Política de Privacidade - ZapBR

Última atualização: 12 de março de 2026

1. Introdução

A ZapBR ("nós", "nosso" ou "Plataforma") está comprometida com a proteção da privacidade e dos dados pessoais de seus usuários ("você" ou "Usuário").

Esta Política de Privacidade descreve como coletamos, usamos, armazenamos, compartilhamos e protegemos suas informações pessoais quando você utiliza nossa plataforma de API para WhatsApp, Telegram, Instagram Direct Messages e Facebook Messenger.

1.1 Base Legal

Esta política está em conformidade com:

• LGPD — Lei Geral de Proteção de Dados (Lei nº 13.709/2018)
• Marco Civil da Internet — Lei nº 12.965/2014
• Código de Defesa do Consumidor — Lei nº 8.078/1990

1.2 Controlador de Dados

A ZapBR atua como Controladora dos dados pessoais coletados através da plataforma.

Contato do Encarregado de Dados (DPO):

• Email: dpo@zapbr.com
• Assunto: "Proteção de Dados Pessoais"

2. Dados Coletados

2.1 Dados Fornecidos por Você

2.1.1 No Registro da Conta

Coletamos as seguintes informações quando você cria uma conta:

• Nome completo
• Endereço de email
• CPF (obrigatório para contratação de planos pagos e processamento de pagamentos)
• Senha (armazenada de forma criptografada com bcrypt)
• Data e hora do registro

Base Legal: Execução de contrato (art. 7º, V, LGPD)

2.1.2 Dados de Pagamento

Quando você contrata um plano pago, coletamos:

• CPF (obrigatório)
• Método de pagamento escolhido (PIX, cartão, boleto)
• Dados da transação via Mercado Pago:
  • ID do pagamento
  • Status do pagamento
  • Valor pago
  • Data da transação
  • Método utilizado

Importante: Os dados financeiros sensíveis (número de cartão, dados bancários) são processados diretamente pelo Mercado Pago. A ZapBR não armazena nem tem acesso a estas informações.

Base Legal: Execução de contrato e cumprimento de obrigação legal (art. 7º, V e II, LGPD)

2.2 Dados Coletados via Plataformas Meta (Instagram e Facebook)

Quando você conecta sua conta Instagram Business ou Página do Facebook ao nosso CRM, coletamos dados através da Meta Graph API em conformidade com a Política da Plataforma Meta e os Termos de Serviço da Meta.

2.2.1 Dados de Perfil do Instagram e Facebook

Ao autorizar a integração via OAuth, coletamos:

• Nome de usuário do Instagram (@username)
• Nome de exibição do perfil
• Foto de perfil (URL pública)
• ID da conta Instagram Business
• Nome e ID da Página do Facebook vinculada
• Token de acesso (armazenado criptografado, renovado automaticamente)

Finalidade: Identificar a conta conectada, exibir informações no painel do CRM e permitir o envio/recebimento de mensagens.

Base Legal: Execução de contrato e consentimento (art. 7º, I e V, LGPD)

2.2.2 Mensagens do Instagram Direct e Facebook Messenger

Quando mensagens são recebidas ou enviadas através do Instagram Direct ou Facebook Messenger:

Dados coletados:

• ID único da mensagem (gerado pela Meta)
• ID do remetente e destinatário
• Conteúdo da mensagem (texto)
• Anexos (imagens, vídeos, áudios, stickers — quando enviados)
• Data e hora da mensagem
• Direção (entrada ou saída)
• Status de entrega

Como usamos estes dados:

1. Recebimento: Mensagens enviadas por clientes via Instagram Direct ou Facebook Messenger são recebidas pelo nosso CRM através de webhooks da Meta e exibidas na caixa de entrada unificada do CRM.
2. Resposta: Agentes de atendimento respondem diretamente pelo CRM, e a resposta é enviada de volta ao cliente via Instagram Direct ou Facebook Messenger usando a Meta Graph API.
3. Histórico: Mensagens são armazenadas para manter o histórico da conversa e permitir continuidade no atendimento.

O que NÃO fazemos com dados do Instagram/Facebook:

• NÃO usamos mensagens para publicidade ou marketing
• NÃO vendemos ou compartilhamos conteúdo de mensagens com terceiros
• NÃO usamos mensagens para treinar modelos de inteligência artificial
• NÃO armazenamos mensagens além do necessário para o histórico de atendimento
• NÃO transferimos dados do Instagram/Facebook para serviços de data broker
• NÃO usamos dados da Meta para criar perfis de usuários para fins publicitários

Base Legal: Execução de contrato e consentimento (art. 7º, I e V, LGPD)

2.2.3 Webhooks da Meta

Para receber mensagens em tempo real, utilizamos webhooks configurados na Meta Platform:

• Eventos recebidos: Notificações de novas mensagens (campo messages)
• Validação: Todas as requisições de webhook são verificadas usando assinatura HMAC SHA-256 com o App Secret
• Verify Token: Um token de verificação único é gerado por empresa para validar a configuração do webhook

Base Legal: Execução de contrato (art. 7º, V, LGPD)

2.3 Dados Coletados Automaticamente

2.3.1 Dados de Dispositivos Conectados

Quando você conecta um dispositivo WhatsApp ou Telegram:

• Número de telefone do dispositivo
• Nome do dispositivo (definido por você)
• Plataforma (WhatsApp ou Telegram)
• Status de conexão (conectado, desconectado, aguardando sincronização)
• Data e hora de conexão
• Sessão criptografada do WhatsApp/Telegram (armazenada localmente no servidor)
• QR Code temporário (gerado dinamicamente e não armazenado permanentemente)

Base Legal: Execução de contrato (art. 7º, V, LGPD)

2.3.2 Dados de Mensagens (WhatsApp e Telegram)

A ZapBR adota uma política de privacidade por padrão (privacy by default) para mensagens do WhatsApp e Telegram.

Metadados (sempre coletados):

Os seguintes dados técnicos são coletados para funcionamento do sistema:

• ID único da mensagem (gerado pelo WhatsApp/Telegram)
• Número do remetente e destinatário
• Direção (entrada ou saída)
• Data e hora da mensagem
• Status de entrega (enviado, entregue, lido, falhou)
• Tipo de mensagem (texto, imagem, vídeo, documento, áudio)

Base Legal: Execução de contrato e legítimo interesse (art. 7º, V e IX, LGPD)

Conteúdo das Mensagens (armazenamento OPCIONAL):

Por padrão, a ZapBR NÃO armazena o conteúdo das mensagens (texto, imagens, vídeos, documentos, áudios). O armazenamento do conteúdo só ocorre mediante consentimento explícito do usuário através do painel de controle.

Como funciona:

• Armazenamento desativado (padrão): Apenas metadados são salvos
• Armazenamento ativado (opt-in): Conteúdo completo é salvo e criptografado

Quando ativado, você pode:

• Visualizar histórico completo de conversas no dashboard
• Processar conteúdo através de regras de bot
• Gerar relatórios e análises de conversas
• Exportar conversas completas

Direitos do usuário:

• Ativar/desativar armazenamento a qualquer momento
• Excluir todo o histórico de mensagens armazenadas
• Exportar mensagens armazenadas (portabilidade)

Segurança:

• Mensagens armazenadas são criptografadas em repouso
• Acesso restrito apenas ao usuário proprietário
• Exclusão permanente quando solicitado

Base Legal (quando ativado): Consentimento (art. 7º, I, LGPD)

2.3.3 Arquivos de Mídia

O armazenamento de arquivos de mídia segue a mesma política de consentimento das mensagens de texto.

Metadados (sempre coletados):

• Nome do arquivo
• Tipo MIME (formato do arquivo)
• Tamanho do arquivo
• Data de upload

Arquivo Original (armazenamento OPCIONAL):

Apenas com armazenamento ativado:

• Arquivo original (armazenado criptografado no MinIO)
• Caminho de armazenamento
• URL presignada (temporária, válida por 1 hora)

Limite de armazenamento: 10GB por dispositivo (quando ativado)

Base Legal: Metadados — Execução de contrato (art. 7º, V, LGPD). Arquivos — Consentimento (art. 7º, I, LGPD)

2.3.4 Logs de Sistema

Para segurança, auditoria e troubleshooting, registramos:

• Logs de API: Requisições, respostas, erros
• Logs de autenticação: Tentativas de login (sucesso e falhas)
• Logs de webhooks: Entregas, tentativas, status, erros
• Logs de pagamentos: Sincronizações, renovações, falhas
• Logs de notificações: Emails e mensagens enviadas
• Endereço IP (apenas em logs de segurança)
• User-Agent (navegador/dispositivo utilizado)

Retenção de logs: 90 dias

Base Legal: Legítimo interesse e cumprimento de obrigação legal (art. 7º, IX e II, LGPD)

2.3.5 Dados de Uso

Para melhorar nossos serviços, coletamos estatísticas anônimas:

• Número de mensagens enviadas/recebidas (contadores)
• Número de dispositivos conectados
• Uso de funcionalidades (bots, webhooks, API)
• Tempo de utilização da plataforma
• Métricas de performance

Estes dados são agregados e anonimizados e não permitem identificação individual.

Base Legal: Legítimo interesse (art. 7º, IX, LGPD)

2.4 Dados de Terceiros

2.4.1 WhatsApp e Telegram

Ao conectar dispositivos:

• A ZapBR utiliza as bibliotecas Baileys (WhatsApp) e GramJS (Telegram)
• Suas mensagens trafegam pelos servidores do WhatsApp/Telegram
• Estamos sujeitos às políticas de privacidade destas plataformas
• A ZapBR não tem controle sobre como o WhatsApp/Telegram processam seus dados

Recomendação: Leia as políticas de privacidade do WhatsApp e Telegram

2.4.2 Meta Platform (Instagram e Facebook)

Ao conectar Instagram Business ou Facebook Messenger ao CRM:

• A ZapBR utiliza a Meta Graph API para enviar e receber mensagens
• O acesso é concedido pelo usuário via OAuth 2.0 (login com Facebook)
• Utilizamos as permissões: instagram_basic, instagram_manage_messages, pages_messaging, pages_manage_metadata, pages_read_engagement
• Estamos sujeitos à Política da Plataforma Meta e aos Termos de Serviço da Meta
• O usuário pode revogar o acesso a qualquer momento nas configurações do Facebook em facebook.com/settings/?tab=business_tools

Recomendação: Leia as políticas de privacidade do Instagram e Facebook

2.4.3 Mercado Pago

Para processamento de pagamentos:

• Utilizamos a API do Mercado Pago
• Dados de pagamento são processados diretamente por eles
• A ZapBR recebe apenas confirmações de transação (aprovado/recusado)
• Armazenamos apenas IDs de transação, não dados financeiros sensíveis

Recomendação: Leia a Política de Privacidade do Mercado Pago

3. Como Usamos Seus Dados

3.1 Finalidades do Processamento

Utilizamos seus dados pessoais para:

3.1.1 Prestação de Serviços

• Criar e gerenciar sua conta
• Conectar e manter dispositivos ativos
• Processar e entregar mensagens
• Armazenar e fornecer acesso a mídias
• Executar regras de bot configuradas por você
• Enviar notificações via webhooks

3.1.2 Pagamentos e Cobrança

• Processar pagamentos de assinaturas
• Emitir recibos e notas fiscais (quando aplicável)
• Gerenciar renovações automáticas
• Aplicar cupons de desconto
• Detectar e prevenir fraudes

3.1.3 Comunicação

• Enviar emails transacionais (confirmação de conta, recuperação de senha)
• Notificar sobre vencimento de assinatura
• Avisar sobre renovações de pagamento
• Informar sobre manutenções programadas
• Responder solicitações de suporte

3.1.4 Segurança

• Detectar e prevenir fraudes
• Identificar uso abusivo ou violações dos Termos de Uso
• Proteger a integridade da plataforma
• Cumprir obrigações legais e regulatórias
• Responder a solicitações de autoridades competentes

3.1.5 Melhorias

• Analisar uso da plataforma (dados agregados e anonimizados)
• Desenvolver novos recursos
• Corrigir bugs e problemas técnicos
• Otimizar performance
• Melhorar experiência do usuário

3.2 Marketing

A ZapBR NÃO utiliza seus dados para:

• Enviar emails promocionais não solicitados
• Vender listas de contatos a terceiros
• Compartilhar dados com parceiros para marketing
• Exibir anúncios direcionados

Exceção: Podemos enviar emails sobre novos recursos ou atualizações importantes da plataforma. Você pode solicitar o cancelamento destes emails a qualquer momento.

4. Compartilhamento de Dados

4.1 Quando Compartilhamos

A ZapBR NÃO vende seus dados pessoais.

Compartilhamos seus dados apenas nas seguintes situações:

4.1.1 Provedores de Serviços

Compartilhamos dados com prestadores de serviços essenciais:

Garantia: Todos os provedores são obrigados contratualmente a proteger seus dados e utilizá-los apenas para as finalidades especificadas.

4.1.2 WhatsApp, Telegram, Instagram e Facebook

Suas mensagens são transmitidas através dos servidores das plataformas correspondentes:

• WhatsApp e Telegram: Mensagens trafegam pelos servidores destas plataformas
• Instagram Direct e Facebook Messenger: Mensagens são recebidas e enviadas através da Meta Graph API. A Meta Platforms, Inc. processa estes dados de acordo com suas próprias políticas de privacidade

Consulte as políticas de privacidade destas plataformas para entender como seus dados são processados por elas.

4.1.3 Obrigações Legais

Podemos divulgar seus dados quando:

• Exigido por lei ou ordem judicial
• Necessário para cumprir processo legal
• Para proteger direitos, propriedade ou segurança da ZapBR, usuários ou público
• Em caso de investigação de fraude ou atividade ilegal

4.1.4 Webhooks Configurados por Você

Se você configurar webhooks para receber notificações em URLs externas:

• Os dados dos eventos serão enviados para as URLs que você especificou
• É sua responsabilidade garantir a segurança dessas URLs
• A ZapBR não se responsabiliza pelo processamento de dados por sistemas de terceiros configurados por você

4.2 Quando NÃO Compartilhamos

A ZapBR NÃO compartilha seus dados com:

• Empresas de marketing ou publicidade
• Redes sociais (exceto quando você conecta dispositivos WhatsApp/Telegram ou integra Instagram/Facebook)
• Corretores de dados
• Qualquer terceiro para fins comerciais

5. Armazenamento e Segurança

5.1 Onde Armazenamos

Seus dados são armazenados em:

• Servidores localizados no Brasil (infraestrutura própria)
• PostgreSQL para dados estruturados (cadastro, mensagens, logs)
• Redis para cache e filas temporárias
• MinIO para armazenamento de arquivos de mídia

Localização dos servidores: Limeira, São Paulo, Brasil

Transferência internacional: Atualmente, não transferimos dados para fora do Brasil. Caso isso mude no futuro, você será notificado.

5.2 Por Quanto Tempo Armazenamos

Após o encerramento da conta:

• Você tem 30 dias para solicitar recuperação de dados
• Após 30 dias, todos os dados são excluídos permanentemente e de forma irreversível
• Dados anonimizados (sem identificação pessoal) podem ser mantidos para estatísticas

5.3 Medidas de Segurança

Implementamos as seguintes medidas técnicas e organizacionais:

5.3.1 Segurança Técnica

• Criptografia em trânsito: SSL/TLS (HTTPS) para todas as comunicações
• Criptografia de senhas: Bcrypt com salt rounds = 10
• Criptografia de sessões: Sessões do WhatsApp/Telegram criptografadas
• Tokens de autenticação: JWT (JSON Web Tokens) com expiração
• HMAC SHA-256: Assinatura de webhooks para validação
• Firewall: Proteção contra acessos não autorizados
• Rate Limiting: Proteção contra ataques de força bruta
• Backups automatizados: Cópias de segurança regulares

5.3.2 Segurança Organizacional

• Acesso restrito: Apenas pessoal autorizado tem acesso aos dados
• Logs de auditoria: Registro de todas as operações sensíveis
• Revisões de segurança: Análises periódicas de vulnerabilidades
• Treinamento: Equipe treinada em boas práticas de segurança
• Política de senhas: Senhas fortes obrigatórias
• Monitoramento: Detecção de atividades suspeitas

5.3.3 Backup e Recuperação

• Backups diários do banco de dados PostgreSQL
• Backups de mídia via MinIO mirror
• Retenção de backups: 7 dias
• Testes de recuperação: Verificação periódica da integridade

Importante: Apesar de todas as medidas de segurança, nenhum sistema é 100% seguro. Recomendamos que você mantenha seus próprios backups de dados críticos.

6. Seus Direitos (LGPD)

Em conformidade com a LGPD, você tem os seguintes direitos sobre seus dados pessoais:

6.1 Direito de Acesso (Art. 18, I e II)

Você pode solicitar:

• Confirmação de que processamos seus dados
• Acesso a todos os dados pessoais que temos sobre você
• Cópia dos seus dados em formato estruturado (CSV ou JSON)

6.2 Direito de Correção (Art. 18, III)

Você pode:

• Corrigir dados incompletos, inexatos ou desatualizados
• Atualizar suas informações cadastrais diretamente no dashboard

6.3 Direito de Eliminação (Art. 18, VI)

Você pode solicitar:

• Exclusão de dados desnecessários ou tratados em desconformidade
• Encerramento da conta com exclusão de todos os dados em 30 dias

Exceções: Podemos reter dados quando:

• Obrigatório por lei (ex: dados fiscais por 5 anos)
• Necessário para exercer direitos em processos judiciais
• Impossível ou implique esforço desproporcional

6.4 Direito de Portabilidade (Art. 18, V)

Você pode solicitar:

• Exportação dos seus dados em formato estruturado
• Transferência para outro fornecedor (quando tecnicamente viável)

Formatos disponíveis: JSON, CSV

6.5 Direito de Informação (Art. 18, VII e VIII)

Você pode solicitar informações sobre:

• Compartilhamento: Com quem compartilhamos seus dados
• Negativa de consentimento: Consequências de não fornecer dados (quando aplicável)

6.6 Direito de Revogação (Art. 18, IX)

Quando o processamento for baseado em consentimento:

• Você pode revogar o consentimento a qualquer momento
• A revogação não afeta o processamento realizado antes da revogação

6.7 Direito de Oposição (Art. 18, § 2º)

Você pode se opor ao processamento de dados quando:

• Realizado com base em legítimo interesse
• Demonstrar motivo legítimo para a oposição

6.8 Como Exercer Seus Direitos

Para exercer qualquer desses direitos:

1. Envie email para: dpo@zapbr.com
2. Assunto: "Solicitação LGPD - [Tipo de Direito]"
3. Informe:
   • Nome completo
   • Email cadastrado
   • CPF (para validação de identidade)
   • Descrição detalhada da solicitação

Prazo de resposta: Até 15 dias úteis

Sem custo: Não cobramos taxas para atender solicitações de direitos LGPD

7. Dados da Meta Platform (Instagram e Facebook) — Exclusão e Controle

7.1 Exclusão de Dados da Meta (Data Deletion)

Em conformidade com a Política da Plataforma Meta, você pode solicitar a exclusão de todos os dados coletados através da integração Instagram/Facebook a qualquer momento.

Como solicitar a exclusão:

1. Pelo CRM: Acesse a página de Canais, desconecte a integração Instagram/Facebook. Todos os dados associados (tokens, mensagens, dados de perfil) serão excluídos automaticamente em até 30 dias.
2. Pelo Facebook: Revogue o acesso do app nas Configurações de Apps e Sites do Facebook. Ao revogar, seremos notificados e excluiremos seus dados.
3. Por email: Envie solicitação para dpo@zapbr.com com o assunto "Exclusão de Dados Meta".

Prazo: A exclusão será realizada em até 30 dias após a solicitação.

O que é excluído:

• Tokens de acesso (revogados e removidos)
• Dados de perfil do Instagram/Facebook
• Histórico de mensagens recebidas e enviadas via Instagram Direct e Facebook Messenger
• Configurações de integração

7.2 Revogação de Acesso

Você pode revogar o acesso do nosso aplicativo às suas contas Instagram e Facebook a qualquer momento:

• No Facebook: Acesse facebook.com/settings/?tab=business_tools e remova o app
• No Instagram: Acesse Configurações > Segurança > Apps e Sites e remova o acesso
• No CRM: Acesse Canais e clique em "Desconectar" na integração Instagram ou Facebook

Após a revogação:

• O CRM deixará de receber novas mensagens do Instagram/Facebook
• Mensagens existentes serão excluídas conforme a política de retenção (30 dias)
• Tokens de acesso serão invalidados imediatamente

7.3 Conformidade com a Plataforma Meta

A ZapBR compromete-se a cumprir integralmente:

• Termos da Plataforma Meta — Regras para uso das APIs da Meta
• Política de Dados da Plataforma Meta — Requisitos de tratamento de dados obtidos via APIs
• Termos de Uso da API do Instagram — Condições específicas para a API do Instagram

Compromissos específicos:

1. Uso limitado: Dados da Meta são usados exclusivamente para fornecer o serviço de CRM (receber e responder mensagens).
2. Sem venda de dados: Nunca vendemos, licenciamos ou compartilhamos dados obtidos via Meta APIs com terceiros.
3. Sem uso para publicidade: Dados de mensagens não são usados para criar perfis publicitários, segmentação ou remarketing.
4. Sem uso para vigilância: Dados não são usados para vigilância, rastreamento ou monitoramento de indivíduos.
5. Segurança: Tokens de acesso e dados sensíveis são armazenados de forma criptografada.
6. Exclusão sob demanda: Excluímos todos os dados quando o usuário solicita ou revoga o acesso.
7. Transparência: Esta política é pública e acessível a qualquer momento.

8. Cookies e Tecnologias Similares

8.1 Uso de Cookies

A ZapBR utiliza cookies e tecnologias similares para:

8.1.1 Cookies Essenciais (Necessários)

• Token de autenticação: JWT armazenado em localStorage
• Sessão: Manter você logado no dashboard
• Preferências: Idioma, configurações de interface

Base Legal: Execução de contrato

Bloqueio: Se você bloquear estes cookies, não poderá usar a plataforma.

8.1.2 Cookies de Performance

• Tempo de carregamento: Métricas de performance
• Erros: Detecção de problemas técnicos

Base Legal: Legítimo interesse

Bloqueio: Você pode bloquear, mas isso pode afetar a qualidade do serviço.

8.2 Cookies de Terceiros

Atualmente, não utilizamos cookies de terceiros para:

• Google Analytics
• Facebook Pixel
• Ferramentas de marketing
• Anúncios

8.3 Gerenciar Cookies

Você pode gerenciar cookies através:

• Navegador: Configurações de privacidade do seu navegador
• Limpeza: Limpar cookies a qualquer momento
• Bloqueio: Bloquear cookies não essenciais

Como limpar cookies:

• Chrome: Configurações > Privacidade > Limpar dados de navegação
• Firefox: Configurações > Privacidade > Gerenciar dados
• Safari: Preferências > Privacidade > Gerenciar dados do site

9. Dados de Menores de Idade

9.1 Idade Mínima

A ZapBR não é destinada a menores de 18 anos.

• Não coletamos intencionalmente dados de menores de 18 anos
• Não verificamos ativamente a idade dos usuários
• Assumimos que todos os usuários são maiores de 18 anos ou têm autorização de responsável legal

9.2 Se Descobrirmos Dados de Menores

Se tomarmos conhecimento de que coletamos dados de menores de 18 anos sem autorização adequada:

• Excluiremos imediatamente os dados
• Notificaremos o responsável legal (se identificável)
• Encerraremos a conta

9.3 Responsabilidade dos Pais/Responsáveis

Se você é pai ou responsável legal:

• Monitore o uso da internet por menores sob sua responsabilidade
• Não permita que menores criem contas sem sua autorização
• Entre em contato se descobrir que um menor criou conta indevidamente

10. Alterações nesta Política

10.1 Direito de Atualização

A ZapBR reserva-se o direito de modificar esta Política de Privacidade a qualquer momento para:

• Adequação a novas leis e regulamentos
• Implementação de novos recursos
• Melhorias de segurança
• Correções e esclarecimentos

10.2 Notificação de Alterações

Alterações significativas serão notificadas através de:

• Email para o endereço cadastrado (15 dias de antecedência)
• Aviso destacado no dashboard
• Atualização da data "Última atualização" no topo deste documento

Alterações menores (correções, esclarecimentos):

• Atualizaremos apenas a data no topo do documento
• Você pode verificar periodicamente este documento

10.3 Histórico de Versões

Mantemos um registro de versões anteriores desta política:

• Versão 1.0 — 28/10/2025: Versão inicial
• Versão 1.1 — 12/03/2026: Adicionadas seções sobre Instagram Direct, Facebook Messenger e conformidade com a Plataforma Meta

10.4 Aceitação de Alterações

O uso continuado da plataforma após a notificação constitui aceitação das alterações.

Se você não concordar:

• Pode encerrar sua conta em até 15 dias após a notificação
• Pode solicitar exclusão de dados
• Não haverá penalidades pelo encerramento

11. Transferência Internacional de Dados

11.1 Localização Atual

Atualmente, todos os dados são armazenados em servidores localizados no Brasil.

Não realizamos transferência internacional de dados.

11.2 Transferências Futuras

Caso no futuro seja necessário transferir dados para fora do Brasil:

• Notificaremos você com 30 dias de antecedência
• Garantiremos que o país receptor oferece nível adequado de proteção (conforme LGPD Art. 33)
• Implementaremos cláusulas contratuais padrão ou outras garantias legais
• Daremos opção de encerrar a conta sem penalidades

11.3 Serviços de Terceiros

Alguns serviços de terceiros que utilizamos podem estar localizados fora do Brasil:

• WhatsApp/Telegram: Servidores globais (controlados por Meta/Telegram)
• Instagram/Facebook (Meta Platforms, Inc.): Servidores nos Estados Unidos e globais
• Mercado Pago: Pode processar dados em outros países da América Latina

Ao usar nossa plataforma, você reconhece que suas mensagens trafegam pelos servidores destas plataformas.

12. Conformidade LGPD

12.1 Base Legal para Processamento

Processamos seus dados pessoais com base nas seguintes bases legais da LGPD:

12.2 Agentes de Tratamento

Controlador:

• ZapBR (empresa)
• Responsável por definir finalidades e meios de tratamento

Operadores:

• Meta Platforms, Inc. (Instagram Direct e Facebook Messenger)
• Mercado Pago (processamento de pagamentos)
• Provedores de infraestrutura
• Processam dados em nome da ZapBR conforme instruções

12.3 Encarregado de Dados (DPO)

Responsável: Encarregado de Proteção de Dados da ZapBR

Função:

• Aceitar reclamações e comunicações dos titulares
• Prestar esclarecimentos sobre o tratamento
• Orientar funcionários sobre proteção de dados
• Ser canal de comunicação com a ANPD

Contato:

• Email: dpo@zapbr.com
• Assunto: "Proteção de Dados Pessoais"

12.4 Relatório de Impacto (RIPD)

A ZapBR realiza Relatórios de Impacto à Proteção de Dados Pessoais (RIPD) quando:

• Implementamos novos recursos que processam dados sensíveis
• Mudamos significativamente práticas de processamento
• Solicitado pela ANPD

12.5 Incidentes de Segurança

Em caso de incidente de segurança que possa acarretar risco aos titulares:

Notificação à ANPD:

• Prazo: Tempestivo (conforme gravidade)
• Conteúdo: Descrição do incidente, dados afetados, medidas tomadas

Notificação aos Titulares:

• Prazo: Em prazo razoável
• Meio: Email cadastrado
• Conteúdo: Natureza do incidente, dados afetados, medidas que você deve tomar

12.6 Término do Tratamento

O tratamento de dados pessoais será encerrado quando:

• Finalidade alcançada ou dados desnecessários
• Fim do período de tratamento
• Revogação de consentimento (quando aplicável)
• Determinação da ANPD

Exceções (continuamos processando):

• Cumprimento de obrigação legal
• Estudo por órgão de pesquisa (anonimizado)
• Transferência a terceiro (com salvaguardas)
• Uso exclusivo da ZapBR (anonimizado)

13. Perguntas e Reclamações

13.1 Dúvidas sobre Privacidade

Para esclarecer dúvidas sobre esta Política de Privacidade ou sobre o tratamento de seus dados:

• Email: dpo@zapbr.com
• Assunto: "Dúvida sobre Privacidade"
• Prazo de resposta: 15 dias úteis

13.2 Reclamações

Se você acredita que seus direitos de privacidade foram violados:

1. Entre em contato conosco primeiro:

• Email: dpo@zapbr.com
• Tentaremos resolver a questão amigavelmente

2. Autoridade Nacional de Proteção de Dados (ANPD):

Se não ficar satisfeito com nossa resposta, você pode reclamar à ANPD:

• Website: https://www.gov.br/anpd/
• Email: contato@anpd.gov.br

13.3 Atendimento

Horário de atendimento:

• Segunda a sexta-feira: 9h às 18h (horário de Brasília)
• Emails recebidos fora do horário: Respondidos no próximo dia útil

Canais de contato:

• Email geral: suporte@zapbr.com
• Email DPO: dpo@zapbr.com
• Website: https://zapbr.com
• Dashboard: https://api.zapbr.com

14. Glossário

Para facilitar o entendimento desta política:

15. Disposições Finais

15.1 Idioma

Esta Política de Privacidade está disponível em Português (Brasil).

Em caso de tradução para outros idiomas, a versão em português prevalecerá em caso de divergências.

15.2 Aceitação

Ao criar uma conta e utilizar a ZapBR, você declara:

• Ter lido e compreendido esta Política de Privacidade
• Concordar com as práticas de coleta, uso e compartilhamento de dados descritas
• Ter mais de 18 anos ou autorização de responsável legal
• Estar ciente de seus direitos sob a LGPD

15.3 Integração com Termos de Uso

Esta Política de Privacidade complementa os Termos de Uso da ZapBR.

Em caso de conflito entre os documentos, prevalecerá a disposição mais favorável à proteção dos dados pessoais.

15.4 Vigência

Esta Política de Privacidade entra em vigor em 28 de outubro de 2025, com última atualização em 12 de março de 2026.

Versões anteriores estão disponíveis mediante solicitação ao DPO.

Última atualização: 12 de março de 2026 Versão: 1.1

Contato do Encarregado de Dados (DPO): Email: dpo@zapbr.com

ZapBR — Proteção de Dados e Privacidade em Primeiro Lugar