zapdesk. — Política de Privacidade

1. Introdução

1.1. A zapdesk. é uma plataforma SaaS (Software as a Service) de atendimento multi-canal, automação via chatbot, integrações e inteligência artificial. Esta Política de Privacidade descreve as práticas adotadas em relação ao tratamento de dados pessoais.

1.2. Esta política aplica-se a todos os Usuários da Plataforma, incluindo visitantes do site, titulares de contas (Tenants), administradores, supervisores, atendentes e clientes finais cujos dados sejam processados através da Plataforma.

1.3. Ao utilizar a Plataforma, o Usuário declara ter lido e compreendido esta Política de Privacidade. Caso não concorde com qualquer disposição, deverá cessar imediatamente o uso.

1.4. Esta política é complementar aos Termos de Uso e deve ser lida em conjunto com eles.

2. Definições (LGPD)

Nos termos da Lei nº 13.709/2018 (LGPD):

"Dado Pessoal" — informação relacionada a pessoa natural identificada ou identificável (art. 5º, I).
"Dado Pessoal Sensível" — dado sobre origem racial/étnica, convicção religiosa, opinião política, filiação sindical, saúde, vida sexual, dado genético ou biométrico (art. 5º, II).
"Titular" — pessoa natural a quem se referem os dados pessoais (art. 5º, V).
"Controlador" — pessoa natural ou jurídica a quem competem as decisões sobre o tratamento de dados pessoais (art. 5º, VI).
"Operador" — pessoa natural ou jurídica que realiza o tratamento de dados pessoais em nome do controlador (art. 5º, VII).
"Tratamento" — toda operação realizada com dados pessoais: coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação, controle, modificação, comunicação, transferência, difusão ou extração (art. 5º, X).
"Consentimento" — manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada (art. 5º, XII).
"Anonimização" — utilização de meios técnicos razoáveis para que um dado perca a possibilidade de associação, direta ou indireta, a um indivíduo (art. 5º, XI).
"ANPD" — Autoridade Nacional de Proteção de Dados, órgão federal responsável por fiscalizar o cumprimento da LGPD (art. 5º, XIX).
"Encarregado (DPO)" — pessoa indicada pelo controlador e operador para atuar como canal de comunicação entre o controlador, os titulares e a ANPD (art. 5º, VIII).

3. Agentes de Tratamento

Papéis na LGPD

A relação entre a zapdesk. e seus clientes envolve dois papéis distintos conforme a LGPD.

3.1. Como Controladora: A zapdesk. atua como Controladora de Dados quando trata dados pessoais para fins próprios, incluindo:

Dados cadastrais dos titulares de conta (Tenants) e seus Atendentes;
Dados de acesso, autenticação e logs de segurança;
Dados de cobrança e faturamento;
Dados de visitantes do site (landing page);
Dados de comunicação direta com suporte.

3.2. Como Operadora: A zapdesk. atua como Operadora de Dados quando processa dados pessoais em nome e por instrução do Tenant, incluindo:

Mensagens trocadas entre o Tenant e seus clientes finais via WhatsApp, Telegram ou Webchat;
Dados de contatos/leads do Tenant;
Variáveis de fluxo de chatbot contendo dados pessoais;
Tickets de suporte criados por clientes finais do Tenant;
Dados processados por integrações configuradas pelo Tenant.

3.3. Quando a zapdesk. atua como Operadora, o Tenant é o Controlador e é responsável por:

Obter consentimento ou identificar base legal adequada para o tratamento;
Informar seus clientes finais sobre a coleta e uso de dados;
Atender solicitações de titulares (acesso, correção, exclusão, portabilidade);
Definir por quanto tempo os dados devem ser retidos;
Garantir que o uso esteja em conformidade com a LGPD e demais leis aplicáveis.

4. Dados Coletados

4.1. Dados fornecidos diretamente pelo Usuário:

Categoria	Dados	Momento
Cadastro	Nome/razão social, e-mail, telefone, senha (hash), CNPJ/CPF (opcional)	Onboarding
Perfil	Foto de avatar, nome de exibição, idioma	Configurações
Faturamento	Dados de pagamento (processados pelo gateway — não armazenamos cartões)	Checkout
Branding	Logo, cores, nome da marca, subdomínio	Personalização
Suporte	Mensagens, anexos e dados fornecidos em contato com nosso suporte	Quando solicitado

4.2. Dados coletados automaticamente:

Categoria	Dados	Finalidade
Acesso	Endereço IP, user-agent, horário de login, duração da sessão	Segurança e auditoria
Navegação	Páginas acessadas, funcionalidades utilizadas, cliques	Melhoria do produto
Dispositivo	Tipo de dispositivo, sistema operacional, resolução de tela, navegador	Compatibilidade
Performance	Métricas de uso de API, rate limiting, erros	Monitoramento

4.3. Dados processados em nome do Tenant (Operadora):

Mensagens de texto, áudio, imagem, vídeo e documentos trocados via WhatsApp/Telegram/Webchat;
Dados de contatos: nome, telefone, foto de perfil (provenientes do WhatsApp);
Variáveis de fluxo de chatbot (nome, e-mail, CPF e quaisquer dados capturados nos fluxos);
Histórico de interações, tickets, atribuições de atendente;
Dados provenientes de APIs e integrações externas configuradas pelo Tenant;
Respostas e embeddings gerados por IA (Agent Studio, ai_response);
Tags, anotações e metadados adicionados por atendentes.

4.4. Dados sensíveis: A zapdesk. NÃO solicita nem coleta intencionalmente dados pessoais sensíveis (art. 5º, II da LGPD). Caso o Tenant ou seus clientes finais insiram dados sensíveis em mensagens ou variáveis de fluxo, a responsabilidade pelo tratamento adequado é do Tenant (Controlador).

5. Finalidades do Tratamento

5.1. Os dados pessoais são tratados para as seguintes finalidades específicas:

●

Prestação do serviço: Criar e manter contas, autenticar Usuários, processar mensagens, executar chatbots, rodar integrações, gerenciar inbox e tickets.

●

Faturamento: Processar pagamentos, emitir recibos, gerenciar assinaturas, cobrar uso de IA.

●

Segurança: Prevenir fraudes, detectar acessos não autorizados, aplicar rate limiting, registrar logs de auditoria.

●

Melhoria do produto: Analisar padrões de uso (de forma agregada e anonimizada), corrigir bugs, otimizar performance.

●

Comunicação: Enviar notificações sobre o serviço, atualizações de termos, alertas de segurança, novidades do produto (opt-out disponível).

●

Obrigação legal: Cumprir obrigações fiscais, contábeis, regulatórias e responder a ordens judiciais.

●

Exercício regular de direitos: Defender a Empresa em processos judiciais, administrativos ou arbitrais.

5.2. Os dados NÃO serão utilizados para finalidades incompatíveis com as descritas acima sem consentimento prévio e específico do titular.

6. Bases Legais para o Tratamento (art. 7º LGPD)

6.1. O tratamento de dados pessoais pela zapdesk. é fundamentado nas seguintes bases legais da LGPD:

Base Legal	Artigo	Aplicação
Execução de contrato	Art. 7º, V	Criação de conta, prestação do serviço SaaS, processamento de mensagens
Consentimento	Art. 7º, I	Comunicações de marketing, cookies não essenciais, funcionalidades opcionais de IA
Legítimo interesse	Art. 7º, IX	Segurança da plataforma, prevenção de fraudes, melhoria do produto (dados agregados)
Obrigação legal	Art. 7º, II	Cumprimento de obrigações fiscais, contábeis, Marco Civil da Internet (logs)
Exercício regular de direitos	Art. 7º, VI	Defesa em processos judiciais ou administrativos

6.2. Quando o tratamento for baseado em consentimento, o titular poderá revogá-lo a qualquer momento, sem prejuízo da legalidade do tratamento realizado antes da revogação (art. 8º, §5º).

7. Compartilhamento de Dados

7.1. A zapdesk. NÃO vende, aluga ou comercializa dados pessoais de seus Usuários para terceiros, em nenhuma hipótese.

7.2. Dados podem ser compartilhados com as seguintes categorias de terceiros, exclusivamente para as finalidades descritas:

Terceiro	Dados	Finalidade
Provedores de IA (OpenAI)	Textos de mensagens, prompts, contexto	Geração de respostas de IA, embeddings semânticos
Provedores de mensageria (UAZAPI, WhatsApp Business API)	Mensagens, mídia, dados de contato	Envio e recebimento de mensagens WhatsApp
Gateways de pagamento (Stripe, Mercado Pago)	Dados de cobrança	Processamento de pagamentos
Provedores de infraestrutura (hosting, CDN)	Dados de acesso (IP, logs)	Hospedagem e entrega de conteúdo
APIs de terceiros (configuradas pelo Tenant)	Dados definidos pelo Tenant nos fluxos	Integrações e automações

7.3. Cada provedor de terceiros possui sua própria política de privacidade. Recomendamos a leitura das políticas da OpenAI, WhatsApp e do gateway de pagamento utilizado.

7.4. Dados poderão ser compartilhados por determinação judicial, ordem de autoridade competente ou para cumprimento de obrigação legal.

7.5. Integrações configuradas pelo Tenant no Integration Builder (nós webhook, api_call) enviam dados a endpoints definidos pelo próprio Tenant. A zapdesk. NÃO controla nem se responsabiliza pelo tratamento de dados nesses destinos.

8. Armazenamento e Retenção

8.1. Os dados são armazenados em servidores seguros com as seguintes tecnologias:

MongoDB — banco de dados principal (dados de conta, mensagens, configurações);
Redis — cache de dados voláteis (sessões, configs temporárias);
Armazenamento de arquivos — mídia (imagens, áudios, documentos) enviados via mensagens.

8.2. Períodos de retenção:

Tipo de Dado	Retenção	Fundamentação
Dados da conta	Enquanto a conta estiver ativa + 30 dias após exclusão	Execução do contrato
Mensagens e conversas	Enquanto a conta estiver ativa	Prestação do serviço
Logs de interação de chatbot	90 dias (TTL automático)	Monitoramento e melhoria
Logs de execução de integração	90 dias (TTL automático)	Diagnóstico e auditoria
Logs de acesso (IP, login)	6 meses	Marco Civil da Internet (art. 15)
Dados de faturamento	5 anos após encerramento	Obrigações fiscais e contábeis
Dados de litígio	Até trânsito em julgado + 2 anos	Exercício regular de direitos

8.3. Após o término do período de retenção, os dados serão eliminados de forma segura, incluindo backups, em até 90 (noventa) dias.

8.4. O Tenant pode solicitar a exclusão antecipada de dados através do painel administrativo ou por contato com o suporte, exceto quando houver obrigação legal de retenção.

9. Medidas de Segurança

9.1. A zapdesk. adota medidas técnicas e administrativas aptas a proteger os dados pessoais contra acessos não autorizados e situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão (art. 46, LGPD):

Medidas Técnicas:

Autenticação: JWT com tokens de curta duração, senhas hasheadas com bcrypt (salt rounds: 10+);
Controle de acesso: RBAC com 4 papéis (admin, supervisor, atendente, trial), permissões granulares por instância;
Isolamento de dados: scopeFilter/scopeDoc em TODAS as queries MongoDB, impedindo acesso cross-tenant;
Rate limiting: Limites por endpoint (login: 10/min, API: 200/15min, webhook: 100/min);
Sanitização: Escape de regex para prevenção de NoSQL injection, sanitização de HTML contra XSS;
Criptografia: Chaves de API OpenAI dos Tenants são criptografadas em repouso (AES-256);
Transporte: Comunicação via HTTPS/TLS em todas as conexões;
Auditoria: Logs de ações administrativas na collection audit_log.

Medidas Administrativas:

Acesso aos sistemas de produção restrito à equipe técnica autorizada;
Princípio do menor privilégio para acessos internos;
Revisão periódica de acessos e permissões;
Processo de resposta a incidentes documentado (Seção 16).

9.2. Nenhum sistema é 100% seguro. A zapdesk. não garante proteção absoluta contra ataques sofisticados, mas se compromete a empregar as melhores práticas de mercado e a notificar os afetados em caso de incidentes (conforme Seção 16).

10. Isolamento Multi-Tenant

10.1. A Plataforma opera em arquitetura multi-tenant com isolamento lógico. Cada Tenant possui um identificador único (tenantId) que é incluído em toda operação de banco de dados.

10.2. O isolamento é implementado através de funções scopeFilter() e scopeDoc() que automaticamente filtram e marcam dados por tenantId.

10.3. Dados de um Tenant NUNCA são acessíveis por outro Tenant. Isso se aplica a: mensagens, contatos, chatbots, integrações, agentes de IA, tickets, configurações, branding e qualquer outro recurso.

10.4. O superadmin da plataforma (equipe zapdesk.) possui acesso administrativo cross-tenant exclusivamente para fins de suporte técnico, manutenção e cumprimento de obrigações legais. Esse acesso é logado e auditável.

11. Inteligência Artificial e Dados

⚠ Atenção sobre IA

Funcionalidades de IA enviam dados a provedores externos. Leia esta seção com atenção.

11.1. As funcionalidades de IA da zapdesk. (Agent Studio, nós ai_response, smart_delegate, geração de fluxos, embeddings semânticos) utilizam modelos de linguagem de terceiros, principalmente da OpenAI.

11.2. Dados enviados à OpenAI:

Textos de mensagens do Usuário ou de seus clientes finais (para gerar respostas);
Prompt de sistema e contexto configurado pelo Tenant;
Base de conhecimento do agente (FAQ, instruções, memória semântica);
Textos para geração de embeddings (vetores numéricos).

11.3. Conforme a política de uso de dados da API da OpenAI (vigente em abril/2026), dados enviados via API NÃO são utilizados para treinar modelos. Recomendamos verificar a política vigente em openai.com/enterprise-privacy.

11.4. Quando o Tenant utiliza sua própria chave de API OpenAI, os dados são enviados diretamente sob a conta e contrato do Tenant com a OpenAI. A zapdesk. atua apenas como intermediária técnica.

11.5. Embeddings (vetores numéricos) são armazenados localmente na collection agent_memories, isolados por tenant e por agente. Embeddings não podem ser revertidos ao texto original.

11.6. O Tenant é responsável por informar seus clientes finais de que mensagens podem ser processadas por sistemas de IA, especialmente quando o atendimento é feito por agentes automatizados.

12. Cookies e Tecnologias de Rastreamento

12.1. A zapdesk. utiliza as seguintes tecnologias de armazenamento local:

Tecnologia	Chave	Finalidade	Tipo
localStorage	`mydesk_token`	Token JWT de autenticação	Essencial
localStorage	`mydesk_user`	Dados do Usuário logado (JSON)	Essencial

12.2. A Plataforma utiliza apenas armazenamento essencial (localStorage) para funcionamento da autenticação. Não utilizamos cookies de rastreamento, analytics de terceiros ou pixels de publicidade na aplicação principal (inbox e admin).

12.3. A landing page (site público) pode utilizar tecnologias de análise para entender o tráfego. Quando utilizadas, serão informadas nesta seção e o Usuário poderá recusar via banner de consentimento.

12.4. O Usuário pode limpar os dados de localStorage a qualquer momento pelas configurações do navegador. Isso resultará em logout automático da Plataforma.

13. Direitos do Titular (art. 18, LGPD)

🛡 Seus Direitos

A LGPD garante direitos fundamentais aos titulares de dados. Todos podem ser exercidos a qualquer momento.

13.1. O titular de dados pessoais tem direito de solicitar à zapdesk., a qualquer momento:

I

Confirmação da existência de tratamento de seus dados pessoais;

II

Acesso aos dados pessoais tratados pela zapdesk.;

III

Correção de dados incompletos, inexatos ou desatualizados;

IV

Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade;

V

Portabilidade dos dados a outro fornecedor de serviço (mediante requisição expressa);

VI

Eliminação dos dados pessoais tratados com base em consentimento;

VII

Informação sobre entidades públicas e privadas com as quais os dados foram compartilhados;

VIII

Informação sobre a possibilidade de não fornecer consentimento e sobre as consequências;

IX

Revogação do consentimento, nos termos do §5º do art. 8º.

13.2. As solicitações podem ser feitas por:

E-mail para privacidade@zapdesk.com.br;
Através do painel administrativo (configurações da conta);
Contato direto com o Encarregado (DPO) — ver Seção 18.

13.3. As solicitações serão atendidas em até 15 (quinze) dias úteis, contados da confirmação da identidade do solicitante, em formato simplificado. Em formato completo, o prazo é de até 30 (trinta) dias.

13.4. Para clientes finais do Tenant (dados processados como Operadora): o titular deve direcionar suas solicitações ao Tenant (Controlador), que poderá usar as ferramentas da Plataforma para atendê-las. A zapdesk. cooperará com o Tenant para atender tais solicitações.

13.5. A eliminação de dados pode ser impossibilitada quando houver obrigação legal de retenção, necessidade de exercício regular de direitos, ou proteção da vida/incolumidade física do titular ou de terceiro.

14. Transferência Internacional de Dados

14.1. Em decorrência da natureza dos serviços, dados pessoais podem ser transferidos e processados fora do Brasil, especificamente para:

OpenAI (EUA): Processamento de textos por modelos de IA;
Provedores de infraestrutura: Servidores de hospedagem que podem estar localizados em diferentes regiões;
WhatsApp/Meta (EUA): Entrega de mensagens via WhatsApp Business API;
Gateways de pagamento: Processamento de transações financeiras.

14.2. As transferências são realizadas com base no art. 33, II da LGPD (quando o controlador oferecer garantias de cumprimento dos princípios da LGPD na forma de cláusulas contratuais específicas) e/ou art. 33, IX (quando a transferência for necessária para a execução de contrato).

14.3. Os provedores internacionais utilizados possuem políticas de privacidade compatíveis com padrões equivalentes à LGPD (como GDPR europeu e regulamentações dos EUA).

14.4. Quando o Tenant configura integrações com APIs de terceiros (via Integration Builder), ele é responsável por garantir que a transferência internacional de dados, se aplicável, esteja em conformidade com a LGPD.

15. Crianças e Adolescentes

15.1. A Plataforma é destinada exclusivamente a maiores de 18 (dezoito) anos. Não coletamos intencionalmente dados pessoais de crianças ou adolescentes (menores de 18 anos).

15.2. Se tomarmos conhecimento de que dados de menor de 18 anos foram coletados sem o consentimento do responsável legal, procederemos à eliminação imediata dos dados, conforme art. 14, §5º da LGPD.

15.3. Caso clientes finais do Tenant sejam menores de idade, o Tenant (Controlador) é responsável por garantir que o tratamento de dados ocorra em conformidade com o art. 14 da LGPD, incluindo a obtenção de consentimento específico e em destaque dado por pelo menos um dos pais ou responsável legal.

16. Incidentes de Segurança

16.1. Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a zapdesk. adotará o seguinte procedimento, conforme art. 48 da LGPD:

1

Contenção imediata: Isolar o incidente, interromper o vetor de ataque, preservar evidências.

2

Avaliação de impacto: Identificar dados afetados, titulares impactados, natureza do incidente e gravidade.

3

Notificação à ANPD: Em prazo razoável (conforme regulamentação vigente), com descrição da natureza dos dados afetados, dos titulares envolvidos, das medidas técnicas e de segurança adotadas, dos riscos e das medidas tomadas para reverter ou mitigar os efeitos.

4

Notificação aos Tenants: Comunicação direta aos Tenants afetados por e-mail e/ou notificação na Plataforma, com informações sobre o incidente, dados potencialmente comprometidos e medidas recomendadas.

5

Remediação: Implementar correções, atualizar medidas de segurança, documentar lições aprendidas.

16.2. O Tenant (Controlador) é responsável por notificar seus próprios clientes finais sobre incidentes que afetem dados sob sua responsabilidade, conforme art. 48 da LGPD. A zapdesk. fornecerá as informações necessárias para possibilitar essa comunicação.

17. Alterações desta Política

17.1. A zapdesk. reserva-se o direito de alterar esta Política de Privacidade a qualquer momento para refletir mudanças em práticas, tecnologias, requisitos legais ou novas funcionalidades.

17.2. Alterações relevantes serão comunicadas com antecedência mínima de 15 (quinze) dias por e-mail e/ou notificação na Plataforma.

17.3. A data de "última atualização" no topo desta página indica quando a versão mais recente entrou em vigor.

17.4. O uso continuado da Plataforma após a publicação das alterações constitui aceitação da nova política. Caso o Usuário discorde, deverá cessar o uso e solicitar a exclusão de seus dados.

17.5. Versões anteriores desta política serão mantidas em arquivo e disponibilizadas mediante solicitação.

18. Contato e Encarregado (DPO)

Para exercer seus direitos de titular, esclarecer dúvidas sobre esta Política ou comunicar incidentes de segurança, entre em contato:

📧 Canal de Privacidade

E-mail: privacidade@zapdesk.com.br

Assunto: [LGPD] + descrição da solicitação

Prazo de resposta: até 15 dias úteis

🛡 Encarregado (DPO)

E-mail: dpo@zapdesk.com.br

Canal de comunicação com a ANPD

Responsável pelo art. 41 da LGPD

zapdesk.

🌐 Site: zapdesk.com.br

📧 Geral: contato@zapdesk.com.br

⏱ Horário: Segunda a Sexta, 09h às 18h (Brasília)

O titular também tem o direito de peticionar perante a Autoridade Nacional de Proteção de Dados (ANPD) — gov.br/anpd.