Política de Privacidade

1. Controladora e Operadora de Dados

O cliente funciona como Controlador dos dados dos Usuários Finais, enquanto a WaBlast atua como Operadora em relação a esses dados, em conformidade com a Lei nº 13.709/2018 (LGPD).

2. Dados Coletados

2.1 Dados do Contratante

• Informações cadastrais: razão social/nome, CNPJ/CPF, endereço, e-mail, telefone
• Dados de acesso: IP de login, dispositivo, navegador, timestamps de sessão
• Dados financeiros: informações de pagamento tokenizadas (não armazenamos dados brutos de cartão)
• Dados de uso: logs de requisições às APIs, templates, volumes de envio, relatórios

2.2 Dados dos Usuários Finais

• Número de telefone (WhatsApp)
• ID de usuário do Facebook/Instagram (quando aplicável)
• Conteúdo das mensagens trocadas
• Metadados de entrega: timestamps, status de leitura, erros de envio

2.3 Dados Técnicos das APIs Meta

• Tokens de acesso (criptografados em repouso com AES-256-GCM)
• IDs de contas de negócios (WABA ID, Phone Number ID, Business ID)
• Webhooks recebidos da Meta

3. Finalidades e Bases Legais

O tratamento de dados ocorre conforme Art. 7 da LGPD:

• Execução de contrato (Art. 7, V): prestação dos serviços contratados
• Consentimento (Art. 7, I): especialmente para comunicações de marketing
• Legítimo interesse (Art. 7, IX): melhorias na Plataforma e prevenção a fraudes
• Cumprimento de obrigação legal (Art. 7, II): requisitos fiscais, contábeis e regulatórios

4. Compartilhamento de Dados

A WaBlast compartilha dados nas seguintes situações:

• Meta Platforms, Inc.: dados necessários para funcionamento das APIs conforme integração
• Provedores de infraestrutura: servidores em nuvem (Vercel, VPS próprio), processadores de pagamento e ferramentas de monitoramento sob acordos de confidencialidade
• Autoridades públicas: quando exigido por lei, ordem judicial ou requisição de autoridade competente
• Sucessores: em caso de fusão ou aquisição, mediante notificação prévia

Declaração importante: a WaBlast não vende, aluga ou comercializa dados pessoais de clientes ou Usuários Finais com terceiros para fins publicitários.

5. Transferência Internacional de Dados

Dados pessoais podem ser transferidos para fora do Brasil devido à integração com infraestrutura Meta (EUA) e provedores de nuvem internacionais, com base em:

• Cláusulas contratuais padrão aprovadas pela ANPD (quando disponíveis)
• Standard Contractual Clauses (SCCs) para transferências à União Europeia
• Adequação de nível de proteção reconhecida pelas autoridades competentes

6. Retenção de Dados

Os dados pessoais são retidos pelo tempo necessário para cumprir as finalidades de coleta, respeitando obrigações legais e regulatórias:

• Contas ativas: mantidos durante vigência contratual
• Após encerramento da conta: eliminados em até 90 dias
• Dados fiscais/contábeis: 5 anos conforme legislação tributária
• Logs de segurança: 6 meses para auditoria

Detalhes sobre exclusão de conta em /data-deletion.

7. Segurança dos Dados

A WaBlast adota medidas técnicas e organizacionais:

• Criptografia em trânsito (TLS 1.2+) e em repouso (AES-256-GCM)
• Autenticação multifator (MFA) para acesso ao painel administrativo
• Controles de acesso baseados em perfil (RBAC) com princípio do mínimo privilégio
• Monitoramento contínuo de segurança com alertas automáticos de anomalias
• Testes periódicos de penetração (pentests) e auditorias de segurança
• Plano de resposta a incidentes documentado e testado

Notificação de incidentes: em caso de incidente de segurança que possa afetar dados pessoais, a WaBlast notificará o Contratante em até 72 horas e a ANPD conforme exigido pela LGPD.

8. Direitos dos Titulares de Dados

Conforme LGPD (Art. 18) e GDPR, os titulares possuem direitos para:

• Confirmação e Acesso: confirmar existência de tratamento e obter cópia dos dados
• Correção: solicitar correção de dados incompletos, inexatos ou desatualizados
• Anonimização, Bloqueio ou Eliminação: de dados desnecessários ou tratados em desconformidade
• Portabilidade: receber dados em formato estruturado e interoperável
• Eliminação: solicitar exclusão de dados tratados com base em consentimento
• Informação sobre Compartilhamento: saber com quais entidades os dados são compartilhados
• Revogação do Consentimento: a qualquer momento, sem prejuízo a tratamentos anteriores
• Oposição: contestar tratamentos baseados em legítimo interesse

Exercício de direitos pelo canal do Encarregado (DPO) descrito na seção 12. Resposta garantida em até 15 dias úteis.

9. Cookies e Tecnologias de Rastreamento

A WaBlast utiliza cookies para:

• Cookies essenciais: autenticação e funcionamento básico do painel
• Cookies analíticos: medir uso da Plataforma (dados anonimizados ou pseudonimizados)
• Cookies de preferências: salvar configurações do usuário

O Contratante pode gerenciar preferências de cookies pelo painel de configurações ou opções do navegador. O bloqueio de cookies essenciais pode impactar o funcionamento da Plataforma.

10. Menores de Idade

A Plataforma não é direcionada a pessoas menores de 18 anos. A WaBlast não coleta intencionalmente dados de menores. Caso tome conhecimento de coleta de dados de menor sem consentimento adequado, procederá à exclusão imediata.

11. Atualizações desta Política

A Política pode ser atualizada periodicamente. Alterações relevantes serão comunicadas ao Contratante por e-mail com antecedência mínima de 15 dias. A versão mais recente estará sempre disponível no site e painel da Plataforma com indicação da data de vigência.

12. Contato e Canal do Encarregado (DPO)

Para exercer direitos ou esclarecer dúvidas sobre tratamento de dados pessoais:

E-mail: [email protected]

Prazo de resposta: até 15 dias úteis.

Em caso de inadequação no tratamento, é possível peticionar à Autoridade Nacional de Proteção de Dados (ANPD) conforme Art. 18, §1 da LGPD.