1. Quem somos e como nos contatar
A Volpa é uma plataforma de atendimento ao cliente via WhatsApp operada por Samuel Terra Vieira, inscrita no CNPJ sob o nº 64.446.447/0001-71, com sede em Rua Mario Carvalho, 112, Apto 101, Jardim Fabiana, Lavras/MG, CEP 37200-357.
Para qualquer assunto relacionado a esta Política, ao tratamento dos seus dados pessoais ou ao exercício dos seus direitos previstos na Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD), entre em contato pelo e-mail samuelterra22@gmail.com.
2. Definições importantes
Para evitar ambiguidade, usamos os seguintes termos ao longo desta Política:
| Termo | Significado |
|---|---|
| Volpa (“nós”) | Samuel Terra Vieira, controladora e operadora da plataforma Volpa Chat. |
| Plataforma | O software Volpa Chat, acessível em chat.volpa.com.br, e seus serviços associados. |
| Cliente | Pessoa física ou jurídica que contrata a Plataforma para atender seus próprios contatos (ex.: uma clínica, loja, escritório). |
| Operador da Plataforma | Pessoa autorizada pelo Cliente a acessar a interface e atender conversas (atendente, secretária, gestor). |
| Contato (“titular final”) | Pessoa física que se comunica com o Cliente via WhatsApp e cujas mensagens são processadas pela Plataforma. |
| Mensagem | Qualquer conteúdo trocado via WhatsApp (texto, áudio, imagem, documento PDF, planilha, sticker, localização etc.). |
| Cloud API | WhatsApp Business Cloud API, fornecida pela Meta Platforms, Inc., usada para enviar e receber mensagens em nome do Cliente. |
| Agente de IA | O módulo de inteligência artificial da Plataforma que pode responder mensagens automaticamente em nome do Cliente. |
Quando o Cliente contrata a Volpa, ele permanece como controlador dos dados dos seus Contatos. A Volpa atua como operadora desses dados (LGPD art. 5º, VII), processando-os exclusivamente segundo as instruções do Cliente, com exceção das hipóteses descritas na seção 4 desta Política em que a Volpa atua como controladora (ex.: dados de cobrança e dados técnicos da infraestrutura).
3. Quais dados coletamos
3.1 Dados do Cliente e do Operador da Plataforma
- Cadastrais: nome, e-mail, telefone, CPF ou CNPJ, razão social, endereço.
- De acesso: nome de usuário, senha (armazenada com hash bcrypt — nunca em texto puro), endereço IP de login, user-agent do navegador, data e hora do login.
- De uso: ações realizadas no painel (envio de mensagens, criação de respostas rápidas, anotações internas, configurações de IA).
- De cobrança: dados de pagamento processados pelo Stripe. A Volpa não armazena dados completos de cartão de crédito.
3.2 Dados dos Contatos (titulares finais)
- Identificadores WhatsApp: número de telefone (
wa_id), nome de exibição (profile name). - Conteúdo das mensagens: texto, transcrição de áudios (gerada por OpenAI Whisper), descrição de imagens (gerada por OpenAI Vision), texto extraído de PDFs e planilhas, metadados de localização ou contatos compartilhados, conteúdo de botões interativos respondidos.
- Mídia bruta: arquivos de áudio, imagem e documentos enviados, armazenados em disco privado da Volpa.
- Metadados: data e hora de envio e recebimento, status de entrega e leitura (delivered, read, failed), identificador único da mensagem (
wa_message_id). - Memória do agente de IA:
- Histórico de chat — últimas 20 mensagens da conversa, mantidas em cache para contextualizar respostas.
- Fatos extraídos — informações que o agente identifica como relevantes (ex.: “prefere remarcar às 14h”) armazenadas como embeddings vetoriais (PostgreSQL pgvector) para serem recuperadas em conversas futuras.
- Status de janela de atendimento: data da última mensagem recebida, para fins de cumprir a regra Meta de janela de 24 horas para mensagem livre.
3.3 Dados técnicos da infraestrutura
- Logs de acesso (IP, user-agent, URL, status HTTP) — retidos conforme Marco Civil da Internet (art. 15).
- Logs de webhook recebido da Meta — retidos para auditoria e troubleshooting.
- Logs de chamadas à OpenAI (tokens, modelo, custo em micro-USD, mas não o conteúdo da resposta após ela ser entregue).
4. Por que coletamos (finalidades) e bases legais
Cada categoria de dado é tratada com uma finalidade específica e uma base legal correspondente, conforme o art. 7º (dados pessoais) ou o art. 11 (dados sensíveis) da LGPD.
| Finalidade | Dados envolvidos | Base legal (LGPD) |
|---|---|---|
| Prestar o serviço contratado (atendimento via WhatsApp, agente de IA, painel) | Cadastrais do Cliente, conteúdo de mensagens dos Contatos | Execução de contrato (art. 7º, V) com o Cliente; legítimo interesse (art. 7º, IX) na operação da plataforma em nome do Cliente |
| Cobrança e administração financeira | Dados de cobrança | Execução de contrato (art. 7º, V); cumprimento de obrigação legal/regulatória (art. 7º, II) |
| Segurança da Plataforma e detecção de fraude | Logs de acesso, IP, user-agent | Legítimo interesse (art. 7º, IX); cumprimento de obrigação legal (Marco Civil da Internet) |
| Suporte ao Cliente | Dados cadastrais, logs técnicos, conteúdo de tickets | Execução de contrato (art. 7º, V) |
| Cumprimento de ordem judicial ou requisição de autoridade competente | Qualquer dado pertinente | Cumprimento de obrigação legal (art. 7º, II); exercício regular de direitos (art. 7º, VI) |
| Melhoria do agente de IA (estatísticas agregadas, sem identificação) | Métricas agregadas (tokens consumidos, taxa de handoff, custo médio) | Legítimo interesse (art. 7º, IX), com dados anonimizados |
Sem perfilamento publicitário. A Volpa não usa nenhum dado de Contato para publicidade, perfilamento comportamental para terceiros, ou venda a corretores de dados. Os dados existem para que o Cliente atenda seus próprios Contatos, e nada além disso.
5. Com quem compartilhamos seus dados
Compartilhamos dados pessoais apenas com terceiros estritamente necessários para a operação da Plataforma e nos limites desta Política:
| Terceiro | Função | Tipo de dado | Localização |
|---|---|---|---|
| Meta Platforms, Inc. | WhatsApp Business Cloud API — envio e recebimento de mensagens | Mensagens, números de telefone, metadados WhatsApp | EUA (com replicação global) |
| OpenAI, L.L.C. | Transcrição de áudio (Whisper), descrição de imagem (Vision), extração de PDF, geração de resposta (GPT) | Conteúdo de mensagens transcritas/analisadas; histórico de conversa | EUA |
| Oracle Cloud Infrastructure (região de São Paulo, Brasil) | Hospedagem da Plataforma (servidores, banco de dados, armazenamento de mídia) | Todos os dados da Plataforma | Conforme provedor (informado no contrato com o Cliente) |
| Stripe | Processamento de pagamento mensal | Dados de cobrança | Brasil (PIX e cartão) |
| Autoridades públicas | Cumprimento de ordem judicial ou requisição legal | O estritamente solicitado | Brasil |
Não vendemos, alugamos ou cedemos dados pessoais a terceiros para fins comerciais ou de marketing.
5.1 Sub-operadores e cláusulas de proteção
Cada terceiro acima atua como sub-operador da Volpa (LGPD art. 39) e está vinculado contratualmente aos termos públicos das respectivas plataformas:
- Meta: WhatsApp Business Data Transfer Addendum e WhatsApp Business Policy.
- OpenAI: Business Terms e Enterprise Privacy. A Volpa utiliza a API empresarial da OpenAI, configurada para não treinar modelos com dados do Cliente.
6. Transferência internacional
Como descrito na seção 5, parte do processamento ocorre em servidores nos Estados Unidos (Meta e OpenAI) e possivelmente em outras jurisdições, a depender do provedor de hospedagem (Oracle Cloud Infrastructure (região de São Paulo, Brasil)). A Volpa adota as seguintes salvaguardas exigidas pelo art. 33 da LGPD:
- Contratação apenas de provedores com programas formais de privacidade e segurança da informação.
- Adesão aos termos contratuais padrão (Standard Contractual Clauses) ou equivalentes quando aplicável.
- Avaliação periódica das certificações dos provedores (SOC 2, ISO 27001).
O Cliente, ao contratar a Plataforma, autoriza expressamente essa transferência, que é necessária à execução do serviço (LGPD art. 33, V).
7. Por quanto tempo guardamos
| Categoria | Tempo de retenção | Motivo |
|---|---|---|
| Mensagens e mídias dos Contatos | 12 meses por padrão (configurável pelo Cliente entre 3 e 24 meses) | Atendimento e auditoria operacional |
| Dados cadastrais do Cliente | Enquanto o contrato estiver ativo + 5 anos após o encerramento | Obrigações fiscais e prazos prescricionais |
| Dados de cobrança e fiscais | 5 anos após emissão | Código Tributário Nacional (art. 173) |
| Logs de acesso ao painel | 12 meses | Marco Civil da Internet (art. 15) |
| Logs de webhook Meta | 30 dias | Troubleshooting; após esse prazo são agregados e anonimizados |
| Embeddings (fatos) do agente de IA | Vinculados ao Contato — excluídos junto com o Contato | Eficiência do atendimento personalizado |
| Backups | 30 dias rolantes | Recuperação de desastre; exclusão sob demanda é replicada nos backups na próxima rotação |
O Cliente pode solicitar exclusão antecipada a qualquer momento conforme a Política de Exclusão de Dados.
8. Seus direitos como titular
Você, na qualidade de titular de dados pessoais (tanto Cliente, Operador ou Contato), tem os seguintes direitos garantidos pela LGPD (art. 18):
- Confirmação da existência de tratamento dos seus dados.
- Acesso aos dados que tratamos sobre você.
- Correção de dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade.
- Portabilidade dos seus dados a outro fornecedor, em formato estruturado.
- Eliminação dos dados tratados com base no seu consentimento.
- Informação sobre as entidades públicas e privadas com quem compartilhamos seus dados.
- Informação sobre a possibilidade de não fornecer consentimento e suas consequências.
- Revogação do consentimento a qualquer momento, quando este for a base legal aplicável.
- Revisão de decisões automatizadas que afetem seus interesses — incluindo, no caso da Plataforma, respostas geradas pelo Agente de IA.
Para exercer qualquer um desses direitos, envie um e-mail para samuelterra22@gmail.com indicando claramente o direito que deseja exercer. Para exclusão de dados, consulte também o procedimento detalhado em /data-deletion. Responderemos em até 15 dias úteis contados da identificação válida do titular.
9. Como protegemos seus dados
A Volpa adota medidas técnicas e administrativas razoáveis para proteger os dados contra acessos não autorizados, perda acidental, alteração ou destruição. Entre elas:
- Criptografia em trânsito — todas as conexões com a Plataforma usam TLS 1.2+ (HTTPS).
- Criptografia em repouso — tokens de acesso à Cloud API são criptografados no banco de dados; o disco do servidor é criptografado a nível de volume.
- Senhas — armazenadas com hash bcrypt; nunca em texto puro.
- Isolamento multi-tenant — cada Cliente tem um workspace isolado; o painel de cada Cliente só pode acessar dados do próprio workspace, garantido tanto pelo ORM como por revisão de código.
- Princípio do menor privilégio — apenas as pessoas estritamente necessárias têm acesso à infraestrutura; acessos são auditáveis.
- Auditoria — alterações em entidades sensíveis (Workspace, WhatsappIntegration, Contato, respostas rápidas, anotações internas) são registradas com autor, data e versão anterior.
- Atualizações de segurança — dependências do software são monitoradas e atualizadas regularmente.
- Backups — diários, criptografados e em região distinta da operação principal.
- Resposta a incidentes — em caso de incidente de segurança com risco relevante aos titulares, a Volpa comunicará a ANPD e os titulares afetados no prazo legal (LGPD art. 48).
Nenhum sistema é absolutamente seguro. Caso identifique alguma vulnerabilidade ou comportamento suspeito, por favor nos avise imediatamente em samuelterra22@gmail.com.
10. Cookies e tecnologias similares
A Plataforma usa apenas cookies estritamente necessários:
| Cookie | Finalidade | Duração |
|---|---|---|
volpa_session | Manter a sessão autenticada do usuário | Sessão (apagado ao fechar o navegador, ou 2 horas inativo) |
XSRF-TOKEN | Proteção contra ataques CSRF | Sessão |
laravel_session | Identificação da sessão pelo backend | 2 horas |
A Plataforma não utiliza cookies de publicidade, rastreamento entre sites, pixels de redes sociais ou ferramentas de analytics de terceiros. Para fins administrativos internos, podemos usar ferramentas de monitoramento de performance (ex.: tempo de resposta), mas esses dados são agregados e não identificam usuários individualmente.
O site institucional (volpa.com.br) pode usar cookies adicionais — consulte a política específica daquele domínio se aplicável.
11. Crianças e adolescentes
A Plataforma é destinada a pessoas maiores de 18 anos no exercício de atividade profissional ou empresarial. Não coletamos intencionalmente dados de crianças e adolescentes. Caso o Cliente entenda que seus Contatos podem ser menores de idade, é responsabilidade exclusiva do Cliente obter o consentimento dos pais ou responsáveis legais, conforme o art. 14 da LGPD.
12. WhatsApp Business Cloud API — esclarecimentos específicos
A Volpa opera como Solution Provider (Tech Provider) habilitado pela Meta, usando a WhatsApp Business Cloud API em nome dos seus Clientes. Algumas particularidades importantes:
- Janela de atendimento de 24 horas: a Meta permite mensagens livres apenas dentro de 24 horas após a última mensagem do Contato. Fora dessa janela, somente templates de mensagem previamente aprovados pela Meta podem ser enviados. A Plataforma aplica essa regra automaticamente.
- Conteúdo proibido: o Cliente é responsável por cumprir a WhatsApp Business Policy e a WhatsApp Commerce Policy. A Volpa não monitora conteúdo de mensagens, mas se notificada pela Meta sobre violações, pode suspender o serviço.
- Consentimento dos Contatos: é responsabilidade do Cliente garantir que seus Contatos consentiram em receber mensagens via WhatsApp, conforme as políticas da Meta e a legislação aplicável.
- Opt-out: palavras como “pare”, “parar”, “stop”, “descadastrar” são interpretadas pela Plataforma como pedido de opt-out, e o Contato deixa de receber mensagens automáticas. A reativação só ocorre por solicitação explícita do Contato manualmente registrada por um Operador.
- Retenção de mensagens na Meta: a Meta tem políticas próprias de retenção e processamento que estão fora do controle direto da Volpa. Consulte a Política de Privacidade do WhatsApp.
13. Alterações desta Política
Podemos atualizar esta Política periodicamente para refletir mudanças na Plataforma, na legislação ou em práticas de mercado. Alterações materiais serão comunicadas aos Clientes por e-mail e por aviso destacado no painel da Plataforma, com antecedência mínima de 15 dias da entrada em vigor. Alterações de natureza editorial ou de correção entram em vigor na data da publicação.
A versão vigente desta Política, juntamente com seu histórico de alterações, está sempre disponível em volpa.com.br/privacy.
14. Encarregado (DPO) e canal de comunicação
O Encarregado pelo Tratamento de Dados Pessoais (DPO, conforme LGPD art. 41) da Volpa é:
Samuel Terra
E-mail: samuelterra22@gmail.com
Endereço: Rua Mario Carvalho, 112, Apto 101, Jardim Fabiana, Lavras/MG, CEP 37200-357
Para reclamações que não tenham sido resolvidas por meio do nosso canal, você pode contatar diretamente a Autoridade Nacional de Proteção de Dados (ANPD) pelo site gov.br/anpd.