Política de Privacidade — Zap Assistente
Versão: 1.0
Data de vigência: 22/01/2026
Última atualização: 22/01/2026
1. Introdução e escopo
1.1. Esta Política de Privacidade (“Política”) descreve como Zap Assistente LTDA, inscrita no CNPJ sob nº 64.983.905/0001-01, com sede em Rua Rui Barbosa, 180, Centro, Neves Paulista/SP, CEP 15120-061 (“CONTRATADA”, “Operadora”, “nós”), trata dados pessoais no contexto da plataforma Zap Assistente (“Plataforma” ou “SaaS”), disponível em https://zapassistente.com.
1.2. O Zap Assistente é uma solução SaaS B2B de assistente virtual e copiloto de inteligência artificial para automação de atendimento e vendas no WhatsApp, incluindo qualificação de leads, CRM, agenda, estoque, transbordo humano, monitoramento e integrações via API.
1.3. Esta Política aplica-se a:
a) dados pessoais de representantes, colaboradores e usuários administrativos do CONTRATANTE (cliente empresarial);
b) dados pessoais tratados em nome do CONTRATANTE relativos a Titulares Finais (leads, clientes, consumidores) que interagem via WhatsApp e canais integrados;
c) dados técnicos e de uso da Plataforma;
d) visitantes do site, trial e suporte.
1.4. Esta Política deve ser lida em conjunto com os Termos de Uso e, quando aplicável, com o Acordo de Tratamento de Dados (DPA) firmado entre as Partes.
1.5. Ao utilizar a Plataforma, o CONTRATANTE declara ciência desta Política. Titulares Finais devem ser informados pelo Controlador (CONTRATANTE) conforme Seção 3.
2. Papéis e responsabilidades na LGPD
2.1. Segregação de papéis (art. 5º, VI e VII, e art. 41 da Lei nº 13.709/2018 — LGPD)
| Papel | Quem é | Escopo típico |
|---|---|---|
| Controlador | CONTRATANTE (cliente do SaaS) | Dados de leads, clientes e terceiros contatados via WhatsApp; finalidades comerciais; bases legais perante titulares finais |
| Operador | Zap Assistente LTDA / Zap Assistente | Tratamento em nome do Controlador: hospedar mensagens, executar IA, CRM, logs operacionais |
| Controlador independente | Zap Assistente LTDA | Cadastro de conta, billing, segurança da plataforma, suporte, marketing B2B do próprio SaaS |
2.2. O CONTRATANTE, na qualidade de Controlador, é o único responsável:
a) por determinar a finalidade e os meios essenciais do tratamento de Dados de Titulares Finais;
b) por obter base legal válida (consentimento, execução de contrato, legítimo interesse qualificado, cumprimento de obrigação legal ou outra hipótese do art. 7º da LGPD) para iniciar conversas, enviar mensagens, registrar leads e tratar dados via WhatsApp;
c) por fornecer avisos de privacidade adequados aos Titulares Finais, incluindo identificação do Controlador, finalidades, direitos e canal de contato;
d) por atender requisições de titulares (acesso, correção, eliminação, oposição etc.) relativas aos Dados de Titulares Finais, podendo solicitar cooperação técnica à Operadora;
e) por garantir que prompts, bases de conhecimento e conteúdos inseridos não violem direitos de terceiros nem tratem categorias sensíveis sem fundamento legal e salvaguardas exigidas (art. 11 LGPD);
f) por supervisionar outputs de IA e conteúdo enviado em seu nome.
2.3. A CONTRATADA, na qualidade de Operadora, obriga-se a:
a) trata Dados de Titulares Finais conforme instruções documentadas do Controlador (configurações, uso da plataforma, Termos e DPA);
b) não utiliza Dados de Titulares Finais para finalidades próprias de marketing ou venda a terceiros;
c) implementa medidas técnicas e administrativas de segurança compatíveis com o risco;
d) coopera com o Controlador em incidentes, auditorias e exercício de direitos, nos limites contratuais e legais;
e) subcontrata subprocessadores (infraestrutura, LLM, pagamentos) conforme Seção 10.
2.4. Para dados de cadastro e billing do CONTRATANTE (nome, e-mail corporativo, CNPJ, telefone, pagamento), a CONTRATADA atua como Controladora, sendo responsável por informar finalidades e bases legais diretamente ao CONTRATANTE/usuário administrativo.
3. Responsabilidade sobre dados de leads e WhatsApp
3.1. O CONTRATANTE reconhece que contatos iniciados ou mantidos via WhatsApp podem envolver comunicações comerciais sujeitas ao Código de Defesa do Consumidor, Marco Civil da Internet (Lei nº 12.965/2014), regulamentações da ANPD e políticas da Meta/WhatsApp.
3.2. O CONTRATANTE garante que:
a) possui consentimento, relação contratual prévia ou legítimo interesse devidamente documentado e balanceado, quando aplicável, para contatar Titulares Finais;
b) respeita pedidos de opt-out, bloqueio e exclusão;
c) não utiliza listas compradas ou obtidas de forma ilícita;
d) informa titulares sobre o uso de automação e inteligência artificial, quando relevante e exigível;
e) cumpre prazos de retenção compatíveis com sua atividade e obrigações legais.
3.3. A Operadora não valida a legalidade das bases invocadas pelo Controlador e não responde perante titulares ou autoridades por tratamento ilícito determinado pelo CONTRATANTE.
3.4. Solicitações de titulares finais recebidas diretamente pela CONTRATADA serão encaminhadas ao Controlador identificado, salvo quando referirem-se a dados nos quais a CONTRATADA seja Controladora.
4. Categorias de dados tratados
4.1. Dados de usuários administrativos (Controlador: CONTRATADA)
- Identificação: nome, e-mail, telefone, cargo, CNPJ/CPF quando aplicável;
- Credenciais: senha hash, tokens de sessão, autenticação multifator (se habilitada);
- Contrato e billing: plano, histórico de pagamentos, identificadores de transação (processados por gateway);
- Suporte: tickets, gravações de chat de suporte (se houver), logs de comunicação;
- Uso: IP, dispositivo, navegador, páginas acessadas, timestamps.
Base legal típica: execução de contrato, legítimo interesse (segurança e melhoria), cumprimento legal.
4.2. Dados de Titulares Finais (Controlador: CONTRATANTE | Operador: CONTRATADA)
- Identificadores WhatsApp: número de telefone, JID/remoteJid, nome de perfil, foto (quando disponibilizada pela API);
- Conteúdo de conversas: textos, áudios, imagens, vídeos, documentos, metadados de mensagens;
- Dados inferidos pela IA: intenção, score de confiança, estágio de funil, tags, notas de CRM;
- Dados operacionais: agendamentos, reservas de estoque, histórico de transbordo humano;
- Metadados de entrega: status sent/delivered/read, IDs de mensagem, timestamps;
- Perfil estendido: campos configurados pelo CONTRATANTE (e-mail, interesse, observações).
Base legal: definida exclusivamente pelo CONTRATANTE (Controlador).
4.3. Dados técnicos e de segurança
- Logs de requisições HTTP/API, rate limiting, anti-abuso;
- Registros de acesso à aplicação (IP, user-agent, horário);
- Logs de execução de tools do agente (CRM, agenda, estoque);
- Métricas agregadas de uso (mensagens/mês, tokens, custos internos);
- Chaves de API e tokens de integração armazenados de forma criptografada ou em vault/secrets manager;
- Backups criptografados em repouso.
4.4. Dados para funcionamento da IA
Para gerar contexto e respostas, a Plataforma pode processar:
- histórico recente de mensagens da conversa;
- bases de conhecimento e documentos enviados pelo CONTRATANTE;
- embeddings/vetores derivados de conteúdo autorizado pelo CONTRATANTE;
- prompts de sistema e configurações de nicho.
O CONTRATANTE é responsável pelo conteúdo inserido para treinamento contextual (RAG) e por não incluir dados desnecessários ou proibidos.
5. Finalidades do tratamento
| Finalidade | Descrição | Papel |
|---|---|---|
| Prestação do SaaS | Automação WhatsApp, copiloto IA, CRM, agenda, estoque | Operador |
| Hospedagem de conversas | Memória de contexto e continuidade do atendimento | Operador |
| Segurança | Detecção de fraude, abuse, auditoria | Operador / Controlador |
| Suporte técnico | Diagnóstico de falhas e configuração | Operador / Controlador |
| Billing | Cobrança, notas fiscais, prevenção a inadimplência | Controlador |
| Melhoria do produto | Estatísticas agregadas e anonimizadas | Controlador |
| Cumprimento legal | Marco Civil, LGPD, ordens judiciais | Controlador / Operador |
| Comunicações B2B | Avisos de produto, alterações contratuais | Controlador |
A CONTRATADA não vende dados pessoais.
6. Compartilhamento e subprocessadores {#subprocessadores}
6.1. Dados podem ser compartilhados com:
a) Provedores de infraestrutura em nuvem (hospedagem, banco de dados, filas, cache);
b) Provedores de modelos de IA / LLM (processamento de linguagem natural para geração de respostas);
c) Gateway de pagamento (Stripe ou equivalente);
d) Serviços de e-mail e monitoramento (transacionais e alertas);
e) Consultores jurídicos, contábeis ou auditores, sob confidencialidade;
f) Autoridades públicas, mediante obrigação legal ou ordem judicial.
6.2. Subprocessadores atuais por categoria (sem expor chaves de API, contratos ou dados de clientes):
| Categoria | Finalidade | Fornecedores típicos |
|---|---|---|
| Hospedagem e aplicação | Frontend, APIs serverless, build e CDN | Vercel |
| Infraestrutura e banco | Gateway WhatsApp, worker, PostgreSQL, volumes | Railway |
| Filas e cache | BullMQ, idempotência, rate limit, sessão quente | Redis (Railway ou equivalente) |
| IA / LLM | Geração de respostas do copiloto e automações | OpenRouter e modelos de terceiros roteados por política |
| Pagamentos | Assinaturas, cobrança e conciliação | Stripe; OpenPix quando habilitado para o workspace |
| E-mail e alertas | Notificações transacionais e webhooks operacionais | Serviço de e-mail configurado; webhooks do cliente (ex.: Slack) quando informado |
6.2.1. A lista detalhada e atualizações relevantes ficam disponíveis em https://zapassistente.com/privacidade#subprocessadores (âncora nesta política) e mediante solicitação a privacidade@zapassistente.com, sem exposição de segredos comerciais ou credenciais.
6.2.2. Alterações materiais de subprocessadores serão comunicadas conforme Seção 11.
6.3. Subprocessadores são contratados com cláusulas compatíveis com a LGPD e, quando aplicável, Standard Contractual Clauses ou mecanismos de transferência internacional reconhecidos.
6.4. Transferências internacionais podem ocorrer quando provedores de nuvem ou LLM mantêm servidores fora do Brasil. O CONTRATANTE, na qualidade de Controlador, deve avaliar impacto e bases legais aplicáveis, podendo solicitar informações adicionais à Operadora.
7. Segurança da informação
7.1. A CONTRATADA adota medidas técnicas e administrativas proporcionais ao risco, incluindo:
a) Criptografia em trânsito via HTTPS/TLS para comunicações com a Plataforma e APIs;
b) Criptografia em repouso para dados sensíveis, backups e segredos (chaves de API, tokens), conforme arquitetura adotada;
c) Segregação multi-tenant por workspace, com controles de acesso lógicos;
d) Hashing de senhas com algoritmos robustos;
e) Controle de acesso baseado em papéis (RBAC) e princípio do menor privilégio;
f) Monitoramento, logs de segurança e rate limiting anti-abuso;
g) Backups periódicos e plano de continuidade compatível com criticidade do serviço;
h) Revisões periódicas de vulnerabilidades e atualização de dependências.
7.2. Nenhum sistema é 100% seguro. O CONTRATANTE deve proteger credenciais, habilitar controles internos e notificar privacidade@zapassistente.com em caso de suspeita de incidente.
7.3. Em incidentes de segurança com risco ou dano relevante aos titulares, a CONTRATADA notificará o Controlador em prazo compatível com a LGPD e cooperará na comunicação à ANPD e aos titulares, conforme responsabilidades de cada Parte.
8. Retenção, eliminação e portabilidade
8.1. Dados de Titulares Finais (Operador)
- Mantidos enquanto a conta do CONTRATANTE estiver ativa e conforme configurações de retenção do workspace;
- Após rescissionamento contratual, dados serão eliminados ou anonimizados em até 30 dias, salvo:
- backup em ciclo de rotação por até 90 dias adicionais, com acesso restrito;
- obrigação legal de retenção;
- litígio ou ordem judicial.
8.2. Dados de cadastro e billing (Controlador)
- Retidos pelo prazo necessário à execução contratual, obrigações fiscais (mínimo 5 anos para documentos contábeis, quando aplicável) e defesa em processos.
8.3. Registros de acesso (Marco Civil — art. 15)
- Registros de acesso à aplicação (IP, data/hora) guardados de forma sigilosa e segura por mínimo 6 (seis) meses, em ambiente controlado, conforme Marco Civil da Internet.
8.4. Logs operacionais e auditoria
- Logs técnicos retidos por 12 meses, salvo necessidade de investigação de segurança ou ordem legal.
8.5. Eliminação a pedido
- O Controlador pode solicitar eliminação via painel ou privacidade@zapassistente.com. A Operadora executará dentro do prazo contratual, ressalvadas exceções legais.
8.6. Portabilidade
- Quando aplicável, dados exportáveis pelo CONTRATANTE via funcionalidades de export ou solicitação formal, em formato estruturado razoável (ex.: JSON/CSV), conforme capacidade técnica da Plataforma.
9. Direitos dos titulares (LGPD art. 18)
9.1. Titulares de dados pessoais têm direito a: confirmação de tratamento, acesso, correção, anonimização, bloqueio, eliminação, portabilidade, informação sobre compartilhamento, oposição (quando cabível) e revisão de decisões automatizadas, nos termos da LGPD.
9.2. Titulares Finais (leads/clientes do CONTRATANTE)
- Devem exercer direitos primariamente junto ao CONTRATANTE (Controlador) no canal informado pela empresa do CONTRATANTE.
9.3. Usuários administrativos e dados controlados pela CONTRATADA
- Podem exercer direitos via privacidade@zapassistente.com, comprovando identidade. Prazo de resposta: até 15 dias, prorrogável conforme LGPD.
9.4. A Operadora auxiliará o Controlador no atendimento a titulares finais, quando tecnicamente possível e contratualmente previsto.
10. Cookies e tecnologias similares
10.1. O site e dashboard podem utilizar cookies e tecnologias similares para:
- autenticação e sessão;
- preferências;
- analytics de uso (quando habilitado);
- segurança (CSRF, rate limit).
10.2. Cookies estritamente necessários não dependem de consentimento. Cookies analíticos ou de marketing, quando utilizados, serão geridos conforme banner/aviso em https://zapassistente.com.
11. Decisões automatizadas e inteligência artificial
11.1. A Plataforma utiliza IA para classificar intenções, sugerir respostas, qualificar leads e executar ações operacionais (CRM, agenda, estoque).
11.2. Decisões com efeitos jurídicos ou impacto significativo sobre titulares não devem ser tomadas exclusivamente de forma automatizada pelo CONTRATANTE sem salvaguardas humanas adequadas.
11.3. O CONTRATANTE pode configurar modo Copiloto (aprovação humana) para reduzir riscos de envio automático inadequado.
11.4. A CONTRATADA não garante exatidão de outputs de IA. O Controlador é responsável por revisão e conformidade (ver Termos de Uso).
12. Crianças e adolescentes
12.1. A Plataforma não se destina ao tratamento intencional de dados de crianças e adolescentes sem base legal e consentimento específico quando exigido.
12.2. Se o CONTRATANTE tratar dados de menores em seu negócio (ex.: escolas), assume responsabilidade integral por compliance e consentimento parental quando aplicável.
13. Encarregado (DPO) e canal de privacidade
13.1. Encarregado pelo tratamento de dados pessoais (DPO): Encarregado de Proteção de Dados — Zap Assistente LTDA
E-mail: dpo@zapassistente.com
Endereço para correspondência: Rua Rui Barbosa, 180, Centro, Neves Paulista/SP, CEP 15120-061
13.2. Canal geral de privacidade: privacidade@zapassistente.com
13.3. Autoridade Nacional de Proteção de Dados (ANPD): https://www.gov.br/anpd
14. Alterações desta Política
14.1. Esta Política poderá ser atualizada para refletir mudanças legais, técnicas ou operacionais.
14.2. Alterações materiais serão comunicadas com antecedência mínima de 30 dias por e-mail ou aviso na Plataforma.
14.3. Recomenda-se revisão periódica da versão vigente em https://zapassistente.com/privacidade.
15. Legislação aplicável
15.1. Esta Política é regida pela LGPD (Lei nº 13.709/2018), Marco Civil da Internet (Lei nº 12.965/2014), regulamentações da ANPD e demais normas brasileiras aplicáveis.
15.2. Relações B2B entre CONTRATANTE e CONTRATADA quanto a responsabilidade por dados de titulares finais complementam-se com os Termos de Uso e eventuais DPA.
16. Glossário
- Controlador: pessoa natural ou jurídica a quem competem as decisões sobre o tratamento de dados pessoais.
- Operador: pessoa natural ou jurídica que realiza o tratamento em nome do controlador.
- Titular: pessoa natural a quem se referem os dados pessoais.
- Dado pessoal: informação relacionada a pessoa natural identificada ou identificável.
- Tratamento: toda operação com dados pessoais (coleta, uso, armazenamento, eliminação etc.).
- ANPD: Autoridade Nacional de Proteção de Dados.
17. Contato
Zap Assistente LTDA
CNPJ: 64.983.905/0001-01
Endereço: Rua Rui Barbosa, 180, Centro, Neves Paulista/SP, CEP 15120-061
Privacidade: privacidade@zapassistente.com
DPO: dpo@zapassistente.com