Política de Privacidade

Última atualização: Abril de 2025

Esta Política de Privacidade descreve as práticas da Tracefy (“Tracefy”, “nós”, “nosso” ou “empresa”)
referentes à coleta, uso, tratamento, armazenamento, compartilhamento e proteção de dados pessoais no âmbito da prestação de serviços de chatbots com inteligência artificial via WhatsApp (inclusive WhatsApp Business Platform) e serviços relacionados.

A presente política foi elaborada considerando as exigências da Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — “LGPD”) e as políticas oficiais da Meta/WhatsApp fornecidas ao controlador.

1. Controlador de Dados e Contato

Controlador: Tracefy Tecnologia Ltda.

CNPJ: 60.005.719/0001-47

Endereço: Rua Visconde de Inhauma,134, Sala 2001 Parte, Centro, Rio de Janeiro

E-mail (Privacidade / DPO): privacy@tracefy.com.br

Telefone: 21 97236-2986

2. Escopo e Aplicabilidade

Esta política aplica-se a todos os dados pessoais tratados pela Tracefy no contexto da prestação de serviços de chatbot, automação, integração via WhatsApp e canais correlatos, incluindo dados de empresas clientes (controladores contratantes) e titulares finais (usuários).

3. Princípios de Tratamento

Aplicamos os princípios previstos na LGPD e nas políticas da Meta: boa-fé, finalidade, adequação, necessidade, transparência, segurança, prevenção, responsabilização e prestação de contas.

4. Categorias de Dados Pessoais

  • Dados de identificação: número de telefone, nome público (quando fornecido), foto de perfil (quando disponível), identificadores de conta.
  • Conteúdo de mensagens: texto, imagens, áudios, vídeos e documentos enviados pelo usuário ao chatbot (processados para prestar o serviço).
  • Metadados e técnicos: carimbos de data/hora, identificador de conversa, status de entrega, logs, endereço IP quando aplicável, modelo de dispositivo e versão do app.
  • Dados de interação: histórico de conversas, preferências, respostas a enquetes, avaliações e métricas de uso.
  • Dados transacionais e de contexto: informações compartilhadas pelo usuário para finalização de operações (nº de pedido, códigos, endereços), quando aplicável.
  • Dados sensíveis: não são coletados, exceto se estritamente necessário e com consentimento expresso e específico do titular, conforme legislação.

5. Como Coletamos Dados

Os dados são coletados por meio das seguintes formas:

  • Diretamente do titular quando interage com o chatbot via WhatsApp ou outro canal integrado.
  • Por integração entre o cliente (controlador) e a Tracefy (ex.: CRM, ERP), conforme instruções contratuais.
  • Automaticamente por nossos sistemas (logs, telemetria, métricas de performance).
  • De terceiros autorizados e fornecedores essenciais (provedores de nuvem, ferramentas de analytics e IA contratadas como subprocessadores).

6. Finalidades do Tratamento

Tratamos dados pessoais para as seguintes finalidades, sempre de forma compatível com a informação prestada ao titular:

  1. Prestar e operar o serviço de chatbot, respondendo mensagens, executando fluxos e enviando notificações acordadas com o cliente.
  2. Autenticação e prevenção de fraudes e abuso (incluindo detecção de padrões anômalos).
  3. Processamento de transações, confirmações e notificações transacionais quando integrado a sistemas do cliente.
  4. Atendimento ao cliente, suporte técnico e escalonamento para atendimento humano quando necessário.
  5. Monitoramento, diagnóstico, auditoria, solução de problemas, testes e melhoria contínua do serviço.
  6. Treinamento e desenvolvimento de modelos de IA apenas com consentimento explícito e verificável do titular ou com dados previamente anonimizados/ agregados, conforme cláusulas específicas (ver seção 11).
  7. Cumprimento de obrigações legais, regulatórias e ordens judiciais.
  8. Exercício regular de direitos em processos judiciais, administrativos ou arbitrais.

7. Bases Legais (LGPD)

O tratamento de dados é realizado com base em uma ou mais hipóteses legais previstas na LGPD, inclusive:

  • Execução de contrato ou medidas pré-contratuais (art. 7º, I) — prestação do serviço contratado pelo cliente.
  • Cumprimento de obrigação legal ou regulatória (art. 7º, II).
  • Consentimento do titular (art. 7º, I) — para finalidades específicas como marketing ou uso para treino de IA.
  • Legítimo interesse (art. 7º, IX) — por exemplo, segurança, prevenção a fraudes e melhoria de serviço, sempre acompanhado de avaliação de impacto (balancing test).
  • Exercício regular de direitos (art. 7º, IX) e atendimento a solicitações legais e judiciais.

8. Criptografia, Acesso e Processamento de Conteúdo

A Tracefy integra-se à WhatsApp Business Platform por meio das APIs oficiais da Meta. As comunicações via WhatsApp são protegidas por criptografia de ponta a ponta conforme aplicável pela Meta. Adicionalmente, nossos canais de transporte e integrações usam conexões seguras (TLS/HTTPS).

Quando Tracefy processa mensagens (por exemplo, para interpretar intent e gerar resposta automática), temos acesso ao conteúdo necessário para execução do serviço. O acesso ao conteúdo por parte de terceiros só ocorre se estritamente necessário para a prestação do serviço e mediante contrato e cláusulas de proteção (DPA).

Não utilizamos conteúdo de conversas para fins de publicidade dirigida ou segmentação por anunciantes sem consentimento explícito do titular.

9. Mensagens, Janela de 24 Horas, Templates e Tipos de Mensagem

Em conformidade com as políticas do WhatsApp/Meta, adotamos as seguintes regras operacionais:

  • Janela de 24 horas: Quando um usuário envia uma mensagem para a conta do cliente, inicia-se uma janela de 24 horas em que a empresa pode responder livremente (sem necessidade de template). Respostas fora dessa janela só podem ocorrer mediante uso de templates aprovados.
  • Templates pré-aprovados: Mensagens proativas enviadas fora da janela de 24 horas devem utilizar templates previamente aprovados pela Meta. A Tracefy mantém mecanismos para garantir que apenas templates aprovados sejam usados e que seu uso esteja vinculado ao opt-in do usuário e à finalidade aprovada.
  • Tipos de mensagem: classificamos mensagens conforme orientação técnica e comercial em: (i) utility/transactional (confirmações de compra, atualizações de entrega, lembretes), (ii) autenticação (códigos de verificação, MFA), e (iii) marketing (promoções, campanhas). Mensagens de marketing são enviadas somente mediante opt-in válido e seguindo templates quando for fora da janela de 24 horas.
  • Registro de opt-in: Exigimos e armazenamos provas de opt-in fornecidas pelos clientes (registros, timestamps, origem do opt-in), conforme requisitos da Meta. A Tracefy disponibiliza logs de opt-in para auditoria quando solicitado pelo cliente e/ou autoridades competentes.
  • Limitações de conteúdo: Não permitimos envio de conteúdo proibido pelas políticas da Meta (ex.: conteúdo ilegal, enganoso, sensível sem consentimento, spam, práticas de phishing) e coibimos práticas que possam resultar em suspensão de número ou de conta na plataforma da Meta.

10. Uso de Inteligência Artificial e Treinamento de Modelos

A Tracefy utiliza ferramentas de processamento de linguagem natural (NLP) e modelos de IA para interpretar mensagens e gerar respostas automáticas. Em respeito às políticas da Meta e à LGPD:

  • Proibição padrão: Não usamos dados de conversas do WhatsApp para treinar, ajustar ou melhorar modelos de IA proprietários ou de terceiros, salvo quando houver consentimento explícito, informado e verificável do usuário final e observadas todas as restrições contratuais e da Meta.
  • Consentimento verificável: Quando o cliente solicitar o uso de dados para treino de IA, será necessário que o cliente comprove que obteve consentimento específico e verificável do titular para essa finalidade; a Tracefy exigirá tal comprovação antes de iniciar qualquer atividade de treino com dados brutos.
  • Anonimização e minimização: Sempre que possível, adotamos técnicas de anonimização, pseudonimização e agregação antes de utilizar dados em ambientes de pesquisa/treino, reduzindo o risco de reidentificação.
  • Registro e auditoria: Mantemos registro dos usos de dados para treino, dos subprocessadores envolvidos e dos controles aplicados, disponível para auditoria do cliente e órgãos competentes.

11. Prazo de Retenção de Dados

Retemos dados pelo tempo estritamente necessário para cumprir as finalidades informadas, para atendimento a obrigações legais e para defesa de nossos direitos. Os prazos-padrão são:

  • Mensagens de conversas com chatbot: padrão de até 180 dias, salvo instrução contratual em contrário ou prazo inferior exigido pela Meta.
  • Logs e telemetria: até 90 dias para fins de diagnóstico e segurança, salvo necessidade legal de preservação por período superior.
  • Backups e arquivos de auditoria: até 1 ano com acesso restrito mediante justificativa operacional.
  • Dados fiscais e contábeis: conforme legislação aplicável (ex.: 5 anos ou outro prazo legalmente exigido).

O cliente pode requisitar redução de prazos ou exclusão antecipada dos dados (subject to legal constraints). Em caso de conflito entre instruções contratuais do cliente e obrigações legais, prevalecerão as últimas.

12. Compartilhamento de Dados e Subprocessadores

A Tracefy poderá compartilhar dados pessoais apenas com as seguintes categorias de destinatários, observadas as garantias contratuais:

  • Cliente (empresa contratante): quando este for o controlador dos dados dos seus clientes/usuários.
  • Subprocessadores essenciais: provedores de nuvem, serviços de armazenamento, backup, monitoração, segurança, provedores de IA e analytics necessários para a prestação do serviço.
  • Meta/WhatsApp: para execução da WhatsApp Business Platform e conformidade com os termos da API.
  • Autoridades públicas: quando exigido por lei, decisão judicial ou ordem administrativa.

Não compartilhamos dados para fins publicitários ou de enriquecimento de bases de dados com empresas que não façam parte da cadeia estritamente necessária para a prestação do serviço. Todos os subprocessadores são contratados mediante Acordo de Tratamento de Dados (DPA) com cláusulas contratuais que impõem níveis de proteção compatíveis com a LGPD e com as políticas da Meta.

A lista atualizada de subprocessadores (Anexo B) está disponível mediante solicitação por e-mail ao DPO.

13. Transferências Internacionais

Dados podem ser transferidos e processados em países estrangeiros onde nossos provedores mantenham infraestrutura. Nessas hipóteses adotamos salvaguardas apropriadas (cláusulas contratuais padrão, avaliações de risco, medidas técnicas e organizacionais) para garantir nível de proteção compatível com a LGPD.

14. Segurança da Informação

Implementamos medidas técnicas e organizacionais adequadas para proteger dados pessoais contra acesso não autorizado, destruição, perda, alteração ou divulgação indevida, incluindo:

  • Criptografia em trânsito (TLS/HTTPS) e controles de rede.
  • Controles de acesso e autenticação multifator para administração.
  • Princípio do menor privilégio e segregação de funções.
  • Registro de logs, monitoramento e auditoria de acessos.
  • Política de gestão de vulnerabilidades, testes regulares (pentest) e procedimento de correção.
  • Planos de resposta a incidentes e comunicação a autoridades e titulares, quando aplicável.

Em caso de incidente de segurança que represente risco relevante aos titulares, notificaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados, conforme legislação e práticas de governança.

15. Direitos dos Titulares e Como Exercê-los

No âmbito da LGPD, os titulares têm direito, entre outros, a:

  • Confirmação da existência de tratamento;
  • Acesso aos dados;
  • Correção de dados incompletos, inexatos ou desatualizados;
  • Anonimização, bloqueio ou eliminação;
  • Portabilidade dos dados a outro fornecedor, quando aplicável;
  • Revogação do consentimento;
  • Oposição ao tratamento com base em legítimo interesse;
  • Informação sobre compartilhamento e finalidade do tratamento.

Para exercer qualquer desses direitos, o titular deve enviar solicitação ao Encarregado/DPO: privacy@tracefy.com.br ou pelo telefone [inserir], informando nome completo, contato, documento que comprove identidade e descrição do pedido.

Responderemos ao pedido no prazo máximo de 15 (quinze) dias úteis, salvo prorrogação justificada e comunicada ao titular, conforme legislação aplicável.

16. Comunicações Comerciais e Marketing

Enviamos comunicações de marketing somente mediante consentimento livre, informado e explícito do titular, ou quando amparadas por base legal adequada. O consentimento pode ser revogado a qualquer momento por meio de mecanismo simples (resposta no WhatsApp, link de cancelamento, envio de e-mail para privacy@tracefy.com.br).

As mensagens de marketing enviadas fora da janela de 24 horas usarão templates aprovados pela Meta e estarão vinculadas ao opt-in do titular.

17. Menores de Idade

Nossos serviços não são destinados a menores sem o devido consentimento dos pais ou responsáveis. Caso a Tracefy identifique que dados de menores foram coletados sem o consentimento exigido, adotaremos medidas imediatas para remoção dos dados e comunicação às partes interessadas, na medida do possível.

18. Conformidade com Políticas da Meta / WhatsApp

A Tracefy declara que:

  • Utiliza exclusivamente as APIs oficiais da WhatsApp Business Platform fornecidas pela Meta;
  • Exige que clientes obtenham opt-in verificável dos usuários finais antes de mensagens proativas;
  • Mantém registro de opt-ins, templates aprovados e fornece logs para auditoria quando requerido;
  • Não permite práticas proibidas pela Meta (spam, scraping de dados, envio de conteúdo enganoso ou ilegal);
  • Adota controles para garantir que dados do WhatsApp não sejam usados para publicidade direcionada sem consentimento;
  • Coopera com auditorias e solicitações da Meta que sejam legítimas e proporcionais.

Caso haja conflito entre práticas do cliente e políticas da Meta, a Tracefy notificará o cliente e adotará medidas de mitigação, podendo suspender integrações que coloquem em risco a conformidade com a plataforma da Meta.

19. Alterações desta Política

Podemos atualizar esta Política para adaptar-se a mudanças legais, regulatórias, práticas comerciais ou nas políticas da Meta. Comunicação sobre alterações relevantes será feita por publicação no site e/ou comunicação direta aos clientes.

20. Reclamações e Autoridade de Proteção de Dados

Titulares podem apresentar reclamações ao DPO/Encarregado da Tracefy: privacy@tracefy.com.br. Também é facultado ao titular encaminhar reclamação à Autoridade Nacional de Proteção de Dados (ANPD).

21. Disposições Contratuais e DPA

A Tracefy celebra Acordos de Tratamento de Dados (DPA) com clientes e subprocessadores para definir responsabilidades, finalidades, medidas técnicas e organizacionais e regras de retenção. Os DPAs seguem padrões que garantem o cumprimento da LGPD e das políticas da Meta.

Em caso de violação contratual por parte de subprocessadores, a Tracefy tomará as medidas necessárias, incluindo suspensão do subprocessador e mitigação dos riscos aos titulares.

22. Anexos e Documentos Relacionados

  • Anexo A: Modelo de Consentimento Informado para uso de dados em treinamento de IA (quando aplicável).
  • Anexo B: Lista atualizada de Subprocessadores e local de processamento (disponível mediante solicitação).
  • Anexo C: Modelo de DPA a ser firmado com clientes e subprocessadores.
  • Anexo D: Procedimento de Resposta a Incidentes e Notificação a Titulares/Autoridades.

23. Perguntas Frequentes (Resumo para Usuários)

Quem é responsável pelos meus dados? — A empresa contratante é, em muitos casos, o controlador. A Tracefy atua como processador ou operador, conforme contrato.

Posso pedir para excluir minhas mensagens? — Sim. Envie solicitação para privacy@tracefy.com.br. Serão avaliadas obrigações legais e contratuais antes da exclusão.

Vocês usam minhas mensagens para treinar IA? — Por padrão, não. Só usamos com consentimento explícito e verificável, e quando os dados forem anonimizados ou com garantias contratuais específicas.

Pronto para transformar seu atendimento?

Crie seu chatbot inteligente em poucos passos com a Tracefy

Começar Agora