Política de Privacidade

O controlador dos dados pessoais tratados no Papim é Gustavo Henrique de Souza Costa Borges, inscrito no CNPJ 40.690.542/0001-58, com sede em Rua Zilah Corrêa de Araújo, 345, Bloco 1, Apto 206, Bairro Ouro Preto, Belo Horizonte/MG, CEP 31310-450, Brasil (“nós”, “Papim”).

Esta política descreve como tratamos dados pessoais conforme a Lei Geral de Proteção de Dados (Lei 13.709/2018 — LGPD) e aplica-se ao site papim.app, à plataforma SaaS Papim e às APIs e canais associados.

Coletamos as seguintes categorias de dados pessoais:

2.1 Dados de cadastro (do cliente Papim)

• Nome completo e e-mail do administrador e dos usuários convidados.
• Nome da empresa, segmento e dados de cobrança.
• Senha (armazenada com hash criptográfico — nunca em texto claro).

2.2 Dados de comunicação (contatos do cliente Papim)

• Número de telefone, nome e foto de perfil (quando disponíveis pelo WhatsApp) dos contatos com quem o cliente Papim conversa.
• Conteúdo das mensagens trocadas no WhatsApp (texto, áudio, imagem, PDF, documento) entre o cliente Papim e seus contatos.
• Tags, notas e status atribuídos pelo cliente Papim aos contatos.

2.3 Dados técnicos

• Endereço IP, identificador de dispositivo, navegador e sistema operacional.
• Logs de acesso, eventos de auditoria e telemetria de uso da plataforma.
• Cookies essenciais para autenticação (ver Seção 10).

2.4 Credenciais de integração

• Tokens de acesso ao WhatsApp Business (Meta Cloud API ou Evolution), armazenados de forma criptografada.
• Chave de API da OpenAI fornecida pelo próprio cliente Papim (opcional).

• Prestação do serviço: autenticar usuários, processar mensagens, executar fluxos automatizados de atendimento e fornecer relatórios.
• Atendimento ao titular: responder dúvidas, solicitações de suporte e exercício de direitos.
• Faturamento e prevenção a fraudes: processar pagamentos via parceiros (ex.: Stripe) e prevenir uso abusivo.
• Melhoria do produto: métricas agregadas e anonimizadas de uso. Nunca usamos o conteúdo das mensagens dos seus contatos para treinar modelos de IA.
• Cumprimento de obrigação legal: guarda de logs por prazo legal aplicável (Marco Civil da Internet — 6 meses).

• Execução de contrato — para prestar o serviço contratado pelo cliente Papim.
• Legítimo interesse — para segurança, prevenção a fraudes, telemetria operacional e melhoria de estabilidade.
• Consentimento — para comunicações de marketing (opt-in explícito; revogável a qualquer momento).
• Cumprimento de obrigação legal — guarda de logs e cooperação com autoridades quando exigido por lei.

Não vendemos dados pessoais. Compartilhamos apenas com operadores estritamente necessários para a prestação do serviço:

• Meta Platforms Ireland Ltd. — entrega de mensagens via WhatsApp Business Cloud API.
• OpenAI, L.L.C. — processamento de mensagens pela inteligência artificial, quando o cliente Papim configura. Mensagens não são usadas para treinar modelos da OpenAI (uso da API com configuração padrão de não-treino).
• Stripe Payments Europe Ltd. — processamento de pagamentos de assinatura.
• Brevo (Sendinblue SAS) — envio de e-mails transacionais (boas-vindas, redefinição de senha, lembretes).
• Provedor de infraestrutura em nuvem — hospedagem dos servidores e banco de dados.
• Autoridades públicas — somente mediante ordem judicial ou requisição legal específica.

Alguns operadores podem processar dados fora do Brasil (transferência internacional). Garantimos que estejam sujeitos a cláusulas contratuais adequadas ou em jurisdições com nível adequado de proteção, conforme art. 33 da LGPD.

O Papim atua como Tech Provider (BSP) da Meta. Quando o cliente Papim conecta sua conta WhatsApp Business, os dados das conversas trafegam pela API oficial da Meta (WhatsApp Business Cloud API).

A Meta é controladora independente dos dados pessoais que processa para entrega das mensagens, sujeita à sua própria Política Comercial do WhatsApp e Política de Privacidade do WhatsApp.

O cliente Papim é o controlador dos dados dos seus próprios contatos finais (clientes finais) — o Papim atua como operador desses dados nos termos da LGPD.

• Dados de cadastro e conversas: mantidos enquanto durar a relação contratual com o cliente Papim.
• Após cancelamento: dados são mantidos por 30 dias para permitir reativação e depois eliminados definitivamente.
• Logs de acesso: mantidos por 6 meses (Marco Civil da Internet, art. 15).
• Solicitação de exclusão antecipada: veja a página /privacidade/exclusao-dados.

• Senhas armazenadas com hash criptográfico (PBKDF2/bcrypt).
• Credenciais de integração (tokens Meta, chaves OpenAI) criptografadas em repouso.
• Comunicação HTTPS/TLS em todas as conexões.
• Isolamento multi-tenant: cada cliente Papim só acessa seus próprios dados; cada consulta exige escopo de tenant.
• Logs de auditoria e controle de acesso por papel (Admin, Manager, Agent).

Nenhuma medida de segurança é 100% infalível. Em caso de incidente que possa gerar risco relevante aos titulares, notificaremos a ANPD e os titulares afetados conforme art. 48 da LGPD.

Você tem direito a:

• Confirmação da existência de tratamento.
• Acesso aos seus dados.
• Correção de dados incompletos, inexatos ou desatualizados.
• Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade.
• Portabilidade dos dados a outro fornecedor.
• Eliminação dos dados tratados com base no consentimento.
• Informação sobre entidades com quem compartilhamos seus dados.
• Revogação do consentimento.
• Oposição a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento.

Para exercer qualquer direito, escreva para [email protected]. Responderemos em até 15 dias.

Usamos cookies e tecnologias similares nas seguintes categorias:

• Essenciais — autenticação e segurança da sessão. Sempre ativos; sem eles o login não funciona.
• Análise de comportamento (Microsoft Clarity) — gravação de sessão e mapas de calor para entender como o site é usado e melhorar a experiência. Tratado com base no consentimento (Art. 7, I da LGPD). Processado pela Microsoft Corporation (EUA).
• Marketing e retargeting (Meta Pixel) — rastreamento de conversão e criação de audiências no Meta Ads (Facebook / Instagram). Tratado com base no consentimento (Art. 7, I da LGPD). Processado pela Meta Platforms, Inc. (EUA).

Você pode gerenciar suas preferências a qualquer momento pelo banner de cookies exibido na primeira visita. Revogar o consentimento desativa os rastreadores nas sessões seguintes; dados já coletados seguem a retenção descrita na Seção 6.

Você também pode bloquear cookies no seu navegador, mas isso pode impedir o login na plataforma.

Podemos atualizar esta política quando houver mudança relevante de práticas. A data de última atualização aparece no topo. Alterações substanciais serão comunicadas por e-mail aos clientes ativos com 30 dias de antecedência.

Para qualquer dúvida sobre esta política ou tratamento de dados pessoais, o Encarregado pelo Tratamento de Dados Pessoais é:

• Nome: Gustavo Henrique de Souza Costa Borges
• E-mail: [email protected]
• Endereço postal: Rua Zilah Corrêa de Araújo, 345, Bloco 1, Apto 206, Bairro Ouro Preto, Belo Horizonte/MG, CEP 31310-450, Brasil

Você também pode reclamar diretamente à Autoridade Nacional de Proteção de Dados (ANPD).