EntrarTeste grátis

← Voltar ao início

Política de Privacidade

Texto em docs/legal/rascunho-politica-privacidade.md. Placeholders [CNPJ] etc. são substituídos por NEXT_PUBLIC_SITE_* quando definidos (veja apps/web/.env.example).

Revisão obrigatória por advogado antes de publicar. Este texto não constitui parecer jurídico e não afirma conformidade com a LGPD.

Versão do rascunho: 30 de maio de 2026
Revisão obrigatória por advogado antes de publicar. Este texto não constitui parecer jurídico, não substitui análise de impacto em proteção de dados quando exigida e não afirma conformidade automática com a LGPD.

1. Introdução

A [RAZÃO SOCIAL], pessoa jurídica inscrita no CNPJ nº [CNPJ], com sede em [ENDEREÇO] (“nós”, “Hivox” ou “controladora”, conforme definição jurídica aplicável), disponibiliza o software Hivox como serviço na nuvem (SaaS) para empresas e profissionais que contratam o produto (“clientes” ou “empresas cliente”), bem como o site público institucional e de cadastro.

Esta política descreve, em nível geral e para fins de transparência, como podem ser tratados dados pessoais nesse contexto. O uso do serviço também pode implicar tratamento de dados pelo próprio cliente da empresa (por exemplo, dados de leads e contatos inseridos no CRM). A forma como cada empresa define finalidades, bases legais e relações com seus próprios titulares é de responsabilidade do cliente, devendo ser observada na contratação e na documentação interna do cliente, em articulação com esta política e com o parecer jurídico.

2. Controladora e canal de privacidade

  • Identificação: [RAZÃO SOCIAL], CNPJ [CNPJ], [ENDEREÇO].
  • Contato geral (suporte e assuntos contratuais): [E-MAIL CONTATO].
  • Privacidade, dúvidas sobre dados e encarregado (DPO), quando houver: [E-MAIL PRIVACIDADE/DPO].

O encarregado de dados (DPO), quando houver, a forma de atendimento a titulares e os prazos de resposta devem ser confirmados pelo advogado e pela governança de privacidade da empresa.

3. Quais dados pessoais podem ser tratados

A lista abaixo é ilustrativa; o advogado deve alinhar cada item à operação real, aos contratos e aos registros de atividades de tratamento.

3.1 Cadastro, conta e autenticação

Nome, e-mail corporativo ou pessoal usado no cadastro, telefone quando informado, dados da empresa vinculada ao usuário (razão social, CNPJ, endereço quando aplicável), perfil de acesso (ex.: administrador, membro de time), preferências da conta e identificadores técnicos de sessão (cookies ou tokens conforme implementação).

3.2 Uso do produto (CRM, conversas, chamados, e-mail)

Dados de pessoas físicas ou jurídicas que o cliente cadastra ou importa como leads, clientes, contatos de tickets ou destinatários de mensagens: nome, telefone, e-mail, histórico de interações, anexos, notas internas, status de pipeline, dados de atendimento e demais campos configurados pelo cliente.
Metadados de operação (datas, usuário que alterou registro, logs de auditoria quando existirem no produto) podem ser tratados para prestação do serviço, segurança e suporte.

3.3 WhatsApp (Cloud API — Meta)

Quando o cliente habilitar a integração com a API oficial de mensagens da Meta, poderão ser tratados: identificadores da conta/número na plataforma, conteúdo e metadados de mensagens, status de entrega/ leitura conforme disponibilizados pela Meta, e informações necessárias à operação técnica. O tratamento pela Meta segue os termos e políticas da própria Meta; o cliente deve observar as regras do WhatsApp Business aplicáveis ao seu caso.

3.4 E-mail (envio pelo sistema)

Endereços de e-mail e conteúdo de mensagens enviadas pela plataforma (convites, notificações, campanhas configuradas pelo cliente, conforme módulos contratados). Se o cliente configurar SMTP próprio (servidor de terceiros), parte do fluxo pode ocorrer nos sistemas desse terceiro, nos termos dele.

3.5 Pagamentos e assinatura (Mercado Pago)

Quando o fluxo de cadastro, trial ou assinatura utilizar o Mercado Pago, dados necessários à operação (incluindo dados de pagamento, documento ou contato, conforme o formulário do gateway) são tratados primariamente pelo Mercado Pago. O Hivox pode receber identificadores de transação, status de pagamento, dados mínimos para vincular a assinatura à empresa cliente e gestão de acesso ao software (ex.: situação do trial ou da assinatura).

3.6 Logs, segurança e melhoria técnica

Endereço IP, data e hora de acesso, tipo de navegador ou aplicação, identificadores de sessão, registros de erro e eventos de segurança quando coletados para proteção da plataforma, diagnóstico, cumprimento de obrigação legal ou legítimo interesse, conforme análise jurídica.

3.7 Suporte

Informações voluntariamente enviadas em chamados, formulários ou e-mails de suporte, incluindo possíveis anexos com dados pessoais.

3.8 Inteligência artificial e funcionalidades automatizadas

Se o produto oferecer recursos que processem dados pessoais por meio de modelos ou serviços de terceiros, descrever aqui o provedor, a finalidade, a minimização de dados e a transferência internacional, após mapeamento técnico e jurídico. Enquanto não houver lista fechada, não afirmar uso de IA específica na política publicada sem base factual.

3.9 Agenda (Google / Microsoft)

Integrações de calendário, se e quando estiverem disponíveis no produto e conectadas pelo cliente: o advogado deve descrever quais dados são acessados (ex.: eventos, participantes) e a base legal. Não replicar esta subseção na versão pública até confirmação de produto.

4. Papel do cliente em relação a dados de terceiros

Em regra, a empresa cliente que cadastra leads, clientes finais ou usuários em seu ambiente no Hivox atua frente a essas pessoas conforme a legislação aplicável — podendo ser controladora ou operadora, conforme o caso — enquanto o Hivox fornece a infraestrutura e as ferramentas de tratamento conforme contratado. Esta política não substitui a obrigação do cliente de informar seus próprios titulares, celebrar contratos com suboperadores se necessário ou cumprir bases legais próprias. Cláusulas contratuais de tratamento de dados (DPA) devem ser definidas com o advogado.

5. Finalidades do tratamento pela Hivox

  • Prestação do serviço contratado: criação e manutenção de contas, autenticação, operações de CRM, conversas, chamados, envio de comunicações do sistema, recursos contratados por módulo.
  • Cumprimento de obrigações legais ou regulatórias e resposta a autoridades competentes, quando aplicável.
  • Legítimo interesse, quando cabível e após teste de balanceamento orientado pelo advogado (ex.: segurança da informação, prevenção a fraudes e abuso, métricas agregadas sem identificação indevida).
  • Consentimento, quando exigido para finalidades específicas (ex.: cookies não essenciais, comunicações de marketing da própria Hivox), com registro conforme boas práticas.

6. Bases legais (LGPD — art. 7º)

As bases legais devem ser vinculadas uma a uma às finalidades e aos tipos de dado descritos acima, em trabalho do advogado junto ao DPO. Este rascunho não atribui base legal conclusiva a cada hipótese.

7. Compartilhamento e suboperadores

Hipóteses típicas a confirmar antes de publicar:

  • Infraestrutura e hospedagem: [PROVEDOR(ES) DE HOSPEDAGEM / NUVEM].
  • Meta (WhatsApp Cloud API): quando a integração estiver em uso pelo cliente.
  • Mercado Pago: para pagamentos, assinatura ou validação vinculada ao trial, conforme fluxo ativo.
  • Provedores de e-mail, monitoramento ou analytics: somente após inventário; ver também a seção de cookies.

Não liste ferramentas que a operação não utilize. Atualize a política quando novos suboperadores forem contratados.

8. Transferência internacional de dados

Serviços com sede ou processamento fora do Brasil (ex.: nuvem, Meta, Mercado Pago) podem implicar transferência internacional. Os mecanismos jurídicos adequados (cláusulas-tipo, garantias, consentimento específico, etc.) devem ser indicados pelo advogado.

9. Retenção e eliminação

Os critérios de tempo de guarda (durante a vigência contratual, após encerramento, prazos legais fiscais ou trabalhistas quando aplicáveis, backup) e os procedimentos de eliminação, anonimização ou bloqueio devem ser detalhados juridicamente e alinhados aos processos internos. Evite prometer prazos fixos sem base operacional.

10. Cookies e tecnologias similares

Nome / ferramentaTipo (essencial / analítico / marketing)FinalidadeRetenção
Preencher após definição real (cookies de sessão do produto, pixels, etc.)

Enquanto a tabela não estiver fechada, o site pode usar texto provisório aprovado pelo advogado, sem nomear ferramentas que ainda não foram implementadas ou consentidas.

11. Direitos do titular

Em linha com a LGPD, conforme aplicável ao caso concreto e ao papel de cada parte, o titular pode solicitar: confirmação de tratamento, acesso, correção, anonimização, bloqueio ou eliminação, portabilidade, informação sobre compartilhamentos, revogação de consentimento e oposição, nos limites legais.

Canal da controladora: [E-MAIL PRIVACIDADE/DPO] (e procedimentos complementares definidos com o advogado: prazo, comprovação de identidade, resposta a dados tratados em nome do cliente).

12. Segurança

Adotamos medidas técnicas e organizacionais compatíveis com o estado da técnica e com o risco, em evolução contínua — sem garantir segurança absoluta. Incidentes relevantes devem ser conduzidos conforme a LGPD e o plano de resposta acordado internamente.

13. Menores de idade

O serviço é voltado a uso empresarial. Qualquer tratamento envolvendo menores deve seguir estritamente a análise jurídica e as normas aplicáveis.

14. Alterações desta política

Podemos atualizar esta política para refletir mudanças legais, de produto ou de parceiros. A data no topo do documento indica a versão do rascunho ou da publicação. Alterações relevantes podem exigir comunicação adicional — conforme orientação jurídica.

Última atualização (referência): 30 de maio de 2026

15. Lei aplicável e foro

[FORO — a definir com advogado]