Política de Privacidade

Publicada em 27 de abril de 2026. Entra em vigor em 14 de maio de 2026.

A ZappIQ Brasil Sistemas de IA LTDA (“ZappIQ” ou “Empresa”) valoriza a privacidade dos dados pessoais que trata. Esta Política descreve como coletamos, armazenamos, usamos, compartilhamos e protegemos dados pessoais dos nossos clientes (controladores dos dados dos seus end-users) e dos end-users que interagem com agentes de IA hospedados na plataforma ZappIQ.

1. Controladoria e Operadoria (LGPD Art. 5º)

A ZappIQ atua em duas figuras distintas conforme a natureza do dado:

• Controladora dos dados de cadastro e faturamento dos clientes contratantes (nome, CNPJ, e-mail, telefone, dados de pagamento via Stripe).
• Operadora dos dados dos end-users de nossos clientes (mensagens WhatsApp trocadas entre o cliente e seus contatos), agindo conforme instruções documentadas dos clientes como controladores.

Distinção importante: a ZappIQ não é controladora dos dados dos end-users (pessoas que conversam com os agentes de IA dos nossos clientes). Essa responsabilidade primária cabe ao Cliente ZappIQ, titular da conta WhatsApp Business.

2. Processamento com modelos de IA

A ZappIQ processa prompts e gera respostas através de APIs de provedores de inteligência artificial (Anthropic Claude e, quando aplicável, OpenAI). A ZappIQ não treina modelos de inteligência artificial com dados de clientes ou end-users. Interações históricas são usadas exclusivamente pela lógica do agente do cliente em tempo de execução (retrieval-augmented generation sobre a base de conhecimento do próprio cliente), sem contribuir para treinamento de modelos fundacionais nem para personalização de modelos fora do tenant isolado daquele cliente. Os provedores de IA contratados operam sob Data Processing Agreements com cláusulas específicas que proíbem uso dos inputs e outputs para treinamento.

3. Dados coletados e finalidade

Dados do Cliente (contratante): nome completo, razão social, CNPJ, e-mail, telefone, endereço de cobrança, dados de cartão tokenizados (Stripe), histórico de assinaturas. Finalidade: execução de contrato (LGPD Art. 7º, V), comunicação operacional, cobrança, cumprimento de obrigação legal/regulatória.

Dados de end-users (mensagens WhatsApp): texto, áudio, imagem, localização e metadados das conversas entre o Cliente e seus contatos via WhatsApp Business. Finalidade: operação do serviço de automação conforme instruções do Cliente controlador (LGPD Art. 7º, V — execução de contrato com o Cliente).

Dados de uso e telemetria: IP, user-agent, identificadores de sessão, métricas de performance, logs de erro. Finalidade: operação, segurança e melhoria do serviço (LGPD Art. 7º, IX — interesse legítimo documentado).

4. Sub-processadores

A ZappIQ compartilha dados com os seguintes operadores para prestação do serviço, todos sob Data Processing Agreements que espelham ou superam as obrigações desta Política:

• Supabase, Inc. (banco de dados PostgreSQL e autenticação). Dados armazenados em região São Paulo, Brasil, com replicação controlada. SOC 2 Type II, HIPAA-ready.
• Upstash, Inc. (cache Redis e filas QStash). Dados efêmeros, sem persistência longa. Certificação SOC 2.
• Anthropic PBC (processamento de prompts via API Claude, modelo claude-sonnet-4-6). Operado sob contrato Enterprise com cláusulas contratuais específicas: zero treinamento em inputs/outputs, retenção efêmera (não persistência pós-inferência), isolamento por tenant. Transferência internacional legitimada por cláusulas contratuais padrão (ANPD/LGPD Art. 33, IV).
• OpenAI, LLC (processamento de áudio via APIs Whisper, para transcrição, e TTS, para síntese de voz, quando o Cliente ativa os add-ons de voz). Sob contrato Enterprise com mesma garantia de não-treinamento. Áudios são descartados em até 30 dias pelo OpenAI, conforme os termos de processamento de dados da API.
• Cloudflare, Inc. (CDN, proteção DDoS e Workers em edge para recebimento de webhooks Meta). Sem acesso ao conteúdo das conversas — apenas metadados de roteamento. Sob contrato DPA 2024 com certificação SOC 2 Type II.
• Stripe, Inc. (processamento de pagamentos). Dados de cartão nunca passam pelos servidores ZappIQ — são tokenizados direto no browser e enviados a Stripe. Certificação PCI-DSS Level 1.
• Resend, Inc. (envio de e-mails transacionais — confirmação de conta, recuperação de senha, notificações de cobrança). Recebe apenas endereço de e-mail e conteúdo específico do aviso.
• Meta Platforms Ireland Ltd. (WhatsApp Business Platform — Cloud API direta). A ZappIQ é parceira conectada via Cloud API oficial, sem intermediário BSP. Dados de mensagens trafegam pela infraestrutura Meta conforme WhatsApp Business Policy.
• Autoridades públicas quando exigido por lei, ordem judicial ou solicitação formal de autoridade competente (LGPD Art. 7º, VI).

5. Armazenamento e transferência internacional

Dados primários armazenados em região AWS sa-east-1 (São Paulo, Brasil) via Supabase. Processamento com Anthropic e OpenAI envolve transferência internacional para data centers dos EUA, legitimada por cláusulas contratuais padrão reconhecidas pela ANPD (LGPD Art. 33, IV). Transferências para Stripe (EUA) e Cloudflare (global) seguem a mesma base legal.

6. Retenção

• Mensagens WhatsApp de end-users: 90 dias rolantes no banco operacional. Após, arquivadas em cold storage criptografado por mais 12 meses para auditoria, e depois anonimizadas irreversivelmente.
• Dados de cadastro do Cliente: enquanto a conta estiver ativa, mais 12 meses pós-cancelamento para eventual reativação e cumprimento de obrigações fiscais/contratuais.
• Logs de sistema: 24 meses.
• Dados de pagamento: 5 anos, conforme exigência fiscal brasileira.

7. Segurança

Criptografia em trânsito (TLS 1.3) e em repouso (AES-256). Autenticação multifator obrigatória para colaboradores ZappIQ com acesso a dados de produção. Monitoramento contínuo de anomalias. Revisão trimestral de políticas de acesso. Testes anuais de penetração por terceiro independente.

8. Cookies

Usamos apenas cookies essenciais ao funcionamento do site. Cookies de analytics e marketing são opcionais e só ativados com consentimento explícito (LGPD Art. 7º, I). Detalhes na Política de Cookies.

9. Como exercer seus direitos de titular

Titulares de dados pessoais podem exercer os direitos previstos na LGPD Art. 18 — acesso, correção, anonimização, portabilidade, eliminação, revogação de consentimento — através dos seguintes canais:

• Autoatendimento (exclusão imediata): formulário público em zappiq.com.br/legal/deletar-dados. Processamento em até 48 horas úteis.
• Via DPO: e-mail para rodrigo.ghetti@zappiq.com.br com assunto “Direitos LGPD — [tipo de solicitação]”. Resposta em até 15 dias corridos (prazo ANPD).
• Via plataforma: Clientes ZappIQ ativos podem solicitar exclusão no fluxo de cancelamento do painel administrativo.

Para end-users de Clientes ZappIQ (pessoas que conversam via WhatsApp com agentes de nossos clientes), a responsabilidade primária de atender os direitos é do Cliente como controlador, cabendo à ZappIQ atuar como operadora. A ZappIQ oferece endpoint de eliminação programática para que os Clientes integrem em seus próprios fluxos de atendimento de direitos do titular.

10. Encarregado pelo Tratamento (DPO)

Nome: Rodrigo Ghetti
E-mail: rodrigo.ghetti@zappiq.com.br
Endereço postal: ZappIQ Brasil Sistemas de IA LTDA — consulte endereços comerciais.

11. Incidentes de segurança

Em caso de incidente envolvendo dados pessoais, a ZappIQ notifica a ANPD e os titulares afetados conforme LGPD Art. 48, no prazo de até 72 horas da constatação do incidente.

12. Comunicação com a Meta (WhatsApp Business Platform)

Como parceira oficial da Meta conectada via Cloud API direta ao WhatsApp Business Platform, a ZappIQ opera em conformidade com a WhatsApp Business Policy, a Meta Commerce Policy e os Termos de Serviço da Meta Platforms. Clientes ZappIQ são responsáveis por respeitar políticas de opt-in, consentimento e qualidade de conta WhatsApp. Violações podem resultar em suspensão da conta WhatsApp Business do Cliente pela Meta — situação alheia à responsabilidade da ZappIQ. Mais detalhes na página de Parceria Meta.

13. Alterações desta Política

Modificações materiais serão comunicadas por e-mail aos Clientes com 30 dias de antecedência. O histórico de versões fica disponível sob solicitação ao DPO.

14. Contato

Para dúvidas, solicitações ou reclamações sobre privacidade: privacidade@zappiq.com.br.

Esta Política entra em vigor na data indicada no topo e substitui todas as versões anteriores.