1. Papéis e abrangência
BRSmartFlow atua como controladora dos dados de visitantes, leads, usuários da plataforma e contatos comerciais. Quando uma empresa cliente usa nossa tecnologia para atender seus próprios contatos pelo WhatsApp, atuamos como operadora, conforme as instruções documentadas dessa empresa.
A empresa que iniciou o atendimento continua responsável pela base legal, transparência, opt-in e atendimento aos direitos de seus contatos.
2. Dados que podemos tratar
- identificação e contato, como nome, e-mail, telefone e empresa;
- dados de conta, autenticação, permissões e registros de segurança;
- identificadores empresariais e técnicos da Meta, WABA e número do WhatsApp;
- metadados de mensagens, como identificador, tipo, horário e status de entrega;
- conteúdo enviado em formulários ou conversas, somente quando necessário ao serviço contratado;
- dados técnicos, como endereço IP, navegador, eventos de uso e cookies.
3. Finalidades e bases legais
Tratamos dados para prestar e proteger os serviços, autenticar usuários, executar automações solicitadas, responder contatos, cumprir contratos e obrigações legais, prevenir abuso e melhorar a operação. Conforme o caso, usamos execução de contrato, cumprimento de obrigação legal, legítimo interesse ou consentimento.
Não vendemos dados pessoais e não usamos o conteúdo de conversas de clientes para publicidade própria.
4. WhatsApp, Meta e inteligência artificial
A integração usa a WhatsApp Business Platform da Meta. Dados necessários à entrega de mensagens são transmitidos à Meta conforme os termos e políticas aplicáveis da plataforma.
No MVP de homologação, a BRSmartFlow não persiste o conteúdo das mensagens: mantém somente metadados mínimos de auditoria por até 12 meses. Na operação de atendimento assistido, o conteúdo é processado em memória para responder e gerar um resumo curto; não mantemos uma transcrição completa. O protocolo, nome, telefone, resumo sanitizado e estado da transferência são retidos por até 30 dias.
Quando a pessoa solicita uma atendente, mostramos antes da transferência que o resumo será compartilhado com o canal humano indicado. Recursos de inteligência artificial somente são ativados para a finalidade contratada e com os fornecedores descritos no contrato aplicável.
5. Compartilhamento e transferências
Podemos usar fornecedores de infraestrutura, autenticação, comunicação, pagamento e mensageria, incluindo Google Cloud/Firebase, Meta e Resend, estritamente para operar o serviço. Eles recebem apenas os dados necessários à atividade contratada e estão sujeitos a obrigações de segurança e privacidade.
Alguns fornecedores processam dados fora do Brasil. Nesses casos, adotamos mecanismos contratuais e medidas compatíveis com a LGPD.
6. Retenção e segurança
Mantemos dados pelo tempo necessário às finalidades informadas, aos contratos e às obrigações legais. Protocolos de transferência assistida expiram automaticamente em até 30 dias; metadados de auditoria da integração Meta são eliminados automaticamente após 12 meses. Prazos diferentes podem se aplicar quando exigidos por lei, prevenção de fraude ou defesa de direitos.
Aplicamos controle de acesso, autenticação, validação de origem, criptografia em trânsito e armazenamento de credenciais em gerenciador de segredos. Nenhum método, porém, elimina integralmente os riscos de segurança.
7. Direitos do titular
O titular pode solicitar confirmação de tratamento, acesso, correção, portabilidade quando aplicável, informação sobre compartilhamento, anonimização, bloqueio ou eliminação, além de revogar consentimento e se opor a tratamentos.
Para exercer um direito, escreva para contact@brsmartflow.com. Poderemos pedir informações adicionais para confirmar a identidade e proteger os dados.
8. Atualizações e contato
Esta política pode ser atualizada para refletir mudanças legais ou operacionais. A versão vigente e a data de atualização permanecerão publicadas nesta página.
Dúvidas sobre privacidade podem ser enviadas para contact@brsmartflow.com.