearia, clínica ou profissional autônomo) é o Controlador dos dados dos seus clientes finais (visitantes que marcam horário).
- A AgendIA atua como Operadora, tratando os dados em nome e por ordem do Controlador, exclusivamente para execução do serviço contratado.
- Para questões sobre privacidade ou exercício de direitos LGPD, entre em contato: cafezintech.solucoes@gmail.com.
2. Quais dados coletamos
2.1 Dados do estabelecimento contratante (Cliente)
- Nome do estabelecimento e do(a) proprietário(a);
- E-mail, telefone e (opcionalmente) endereço;
- CPF/CNPJ, quando informado para emissão de documento fiscal;
- Configurações operacionais (funcionários, serviços, horários, regras);
- Credenciais de acesso (senha armazenada com hash bcrypt);
- Histórico de uso da Plataforma (audit log).
2.2 Dados dos clientes finais do estabelecimento
Em conformidade com o princípio da minimização de dados, a Plataforma trata apenas:
- Número de telefone (chave primária — origem da mensagem WhatsApp);
- pushName do contato (nome exibido no WhatsApp do próprio usuário, capturado automaticamente — não solicitado pela IA);
- Histórico de agendamentos vinculados ao telefone (horário, serviço, funcionário, status);
- Conteúdo das mensagens trocadas com a IA durante o atendimento ativo (processamento temporário em memória — ver seção 4).
2.3 Dados técnicos coletados automaticamente
- Endereço IP (para fins de segurança e rate limiting);
- User Agent e timestamp das requisições;
- Logs de erro e auditoria de acesso ao painel.
3. Finalidades e Bases Legais
O tratamento de dados pessoais nesta Plataforma observa as seguintes finalidades e bases legais previstas no art. 7º da LGPD:
- Execução de contrato (art. 7º, V): operar agendamentos, enviar lembretes, processar pagamentos, autenticar acesso.
- Cumprimento de obrigação legal (art. 7º, II): retenção de registros conforme Marco Civil da Internet (art. 15) e legislação fiscal aplicável.
- Legítimo interesse (art. 7º, IX): segurança da Plataforma, prevenção a fraude, melhoria do serviço (análise estatística agregada sem identificação individual).
- Consentimento (art. 7º, I): coleta opcional de dados adicionais (ex.: aniversário do cliente para envio de mensagem promocional).
4. Como tratamos as mensagens com a IA
Quando um cliente final envia uma mensagem WhatsApp para o estabelecimento, ela é processada pela seguinte cadeia técnica:
- Recepção: a mensagem chega à instância WhatsApp do estabelecimento (gerenciada via Evolution API auto-hospedada em servidor do Provedor) e é repassada ao motor de conversa.
- Filtros determinísticos: saudações, ofensas, flood e off-topic são respondidos sem envolver IA externa.
- Processamento por IA: quando necessário, o conteúdo da mensagem + contexto da conversa em curso é enviado à OpenAI (gpt-4.1-mini), servidor localizado nos Estados Unidos, sob acordo de processamento de dados (DPA) e termos de uso que vedam treinamento de modelos com dados de API.
- Persistência mínima: apenas o resultado do agendamento (data, horário, serviço, status) e o registro mínimo de auditoria são gravados no banco PostgreSQL. O teor das conversas não é mantido em histórico permanente após o encerramento do atendimento ativo.
5. Compartilhamento com Terceiros
Compartilhamos dados pessoais apenas com prestadores estritamente necessários para a operação da Plataforma:
- OpenAI, L.L.C. (EUA) — processamento de linguagem natural pela IA. Subprocessador. Política em openai.com/policies/privacy-policy.
- WhatsApp Inc./Meta Platforms (EUA) — infraestrutura de mensageria utilizada pelo Cliente para se comunicar com seus clientes finais. Não temos relação contratual direta com a Meta.
- Provedor de infraestrutura (VPS hospedada no Brasil) — armazenamento físico do banco de dados PostgreSQL e da Evolution API.
- Autoridades públicas — apenas mediante ordem judicial válida ou determinação legal.
Não comercializamos seus dados. Não há compartilhamento com terceiros para fins de marketing, publicidade direcionada ou construção de perfil comportamental.
6. Retenção dos Dados
- Dados cadastrais do estabelecimento: mantidos enquanto durar o contrato e por até 30 dias após o encerramento, quando são excluídos permanentemente do banco de dados (incluindo backups na próxima rotação de retenção).
- Dados dos clientes finais: vinculados ao tenant. Excluídos junto com o tenant em até 30 dias após encerramento.
- Conteúdo de mensagens com a IA: não é persistido em banco. Permanece apenas em memória de processo durante o atendimento ativo (typically < 30 minutos).
- Logs de auditoria e segurança: retidos por até 365 dias para cumprimento do Marco Civil da Internet e segurança da Plataforma.
- Backups: rotacionados em até 30 dias.
7. Direitos do Titular dos Dados
Nos termos do art. 18 da LGPD, qualquer titular de dados pode exercer, a qualquer tempo e gratuitamente:
- Confirmação da existência de tratamento;
- Acesso aos dados;
- Correção de dados incompletos, inexatos ou desatualizados;
- Anonimização, bloqueio ou eliminação de dados desnecessários ou excessivos;
- Portabilidade (exportação dos dados em formato estruturado);
- Eliminação dos dados tratados com consentimento;
- Informação sobre compartilhamento com terceiros;
- Revogação do consentimento a qualquer momento.
Como exercer: envie e-mail para cafezintech.solucoes@gmail.com identificando-se e descrevendo a solicitação. Responderemos em até 15 dias úteis.
8. Segurança das Informações
Adotamos medidas técnicas e organizacionais razoáveis para proteger seus dados:
- Comunicação criptografada em trânsito via HTTPS (TLS 1.2+);
- Senhas armazenadas apenas como hash bcrypt — não conseguimos recuperá-las, apenas resetar;
- Autenticação baseada em JWT com expiração de 8 horas;
- Rate limiting contra brute force em endpoints sensíveis;
- Webhook autenticado por chave + restrição de rede interna;
- Isolamento estrito por tenant em todas as queries;
- Backups automatizados diários do banco;
- Audit log imutável de operações críticas.
Apesar dos cuidados, nenhum sistema é 100% imune. Em caso de incidente envolvendo dados pessoais, notificaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados conforme o art. 48 da LGPD.
9. Riscos Conhecidos da Integração WhatsApp
A Plataforma utiliza protocolo WhatsApp Web não-oficial (via Evolution API) para se comunicar pelo número do estabelecimento. Isso carrega o risco de a Meta Inc. aplicar bloqueio temporário ou definitivo ao número. Esse risco é divulgado no momento da contratação (Termos de Uso) e o Cliente reconhece expressamente. A AgendIA não se responsabiliza por sanções aplicadas pelo WhatsApp.
10. Cookies e Tecnologias Similares
A Plataforma utiliza armazenamento local do navegador
(localStorage) para manter a sessão autenticada (token JWT)
e preferências de interface (tema, visão de calendário). Não
usamos cookies de rastreamento, pixels de publicidade ou
ferramentas de analytics de terceiros. A landing pública não instala
cookies além do estritamente técnico.
11. Crianças e Adolescentes
A Plataforma destina-se ao uso por maiores de 18 anos (proprietários de estabelecimentos). O cadastro de menores como clientes finais (para agendamento) deve ocorrer apenas mediante consentimento do responsável legal, sendo responsabilidade do estabelecimento contratante essa verificação. Não tratamos dados sensíveis de menores.
12. Alterações nesta Política
Esta Política pode ser atualizada para refletir mudanças regulatórias ou operacionais. Alterações materiais serão notificadas com pelo menos 7 dias de antecedência via Plataforma e e-mail cadastrado. O uso continuado após a notificação implica concordância com a nova versão.
13. Encarregado e Foro
Encarregado pelo Tratamento de Dados (DPO): Rodrigo de Souza Francisco — cafezintech.solucoes@gmail.com.
Fica eleito o foro da Comarca de Barroso/MG para dirimir controvérsias relativas a esta Política, sem prejuízo do foro do domicílio do titular consumidor, quando aplicável (CDC, art. 101, I).