Política de Privacidade

Esta Política de Privacidade descreve como a Respondi ("Respondi", "nós" ou "nossa") coleta, usa, armazena, compartilha e protege dados pessoais dos clientes que contratam a plataforma e dos respectivos usuários finais que enviam mensagens via Instagram Direct ou Messenger para páginas conectadas à Respondi.

Esta política está em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD) e com as políticas da Plataforma Meta. Ao usar a Respondi, você concorda com as práticas descritas aqui.

1. Quem é o controlador dos dados

A Aqua Consultoria em Tecnologia LTDA, mantenedora do produto Respondi, atua como controladora dos dados de cadastro dos clientes (nome, e-mail, plano, créditos) e como operadora dos dados das conversas processadas em nome dos clientes (mensagens trocadas com leads via Meta).

Razão social: Aqua Consultoria em Tecnologia LTDA
Nome fantasia / produto: Respondi
CNPJ: 46.902.742/0001-03
Endereço: R. Athaíde Pereira Brum, 760 — Parque Alvorada, Dourados/MS, CEP 79.823-410
Encarregado de proteção de dados (DPO): [email protected]
Contato geral: [email protected]

2. Quais dados coletamos

2.1. Dados de cadastro do cliente

Nome completo e e-mail informados no cadastro
Senha (armazenada com hash bcrypt — nunca em texto plano)
Plano contratado, saldo de créditos e histórico de transações
Endereço IP e identificadores básicos do navegador (anti-fraude)

2.2. Dados via integração com Meta (Facebook/Instagram)

Quando você conecta uma página Facebook ou conta Instagram Business, a Respondi recebe da Meta os seguintes dados, mediante seu consentimento explícito durante o fluxo OAuth:

Identificador (ID) e nome da página Facebook que você administra
Token de acesso de longa duração para enviar e receber mensagens em nome da página (criptografado em repouso usando Laravel\Crypt)
ID da conta Instagram Business vinculada à página, quando aplicável
Conteúdo das mensagens recebidas via DM, junto com o ID externo do remetente fornecido pela Meta (não temos acesso ao perfil completo do usuário final do Instagram)

2.3. Dados gerados pela operação

Mensagens trocadas entre o lead e a IA, com timestamps e identificador do modelo usado
Dados estruturados extraídos da conversa pela IA (nome informado pelo lead, cidade, interesse, urgência) — sempre derivados do que o lead compartilhou voluntariamente
Pontuação (score) calculada automaticamente sobre cada lead
Logs de uso: requisições à API, contadores de mensagens processadas, tokens de IA consumidos

3. Permissões Meta utilizadas

A Respondi solicita apenas as permissões mínimas necessárias para operar o pré-atendimento. Cada permissão é usada exclusivamente para as finalidades abaixo:

pages_show_list

Listar as páginas Facebook que você administra, para você escolher quais conectar à Respondi durante o onboarding.

pages_manage_metadata

Identificar metadados básicos da página (ID, nome) e gerenciar a assinatura de webhooks de mensagens. Não acessamos nem modificamos posts, fotos ou demais conteúdos da página.

pages_messaging

Receber mensagens enviadas à página via Messenger e responder automaticamente em nome dela, dentro da janela de 24 horas permitida pela Meta.

instagram_basic

Identificar a conta Instagram Business vinculada à página Facebook escolhida.

instagram_manage_messages

Receber DMs enviadas para a conta Instagram Business e responder automaticamente em nome dela.

Não usamos permissões para acessar timeline, comentários, publicações, lista de seguidores, dados pessoais do perfil do administrador ou conversas pessoais fora das DMs da página conectada.

4. Para que usamos os dados

Operar o serviço de pré-atendimento. Receber a mensagem do lead, gerar resposta com IA, enviar resposta de volta pela Meta, calcular score e disparar handoff quando aplicável.
Faturamento e contagem de créditos. Cada resposta gerada pela IA debita créditos da sua conta.
Segurança e prevenção de fraude. Detectar uso indevido, abuso, tentativas de acesso não autorizado.
Suporte ao cliente. Investigar e resolver problemas reportados.
Melhoria contínua. Métricas agregadas e anonimizadas sobre uso da plataforma.

5. Bases legais (LGPD)

Execução de contrato (art. 7º, V) para operação do serviço contratado pelo cliente
Consentimento (art. 7º, I) para conexão com a Meta (fluxo OAuth) e processamento das mensagens
Cumprimento de obrigação legal/regulatória (art. 7º, II) para retenção fiscal e contábil
Legítimo interesse (art. 7º, IX) para segurança, prevenção de fraude e métricas agregadas

6. Com quem compartilhamos

A Respondi não vende, aluga ou cede seus dados a terceiros para fins de marketing. Compartilhamos apenas com operadores estritamente necessários para entregar o serviço:

Provedores de IA (OpenAI, Anthropic): processam prompts e geram respostas. As mensagens enviadas estão sob compromisso contratual de não-uso para treinamento por parte desses provedores.
Meta Platforms: para receber e enviar mensagens via Graph API.
Provedor de hospedagem (DigitalOcean): banco de dados PostgreSQL e cache Redis, ambos com criptografia em trânsito e em repouso.
Provedor de webhook do cliente (CRM, Slack, WhatsApp, n8n, Zapier): apenas se você configurar o handoff webhook, e somente com o conteúdo que você optou por enviar.
Autoridades públicas: mediante ordem judicial ou obrigação legal.

7. Por quanto tempo retemos os dados

Conta ativa: enquanto sua conta estiver ativa, todos os dados ficam disponíveis na plataforma.
Após cancelamento: dados de conversas e leads são removidos em até 30 dias. Dados fiscais e contábeis (transações de créditos) são retidos por 5 anos por obrigação legal.
Backup: backups criptografados podem reter dados por até 90 dias adicionais antes de rotação completa.

8. Como protegemos os dados

Criptografia em trânsito (TLS 1.2+) em toda comunicação cliente-servidor
Tokens Meta criptografados em repouso (AES-256-CBC via Laravel\Crypt)
Senhas com hash bcrypt (12 rounds)
Webhook Meta com verificação de assinatura HMAC SHA-256 timing-safe
Controle de acesso por usuário (multi-tenancy lógico)
Logs de auditoria para operações sensíveis (login, OAuth, mudança de configuração)

9. Seus direitos como titular (LGPD)

Conforme o art. 18 da LGPD, você (cliente da plataforma e usuário final que conversa via DM) pode, a qualquer momento, exercer os seguintes direitos:

Confirmação e acesso: confirmar a existência de tratamento e acessar seus dados
Correção: corrigir dados incompletos, inexatos ou desatualizados
Anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD
Portabilidade dos dados a outro fornecedor
Eliminação dos dados pessoais tratados com seu consentimento
Informação sobre entidades públicas e privadas com as quais compartilhamos dados
Revogação do consentimento, ao desconectar páginas Meta ou cancelar a conta

Para exercer qualquer um desses direitos, envie uma solicitação para [email protected] ou pelas configurações da conta. Respondemos em até 15 dias.

10. Cookies e armazenamento local

A Respondi usa apenas cookies essenciais ao funcionamento do serviço (token de sessão Sanctum, preferências de UI). Não usamos cookies de rastreamento publicitário nem ferramentas de analytics de terceiros.

11. Crianças e adolescentes

A Respondi não é direcionada a menores de 18 anos. Não coletamos deliberadamente dados de menores. Se você acredita que coletamos dados de um menor, entre em contato e removeremos imediatamente.

12. Alterações nesta política

Podemos atualizar esta política periodicamente. Mudanças significativas serão comunicadas por e-mail aos clientes ativos com pelo menos 30 dias de antecedência. A data de "última atualização" no topo desta página é a referência oficial.

13. Contato

Dúvidas, reclamações ou solicitações relacionadas a esta política devem ser endereçadas a:

Encarregado de proteção de dados (DPO): [email protected]
Contato geral: [email protected]
Autoridade fiscalizadora: ANPD — Autoridade Nacional de Proteção de Dados (gov.br/anpd)