Política de Privacidade

A Whatsmiau Cloud ("nós", "nosso" ou "Plataforma"), operada por Verbeux AI, respeita a privacidade de seus usuários e está comprometida com a proteção dos dados pessoais coletados e tratados por meio de nossos serviços, em conformidade com a Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018), o Marco Civil da Internet (Lei nº 12.965/2014) e demais legislações aplicáveis.

Ao utilizar a Plataforma, você declara ter lido, compreendido e concordado com esta Política de Privacidade. Caso não concorde, por favor, não utilize nossos serviços.

1. Definições

• Dados Pessoais: qualquer informação relacionada a uma pessoa natural identificada ou identificável.
• Tratamento: toda operação realizada com dados pessoais (coleta, armazenamento, uso, compartilhamento, eliminação etc.).
• Controlador: a Whatsmiau Cloud / Verbeux AI, responsável pelas decisões referentes ao tratamento de dados pessoais.
• Operador: pessoa ou entidade que realiza o tratamento de dados em nome do Controlador.
• Titular: pessoa natural a quem se referem os dados pessoais (você, usuário).
• ANPD: Autoridade Nacional de Proteção de Dados.

2. Dados que Coletamos

2.1. Dados Fornecidos Diretamente por Você

• Dados de Cadastro: endereço de e-mail e senha (armazenada com hash criptográfico bcrypt, nunca em texto puro).
• Autenticação via Google OAuth: caso opte por login via Google, recebemos seu e-mail e informações básicas de perfil (nome e foto), conforme as permissões concedidas por você.
• Chaves de API: nomes descritivos que você atribui às chaves (as chaves em si são armazenadas com hash criptográfico).
• Configurações de Instância: nomes de instâncias, URLs de webhook e eventos selecionados.
• Código de Indicação: caso você se cadastre por meio de um link de indicação.

2.2. Dados Coletados Automaticamente

• Dados de Uso: quantidade de instâncias criadas, contagem de mensagens enviadas (especialmente durante o período de teste), status de conexão das instâncias e logs de atividade.
• Dados de Navegação: endereço IP, tipo de navegador, páginas visitadas, horários de acesso e informações de dispositivo, coletados via Google Analytics (GA4 — ID: G-EB5EW0TJW1).
• Dados de Pagamento: o processamento de pagamentos é realizado integralmente pelo Stripe. Nós armazenamos apenas o identificador do cliente no Stripe (Stripe Customer ID) e dados da assinatura (plano, status, datas). Nunca temos acesso ao número completo do seu cartão de crédito.

2.3. Dados que NÃO Coletamos

• Conteúdo de mensagens do WhatsApp: as mensagens trafegam diretamente entre o dispositivo do usuário e o WhatsApp via protocolo criptografado. A Whatsmiau Cloud atua como intermediária técnica para envio via API, mas não armazena, lê ou monitora o conteúdo das mensagens trocadas.
• Números de cartão de crédito: toda a gestão de dados financeiros é feita pelo Stripe.

3. Bases Legais para o Tratamento (Art. 7º, LGPD)

Tratamos seus dados pessoais com fundamento nas seguintes bases legais:

• Execução de contrato (Art. 7º, V): para prestação do serviço contratado (criação de conta, gestão de instâncias, processamento de assinaturas).
• Consentimento (Art. 7º, I): para envio de comunicações de marketing e uso de cookies analíticos.
• Legítimo interesse (Art. 7º, IX): para melhoria contínua da Plataforma, prevenção de fraudes e segurança.
• Cumprimento de obrigação legal (Art. 7º, II): para atender exigências fiscais e regulatórias.

4. Finalidades do Tratamento

Utilizamos seus dados para:

1. Criar e gerenciar sua conta na Plataforma.
2. Processar assinaturas e pagamentos via Stripe.
3. Gerenciar instâncias de WhatsApp e webhooks configurados.
4. Enviar e-mails transacionais: verificação de conta, boas-vindas, redefinição de senha, alertas de fim de período de teste.
5. Operar o programa de indicações (cálculo de comissões e solicitações de crédito).
6. Analisar uso da Plataforma e métricas de desempenho para melhoria contínua do serviço.
7. Prevenir fraudes, abusos e atividades ilícitas.
8. Cumprir obrigações legais e regulatórias.

5. Compartilhamento de Dados

Seus dados podem ser compartilhados com terceiros exclusivamente nas seguintes hipóteses:

5.1. Prestadores de Serviço (Operadores)

5.2. Transferência Internacional de Dados

Alguns dos nossos prestadores de serviço estão sediados nos Estados Unidos. A transferência internacional de dados é realizada em conformidade com o Art. 33 da LGPD, com base em:

• Cláusulas contratuais padrão que garantem nível adequado de proteção.
• Compromisso dos prestadores com frameworks de privacidade reconhecidos (ex.: Stripe é certificado PCI-DSS Nível 1).

5.3. Outras Hipóteses

• Para cumprimento de ordem judicial ou determinação de autoridade competente.
• Para proteção dos nossos direitos em processos judiciais ou administrativos.
• Em caso de fusão, aquisição ou venda de ativos, com prévia comunicação ao titular.

Jamais vendemos, alugamos ou comercializamos seus dados pessoais.

6. Cookies e Tecnologias de Rastreamento

6.1. Cookies Utilizados

6.2. localStorage

Utilizamos o armazenamento local do navegador (localStorage) para manter seu token de autenticação (JWT) e preferências de interface. Esses dados permanecem exclusivamente no seu dispositivo.

6.3. Como Gerenciar Cookies

Você pode desativar cookies por meio das configurações do seu navegador. Note que a desativação de cookies essenciais pode comprometer o funcionamento da Plataforma.

7. Segurança dos Dados

Adotamos medidas técnicas e organizacionais para proteger seus dados, incluindo:

• Criptografia de senhas: hash bcrypt com custo padrão.
• Criptografia de chaves de API: armazenadas com hash criptográfico.
• HTTPS obrigatório: todas as comunicações são criptografadas em trânsito (TLS).
• Controle de CORS: restrição de origens permitidas para chamadas de API.
• Validação de webhooks: assinatura HMAC-SHA256 para webhooks do Stripe.
• Proteção contra SSRF: bloqueio de URLs de webhook apontando para endereços internos/privados.
• Rate limiting: limitação de requisições em endpoints sensíveis (autenticação).
• Tokens temporários: códigos de verificação de e-mail expiram em 15 minutos; tokens de redefinição de senha possuem validade limitada.
• Proteção CSRF: tokens de estado em cookies HttpOnly para fluxos OAuth.

Embora adotemos medidas robustas, nenhum sistema é 100% seguro. Caso tome conhecimento de qualquer vulnerabilidade, entre em contato conosco imediatamente pelo e-mail indicado ao final desta política.

8. Retenção de Dados

• Dados de conta: mantidos enquanto sua conta estiver ativa. Após exclusão da conta, os dados serão eliminados em até 30 (trinta) dias, salvo obrigação legal de retenção.
• Dados de pagamento (Stripe): retidos conforme a política de retenção do Stripe e obrigações fiscais (até 5 anos após a última transação, conforme legislação tributária).
• Logs de acesso: retidos por 6 (seis) meses, em conformidade com o Marco Civil da Internet (Art. 15).
• Dados de indicação: mantidos enquanto houver comissões pendentes ou por obrigação fiscal.
• Códigos de verificação e tokens: eliminados automaticamente após expiração (15 minutos a 72 horas, conforme o tipo).

9. Seus Direitos (Art. 18, LGPD)

Como titular de dados pessoais, você tem direito a:

1. Confirmação e acesso: confirmar a existência de tratamento e acessar seus dados.
2. Correção: solicitar a correção de dados incompletos, inexatos ou desatualizados.
3. Anonimização, bloqueio ou eliminação: de dados desnecessários, excessivos ou tratados em desconformidade.
4. Portabilidade: solicitar a transferência de seus dados a outro fornecedor de serviço.
5. Eliminação: solicitar a exclusão dos dados tratados com base em consentimento.
6. Informação sobre compartilhamento: saber com quais entidades seus dados são compartilhados.
7. Revogação do consentimento: revogar o consentimento a qualquer momento, sem prejuízo do tratamento já realizado.
8. Oposição: opor-se ao tratamento realizado com fundamento em hipótese diferente do consentimento, em caso de descumprimento.
9. Revisão de decisões automatizadas: solicitar revisão de decisões tomadas unicamente com base em tratamento automatizado de dados.
10. Petição à ANPD: apresentar reclamação perante a Autoridade Nacional de Proteção de Dados.

Para exercer qualquer desses direitos, entre em contato pelo e-mail: privacidade@whatsmiau.com. Responderemos em até 15 (quinze) dias úteis.

10. Dados de Menores

A Plataforma não é destinada a menores de 18 (dezoito) anos. Não coletamos intencionalmente dados pessoais de crianças ou adolescentes. Caso identifiquemos que dados de um menor foram coletados, procederemos à sua eliminação imediata.

11. WhatsApp e Meta

A Whatsmiau Cloud não é afiliada, endossada ou patrocinada pela Meta Platforms, Inc. ou pelo WhatsApp LLC. "WhatsApp" é uma marca registrada da Meta Platforms, Inc. A Plataforma utiliza bibliotecas de código aberto para interagir com o protocolo do WhatsApp. O uso da Plataforma está sujeito também aos Termos de Serviço do WhatsApp, e é de responsabilidade do usuário garantir conformidade com esses termos.

12. Alterações nesta Política

Podemos atualizar esta Política de Privacidade periodicamente. Alterações substanciais serão comunicadas por e-mail ou por aviso destacado na Plataforma com pelo menos 15 (quinze) dias de antecedência. O uso continuado da Plataforma após a comunicação constitui aceitação das alterações.

13. Contato

Para dúvidas, solicitações ou exercício de direitos relacionados a esta Política de Privacidade:

• E-mail: privacidade@whatsmiau.com
• Controlador: Verbeux AI / Whatsmiau Cloud

Caso não obtenha resposta satisfatória, você poderá apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) — www.gov.br/anpd.