A privacidade dos seus dados é compromisso nosso.
Esta política descreve, de forma objetiva e completa, como o Atendente24h coleta, utiliza, armazena, compartilha e protege os dados pessoais que você ou seus clientes nos confiam. Está em total conformidade com a Lei Geral de Proteção de Dados (Lei 13.709/2018) e com as melhores práticas internacionais de privacidade.
1.Quem somos (Controlador)
O serviço Atendente24h é operado pela upar.io, sediada no Brasil, e atua como Controladora dos dados pessoais coletados em relação aos contratantes (clientes assinantes do serviço) e como Operadora dos dados que o contratante processa em suas próprias conversas de WhatsApp.
- Razão social: upar.io
- Marca: Atendente24h
- Site: atendente24h.com
- Contato oficial: contato@atendente24h.com
2.Definições importantes
Para facilitar a leitura, usamos os seguintes termos ao longo do texto, com base na LGPD:
- Dado pessoal: qualquer informação relacionada a uma pessoa natural identificada ou identificável.
- Tratamento: qualquer operação realizada com dados pessoais, como coleta, uso, acesso, armazenamento, compartilhamento, eliminação.
- Titular: a pessoa natural a quem se referem os dados pessoais.
- Controlador: a quem competem as decisões sobre o tratamento dos dados.
- Operador: quem realiza o tratamento em nome do Controlador.
- Encarregado (DPO): pessoa indicada pelo Controlador para atuar como canal de comunicação entre titulares, ANPD e a empresa.
- Contratante: a pessoa física ou jurídica que assina o serviço Atendente24h.
- Cliente final: a pessoa que conversa com o Contratante via WhatsApp através do atendente automatizado.
3.Quais dados coletamos
Coletamos apenas o estritamente necessário para prestar o serviço com qualidade. Categorizamos os dados em quatro grupos:
3.1. Dados do Contratante (cadastro e operação)
- Nome completo, e-mail, telefone com DDD, CNPJ ou CPF
- Nome fantasia, segmento de atuação, endereço comercial
- Configurações do atendente (nome, personalidade, horário de atendimento, FAQ, regras de escalada)
- Anexos de cardápio, tabelas, fotos de produtos e materiais que você nos enviar para treinar o atendente
- Logs técnicos de uso do painel (data e hora de acesso, IP, navegador)
3.2. Dados de pagamento
- Identificação fiscal e dados de cobrança
- Histórico de transações e status de pagamento
Importante: dados completos de cartão de crédito (número, CVV) são processados diretamente pelo gateway de pagamento (Kiwify) e nunca trafegam ou ficam armazenados em nossos servidores.
3.3. Dados das conversas (clientes finais)
Quando o seu atendente conversa com um cliente final via WhatsApp, processamos:
- Número de telefone do cliente final
- Conteúdo das mensagens enviadas e recebidas (texto, áudio transcrito, imagens analisadas, links abertos)
- Eventuais agendamentos detectados, status de pedidos consultados em integrações que você habilitar
- Metadados da conversa: data, hora, status de leitura, erros de entrega
3.4. Dados técnicos automáticos
- Endereço IP, tipo de dispositivo e navegador usados para acessar o painel
- Cookies estritamente essenciais para autenticação na sua conta
- Logs de aplicação para diagnóstico de erro e segurança
4.Bases legais para o tratamento
Cada operação de tratamento que realizamos tem uma base legal explícita, conforme o artigo 7º da LGPD:
| Finalidade | Base legal |
|---|---|
| Execução do contrato (prestação do serviço) | Art. 7º, V |
| Cobrança e cumprimento de obrigações fiscais | Art. 7º, II e VI |
| Comunicações operacionais (avisos do serviço, manutenção) | Art. 7º, V |
| Comunicações de marketing e novidades | Art. 7º, IX (legítimo interesse, com opt-out fácil) |
| Atendimento a requisições de autoridades públicas | Art. 7º, II |
| Tratamento das conversas em nome do Contratante | Art. 7º, V (em relação ao Contratante) e demais bases que o Contratante adotar para tratar os dados de seus clientes finais |
5.Como usamos seus dados
- Operar e manter o serviço de atendimento automatizado contratado
- Processar pagamentos, emitir cobranças e nota fiscal quando aplicável
- Treinar o seu atendente personalizado com base nas informações que você fornece
- Detectar e prevenir fraude, abuso, ameaças à segurança e à integridade da plataforma
- Melhorar a qualidade do serviço por meio de análises agregadas e anonimizadas
- Comunicar mudanças relevantes do produto, suporte técnico e cobranças
- Cumprir obrigações legais e responder a requisições legítimas de autoridades
O que não fazemos com seus dados:
- Não vendemos, alugamos ou cedemos seus dados a terceiros para fins comerciais
- Não usamos o conteúdo das suas conversas para treinar modelos de IA de terceiros
- Não compartilhamos seus dados com anunciantes, redes sociais ou agências de marketing
- Não fazemos perfilamento comportamental dos seus clientes finais para fins publicitários
6.Compartilhamento com terceiros
Compartilhamos dados pessoais apenas com fornecedores estritamente necessários para a operação do serviço. Cada um deles está sujeito a contratos com cláusulas de proteção de dados compatíveis com a LGPD. Listamos abaixo nossos subprocessadores principais e a finalidade de cada um:
| Subprocessador | Finalidade | Dados acessados |
|---|---|---|
| Anthropic (modelo Claude) | Geração de respostas inteligentes do atendente | Mensagens da conversa em curso, prompt do atendente |
| Vultr | Hospedagem da infraestrutura (servidores, banco de dados, sessões WhatsApp) | Todos os dados de operação, criptografados em repouso |
| WhatsApp / Meta | Plataforma de mensageria utilizada pelo serviço | Mensagens entregues à plataforma WhatsApp pelo próprio Contratante |
| Kiwify | Processamento de pagamentos e emissão de cobranças | Dados de cobrança, identificação fiscal |
| Cloudflare | Proteção contra ataques, CDN, criptografia em trânsito | Metadados de tráfego, IP de origem |
| GitHub Pages | Hospedagem de páginas estáticas do site institucional | Apenas conteúdo público do site |
| OpenAI / Groq | Transcrição de áudios recebidos pelos clientes finais (quando habilitado) | Apenas o conteúdo do áudio em questão, descartado após transcrição |
| Google Cloud (Calendar, Meet) | Agendamento e criação de reuniões quando o Contratante habilitar a integração | Apenas dados do evento sendo agendado |
Também compartilhamos dados quando há obrigação legal, decisão judicial ou requisição válida de autoridade pública competente. Nessas situações, sempre que legalmente possível, comunicaremos o titular antes do compartilhamento.
7.Acesso interno da equipe
Apenas profissionais autorizados, vinculados por acordo de confidencialidade (NDA) e treinados em proteção de dados, têm acesso a partes específicas do sistema. Aplicamos os seguintes controles:
- Princípio do menor privilégio: cada pessoa do time só tem acesso ao que é necessário para sua função
- Acesso técnico restrito: no dia a dia, a equipe trabalha com logs de erro, configurações do atendente e métricas agregadas. O conteúdo de conversas pode ser acessado por profissionais autorizados em duas situações: para diagnosticar um problema relatado pelo Contratante e para corrigir falhas, aprimorar e evoluir a plataforma. Em ambos os casos, o acesso é limitado ao estritamente necessário e, sempre que possível, realizado com dados agregados ou anonimizados
- Finalidade limitada: o conteúdo das conversas nunca é utilizado para compartilhar, vender ou perfilar dados, nem para treinar modelos de inteligência artificial de terceiros. Ele serve apenas para operar, dar suporte e melhorar o serviço contratado
- Base legal do acesso: o acesso fundamenta-se na execução do contrato (art. 7º, V da LGPD) e no legítimo interesse de assegurar a segurança, a qualidade e a melhoria contínua da plataforma (art. 7º, IX), sempre observados os direitos do titular
- Auditoria de acessos: todo acesso administrativo a dados de cliente é registrado em log imutável
- Revogação imediata: ao desligamento de qualquer membro do time, todos os acessos são revogados em até 24 horas
- Sem terceirização: apenas pessoas vinculadas formalmente à upar.io têm credenciais. Não terceirizamos suporte ou operação para empresas externas
8.Por quanto tempo guardamos os dados
| Categoria | Prazo de retenção |
|---|---|
| Dados de cadastro do Contratante | Enquanto a conta estiver ativa + 5 anos após cancelamento (obrigação fiscal) |
| Configurações e prompt do atendente | Enquanto a conta estiver ativa. Excluídos em até 90 dias após cancelamento |
| Histórico de conversas | Enquanto a conta estiver ativa. Excluídos em até 90 dias após cancelamento, salvo solicitação anterior do Contratante |
| Logs técnicos de aplicação | Até 180 dias, depois rotacionados ou anonimizados |
| Logs de cobrança e fiscais | 5 anos após emissão (obrigação legal) |
| Backups de segurança | Até 30 dias, depois sobrescritos |
Após o término dos prazos, os dados são eliminados de forma irreversível, salvo quando há obrigação legal expressa de conservação.
9.Segurança dos dados
Adotamos medidas técnicas e administrativas para proteger seus dados contra acessos não autorizados, perda, alteração e divulgação indevida:
- Criptografia em trânsito: todo o tráfego entre você, o painel e os servidores usa HTTPS com TLS 1.2 ou superior
- Criptografia em repouso: dados sensíveis e backups são criptografados nos discos do servidor
- Autenticação: acesso ao painel exige confirmação de e-mail e telefone cadastrados, com sessões de duração limitada
- Isolamento por cliente: cada Contratante opera em um espaço isolado, com sessão de WhatsApp e configurações próprias, sem cruzamento de dados entre clientes
- Monitoramento contínuo: ferramentas automáticas detectam comportamento anômalo e tentativas de invasão
- Resposta a incidentes: em caso de incidente que possa gerar risco aos titulares, notificamos a ANPD e os afetados em prazo razoável, conforme exigido pela LGPD
- Atualização contínua: infraestrutura, dependências e bibliotecas são atualizadas regularmente para mitigar vulnerabilidades conhecidas
10.Seus direitos como titular
A LGPD garante a você uma série de direitos sobre seus dados. Você pode exercer qualquer um deles a qualquer momento, gratuitamente, escrevendo para contato@atendente24h.com:
- Confirmação de tratamento: saber se tratamos algum dado seu
- Acesso: obter cópia dos dados que tratamos sobre você
- Correção: atualizar dados incompletos, inexatos ou desatualizados
- Anonimização, bloqueio ou eliminação: de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD
- Portabilidade: receber seus dados em formato estruturado e interoperável
- Eliminação: solicitar a exclusão dos dados tratados com base no seu consentimento, observadas as exceções legais
- Informação sobre compartilhamentos: saber com quais entidades públicas e privadas compartilhamos seus dados
- Informação sobre a possibilidade de não consentir: conhecer as consequências da negativa de consentimento
- Revogação do consentimento: retirar a qualquer momento o consentimento dado
- Revisão de decisões automatizadas: solicitar revisão de decisões tomadas exclusivamente por sistema automatizado que afetem seus interesses
Responderemos sua solicitação no prazo legal de até 15 dias. Caso julgue necessário, você também pode peticionar diretamente à ANPD (Autoridade Nacional de Proteção de Dados) por meio do site gov.br/anpd.
11.Cookies e tecnologias semelhantes
Utilizamos apenas cookies estritamente necessários para o funcionamento do painel administrativo e do dashboard do cliente. Não utilizamos cookies de rastreamento publicitário, perfilamento comportamental ou retargeting.
- Cookies de sessão: mantêm você logado durante a navegação no painel
- Cookies de preferência: armazenam ajustes locais (modo escuro, idioma)
Você pode desativar cookies nas configurações do seu navegador, mas isso pode comprometer o funcionamento do painel.
12.Transferência internacional de dados
Alguns subprocessadores listados na seção 6 podem armazenar e processar dados em servidores localizados fora do Brasil. Quando isso ocorre, garantimos que a transferência atenda aos requisitos do artigo 33 da LGPD, exigindo dos parceiros nível de proteção compatível com a legislação brasileira (cláusulas contratuais padrão, certificações reconhecidas, ou país com nível adequado de proteção).
13.Crianças e adolescentes
O Atendente24h não é destinado a menores de 18 anos. Não coletamos intencionalmente dados de crianças e adolescentes. Caso tomemos conhecimento de que coletamos dados de menor sem consentimento específico de pelo menos um dos pais ou responsável legal, eliminaremos as informações imediatamente.
14.Alterações desta Política
Esta Política pode ser atualizada periodicamente para refletir mudanças no serviço, na legislação aplicável ou em melhores práticas de privacidade. Quando fizermos alterações materiais, comunicaremos os Contratantes ativos com antecedência razoável pelo e-mail cadastrado e disponibilizaremos a versão revisada com aviso de modificação no topo da página.
Histórico de versões
| Versão | Data | Principais mudanças |
|---|---|---|
| 2.0 | 16/05/2026 | Reescrita completa, 15 seções LGPD detalhadas. Adição de tabela de subprocessadores (Anthropic, Vultr, WhatsApp/Meta, Kiwify, Cloudflare, GitHub Pages, OpenAI/Groq, Google Cloud). Compromissos explícitos sobre acesso interno parcial auditado. Tabela de retenção por categoria. 10 direitos do titular conforme art. 18 LGPD. |
| 1.0 | 28/03/2026 | Versão inicial. Estrutura básica em 8 seções (dados coletados, uso, compartilhamento, retenção, direitos, segurança, cookies, contato). |
Versões anteriores podem ser consultadas mediante solicitação ao DPO.
15.Contato e Encarregado (DPO)
Para qualquer dúvida, solicitação ou exercício dos direitos previstos nesta Política, fale com o nosso Encarregado pelo Tratamento de Dados Pessoais: