ConvertaFlow · Legal
Política de Privacidade
Como coletamos, usamos e protegemos seus dados pessoais.
Última atualização: 08 de junho de 2026
Política de Privacidade
Última atualização: 2 de junho de 2026
A ConvertaFlow (CNPJ 23.248.724/0001-54), com sede na Rua Wanderley Junior, 225 — Campinas — São Jose/SC — CEP 88101-010, e uma plataforma SaaS de atendimento omnichannel, automação, CRM e inteligência artificial.
Esta Política descreve como coletamos, usamos, armazenamos, compartilhamos e protegemos os dados pessoais dos nossos Usuários (assinantes da plataforma) e dos Contatos Finais (pessoas cujos dados são processados pelos Usuários por meio da Plataforma).
Ao utilizar o ConvertaFlow, você concorda com as práticas descritas nesta Política, em conformidade com a LGPD (Lei 13.709/2018), o Marco Civil da Internet (Lei 12.965/2014) e demais legislações aplicáveis.
Para informações sobre planos e preços, consulte Planos e Preços. Para detalhes sobre segurança, veja LGPD e Privacidade.
Definições
| Termo | Significado |
|---|---|
| Usuário | Pessoa física ou jurídica que contrata e utiliza a plataforma ConvertaFlow |
| Contato Final | Pessoa cujos dados pessoais são processados pelo Usuário por meio da Plataforma |
| Controlador | O Usuário, que determina as finalidades e os meios de tratamento dos dados dos Contatos Finais |
| Operador | O ConvertaFlow, que realiza o tratamento de dados em nome do Controlador (Usuário) |
| DPO/Encarregado | Responsável pela comunicação entre o ConvertaFlow, os titulares de dados e a ANPD |
| Organização | Conta empresarial do Usuário dentro da plataforma, com dados isolados |
| Plataforma | O software ConvertaFlow, acessível em app.convertaflow.com |
Papeis no tratamento de dados
ConvertaFlow como Controladora
Somos Controladores dos dados pessoais dos nossos Usuários (assinantes), incluindo:
- Dados de cadastro e autenticação
- Dados de cobranca e pagamento
- Dados de uso e navegação na Plataforma
- Dados de suporte e comunicações conosco
ConvertaFlow como Operadora
Somos Operadores dos dados dos Contatos Finais, que são inseridos, importados ou recebidos pelos Usuários por meio da Plataforma. Neste caso:
- O Usuário e o Controlador e deve garantir a base legal para o tratamento
- O ConvertaFlow processa os dados exclusivamente conforme as instruções do Usuário
- Não utilizamos os dados dos Contatos Finais para finalidades proprias
- Não compartilhamos dados de Contatos Finais entre diferentes Organizações
Dados que coletamos
Dados dos Usuários (assinantes)
| Categoria | Dados | Finalidade |
|---|---|---|
| Cadastro | Nome, e-mail, telefone, nome da empresa | Criação e gestão da conta |
| Autenticação | Credenciais de acesso, tokens de sessão | Segurança e controle de acesso |
| Cobranca | Dados de pagamento (PIX, cartao), endereço de cobranca, CPF/CNPJ | Processamento de pagamentos e emissão de notas fiscais |
| Uso | Logs de acesso, funcionalidades utilizadas, horarios de login | Melhoria do serviço e suporte técnico |
| Dispositivo | Endereço IP, tipo de navegador, sistema operacional | Segurança, detecção de fraudes e seleção de gateway de pagamento |
| Comunicação | Mensagens de suporte, feedbacks, e-mails | Atendimento e melhoria do serviço |
Dados dos Contatos Finais (processados em nome do Usuário)
| Categoria | Dados | Finalidade |
|---|---|---|
| Identificação | Nome, telefone, e-mail, empresa | Gestão de CRM pelo Usuário |
| Comunicação | Mensagens de texto, áudios, imagens, vídeos, documentos | Histórico de atendimento |
| Transcrições | Transcrições automáticas de áudios | Facilitar leitura e busca pelo Usuário |
| Comportamento | Tags, campos personalizados, pontuação de lead | Segmentação e gestão pelo Usuário |
| Automação | Dados de fluxos, campanhas, funil de vendas | Automação definida pelo Usuário |
| IA e Memória | Classificações de intenção, embeddings semanticos, resumos | Personalização de atendimento configurada pelo Usuário |
Dados coletados automaticamente
- Cookies de sessão: necessários para autenticação e funcionamento da Plataforma
- Dados de conexão: endereço IP, geolocalização aproximada (país), utilizado para seleção de gateway de pagamento
- Logs do sistema: registros técnicos para segurança, monitoramento e resolução de problemas
Base legal para o tratamento (LGPD Art. 7)
| Finalidade | Base Legal | Artigo |
|---|---|---|
| Prestação do serviço contratado | Execução de contrato | Art. 7, V |
| Cobranca e faturamento | Execução de contrato | Art. 7, V |
| Segurança e prevenção de fraudes | Legítimo interesse | Art. 7, IX |
| Comunicações sobre o serviço | Execução de contrato | Art. 7, V |
| Melhoria e desenvolvimento | Legítimo interesse | Art. 7, IX |
| Cumprimento de obrigações legais | Obrigação legal | Art. 7, II |
| Marketing direto do ConvertaFlow | Consentimento | Art. 7, I |
| Envio de e-mails transacionais | Execução de contrato | Art. 7, V |
Compartilhamento de dados
Prestadores de serviço (sub-operadores)
Compartilhamos dados com terceiros estritamente necessários para a operação da Plataforma:
| Serviço | Prestador | Finalidade | País |
|---|---|---|---|
| Autenticação | Clerk | Gestão de identidade e login seguro | EUA |
| Pagamentos nacionais | Asaas | Processamento de PIX e cartao | Brasil |
| Pagamentos internacionais | Stripe | Processamento de cartao | EUA |
| E-mail transacional | AWS SES / Resend | Envio de e-mails do sistema | EUA |
| Armazenamento | Cloudflare R2 | Armazenamento de mídias e arquivos | Global |
| Hospedagem | Vercel | Hospedagem do aplicativo web | EUA |
| Inteligência Artificial | Anthropic (Claude) | Processamento de IA quando habilitado pelo Usuário | EUA |
| Inteligência Artificial | OpenAI | Embeddings e processamento opcional de IA | EUA |
| Transcrição | OpenAI (Whisper) | Transcrição de áudio (fallback) | EUA |
| Monitoramento | Sentry | Rastreamento de erros técnicos | EUA |
| Meta Platforms | API oficial do WhatsApp Business | EUA |
Transferência internacional de dados
Alguns dos nossos sub-operadores estão localizados fora do Brasil. Essas transferências são realizadas em conformidade com a LGPD (Art. 33), com base em:
- Clausulas contratuais específicas com cada prestador
- Garantias de proteção equivalente ao padrão brasileiro
- Necessidade para execução do contrato de prestação de serviço
Quando NÃO compartilhamos
- Nunca vendemos dados pessoais a terceiros
- Nunca compartilhamos dados de Contatos Finais entre Organizações diferentes
- Nunca utilizamos dados de Contatos Finais para fins próprios de marketing
- Nunca compartilhamos dados com terceiros para finalidades incompatíveis com esta Política
Compartilhamento por obrigação legal e solicitações de autoridades públicas
Podemos compartilhar dados quando exigido por lei, ordem judicial ou requisição formal de autoridade competente, incluindo a ANPD, o Poder Judiciario, o Ministerio Público, a Policia Judiciaria, órgãos fazendarios e demais entidades legitimadas pela legislação brasileira.
O ConvertaFlow trata essas solicitações com extrema seriedade, combinando o dever legal de cooperação com o compromisso de proteger os direitos dos titulares. Para isso, adotamos os processos formais descritos a seguir.
Analise previa de legalidade
Toda solicitação de autoridade pública passa obrigatoriamente por analise jurídica interna antes de qualquer compartilhamento de dados. Essa analise e conduzida pelo Encarregado de Dados (DPO) com suporte de assessoria jurídica especializada, e verifica:
- A legitimidade e competência da autoridade solicitante
- A existência, validade e forma do instrumento legal apresentado (ordem judicial, ofício, intimação, requisição administrativa, mandado de busca e apreensão, termo circunstanciado etc.)
- O enquadramento legal da solicitação conforme a legislação aplicável (LGPD, Marco Civil da Internet, Código de Processo Civil, Código de Processo Penal, legislação tributária, entre outras)
- A adequação entre a finalidade declarada pela autoridade e a natureza dos dados requeridos
- A proporcionalidade entre o escopo da solicitação e os direitos fundamentais dos titulares
Nenhum dado e disponibilizado antes da conclusão dessa analise.
Contestação de solicitações ilegais, abusivas ou desproporcionais
Quando uma solicitação e considerada ilegal, abusiva, desproporcional ou contrária aos direitos fundamentais dos titulares, o ConvertaFlow reserva-se o direito de:
- Recusar formalmente o compartilhamento, apresentando fundamentação jurídica por escrito a autoridade solicitante
- Apresentar impugnação, agravo, mandado de segurança ou outra medida judicial cabivel junto ao órgão competente
- Solicitar esclarecimentos adicionais a autoridade antes de cumprir a demanda
- Requerer tramitação em segredo de justiça quando aplicável, para proteger os titulares afetados
- Representar junto à ANPD ou a ouvidoria competente em casos de desvio de finalidade
Essa postura e adotada em conformidade com o artigo 5o, incisos LIV e LV, da Constituição Federal (devido processo legal, contraditorio e ampla defesa), com a LGPD e com a jurisprudência do Superior Tribunal de Justiça e do Supremo Tribunal Federal em materia de proteção de dados.
Minimização de dados em atendimentos legitimos
Mesmo quando uma solicitação e considerada legal e legítima, o ConvertaFlow adota rigorosamente o princípio da minimização (LGPD Art. 6o, III), compartilhando apenas:
- O conjunto de dados estritamente necessário para atender a finalidade declarada
- Os titulares especificamente identificados na ordem, nunca uma base ampliada
- O período exato solicitado, sem estender a janela temporal
- Dados em formato agregado ou pseudonimizado sempre que suficiente para a finalidade
Solicitações genericas, amplas ou com escopo indefinido são contestadas até que sejam delimitadas de acordo com o princípio da necessidade.
Registro e documentação das solicitações
Toda solicitação de autoridade pública e formalmente registrada em log interno imutável, contendo:
- Identificação da autoridade solicitante e do instrumento legal apresentado
- Data e hora do recebimento
- Fundamentação legal invocada pela autoridade
- Parecer jurídico interno sobre a legalidade da solicitação
- Escopo dos dados solicitados e dos dados efetivamente fornecidos
- Identificação dos responsáveis pela analise, decisão e execução dentro do ConvertaFlow
- Resposta final encaminhada a autoridade e eventuais recursos apresentados
Este registro e mantido por prazo mínimo de 5 anos e pode ser auditado em caso de processo administrativo, judicial ou fiscalização pela ANPD.
Transparência aos titulares
Sempre que a lei permitir (ou seja, quando não houver sigilo expressamente determinado pela autoridade), informaremos os titulares afetados sobre o compartilhamento de seus dados, incluindo:
- Identificação da autoridade solicitante
- Fundamento legal da solicitação
- Categorias de dados compartilhados
- Data em que o compartilhamento ocorreu
Essa transparência respeita integralmente os prazos de sigilo eventualmente decretados em processos em andamento.
Relatório de transparência
Periodicamente, o ConvertaFlow podera publicar um Relatório de Transparência agregado e anonimizado, divulgando:
- Número total de solicitações recebidas por categoria (judicial, administrativa, regulatoria)
- Percentual de solicitações atendidas, contestadas ou parcialmente atendidas
- Faixas de titulares afetados
- Tipos de autoridades solicitantes
Esse relatório reforca nosso compromisso com accountability e com a comunidade.
Integrações com plataformas externas via OAuth
A ConvertaFlow oferece integrações opcionais com plataformas externas (Google Ads, Meta Ads, Google Calendar, Instagram Business, WhatsApp Business e outras). Essas integrações são ativadas exclusivamente quando o Usuário autoriza explicitamente o acesso, via fluxo OAuth 2.0 padrão das respectivas plataformas.
Como funciona o acesso autorizado:
- O Usuário inicia a integração dentro da Plataforma e e redirecionado para a tela de consentimento da plataforma externa (ex.: Google ou Meta)
- A plataforma externa lista os escopos solicitados pela ConvertaFlow e pede o consentimento explícito do Usuário
- Apenas apos o consentimento, a plataforma externa emite um token de acesso para a ConvertaFlow
- O token e armazenado de forma criptografada e vinculado exclusivamente a Organização do Usuário (multi-tenant isolado)
- A ConvertaFlow nunca acessa dados das plataformas externas sem um token valido emitido pelo proprio Usuário
Escopos solicitados e finalidade de uso:
| Plataforma | Escopo | Finalidade |
|---|---|---|
| Google Ads API | https://www.googleapis.com/auth/adwords |
Ler metricas de campanhas (impressões, cliques, conversões, custo) e exibir dashboards de Unit Economics (CAC, LTV, ROI, ROAS) na Plataforma |
| Google Calendar API | https://www.googleapis.com/auth/calendar |
Sincronizar bidirecionalmente compromissos da Agenda do Usuário com sua Conta Google |
| Meta Marketing API | ads_read, ads_management, business_management |
Ler dados de campanhas Meta Ads (Facebook/Instagram) para dashboards de Unit Economics |
| Meta Messaging API | whatsapp_business_messaging, instagram_basic, pages_messaging |
Receber e enviar mensagens em nome do Usuário nos canais que ele autorizar |
Conformidade com as politicas das plataformas:
Declaração canônica (Google API Services User Data Policy — Limited Use):
ConvertaFlow's use and transfer of information received from Google APIs to any other app will adhere to the Google API Services User Data Policy, including the Limited Use requirements.
Tradução: o uso e a transferência pela ConvertaFlow de informações recebidas das Google APIs para qualquer outro aplicativo aderirá à Google API Services User Data Policy, incluindo os requisitos de Limited Use.
Em particular, ConvertaFlow cumpre as cinco cláusulas de Limited Use exigidas pelo Google:
- Use Limitation: ConvertaFlow limita o uso de dados de usuários Google ao fornecimento ou aprimoramento de funcionalidades visíveis e proeminentes na interface da Plataforma (dashboards de campanhas, métricas de Unit Economics, Agenda)
- Transfer Limitation: ConvertaFlow não transfere dados de usuários Google a terceiros, exceto: (a) quando necessário para fornecer ou aprimorar essas funcionalidades, com consentimento do usuário; (b) por razões de segurança; (c) para cumprir obrigações legais aplicáveis; ou (d) como parte de fusão, aquisição ou venda de ativos com consentimento explicito do usuário
- Advertising Prohibition: ConvertaFlow não usa dados de usuários Google para servir anuncios, incluindo retargeting, personalização ou publicidade baseada em interesses
- Human Access Limitation: ConvertaFlow não permite que humanos leiam dados de usuários Google, exceto: (a) com consentimento explicito do usuário; (b) por razões de segurança (ex.: investigação de abuso); (c) quando exigido por lei; ou (d) quando os dados são agregados e usados para operações internas em conformidade com leis de privacidade aplicaveis
- AI/ML Limitation: ConvertaFlow não transfere, vende ou usa dados de usuários Google para desenvolver, aprimorar ou treinar modelos de IA/ML generalizados ou não-personalizados
Para integrações com a Meta (Facebook, Instagram, WhatsApp), o uso obedece as Meta Platform Terms e a Politica de Dados de Plataforma da Meta, incluindo as restrições aplicaveis a cada permissão concedida.
Armazenamento, retenção e deleção dos dados de integrações:
ConvertaFlow retém dados obtidos das APIs do Google apenas pelo tempo necessário para fornecer as funcionalidades para as quais você autorizou o acesso. (In English: We will retain your personal information received from Google APIs for the length of time needed to fulfill the purposes outlined in this Privacy Policy.) Em particular:
- Tokens de acesso e refresh tokens ficam criptografados em repouso (AES-256-GCM) e são utilizados exclusivamente para chamadas autorizadas as respectivas APIs
- Dados de campanhas (Google Ads, Meta Ads) são armazenados em formato agregado para alimentar os dashboards do Usuário e ficam isolados na Organização do Usuário (schema PostgreSQL
tenant_{uuid}por tenant) - Cache de metricas é mantido por até 24 horas para performance dos dashboards e renovado automaticamente
- Dados de eventos de conversão (offline conversions enviados ao Google Ads) ficam armazenados pelo periodo da assinatura ativa
- Dados sensiveis nunca são logados em sistemas externos de monitoramento (ex.: Sentry recebe apenas IDs anonimos, nunca conteudo)
- Quando o periodo de retenção expira, os dados são deletados ou destruidos permanentemente. (In English: When the data retention period expires, we will delete or destroy your personal information.)
Você pode solicitar a exclusão dos seus dados a qualquer momento (In English: You may request for your data to be deleted) por qualquer um dos meios descritos na seção seguinte. A exclusão dos dados Google é executada em até 24 horas apos a desconexão da integração ou solicitação ao DPO.
Como o Usuário pode revogar o acesso:
O Usuário pode revogar o acesso da ConvertaFlow a qualquer plataforma externa a qualquer momento, por qualquer um dos seguintes meios:
- Dentro da propria Plataforma: acessando Configurações → Integrações e clicando em "Desconectar" na integração desejada. A revogação remove o token armazenado pela ConvertaFlow imediatamente
- Diretamente na plataforma externa:
- Google: myaccount.google.com/permissions — basta encontrar "ConvertaFlow" e clicar em "Remover acesso"
- Meta (Facebook/Instagram): Configurações → Aplicativos e sites → Removidos
- Por solicitação ao DPO: enviando e-mail para dpo@convertaflow.com com a solicitação de desvinculação
Apos a revogação, a ConvertaFlow deixa imediatamente de fazer chamadas a plataforma externa em nome do Usuário e os dados em cache que dependem da integração são removidos no proximo ciclo de sincronização (em ate 24 horas).
Verificação em duas etapas (MFA) — exigência da Google Ads API:
A partir de 21 de abril de 2026, o Google passou a exigir que qualquer Usuário que conecte sua conta Google Ads à ConvertaFlow tenha Verificação em Duas Etapas (2-Step Verification / MFA) ativada na sua Conta Google. Essa exigência e da Google Ads API e não da ConvertaFlow.
Se a sua Conta Google ainda não tem MFA ativado:
- Acesse myaccount.google.com/security
- Em "Como você faz login no Google", ative "Verificação em duas etapas"
- Configure o método de autenticação preferido (chave de segurança, app autenticador ou SMS)
- Volte à ConvertaFlow e tente conectar sua conta Google Ads novamente
Sem MFA ativo, o fluxo de autorização vai falhar com mensagem do Google. Esta exigência se aplica apenas as integrações com Google Ads — outras integrações (Calendar, Meta) seguem suas proprias regras.
Inteligência artificial e processamento automatizado
Funcionalidades de IA
A Plataforma oferece funcionalidades de inteligência artificial que processam dados de Contatos Finais quando habilitadas pelo Usuário, incluindo:
- Classificação de intenção: categorização automática de mensagens recebidas
- Agentes de IA: respostas automatizadas configuradas pelo Usuário
- Memória semântica: embeddings vetoriais para busca contextual
- Transcrição de áudio: conversão de áudios em texto
- Geração de fluxos: sugestão de automações baseada em padrões
Para mais detalhes sobre funcionalidades de IA, consulte IA e Agentes de Atendimento e AI Router.
Controle do Usuário
- Todas as funcionalidades de IA possuem controle individual de ativação (liga/desliga)
- Quando desativadas, nenhum dado e enviado para processamento por provedores de IA
- O Usuário pode configurar qual provedor de IA utilizar
- O Usuário pode fornecer suas proprias chaves de API (BYOK), reduzindo o papel do ConvertaFlow no processamento
Saiba mais em Cota e Recargas da Lia.
Dados processados por IA
Os dados enviados para processamento por IA incluem apenas o conteúdo necessário para a funcionalidade solicitada. Não retemos dados nos servidores dos provedores de IA além do tempo necessário para processar a solicitação.
Armazenamento e retenção de dados
Onde os dados são armazenados
- Banco de dados principal: servidor próprio (VPS) com PostgreSQL, em infraestrutura dedicada
- Cache e sessões: Redis em infraestrutura própria
- Mídias e arquivos: Cloudflare R2 (armazenamento compatível com S3)
- Frontend: Vercel (CDN global)
Isolamento de dados
Cada Organização possui um esquema de banco de dados fisicamente isolado. Isso significa que:
- Os dados de uma Organização nunca se misturam com os de outra
- Cada Organização pode ser exportada ou excluida de forma independente
- Acessos internos são registrados em log de auditoria imutável
Saiba mais sobre isolamento em LGPD e Privacidade.
Períodos de retenção
| Tipo de Dado | Período de Retenção | Observação |
|---|---|---|
| Dados da conta (Usuário) | Enquanto a conta estiver ativa + 90 dias após cancelamento | Exclusão permanente após o período |
| Mensagens e conversas | Conforme o plano (ver tabela de retenção de backup abaixo) | Backup completo (texto + mídia) incluído em todos os planos |
| Mídias e arquivos | Mesma janela do backup do plano | Áudios, imagens, vídeos e documentos seguem a retenção do plano |
| Dados de cobranca | 5 anos após o último pagamento | Obrigação fiscal (CTN Art. 173) |
| Logs de segurança | 6 meses | Padrão Marco Civil da Internet |
| Dados de IA (embeddings) | Enquanto a conta estiver ativa | Excluidos com a conta |
| Backups operacionais de continuidade (cópias técnicas do banco) | Até 12 meses | Finalidade de continuidade de negócio e recuperação de desastre — LGPD Art. 7, IX |
Retenção de backup por plano
O backup completo das conversas (texto e mídia: áudios, imagens, vídeos e documentos) está incluído em todos os planos, inclusive o gratuito. A diferença entre os planos não é a presença do backup, e sim por quanto tempo o histórico fica disponível — funcionando como uma janela deslizante: à medida que novos dados entram, os mais antigos saem ao ultrapassar o período de retenção do plano.
Enquanto o Usuário for assinante ativo, os períodos de retenção são:
| Plano | Texto | Mídia |
|---|---|---|
| Starter | 30 dias | 30 dias |
| Professional | 90 dias | 90 dias |
| Growth | 180 dias | 180 dias |
| Business | 2 anos | 2 anos |
| Premium | 4 anos | 4 anos |
| Enterprise | ilimitado | 5 anos |
Backups operacionais de continuidade (DR)
Independentemente da retenção comercial acima, mantemos cópias técnicas do banco de dados (snapshots completos da infraestrutura) por até 12 meses, exclusivamente para fins de continuidade do negócio e recuperação de desastre (LGPD Art. 7, IX — legítimo interesse). Essas cópias não são acessíveis ao Usuário pela Plataforma e existem apenas como salvaguarda técnica. Por essa razão, dados de um ex-Usuário podem permanecer nessas cópias técnicas por até 12 meses até saírem do ciclo de rotação, mesmo após a exclusão dos dados ativos.
Para detalhes sobre backup, consulte Backup WhatsApp.
Após o cancelamento
Ao cancelar a assinatura, inicia-se uma carência de 90 dias:
- O acesso a Plataforma e encerrado ao final do período já pago
- Durante os 90 dias de carência, os dados ficam armazenados e congelados. Nesse período o Usuário pode:
- Reativar a assinatura — todo o histórico (conversas, mídias, contatos, automações) é restaurado integralmente; ou
- Exportar / baixar seus dados em formato estruturado, exercendo o direito de portabilidade (LGPD Art. 18, V)
- Após os 90 dias, os dados são permanentemente e irreversivelmente excluidos, incluindo todos os dados do esquema da Organização, mídias e arquivos no armazenamento, backups associados (snapshots e referências de mídia) e embeddings e memórias de IA
- As cópias técnicas de continuidade (DR) podem reter os dados por até 12 meses, conforme descrito na seção de retenção, antes de saírem do ciclo de rotação
- Dados de cobranca são mantidos conforme obrigação fiscal
A base legal para reter os dados durante a carência e a possibilidade de reativação e a execução do contrato em sua fase pós-contratual (LGPD Art. 7, V) combinada com o legítimo interesse de continuidade (Art. 7, IX). A eliminação após o término do tratamento atende aos princípios da minimização (Art. 6, III) e ao direito à eliminação dos dados (Art. 15, I e Art. 16).
Segurança dos dados
Medidas técnicas
- Criptografia em transito: HTTPS/TLS obrigatório em todas as conexões
- Autenticação robusta: JWT com assinatura RS256 (assimetrica)
- Isolamento multi-tenant: esquemas de banco de dados fisicamente separados
- Controle de acesso: permissões granulares por cargo (Proprietario, Gerente, Supervisor, Atendente, Visualizador)
- Proteção contra ataques: rate limiting, proteção contra força bruta, cabecalhos de segurança (HSTS, CSP, X-Frame-Options)
- Proteção DDoS: Cloudflare na camada de borda
- Monitoramento: alertas em tempo real
Para detalhes sobre autenticação, consulte Autenticação e Login.
Medidas organizacionais
- Princípio do menor privilégio: cada usuário acessa apenas o que precisa
- Log de auditoria: toda impersonação por equipe interna e registrada com data, hora e motivo (imutável)
- Gestão de segredos: chaves e credenciais gerenciadas por cofre de segredos (nunca em código-fonte)
- Backup e recuperação: backups automáticos com criptografia
Veja mais em Logs de Auditoria e Cargos e Permissões.
Notificação de incidentes
Em caso de incidente de segurança que comprometa dados pessoais:
- Notificaremos a ANPD e os titulares afetados em até 72 horas
- Detalharemos a natureza do incidente, dados afetados e medidas adotadas
- Implementaremos ações corretivas imediatas
Direitos dos titulares (LGPD Art. 18)
Direitos dos Usuários (assinantes)
Você pode exercer os seguintes direitos em relação aos seus dados pessoais:
| Direito | Descrição | Como exercer |
|---|---|---|
| Acesso | Saber quais dados possuimos sobre você | Contato com DPO |
| Correção | Corrigir dados incompletos ou desatualizados | Configurações da conta ou contato com DPO |
| Exclusão | Solicitar a eliminação dos seus dados | Contato com DPO |
| Portabilidade | Receber seus dados em formato estruturado | Exportação via Plataforma ou contato com DPO |
| Revogação de consentimento | Retirar consentimento dado anteriormente | Configurações da conta ou contato com DPO |
| Oposição | Opor-se a tratamento baseado em legítimo interesse | Contato com DPO |
| Informação | Saber com quem seus dados foram compartilhados | Contato com DPO |
Direitos dos Contatos Finais
Os Contatos Finais devem exercer seus direitos diretamente com o Usuário (Controlador). O ConvertaFlow colaborara com o Usuário para atender as solicitações, incluindo exclusão, exportação e correção de dados.
Prazo de resposta
Responderemos as solicitações em até 15 dias úteis, conforme a LGPD.
Canal de contato
- E-mail do DPO/Encarregado:
privacidade@convertaflow.com - E-mail geral:
contato@convertaflow.com
Cookies e tecnologias de rastreamento
Cookies utilizados
| Cookie | Tipo | Finalidade | Duração |
|---|---|---|---|
| Sessão de autenticação | Essencial | Manter o usuário autenticado | Sessão |
| Preferências | Funcional | Idioma, tema, configurações | Persistente |
| Segurança | Essencial | Proteção CSRF e detecção de fraudes | Sessão |
O que NÃO utilizamos
- Não utilizamos cookies de publicidade ou remarketing
- Não utilizamos rastreadores de terceiros para fins de marketing
- Não compartilhamos dados de navegação com redes de publicidade
Menores de idade
O ConvertaFlow e destinado exclusivamente a maiores de 18 anos. Não coletamos intencionalmente dados de menores. Se tomarmos conhecimento de que dados de menores foram coletados, excluiremos tais dados imediatamente.
Alterações nesta Política
Podemos atualizar esta Política periodicamente. Em caso de alterações significativas:
- Publicaremos a versão atualizada em
convertaflow.comeapp.convertaflow.com - Notificaremos os Usuários por e-mail e/ou notificação na Plataforma
- A data de "Última atualização" no topo desta pagina sera alterada
- O uso continuado da Plataforma após a notificação constitui aceitação das alterações
Legislação aplicável e foro
Esta Política e regida pela legislação brasileira, em especial:
- LGPD — Lei 13.709/2018
- Marco Civil da Internet — Lei 12.965/2014
- Código de Defesa do Consumidor — Lei 8.078/1990
Foro: Comarca de São Jose, Estado de Santa Catarina, Brasil.
Contato
Para dúvidas, solicitações ou reclamações relacionadas a esta Política de Privacidade:
- Encarregado de Dados (DPO):
privacidade@convertaflow.com - Contato geral:
contato@convertaflow.com - Endereço: Rua Wanderley Junior, 225 — Campinas — São Jose/SC — CEP 88101-010
- ANPD: Caso não fique satisfeito com nossa resposta, você pode registrar uma reclamação junto à Autoridade Nacional de Proteção de Dados (
www.gov.br/anpd)
Consulte também os nossos Termos de Serviço e Termos de Uso.
ConvertaFlow — CNPJ 23.248.724/0001-54 Documento vigente a partir de 07 de abril de 2026.