Política de Privacidade
Última atualização: março de 2026 · Em conformidade com a LGPD (Lei nº 13.709/2018)
1. Introdução
A NooviAI está comprometida com a proteção da privacidade e dos dados pessoais de seus usuários. Esta Política de Privacidade descreve como coletamos, usamos, armazenamos e protegemos suas informações ao utilizar nossos serviços: NooviChat, NooviTrack, NooviHub e NooviFlow.
Esta política está em conformidade com a Lei Geral de Proteção de Dados Pessoais (LGPD) — Lei nº 13.709/2018 e com as regulamentações da Autoridade Nacional de Proteção de Dados (ANPD).
2. Encarregado de Proteção de Dados — DPO (Art. 41 LGPD)
Conforme exigido pelo Art. 41 da LGPD, a NooviAI designou um Encarregado de Proteção de Dados (DPO — Data Protection Officer) responsável por:
- Aceitar reclamações e comunicações dos titulares sobre o tratamento de dados pessoais;
- Prestar esclarecimentos e adotar providências relacionadas a incidentes;
- Receber comunicações da ANPD e adotar as medidas cabíveis;
- Orientar os funcionários da empresa sobre práticas de proteção de dados.
Contato do DPO
- E-mail DPO: privacidade@nooviai.com
- Prazo de resposta: até 15 dias úteis (Art. 18 LGPD)
- Empresa: NooviAI · CNPJ: a ser informado
3. Dados que Coletamos
Coletamos os seguintes tipos de dados pessoais:
3.1 Dados de Cadastro
- Nome completo e nome da empresa
- E-mail e telefone de contato
- CNPJ (quando aplicável)
- Endereço comercial
3.2 Dados de Uso dos Serviços
- NooviChat: Histórico de conversas, configurações de chatbot, integrações com WhatsApp Business API (META), incluindo número de telefone, nome do contato e conteúdo de mensagens.
- NooviTrack: Dados de leads, histórico de prospecção, automações configuradas, dados de fontes de tráfego e UTMs.
- NooviHub: Dados de perfil, histórico de assinaturas, dados de pagamento processados via AbacatePay.
- NooviFlow: Dados financeiros de empresas clientes, incluindo notas fiscais, receitas e despesas.
3.3 Dados Técnicos
- Endereço IP e localização aproximada
- Tipo de dispositivo e navegador
- Cookies e identificadores de sessão
- Logs de acesso e atividades
3.4 Rastreamento de Links (Shlink)
Utilizamos o Shlink, serviço próprio de encurtamento e rastreamento de URLs, hospedado em infraestrutura NooviAI. Ao clicar em links encurtados enviados via NooviChat ou em campanhas NooviTrack, coletamos:
- Endereço IP (anonimizado após 30 dias)
- Data, hora e quantidade de cliques
- País e dispositivo de acesso (inferidos do User-Agent)
- Parâmetros UTM presentes na URL de destino
Base legal: Legítimo interesse do controlador (Art. 7º, IX LGPD) para fins de análise de desempenho de campanhas. Você pode solicitar a exclusão desses dados via privacidade@nooviai.com.
4. Bases Legais por Atividade de Tratamento (Art. 7º LGPD)
Conforme exigido pelo Art. 7º da LGPD, toda atividade de tratamento de dados pessoais realizada pela NooviAI possui uma base legal específica:
| Atividade de Tratamento | Dados Envolvidos | Base Legal (Art. 7º LGPD) |
|---|---|---|
| Prestação dos serviços contratados | Dados cadastrais, conversas, leads | Execução de contrato (Art. 7º, V) |
| Processamento de pagamentos | Dados de cobrança, histórico financeiro | Execução de contrato (Art. 7º, V) |
| Comunicações sobre a conta | E-mail, telefone | Execução de contrato (Art. 7º, V) |
| Envio de comunicações de marketing | E-mail, telefone, preferências | Consentimento (Art. 7º, I) |
| Treino e melhoria de modelos de IA | Conversas anonimizadas | Consentimento (Art. 7º, I) |
| Prevenção de fraudes e segurança | IP, logs de acesso, comportamento | Legítimo interesse (Art. 7º, IX) |
| Análise de uso e melhoria do produto | Logs de uso, métricas anonimizadas | Legítimo interesse (Art. 7º, IX) |
| Rastreamento de links (Shlink) | IP, cliques, UTMs | Legítimo interesse (Art. 7º, IX) |
| Obrigações fiscais e contábeis | Dados financeiros, NF | Obrigação legal (Art. 7º, II) |
| Resposta a requisições judiciais | Conforme determinado | Obrigação legal (Art. 7º, II) |
| Mensagens via WhatsApp Business | Número, nome, conteúdo da mensagem | Execução de contrato + Consentimento (Art. 7º, I e V) |
* O consentimento pode ser revogado a qualquer momento sem prejudicar a licitude do tratamento realizado anteriormente (Art. 8º, §5º LGPD).
5. Dados Processados via WhatsApp
O serviço NooviChat integra-se com a WhatsApp Business API, fornecida pela Meta Platforms Inc. (EUA). Ao utilizar este canal, os seguintes dados são processados:
- Número de telefone do remetente e destinatário
- Nome de perfil do WhatsApp (quando disponível)
- Conteúdo de mensagens de texto, áudio, imagem, vídeo e documentos
- Metadados da mensagem (horário, status de entrega/leitura)
- Dados de mídia armazenados em nosso servidor MinIO (S3-compatível)
6. Sub-processadores e Compartilhamento
Seus dados nunca são vendidos. Compartilhamos apenas com os seguintes sub-processadores necessários para a operação dos serviços:
6.1 Integrações de Funcionalidade
| Sub-processador | País | Finalidade |
|---|---|---|
| Meta Platforms Inc. | EUA | WhatsApp Business API, Facebook Ads, Instagram Ads |
| Google LLC | EUA | Google Ads, Google Analytics, Google Cloud (quando aplicável) |
| Microsoft Corporation | EUA | Azure OpenAI Service (modelos de linguagem para IA) |
| Anthropic PBC | EUA | Claude AI (processamento de linguagem natural) |
| AbacatePay | Brasil | Processamento de pagamentos PIX e cobranças |
6.2 Infraestrutura Técnica
| Componente | Localização | Dados Armazenados |
|---|---|---|
| Servidor Dedicado (Brasil) | Brasil | Todos os dados primários (PostgreSQL, Redis, MinIO) |
| PostgreSQL + pgvector | Brasil | Dados relacionais, vetores de embeddings |
| Redis | Brasil | Sessões, filas de mensagens (volátil) |
| MinIO (S3-compatível) | Brasil | Arquivos de mídia (imagens, áudio, documentos) |
| Shlink (links encurtados) | Brasil | Cliques, IPs anonimizados, UTMs |
7. Transferência Internacional de Dados (Arts. 33–36 LGPD)
Alguns dados pessoais são transferidos para servidores localizados fora do Brasil, especificamente ao utilizar APIs de terceiros (Meta, Google, Microsoft/Azure, Anthropic). Conforme os Arts. 33 a 36 da LGPD, adotamos as seguintes salvaguardas:
Meta Platforms Inc. (Facebook/WhatsApp/Instagram) — EUA
- Transferência baseada em adequação de proteção ao nível LGPD (Art. 33, I)
- Meta é signatária do EU-US Data Privacy Framework (equivalente a cláusulas-padrão)
- Dados de mensagens e contatos do WhatsApp são transferidos para processar a entrega da mensagem
- Política de privacidade da Meta: facebook.com/privacy/policy
Google LLC — EUA
- Transferência baseada em cláusulas contratuais-padrão (Art. 33, II LGPD)
- Google é certificada no EU-US Data Privacy Framework
- Dados transferidos: métricas de campanhas Google Ads, dados de analytics
- Política do Google: policies.google.com/privacy
Microsoft Corporation (Azure OpenAI) — EUA
- Transferência baseada em cláusulas contratuais-padrão (Art. 33, II LGPD)
- Microsoft é certificada no EU-US Data Privacy Framework
- Dados transferidos: trechos de conversas para processamento de IA (sem identificadores diretos)
- Microsoft compromete-se a não usar dados do cliente para treinar modelos base
- Política do Azure: privacy.microsoft.com
8. Armazenamento, Segurança e Retenção (Art. 16 LGPD)
8.1 Medidas de Segurança
- Criptografia de dados em trânsito (TLS 1.2+) e em repouso (AES-256)
- Controle de acesso baseado em funções (RBAC)
- Monitoramento contínuo e detecção de anomalias
- Backups diários com retenção de 30 dias e testes periódicos de restauração
- Infraestrutura em Docker Swarm com isolamento de containers por serviço
- Proxy reverso Traefik com certificados TLS automáticos (Let's Encrypt)
8.2 Períodos de Retenção (Art. 16 LGPD)
Conforme o Art. 16 da LGPD, dados pessoais são eliminados após cumprimento da finalidade ou término do tratamento, exceto nas hipóteses previstas em lei:
| Categoria de Dados | Período de Retenção | Fundamento Legal |
|---|---|---|
| Dados de conta e perfil | Ativo + 5 anos pós-encerramento | Obrigações fiscais (Lei Comercial, CTN) |
| Histórico de conversas (NooviChat) | 2 anos (configurável pelo cliente) | Histórico de atendimento / configuração contratual |
| Dados de leads (NooviTrack) | 2 anos (configurável pelo cliente) | Execução do serviço contratado |
| Dados financeiros (NooviFlow) | 5 anos | Obrigação fiscal (Lei nº 9.249/1995) |
| Logs de acesso | 6 meses | Marco Civil da Internet (Art. 15) |
| Dados de pagamento | 5 anos | Obrigação fiscal (Lei nº 9.249/1995) |
| Mídia enviada via WhatsApp (MinIO) | 1 ano (configurável) | Execução do serviço / configuração contratual |
| Dados de rastreamento Shlink | 2 anos | Análise de desempenho / legítimo interesse |
| Cookies de sessão (Redis) | 24 horas (sessão) | Funcionalidade essencial |
9. Notificação de Incidentes de Segurança (Art. 48 LGPD)
Conforme o Art. 48 da LGPD, em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares, a NooviAI:
- Comunicará a ANPD (Autoridade Nacional de Proteção de Dados) em até 72 horas após a confirmação do incidente;
- Notificará os titulares afetados em prazo razoável, com informações sobre a natureza dos dados afetados, riscos e medidas adotadas;
- Manterá registro documentado do incidente, das medidas de contenção e das ações corretivas implementadas;
- Avaliará a necessidade de comunicação com base na criticidade dos dados expostos (dados sensíveis, financeiros ou credenciais de acesso têm comunicação prioritária).
10. Seus Direitos (Art. 18 LGPD)
De acordo com o Art. 18 da LGPD, você tem direito a:
- Confirmação e Acesso (Art. 18, I e II): Saber se seus dados são tratados e solicitar cópia.
- Correção (Art. 18, III): Atualizar dados incorretos, incompletos ou desatualizados.
- Anonimização, Bloqueio ou Eliminação (Art. 18, IV): Solicitar tratamento de dados desnecessários ou excessivos.
- Portabilidade (Art. 18, V): Receber seus dados em formato estruturado e interoperável.
- Eliminação (Art. 18, VI): Solicitar exclusão de dados tratados com consentimento.
- Informação (Art. 18, VII): Conhecer sobre compartilhamento com terceiros e autoridades.
- Revogação do Consentimento (Art. 18, IX): Retirar consentimentos previamente concedidos.
- Oposição (Art. 18, §2º): Opor-se a tratamentos baseados em legítimo interesse.
Para exercer seus direitos, entre em contato com o DPO: privacidade@nooviai.com. Prazo de resposta: até 15 dias úteis.
Caso sua solicitação não seja atendida satisfatoriamente, você pode peticionar à ANPD (Autoridade Nacional de Proteção de Dados) em gov.br/anpd.
11. Cookies e Tecnologias Similares
Utilizamos cookies para:
- Cookies Essenciais: Necessários para o funcionamento do site (autenticação, sessão). Base legal: execução de contrato.
- Cookies de Análise: Entendem como você usa nossos serviços (dados anonimizados). Base legal: legítimo interesse.
- Cookies de Marketing: Personalizam anúncios e medem conversões. Base legal: consentimento.
Você pode gerenciar suas preferências de cookies através das configurações do seu navegador ou do banner de consentimento ao primeiro acesso.
12. Dados de Inteligência Artificial
Nossos serviços utilizam modelos de IA (OpenAI, Claude/Anthropic, modelos próprios) para processar conversas e automatizar interações. Os dados processados são utilizados para melhorar a precisão e qualidade das respostas. Não utilizamos dados de clientes específicos para treinar modelos que serão usados por outros clientes, garantindo a privacidade e confidencialidade das suas informações. O uso de IA para processamento de dados pessoais está sujeito a consentimento específico (Art. 7º, I LGPD).
13. Menores de Idade (Art. 14 LGPD)
Nossos serviços são destinados a empresas e profissionais maiores de 18 anos. Não coletamos intencionalmente dados de menores de idade. Caso tomemos conhecimento de que dados de um menor foram coletados, tomaremos medidas imediatas para excluí-los, conforme determina o Art. 14 da LGPD.
14. Alterações nesta Política
Podemos atualizar esta Política de Privacidade periodicamente. Notificaremos você sobre alterações significativas por e-mail ou através de um aviso em nosso site com antecedência mínima de 10 dias. Recomendamos revisar esta página regularmente. O uso continuado dos serviços após as alterações constitui aceitação da nova política.
15. Contato e DPO
Para dúvidas sobre privacidade, para exercer seus direitos LGPD ou reportar incidentes:
Encarregado de Proteção de Dados (DPO) — Art. 41 LGPD
E-mail DPO: privacidade@nooviai.com
Prazo de resposta: até 15 dias úteis
E-mail Geral: contato@nooviai.com
WhatsApp: +55 (11) 94034-4962
ANPD — Autoridade Nacional de Proteção de Dados: gov.br/anpd