Política de Privacidade - ZapBR

Última atualização: 28 de outubro de 2025

1. Introdução

A ZapBR ("nós", "nosso" ou "Plataforma") está comprometida com a proteção da privacidade e dos dados pessoais de seus usuários ("você" ou "Usuário").

Esta Política de Privacidade descreve como coletamos, usamos, armazenamos, compartilhamos e protegemos suas informações pessoais quando você utiliza nossa plataforma de API para WhatsApp e Telegram.

1.1 Base Legal

Esta política está em conformidade com:

• LGPD - Lei Geral de Proteção de Dados (Lei nº 13.709/2018)
• Marco Civil da Internet (Lei nº 12.965/2014)
• Código de Defesa do Consumidor (Lei nº 8.078/1990)

1.2 Controlador de Dados

A ZapBR atua como Controladora dos dados pessoais coletados através da plataforma.

Contato do Encarregado de Dados (DPO):

• Email: dpo@zapbr.com
• Assunto: "Proteção de Dados Pessoais"

2. Dados Coletados

2.1 Dados Fornecidos por Você

2.1.1 No Registro da Conta

Coletamos as seguintes informações quando você cria uma conta:

• Nome completo
• Endereço de email
• CPF (obrigatório para contratação de planos pagos e processamento de pagamentos)
• Senha (armazenada de forma criptografada com bcrypt)
• Data e hora do registro

Base Legal: Execução de contrato (art. 7º, V, LGPD)

2.1.2 Dados de Pagamento

Quando você contrata um plano pago, coletamos:

• CPF (obrigatório)
• Método de pagamento escolhido (PIX, cartão, boleto)
• Dados da transação via Mercado Pago:
  • ID do pagamento
  • Status do pagamento
  • Valor pago
  • Data da transação
  • Método utilizado

Importante: Os dados financeiros sensíveis (número de cartão, dados bancários) são processados diretamente pelo Mercado Pago. A ZapBR não armazena nem tem acesso a estas informações.

Base Legal: Execução de contrato e cumprimento de obrigação legal (art. 7º, V e II, LGPD)

2.2 Dados Coletados Automaticamente

2.2.1 Dados de Dispositivos Conectados

Quando você conecta um dispositivo WhatsApp ou Telegram:

• Número de telefone do dispositivo
• Nome do dispositivo (definido por você)
• Plataforma (WhatsApp ou Telegram)
• Status de conexão (conectado, desconectado, aguardando sincronização)
• Data e hora de conexão
• Sessão criptografada do WhatsApp/Telegram (armazenada localmente no servidor)
• QR Code temporário (gerado dinamicamente e não armazenado permanentemente)

Base Legal: Execução de contrato (art. 7º, V, LGPD)

2.2.2 Dados de Mensagens

⚠️ IMPORTANTE: Armazenamento Opcional com Consentimento

A ZapBR adota uma política de privacidade por padrão (privacy by default) para mensagens:

📊 Metadados (sempre coletados):

Os seguintes dados técnicos são coletados para funcionamento do sistema:

• ID único da mensagem (gerado pelo WhatsApp/Telegram)
• Número do remetente e destinatário
• Direção (entrada ou saída)
• Data e hora da mensagem
• Status de entrega (enviado, entregue, lido, falhou)
• Tipo de mensagem (texto, imagem, vídeo, documento, áudio)

Base Legal: Execução de contrato e legítimo interesse (art. 7º, V e IX, LGPD)

💬 Conteúdo das Mensagens (armazenamento OPCIONAL):

Por padrão, a ZapBR NÃO armazena o conteúdo das mensagens (texto, imagens, vídeos, documentos, áudios).

O armazenamento do conteúdo só ocorre mediante consentimento explícito do usuário através do painel de controle.

Como funciona:

• ✅ Armazenamento desativado (padrão): Apenas metadados são salvos
• ✅ Armazenamento ativado (opt-in): Conteúdo completo é salvo e criptografado

Quando ativado, você pode:

• Visualizar histórico completo de conversas no dashboard
• Processar conteúdo através de regras de bot
• Gerar relatórios e análises de conversas
• Exportar conversas completas

Direitos do usuário:

• ✅ Ativar/desativar armazenamento a qualquer momento
• ✅ Excluir todo o histórico de mensagens armazenadas
• ✅ Exportar mensagens armazenadas (portabilidade)

Segurança:

• Mensagens armazenadas são criptografadas em repouso
• Acesso restrito apenas ao usuário proprietário
• Exclusão permanente quando solicitado

Base Legal (quando ativado): Consentimento (art. 7º, I, LGPD)

2.2.3 Arquivos de Mídia

⚠️ Também sujeito ao opt-in de armazenamento

O armazenamento de arquivos de mídia segue a mesma política de consentimento das mensagens de texto:

📊 Metadados (sempre coletados):

• Nome do arquivo
• Tipo MIME (formato do arquivo)
• Tamanho do arquivo
• Data de upload

📁 Arquivo Original (armazenamento OPCIONAL):

Apenas com armazenamento ativado:

• Arquivo original (armazenado criptografado no MinIO)
• Caminho de armazenamento
• URL presignada (temporária, válida por 1 hora)

Limite de armazenamento: 10GB por dispositivo (quando ativado)

Base Legal:

• Metadados: Execução de contrato (art. 7º, V, LGPD)
• Arquivos: Consentimento (art. 7º, I, LGPD)

2.2.4 Logs de Sistema

Para segurança, auditoria e troubleshooting, registramos:

• Logs de API: Requisições, respostas, erros
• Logs de autenticação: Tentativas de login (sucesso e falhas)
• Logs de webhooks: Entregas, tentativas, status, erros
• Logs de pagamentos: Sincronizações, renovações, falhas
• Logs de notificações: Emails e mensagens enviadas
• Endereço IP (apenas em logs de segurança)
• User-Agent (navegador/dispositivo utilizado)

Retenção de logs: 90 dias

Base Legal: Legítimo interesse e cumprimento de obrigação legal (art. 7º, IX e II, LGPD)

2.2.5 Dados de Uso

Para melhorar nossos serviços, coletamos estatísticas anônimas:

• Número de mensagens enviadas/recebidas (contadores)
• Número de dispositivos conectados
• Uso de funcionalidades (bots, webhooks, API)
• Tempo de utilização da plataforma
• Métricas de performance

Estes dados são agregados e anonimizados e não permitem identificação individual.

Base Legal: Legítimo interesse (art. 7º, IX, LGPD)

2.3 Dados de Terceiros

2.3.1 WhatsApp e Telegram

Ao conectar dispositivos:

• A ZapBR utiliza as bibliotecas Baileys (WhatsApp) e GramJS (Telegram)
• Suas mensagens trafegam pelos servidores do WhatsApp/Telegram
• Estamos sujeitos às políticas de privacidade destas plataformas
• A ZapBR não tem controle sobre como o WhatsApp/Telegram processam seus dados

Recomendação: Leia as políticas de privacidade do WhatsApp e Telegram

2.3.2 Mercado Pago

Para processamento de pagamentos:

• Utilizamos a API do Mercado Pago
• Dados de pagamento são processados diretamente por eles
• A ZapBR recebe apenas confirmações de transação (aprovado/recusado)
• Armazenamos apenas IDs de transação, não dados financeiros sensíveis

Recomendação: Leia a Política de Privacidade do Mercado Pago

3. Como Usamos Seus Dados

3.1 Finalidades do Processamento

Utilizamos seus dados pessoais para:

3.1.1 Prestação de Serviços

• Criar e gerenciar sua conta
• Conectar e manter dispositivos ativos
• Processar e entregar mensagens
• Armazenar e fornecer acesso a mídias
• Executar regras de bot configuradas por você
• Enviar notificações via webhooks

3.1.2 Pagamentos e Cobrança

• Processar pagamentos de assinaturas
• Emitir recibos e notas fiscais (quando aplicável)
• Gerenciar renovações automáticas
• Aplicar cupons de desconto
• Detectar e prevenir fraudes

3.1.3 Comunicação

• Enviar emails transacionais (confirmação de conta, recuperação de senha)
• Notificar sobre vencimento de assinatura
• Avisar sobre renovações de pagamento
• Informar sobre manutenções programadas
• Responder solicitações de suporte

3.1.4 Segurança

• Detectar e prevenir fraudes
• Identificar uso abusivo ou violações dos Termos de Uso
• Proteger a integridade da plataforma
• Cumprir obrigações legais e regulatórias
• Responder a solicitações de autoridades competentes

3.1.5 Melhorias

• Analisar uso da plataforma (dados agregados e anonimizados)
• Desenvolver novos recursos
• Corrigir bugs e problemas técnicos
• Otimizar performance
• Melhorar experiência do usuário

3.2 Marketing

A ZapBR NÃO utiliza seus dados para:

• Enviar emails promocionais não solicitados
• Vender listas de contatos a terceiros
• Compartilhar dados com parceiros para marketing
• Exibir anúncios direcionados

Exceção: Podemos enviar emails sobre novos recursos ou atualizações importantes da plataforma. Você pode solicitar o cancelamento destes emails a qualquer momento.

4. Compartilhamento de Dados

4.1 Quando Compartilhamos

A ZapBR NÃO vende seus dados pessoais.

Compartilhamos seus dados apenas nas seguintes situações:

4.1.1 Provedores de Serviços

Compartilhamos dados com prestadores de serviços essenciais:

Garantia: Todos os provedores são obrigados contratualmente a proteger seus dados e utilizá-los apenas para as finalidades especificadas.

4.1.2 WhatsApp e Telegram

Suas mensagens são transmitidas através dos servidores do WhatsApp e Telegram. Consulte as políticas de privacidade destas plataformas para entender como seus dados são processados por elas.

4.1.3 Obrigações Legais

Podemos divulgar seus dados quando:

• Exigido por lei ou ordem judicial
• Necessário para cumprir processo legal
• Para proteger direitos, propriedade ou segurança da ZapBR, usuários ou público
• Em caso de investigação de fraude ou atividade ilegal

4.1.4 Webhooks Configurados por Você

Se você configurar webhooks para receber notificações em URLs externas:

• Os dados dos eventos serão enviados para as URLs que você especificou
• É sua responsabilidade garantir a segurança dessas URLs
• A ZapBR não se responsabiliza pelo processamento de dados por sistemas de terceiros configurados por você

4.2 Quando NÃO Compartilhamos

A ZapBR NÃO compartilha seus dados com:

• Empresas de marketing ou publicidade
• Redes sociais (exceto WhatsApp e Telegram, quando você conecta dispositivos)
• Corretores de dados
• Qualquer terceiro para fins comerciais

5. Armazenamento e Segurança

5.1 Onde Armazenamos

Seus dados são armazenados em:

• Servidores localizados no Brasil (infraestrutura própria)
• PostgreSQL para dados estruturados (cadastro, mensagens, logs)
• Redis para cache e filas temporárias
• MinIO para armazenamento de arquivos de mídia

Localização dos servidores: [INSERIR CIDADE/ESTADO DO SERVIDOR]

Transferência internacional: Atualmente, não transferimos dados para fora do Brasil. Caso isso mude no futuro, você será notificado.

5.2 Por Quanto Tempo Armazenamos

Após o encerramento da conta:

• Você tem 30 dias para solicitar recuperação de dados
• Após 30 dias, todos os dados são excluídos permanentemente e de forma irreversível
• Dados anonimizados (sem identificação pessoal) podem ser mantidos para estatísticas

5.3 Medidas de Segurança

Implementamos as seguintes medidas técnicas e organizacionais:

5.3.1 Segurança Técnica

• Criptografia em trânsito: SSL/TLS (HTTPS) para todas as comunicações
• Criptografia de senhas: Bcrypt com salt rounds = 10
• Criptografia de sessões: Sessões do WhatsApp/Telegram criptografadas
• Tokens de autenticação: JWT (JSON Web Tokens) com expiração
• HMAC SHA-256: Assinatura de webhooks para validação
• Firewall: Proteção contra acessos não autorizados
• Rate Limiting: Proteção contra ataques de força bruta
• Backups automatizados: Cópias de segurança regulares

5.3.2 Segurança Organizacional

• Acesso restrito: Apenas pessoal autorizado tem acesso aos dados
• Logs de auditoria: Registro de todas as operações sensíveis
• Revisões de segurança: Análises periódicas de vulnerabilidades
• Treinamento: Equipe treinada em boas práticas de segurança
• Política de senhas: Senhas fortes obrigatórias
• Monitoramento: Detecção de atividades suspeitas

5.3.3 Backup e Recuperação

• Backups diários do banco de dados PostgreSQL
• Backups de mídia via MinIO mirror
• Retenção de backups: 7 dias
• Testes de recuperação: Verificação periódica da integridade

Importante: Apesar de todas as medidas de segurança, nenhum sistema é 100% seguro. Recomendamos que você mantenha seus próprios backups de dados críticos.

6. Seus Direitos (LGPD)

Em conformidade com a LGPD, você tem os seguintes direitos sobre seus dados pessoais:

6.1 Direito de Acesso (Art. 18, I e II)

Você pode solicitar:

• Confirmação de que processamos seus dados
• Acesso a todos os dados pessoais que temos sobre você
• Cópia dos seus dados em formato estruturado (CSV ou JSON)

6.2 Direito de Correção (Art. 18, III)

Você pode:

• Corrigir dados incompletos, inexatos ou desatualizados
• Atualizar suas informações cadastrais diretamente no dashboard

6.3 Direito de Eliminação (Art. 18, VI)

Você pode solicitar:

• Exclusão de dados desnecessários ou tratados em desconformidade
• Encerramento da conta com exclusão de todos os dados em 30 dias

Exceções: Podemos reter dados quando:

• Obrigatório por lei (ex: dados fiscais por 5 anos)
• Necessário para exercer direitos em processos judiciais
• Impossível ou implique esforço desproporcional

6.4 Direito de Portabilidade (Art. 18, V)

Você pode solicitar:

• Exportação dos seus dados em formato estruturado
• Transferência para outro fornecedor (quando tecnicamente viável)

Formatos disponíveis: JSON, CSV

6.5 Direito de Informação (Art. 18, VII e VIII)

Você pode solicitar informações sobre:

• Compartilhamento: Com quem compartilhamos seus dados
• Negativa de consentimento: Consequências de não fornecer dados (quando aplicável)

6.6 Direito de Revogação (Art. 18, IX)

Quando o processamento for baseado em consentimento:

• Você pode revogar o consentimento a qualquer momento
• A revogação não afeta o processamento realizado antes da revogação

6.7 Direito de Oposição (Art. 18, § 2º)

Você pode se opor ao processamento de dados quando:

• Realizado com base em legítimo interesse
• Demonstrar motivo legítimo para a oposição

6.8 Como Exercer Seus Direitos

Para exercer qualquer desses direitos:

1. Envie email para: dpo@zapbr.com
2. Assunto: "Solicitação LGPD - [Tipo de Direito]"
3. Informe:
   • Nome completo
   • Email cadastrado
   • CPF (para validação de identidade)
   • Descrição detalhada da solicitação

Prazo de resposta: Até 15 dias úteis

Sem custo: Não cobramos taxas para atender solicitações de direitos LGPD

7. Cookies e Tecnologias Similares

7.1 Uso de Cookies

A ZapBR utiliza cookies e tecnologias similares para:

7.1.1 Cookies Essenciais (Necessários)

• Token de autenticação: JWT armazenado em localStorage
• Sessão: Manter você logado no dashboard
• Preferências: Idioma, configurações de interface

Base Legal: Execução de contrato

Bloqueio: Se você bloquear estes cookies, não poderá usar a plataforma.

7.1.2 Cookies de Performance

• Tempo de carregamento: Métricas de performance
• Erros: Detecção de problemas técnicos

Base Legal: Legítimo interesse

Bloqueio: Você pode bloquear, mas isso pode afetar a qualidade do serviço.

7.2 Cookies de Terceiros

Atualmente, não utilizamos cookies de terceiros para:

• Google Analytics
• Facebook Pixel
• Ferramentas de marketing
• Anúncios

7.3 Gerenciar Cookies

Você pode gerenciar cookies através:

• Navegador: Configurações de privacidade do seu navegador
• Limpeza: Limpar cookies a qualquer momento
• Bloqueio: Bloquear cookies não essenciais

Como limpar cookies:

• Chrome: Configurações > Privacidade > Limpar dados de navegação
• Firefox: Configurações > Privacidade > Gerenciar dados
• Safari: Preferências > Privacidade > Gerenciar dados do site

8. Dados de Menores de Idade

8.1 Idade Mínima

A ZapBR não é destinada a menores de 18 anos.

• Não coletamos intencionalmente dados de menores de 18 anos
• Não verificamos ativamente a idade dos usuários
• Assumimos que todos os usuários são maiores de 18 anos ou têm autorização de responsável legal

8.2 Se Descobrirmos Dados de Menores

Se tomarmos conhecimento de que coletamos dados de menores de 18 anos sem autorização adequada:

• Excluiremos imediatamente os dados
• Notificaremos o responsável legal (se identificável)
• Encerraremos a conta

8.3 Responsabilidade dos Pais/Responsáveis

Se você é pai ou responsável legal:

• Monitore o uso da internet por menores sob sua responsabilidade
• Não permita que menores criem contas sem sua autorização
• Entre em contato se descobrir que um menor criou conta indevidamente

9. Alterações nesta Política

9.1 Direito de Atualização

A ZapBR reserva-se o direito de modificar esta Política de Privacidade a qualquer momento para:

• Adequação a novas leis e regulamentos
• Implementação de novos recursos
• Melhorias de segurança
• Correções e esclarecimentos

9.2 Notificação de Alterações

Alterações significativas serão notificadas através de:

• Email para o endereço cadastrado (15 dias de antecedência)
• Aviso destacado no dashboard
• Atualização da data "Última atualização" no topo deste documento

Alterações menores (correções, esclarecimentos):

• Atualizaremos apenas a data no topo do documento
• Você pode verificar periodicamente este documento

9.3 Histórico de Versões

Mantemos um registro de versões anteriores desta política:

• Versão 1.0 - 28/10/2025: Versão inicial

9.4 Aceitação de Alterações

O uso continuado da plataforma após a notificação constitui aceitação das alterações.

Se você não concordar:

• Pode encerrar sua conta em até 15 dias após a notificação
• Pode solicitar exclusão de dados
• Não haverá penalidades pelo encerramento

10. Transferência Internacional de Dados

10.1 Localização Atual

Atualmente, todos os dados são armazenados em servidores localizados no Brasil.

Não realizamos transferência internacional de dados.

10.2 Transferências Futuras

Caso no futuro seja necessário transferir dados para fora do Brasil:

• Notificaremos você com 30 dias de antecedência
• Garantiremos que o país receptor oferece nível adequado de proteção (conforme LGPD Art. 33)
• Implementaremos cláusulas contratuais padrão ou outras garantias legais
• Daremos opção de encerrar a conta sem penalidades

10.3 Serviços de Terceiros

Alguns serviços de terceiros que utilizamos podem estar localizados fora do Brasil:

• WhatsApp/Telegram: Servidores globais (controlados por Meta/Telegram)
• Mercado Pago: Pode processar dados em outros países da América Latina

Ao usar nossa plataforma, você reconhece que suas mensagens trafegam pelos servidores destas plataformas.

11. Conformidade LGPD

11.1 Base Legal para Processamento

Processamos seus dados pessoais com base nas seguintes bases legais da LGPD:

11.2 Agentes de Tratamento

Controlador:

• ZapBR (empresa)
• Responsável por definir finalidades e meios de tratamento

Operadores:

• Mercado Pago (processamento de pagamentos)
• Provedores de infraestrutura
• Processam dados em nome da ZapBR conforme instruções

11.3 Encarregado de Dados (DPO)

Responsável: Encarregado de Proteção de Dados da ZapBR

Função:

• Aceitar reclamações e comunicações dos titulares
• Prestar esclarecimentos sobre o tratamento
• Orientar funcionários sobre proteção de dados
• Ser canal de comunicação com a ANPD

Contato:

• Email: dpo@zapbr.com
• Assunto: "Proteção de Dados Pessoais"

11.4 Relatório de Impacto (RIPD)

A ZapBR realiza Relatórios de Impacto à Proteção de Dados Pessoais (RIPD) quando:

• Implementamos novos recursos que processam dados sensíveis
• Mudamos significativamente práticas de processamento
• Solicitado pela ANPD

11.5 Incidentes de Segurança

Em caso de incidente de segurança que possa acarretar risco aos titulares:

Notificação à ANPD:

• Prazo: Tempestivo (conforme gravidade)
• Conteúdo: Descrição do incidente, dados afetados, medidas tomadas

Notificação aos Titulares:

• Prazo: Em prazo razoável
• Meio: Email cadastrado
• Conteúdo: Natureza do incidente, dados afetados, medidas que você deve tomar

11.6 Término do Tratamento

O tratamento de dados pessoais será encerrado quando:

• Finalidade alcançada ou dados desnecessários
• Fim do período de tratamento
• Revogação de consentimento (quando aplicável)
• Determinação da ANPD

Exceções (continuamos processando):

• Cumprimento de obrigação legal
• Estudo por órgão de pesquisa (anonimizado)
• Transferência a terceiro (com salvaguardas)
• Uso exclusivo da ZapBR (anonimizado)

12. Perguntas e Reclamações

12.1 Dúvidas sobre Privacidade

Para esclarecer dúvidas sobre esta Política de Privacidade ou sobre o tratamento de seus dados:

Email: dpo@zapbr.com Assunto: "Dúvida sobre Privacidade"

Prazo de resposta: 15 dias úteis

12.2 Reclamações

Se você acredita que seus direitos de privacidade foram violados:

1. Entre em contato conosco primeiro:

• Email: dpo@zapbr.com
• Tentaremos resolver a questão amigavelmente

2. Autoridade Nacional de Proteção de Dados (ANPD):

Se não ficar satisfeito com nossa resposta, você pode reclamar à ANPD:

• Website: https://www.gov.br/anpd/
• Email: contato@anpd.gov.br
• Telefone: [telefone da ANPD quando disponível]

12.3 Atendimento

Horário de atendimento:

• Segunda a sexta-feira: 9h às 18h (horário de Brasília)
• Emails recebidos fora do horário: Respondidos no próximo dia útil

Canais de contato:

• Email geral: suporte@zapbr.com
• Email DPO: dpo@zapbr.com
• Website: https://zapbr.com
• Dashboard: https://api.zapbr.com

13. Glossário

Para facilitar o entendimento desta política:

• LGPD: Lei Geral de Proteção de Dados (Lei nº 13.709/2018)
• Dados Pessoais: Informações relacionadas a pessoa natural identificada ou identificável
• Titular: Pessoa natural a quem se referem os dados pessoais
• Controlador: Quem decide sobre o tratamento de dados (ZapBR)
• Operador: Quem processa dados em nome do controlador
• Encarregado (DPO): Pessoa responsável pela proteção de dados na empresa
• Tratamento: Qualquer operação com dados (coleta, armazenamento, uso, compartilhamento, exclusão)
• Consentimento: Autorização livre, informada e inequívoca do titular
• Anonimização: Processo que torna impossível identificar o titular
• Cookies: Pequenos arquivos armazenados no navegador
• ANPD: Autoridade Nacional de Proteção de Dados
• API: Interface de Programação de Aplicações
• JWT: JSON Web Token (token de autenticação)
• HMAC: Hash-based Message Authentication Code (assinatura de segurança)
• SSL/TLS: Secure Sockets Layer / Transport Layer Security (criptografia)
• Webhook: Notificação HTTP enviada automaticamente quando um evento ocorre

14. Disposições Finais

14.1 Idioma

Esta Política de Privacidade está disponível em Português (Brasil).

Em caso de tradução para outros idiomas, a versão em português prevalecerá em caso de divergências.

14.2 Aceitação

Ao criar uma conta e utilizar a ZapBR, você declara:

• Ter lido e compreendido esta Política de Privacidade
• Concordar com as práticas de coleta, uso e compartilhamento de dados descritas
• Ter mais de 18 anos ou autorização de responsável legal
• Estar ciente de seus direitos sob a LGPD

14.3 Integração com Termos de Uso

Esta Política de Privacidade complementa os Termos de Uso da ZapBR.

Em caso de conflito entre os documentos, prevalecerá a disposição mais favorável à proteção dos dados pessoais.

14.4 Vigência

Esta Política de Privacidade entra em vigor em 28 de outubro de 2025.

Versões anteriores estão disponíveis mediante solicitação ao DPO.

Última atualização: 28 de outubro de 2025 Versão: 1.0

Contato do Encarregado de Dados (DPO): Email: dpo@zapbr.com

ZapBR - Proteção de Dados e Privacidade em Primeiro Lugar