Política de Privacidade

Esta Política de Privacidade descreve como a Nomoz Tecnologia ("Nomoz", "nós", "nossa" ou "nosso"), operadora da Plataforma Nomoz, coleta, usa, armazena e protege as informações pessoais dos usuários da nossa plataforma SaaS multi-tenant de marketing e atendimento via WhatsApp, em estrita conformidade com a Lei Geral de Proteção de Dados (LGPD - Lei nº 13.709/2018), Marco Civil da Internet (Lei nº 12.965/2014) e demais regulamentações aplicáveis.

IMPORTANTE: Ao utilizar nossos serviços, você declara expressamente ter lido, compreendido e concordado integralmente com esta Política de Privacidade e com os nossos Termos de Uso. O uso continuado da plataforma constitui aceitação plena dos termos aqui estabelecidos.

Natureza do Serviço: A Nomoz atua como OPERADOR DE DADOS em relação aos dados pessoais dos contatos de seus clientes, processando informações exclusivamente sob instruções do Cliente-Controlador, conforme determina a LGPD.

1. Definições

Para fins desta Política, aplicam-se as seguintes definições conforme a LGPD:

Dados Pessoais: Qualquer informação relacionada a pessoa natural identificada ou identificável (Art. 5º, I, LGPD).

Dados Pessoais Sensíveis: Dados sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato, dados referentes à saúde ou vida sexual, dados genéticos ou biométricos (Art. 5º, II, LGPD).

Titular dos Dados: Pessoa natural a quem se referem os dados pessoais que são objeto de tratamento.

Cliente-Controlador: Empresa contratante dos serviços Nomoz, responsável pelas decisões sobre finalidades e meios do tratamento de dados de seus contatos.

Nomoz-Operador: A Nomoz Tecnologia atua como operador, realizando tratamento de dados pessoais em nome e sob instruções do Cliente-Controlador.

Plataforma Multi-tenant: Sistema SaaS que atende múltiplos clientes com segregação lógica de dados.

API WhatsApp: Interfaces de programação incluindo WhatsApp Web (whatsapp-web.js), Meta API oficial e Z-API.

Tratamento: Toda operação realizada com dados pessoais, incluindo coleta, registro, organização, estruturação, armazenamento, adaptação, alteração, recuperação, consulta, uso, divulgação, eliminação ou destruição.

2. Responsável pelo Tratamento dos Dados

3. Dados Coletados e Categorias de Tratamento

3.1. Dados do Cliente-Controlador (Pessoa Jurídica) - Nomoz como Controlador:

• Dados cadastrais empresariais (razão social, CNPJ, inscrição estadual, endereço comercial)
• Dados dos usuários da plataforma (nome, e-mail, telefone, cargo, permissões de acesso)
• Informações de autenticação e segurança (credenciais com hash bcrypt, tokens JWT)
• Dados de faturamento e cobrança (informações bancárias, histórico de pagamentos)
• Configurações de conta e preferências de uso

3.2. Dados dos Contatos Finais - Nomoz como Operador:

• Dados de Identificação: Nome completo e número de telefone (WhatsApp)
• Dados de Comunicação: Histórico completo de conversas e mensagens enviadas/recebidas
• Mídia Compartilhada: Imagens, vídeos, áudios, documentos e outros arquivos trocados nas conversas
• Dados de Perfil: Fotos de perfil do WhatsApp quando disponibilizadas
• Metadados: Status de entrega, leitura, horários de envio e recebimento de mensagens
• Dados de Grupo: Informações sobre grupos do WhatsApp quando aplicável
• Organização: Agrupamentos e categorizações definidas pelo Cliente-Controlador

3.3. Dados de Campanhas e Automação:

• Templates e conteúdo de mensagens personalizadas
• Agendamentos e configurações de envio automatizado
• Métricas e estatísticas (enviados, entregues, lidos, falhas, taxa de resposta)
• Fluxos de conversa e regras de automação configuradas
• Dados de segmentação e targeting definidos pelo cliente

3.4. Dados Técnicos e de Sistema:

• Sessões ativas do WhatsApp (armazenadas em MongoDB com criptografia)
• Logs de sistema e auditoria de segurança
• Informações de instâncias e conexões de WhatsApp ativas
• Dados de integração com APIs externas (Meta API, Z-API)
• Endereços IP, user-agents e informações de dispositivos
• Tokens de autenticação e chaves de acesso às APIs

Importante: A Nomoz NÃO COLETA INTENCIONALMENTE dados pessoais sensíveis. Eventuais dados sensíveis compartilhados espontaneamente pelos usuários nas conversas são de responsabilidade exclusiva do Cliente-Controlador.

4. Finalidades Específicas do Tratamento

4.1. Para Dados do Cliente-Controlador (Nomoz como Controlador):

• Prestação Contratual: Execução integral dos serviços de marketing e atendimento via WhatsApp
• Gestão de Conta: Administração de usuários, permissões e configurações da plataforma multi-tenant
• Processamento Financeiro: Faturamento, cobrança e gestão de pagamentos dos serviços contratados
• Suporte Técnico: Atendimento, resolução de problemas e manutenção da conta
• Segurança Corporativa: Autenticação, prevenção de fraudes e proteção contra acessos não autorizados

4.2. Para Dados dos Contatos Finais (Nomoz como Operador sob instruções do Cliente):

• Execução de Campanhas: Envio automatizado de mensagens de marketing e comunicação
• Atendimento Automatizado: Operação de chatbots e assistentes de IA para resposta automática
• Gestão de Conversas: Armazenamento e organização do histórico completo de interações
• Analytics e Relatórios: Geração de métricas de engajamento, deliverability e performance
• Fluxos Inteligentes: Automação de respostas e direcionamento baseado em regras configuradas
• Backup e Continuidade: Preservação de dados para continuidade operacional e recuperação

4.3. Para Desenvolvimento de IA e Algoritmos (Dados Anonimizados):

• Treinamento de Modelos: Aprimoramento de algoritmos de IA para respostas automáticas
• Otimização de Performance: Melhoria na eficiência de entrega e engajamento
• Benchmarking: Criação de métricas setoriais e comparativos de mercado
• Inovação Tecnológica: Desenvolvimento de novas funcionalidades e recursos

Limitação de Finalidade: Todo tratamento é restrito às finalidades aqui especificadas, sendo vedado qualquer uso incompatível ou excessivo em relação às bases legais estabelecidas.

5. Base Legal para o Tratamento

O tratamento de dados pessoais é realizado com base nas seguintes hipóteses legais:

• Execução de Contrato: Para a prestação dos serviços contratados
• Consentimento: Quando expressamente fornecido pelo titular dos dados
• Legítimo Interesse: Para aprimoramento dos serviços e segurança da plataforma
• Cumprimento de Obrigação Legal: Para atendimento de dispositivos legais
• Exercício de Direitos: Para exercício de direitos em processos judiciais ou administrativos

6. Compartilhamento de Dados

6.1. Os dados pessoais poderão ser compartilhados nas seguintes situações:

• Com prestadores de serviços terceirizados (processamento de pagamentos, infraestrutura de TI)
• Com autoridades competentes, quando exigido por lei ou ordem judicial
• Em caso de reestruturação societária, fusão ou aquisição
• Com o consentimento expresso do titular dos dados

6.2. Transferência Internacional e Infraestrutura:

• AWS (Estados Unidos): Armazenamento do site institucional com cláusulas contratuais padrão
• Google Cloud Storage (Multi-região): Arquivos de mídia com proteções adequadas conforme LGPD
• Provedores de API WhatsApp: Z-API e Meta API oficial com salvaguardas técnicas implementadas
• Garantias Legais: Todos os fornecedores atendem aos requisitos de adequação do Art. 33 da LGPD

6.3. Infraestrutura Nacional: Dados primários de clientes e conversas são prioritariamente mantidos em território brasileiro através de provedores locais certificados.

7. Retenção, Armazenamento e Arquitetura Técnica

7.1. Infraestrutura de Dados:

• PostgreSQL: Dados estruturados de clientes, campanhas e métricas com backup automatizado
• MongoDB: Sessões ativas do WhatsApp e dados de conversas em tempo real
• Google Cloud Storage: Arquivos de mídia (imagens, vídeos, documentos) com versionamento
• Sistemas Redundantes: Múltiplas camadas de backup para garantir disponibilidade e integridade

7.2. Prazos de Retenção Específicos:

• Dados Ativos: Durante todo o período de vigência do contrato comercial
• Histórico Operacional: 5 (cinco) anos após encerramento para fins de compliance fiscal
• Dados Técnicos (Logs): 2 (dois) anos para auditoria e segurança
• Sessões WhatsApp: Descarte automático após 90 dias de inatividade
• Dados Anonimizados: Conservação indefinida para pesquisa e desenvolvimento
• Dados Sensíveis: Eliminação imediata quando identificados

7.3. Procedimentos de Descarte:

• Eliminação criptográfica com sobrescrita de setores
• Certificação de destruição para dados físicos
• Auditoria de descarte com registros comprobatórios
• Notificação ao Cliente-Controlador quando aplicável

8. Medidas de Segurança Implementadas

8.1. Proteções Técnicas Avançadas:

• Autenticação Robusta: Tokens JWT com renovação automática e expiração temporal
• Hash de Senhas: Algoritmo bcrypt com salt para proteção contra ataques de força bruta
• Criptografia: AES-256 para dados em repouso e TLS 1.3 para dados em trânsito
• Controle de Acesso: Sistema granular de permissões por usuário e funcionalidade
• Segregação Multi-tenant: Isolamento lógico completo entre dados de diferentes clientes
• APIs Seguras: Rate limiting, validação de entrada e sanitização de dados

8.2. Monitoramento e Auditoria:

• Logs detalhados de todas as operações críticas com dados pessoais
• Monitoramento em tempo real de tentativas de acesso suspeitas
• Alertas automáticos para atividades anômalas ou não autorizadas
• Auditoria regular de acessos e permissões de usuários
• Backup automatizado com teste de recuperação periódico

8.3. Proteções Organizacionais:

• Treinamento obrigatório da equipe em LGPD e segurança da informação
• Acordos de confidencialidade com todos os colaboradores
• Política de mesa limpa e controle de acesso físico
• Plano de resposta a incidentes com protocolos definidos
• Avaliações de impacto à proteção de dados (DPIA) quando necessário

Certificação: Nossas medidas de segurança são regulamente auditadas e estão em conformidade com padrões internacionais de proteção de dados.

9. Direitos dos Titulares e Limitações

9.1. Direitos Garantidos pela LGPD:

• Confirmação e Acesso: Confirmar existência e acessar dados com limitações técnicas raáveis
• Correção: Corrigir dados incompletos, inexatos ou desatualizados conforme viabilidade técnica
• Anonimização/Eliminação: Solicitar quando não prejudique a continuidade do serviço
• Portabilidade: Transferência conforme padrões técnicos da plataforma
• Informação: Esclarecimentos sobre compartilhamento nos limites da confidencialidade
• Revogação de Consentimento: Quando não impacte obrigações contratuais

9.2. Limitações Importantes:

• Dados de Terceiros: Para contatos finais, direitos devem ser exercidos prioritariamente junto ao Cliente-Controlador
• Integridade do Sistema: Solicitações não podem comprometer a segurança ou funcionalidade da plataforma
• Prazo de Atendimento: Até 15 dias úteis conforme LGPD, sujeito à complexidade da solicitação
• Negação Justificada: Exercício pode ser recusado quando conflitar com segredos comerciais ou direitos de terceiros
• Identificação: Exigimos verificação de identidade adequada antes do atendimento

10. Exercício dos Direitos

Para exercer seus direitos ou esclarecer dúvidas sobre esta Política de Privacidade, entre em contato conosco:

11. WhatsApp API e Limitações Técnicas

11.1. Tecnologias Utilizadas:

• WhatsApp Web (whatsapp-web.js): Interface não oficial sujeita a limitações e mudanças pela Meta
• Meta API Oficial: API oficial do WhatsApp Business quando disponível e configurada
• Z-API: Provedor terceirizado para integração com WhatsApp
• Integração Híbrida: Combinação de tecnologias conforme disponibilidade e necessidade

11.2. Limitações e Isenções de Responsabilidade:

• Políticas da Meta: Sujeitação às regras e limitações impostas pelo WhatsApp/Meta
• Bloqueios e Restrições: Nomoz não se responsabiliza por suspensões determinadas pela Meta
• Disponibilidade: Serviço sujeito à estabilidade das APIs de terceiros
• Mudanças de Funcionalidade: APIs podem sofrer alterações sem aviso prévio pelos provedores
• Conformidade: Cliente-Controlador deve garantir adequação às políticas do WhatsApp

11.3. Responsabilidades do Cliente:

• Garantir que possui autorização legal para usar o WhatsApp Business
• Respeitar limites de envio e políticas anti-spam da Meta
• Obter consentimento adequado dos destinatários das mensagens
• Manter atualizações de segurança em suas instâncias do WhatsApp

12. Cookies, Tecnologias de Rastreamento e IA

12.1. Cookies e Tecnologias Web:

• Essenciais: Autenticação JWT e manutenção de sessão ativa
• Funcionais: Preferências de interface e configurações do usuário
• Analíticos: Métricas de uso agregadas e desidentificadas
• Segurança: Detecção de atividades suspeitas e prevenção de fraudes

12.2. Inteligência Artificial e Automação:

• Assistente de IA: Processamento de linguagem natural para respostas automatizadas
• Regras Automáticas: Fluxos de conversa inteligentes baseados em padrões
• Análise Preditiva: Otimização de horários e segmentação de envios
• Machine Learning: Aprendizado contínuo com dados anonimizados

12.3. Controle do Usuário:

• Configurações de cookies ajustáveis no navegador
• Opções de desabilitação de funcionalidades de IA quando tecnicamente viável
• Transparência sobre algoritmos que afetam decisões automatizadas

13. Proteção de Crianças e Adolescentes

13.1. Política Restritiva: A Plataforma Nomoz destina-se exclusivamente a empresas (pessoas jurídicas) e não coleta intencionalmente dados de menores de 18 anos.

13.2. Dados Acidentais: Eventuais dados de menores inseridos acidentalmente nas conversas do WhatsApp são de responsabilidade exclusiva do Cliente-Controlador.

13.3. Procedimentos de Identificação:

• Monitoramento automatizado para identificação de padrões que indiquem menores
• Flag de alerta quando detectados dados que possam pertencer a crianças
• Notificação imediata ao Cliente-Controlador responsável
• Remoção prioritária conforme determinações da LGPD
• Documentação de todas as ações tomadas para compliance

13.4. Cooperação com Autoridades: Relatos obrigatórios sobre situações que possam envolver exploração ou abuso de menores conforme legislação aplicável.

14. Gestão de Incidentes de Segurança

14.1. Detecção e Classificação:

• Monitoramento 24/7 com alertas automatizados para anomalias
• Classificação de severidade conforme impacto e abrangência
• Avaliação de risco com base em dados afetados e vulnerabilidades
• Ativação de protocolos de resposta em até 2 horas

14.2. Procedimentos de Notificação ("Privacy by Design"):

• ANPD: Comunicação em até 72 horas quando aplicável
• Clientes-Controladores: Notificação imediata para incidentes que os afetem
• Titulares: Comunicação direta quando risco alto e identificados
• Autoridades: Cooperação com órgãos competentes conforme determinação legal

14.3. Medidas de Mitigação:

• Isolamento imediato de sistemas comprometidos
• Preservação de evidências forenses para investigação
• Implementação de correções de segurança em caráter emergencial
• Acompanhamento pós-incidente por no mínimo 90 dias
• Relatório detalhado com lições aprendidas e melhorias implementadas

15. Limitações de Responsabilidade e Isenções

15.1. Limitações Gerais:

• Força Maior: Não respondemos por eventos imprevisíveis que impossibilitem o cumprimento desta política
• Ações de Terceiros: Isentação por vazamentos originados em sistemas de clientes ou fornecedores
• Uso Inadequado: Não respondemos por danos decorrentes de uso indevido da plataforma pelos usuários
• Dados Fornecidos: Cliente-Controlador responde pela veracidade e licitude dos dados fornecidos

15.2. Limitações Técnicas:

• Disponibilidade: Garantimos 99,5% de uptime, excluindo manutenções programadas
• APIs Externas: Não controlamos nem garantimos funcionamento de APIs de terceiros (WhatsApp, etc.)
• Recuperação: Esforços comerciais raáveis para recuperação em caso de falhas
• Compatibilidade: Sistema projetado para navegadores modernos com JavaScript habilitado

15.3. Danos Não Indenizáveis:

• Lucros cessantes e danos emergentes não diretamente relacionados a violações da LGPD
• Danos punitivos ou exemplares
• Perdas decorrentes de suspensões determinadas por terceiros (Meta, autoridades)
• Consequências de decisões tomadas com base em dados ou relatórios da plataforma

16. Alterações e Versionamento

16.1. Processo de Atualização:

• Revisões periódicas a cada 12 meses ou conforme alterações legislativas
• Versionamento com controle de mudanças e histórico de modificações
• Análise de impacto para alterações substantivas
• Aprovação por comitê de compliance antes da publicação

16.2. Comunicação de Mudanças:

• Mudanças Menores: Notificação via plataforma com 15 dias de antecedência
• Mudanças Substantivas: E-mail direto com 30 dias de antecedência
• Alterações Emergenciais: Comunicação imediata via múltiples canais
• Direito de Objeção: Opção de cancelamento sem ônus em caso de discordância substancial

17. Legislação Aplicável e Jurisdição

17.1. Marco Legal:

• LGPD: Lei Geral de Proteção de Dados (Lei nº 13.709/2018) como legislação principal
• Marco Civil: Marco Civil da Internet (Lei nº 12.965/2014)
• Complementares: Código de Defesa do Consumidor e legislação tributária
• International Standards: Referência a padrões internacionais quando aplicados à transferência internacional

17.2. Foro e Jurisdição:

• Foro Eleito: Comarca do Campinas, Estado do Campinas
• Renúncia: Renúncia expressa a qualquer outro foro, por mais privilegiado que seja
• Arbitragem: Opção de arbitragem para disputas comerciais complexas, conforme acordo entre as partes
• Cooperação Internacional: Submissão às autoridades brasileiras para questões de LGPD

18. Canais de Contato e Encarregado (DPO)

Documentação Necessária para Solicitações:

• Identificação oficial com foto (RG, CNH, Passaporte)
• Comprovante de vinculação com a empresa (quando aplicável)
• Descrição específica do direito que se deseja exercer
• Informações que facilitem a localização dos dados (período, tipo de informação, etc.)

19. Declaração de Conformidade

A Nomoz declara que:

• Esta Política foi elaborada em conformidade com a LGPD e melhores práticas internacionais
• Nossos sistemas e processos são auditados regularmente por especialistas independentes
• Mantemos documentação comprobatória de todas as medidas de proteção implementadas
• Estamos preparados para cooperar com a ANPD em investigações ou fiscalizações
• Nossos colaboradores recebem treinamento contínuo sobre proteção de dados

🔒 SEGURANÇA · 🚀 INOVAÇÃO · ⚓ CONFORMIDADE · 🎆 TRANSPARÊNCIA

Esta Política demonstra nosso compromisso inabalável com a proteção dos dados pessoais e a transparência em todos os processos de tratamento. A Nomoz opera com os mais altos padrões de segurança e ética, priorizando sempre os direitos e interesses dos titulares de dados.