LabzFlow

Este Acordo de Tratamento de Dados ("DPA") é parte integrante dos Termos de Uso da LabzFlow e regula a relação entre a LabzFlow e o Cliente no que diz respeito ao tratamento dos dados pessoais dos leads disparados pela plataforma.

Ao aceitar os Termos de Uso, o Cliente aceita também este DPA.

1. Definições

Para os fins deste Acordo, aplicam-se as seguintes definições:

• LabzFlow ou Operadora: a plataforma LabzFlow, que processa dados pessoais em nome do Cliente conforme suas instruções.
• Cliente ou Controlador: pessoa física ou jurídica que contrata o serviço da LabzFlow e decide sobre o tratamento dos dados dos leads.
• Lead: pessoa física cujos dados (telefone, nome, e demais campos opcionais) são importados pelo Cliente para envio de mensagens via plataforma.
• LGPD: Lei nº 13.709/2018 (Lei Geral de Proteção de Dados Pessoais).
• ANPD: Autoridade Nacional de Proteção de Dados.
• Sub-operador: terceiro contratado pela LabzFlow para auxiliar no tratamento dos dados (ex: provedor de banco de dados).

2. Papéis das Partes

Nos termos do Art. 5º, VI e VII da LGPD:

• O Cliente é o Controlador dos dados dos leads. É o Cliente quem decide quais dados serão importados, com que finalidade, sob qual base legal e por quanto tempo serão utilizados.
• A LabzFlow é a Operadora desses dados. A LabzFlow processa os dados estritamente conforme as configurações e comandos do Cliente, e não toma decisões sobre o tratamento.

Esta distinção é importante: a responsabilidade primária perante o titular dos dados e perante a ANPD é do Cliente. A LabzFlow responde pelas obrigações do Operador previstas no Art. 39 da LGPD.

3. Objeto do Tratamento

A LabzFlow trata os seguintes dados pessoais em nome do Cliente:

• Dos leads importados: número de telefone, nome (quando fornecido), e quaisquer outros campos opcionais que o Cliente incluir no arquivo CSV de importação.
• Conteúdo das mensagens: os textos das mensagens que o Cliente configurar para disparo.
• Metadados de disparo: registros de envio, entrega, leitura, resposta e opt-out.

Finalidade do tratamento: envio de mensagens via WhatsApp conforme configurado pelo Cliente em suas campanhas.

A LabzFlow não utiliza os dados dos leads para nenhuma finalidade própria, incluindo treinamento de modelos, análise comercial, marketing direto ou compartilhamento com terceiros.

4. Obrigações do Cliente (Controlador)

Ao utilizar a plataforma, o Cliente declara e se compromete a:

1. Possuir base legal válida (Art. 7º da LGPD) para tratar os dados dos leads que importar — seja consentimento, legítimo interesse documentado, contrato pré-existente, ou outra hipótese aplicável.
2. Declarar a base legal a cada importação de lista, conforme o fluxo de upload da plataforma.
3. Garantir que os leads importados possuem vínculo legítimo com a finalidade da campanha (não importar listas de origem desconhecida, compradas, ou obtidas sem consentimento).
4. Responder pelas solicitações de titulares (Art. 18 da LGPD) — acesso, correção, exclusão, portabilidade — utilizando as ferramentas que a plataforma disponibiliza (ex: tela "Buscar Lead").
5. Notificar a LabzFlow imediatamente caso identifique tratamento indevido por parte da plataforma.
6. Cumprir todas as demais obrigações que a LGPD impõe ao Controlador.

A LabzFlow não é responsável por descumprimentos da LGPD decorrentes de decisões do Cliente quanto a base legal, conteúdo das mensagens ou origem dos dados.

5. Obrigações da LabzFlow (Operadora)

A LabzFlow se compromete a:

1. Tratar os dados estritamente conforme as instruções do Cliente, refletidas nas configurações da plataforma.
2. Implementar e manter medidas técnicas e administrativas de segurança compatíveis com as exigências do Art. 46 da LGPD e com as recomendações da ANPD para agentes de tratamento.
3. Manter registro das operações de tratamento realizadas em nome do Cliente (Art. 37 da LGPD).
4. Notificar o Cliente de qualquer incidente de segurança que envolva os dados dos leads, em até 24 (vinte e quatro) horas após a detecção, com as informações necessárias para que o Cliente cumpra suas obrigações de comunicação à ANPD (prazo de 3 dias úteis previsto no RCIS/ANPD).
5. Não utilizar os dados dos leads para qualquer finalidade própria.
6. Permitir ao Cliente, a qualquer momento, exportar seus dados em formato estruturado (CSV) ou excluir sua conta com remoção em cascata dos dados associados.
7. Auxiliar o Cliente no atendimento a solicitações de titulares, quando demandada para tal.

6. Sub-operadores

A LabzFlow utiliza os seguintes sub-operadores para a prestação do serviço:

Sub-operador	Finalidade	Localização dos dados
Supabase Inc.	Banco de dados e autenticação	AWS sa-east-1 (São Paulo, Brasil)
Provedor de WhatsApp (WuzAPI)	Envio das mensagens via API	VPS de propriedade do Cliente

O Cliente, ao aceitar este DPA, autoriza o uso dos sub-operadores listados.

A LabzFlow se compromete a:

1. Manter esta lista atualizada e publicamente acessível nesta página.
2. Notificar o Cliente com antecedência mínima de 30 dias caso pretenda incluir ou substituir sub-operador.
3. Garantir que os sub-operadores adotem padrões de segurança compatíveis com este DPA.

A LabzFlow é responsável perante o Cliente pelas ações de seus sub-operadores, nos termos do Art. 39 da LGPD.

Observação sobre transferência internacional: a Supabase Inc. é empresa sediada nos Estados Unidos, mas os dados do Cliente são armazenados exclusivamente em servidores localizados em território brasileiro (AWS sa-east-1, São Paulo). Não há transferência de dados para fora do Brasil em operações regulares da plataforma.

7. Segurança da Informação

A LabzFlow adota, entre outras, as seguintes medidas técnicas:

• Criptografia AES-256-GCM dos tokens de autenticação da API WhatsApp armazenados no banco
• Hash SHA-256 (com salt) de todos os endereços IP registrados
• Hash bcrypt das senhas (gerenciado pelo Supabase Auth — a LabzFlow não tem acesso à senha em texto claro)
• HTTPS obrigatório em todas as conexões
• Row Level Security (RLS) no banco de dados, garantindo que cada Cliente acesse apenas seus próprios dados
• Rate limiting em rotas sensíveis
• Headers de segurança em todas as respostas (HSTS, CSP, X-Frame-Options)
• Validação rigorosa de uploads de arquivos
• Logs de auditoria de ações sensíveis dos usuários

Detalhes técnicos adicionais e as limitações da criptografia estão descritos na Seção 10 da Política de Privacidade.

8. Plano de Resposta a Incidentes

Em caso de incidente de segurança envolvendo dados pessoais dos leads tratados pela plataforma, a LabzFlow:

1. Adotará medidas imediatas para conter o incidente
2. Notificará o Cliente em até 24 horas a partir da detecção, fornecendo:
   • Natureza dos dados afetados
   • Categorias e número aproximado de titulares envolvidos
   • Categorias e número aproximado de registros afetados
   • Medidas adotadas para mitigar os efeitos
   • Possíveis impactos aos titulares
3. Auxiliará o Cliente na elaboração da comunicação à ANPD, caso aplicável (Art. 48 da LGPD; RCIS/ANPD)
4. Manterá registro interno do incidente para fins de auditoria

9. Retenção e Eliminação

Os prazos de retenção dos dados dos leads são:

• Logs de disparo (dispatch_log): anonimização automática após 90 dias
• Logs de execução: exclusão após 30 dias
• Contatos de campanhas encerradas: anonimização após 90 dias
• Logs de auditoria do Cliente (access_log): exclusão após 180 dias
• Declarações de base legal (lgpd_consent_log) e aceites (terms_acceptance): retenção permanente como evidência legal, com anonimização do user_id em caso de exclusão de conta

Os prazos foram definidos com base na finalidade e necessidade do tratamento, conforme princípios do Art. 6º da LGPD, e podem ser ajustados se o Cliente comprovar exigência legal ou contratual específica que justifique prazo distinto.

No término do contrato entre o Cliente e a LabzFlow, o Cliente pode:

• Solicitar exportação completa dos dados em formato CSV (portabilidade — Art. 18, V da LGPD)
• Solicitar exclusão integral dos dados, com remoção em cascata

Os registros imutáveis (lgpd_consent_log, terms_acceptance) terão o user_id anonimizado, mas os registros em si serão preservados como evidência legal de que os tratamentos ocorreram conforme declarado pelo Cliente à época.

10. Direitos dos Titulares (Leads)

Embora o atendimento direto aos titulares seja responsabilidade do Cliente (Controlador), a LabzFlow oferece ferramentas para facilitar esse atendimento:

• Tela "Buscar Lead": permite ao Cliente localizar, editar, bloquear, excluir e exportar dados de qualquer lead, atendendo todos os direitos do Art. 18 da LGPD
• Opt-out automático: ao identificar palavras-chave de cancelamento ("sair", "pare", "stop", entre outras) nas respostas dos leads, a plataforma bloqueia imediatamente o contato e envia confirmação automática, conforme exigido pela LGPD

11. Vigência e Encerramento

Este DPA vigora enquanto o Cliente mantiver conta ativa na plataforma LabzFlow.

O Cliente pode encerrar o tratamento a qualquer momento por meio da função "Excluir Minha Conta" disponível no painel, ou solicitando o encerramento ao DPO da LabzFlow.

Após o encerramento, aplicam-se as regras de retenção e eliminação descritas na Seção 9.

12. Atualizações deste DPA

A LabzFlow pode atualizar este DPA para refletir mudanças regulatórias, novos sub-operadores ou aprimoramentos de processo. Mudanças relevantes serão:

• Comunicadas por e-mail ao Cliente
• Exigirão novo aceite no painel quando a mudança afetar materialmente os direitos do Cliente

A versão atual fica permanentemente disponível em /legal/dpa.

13. Disposições Finais

Foro: as partes elegem o foro da comarca de Jundiaí, Estado de São Paulo, para dirimir eventuais litígios decorrentes deste DPA, com renúncia expressa a qualquer outro, por mais privilegiado que seja.

Encarregado de Proteção de Dados (DPO) da LabzFlow:
Lucas Azevedo — privacidade@labzflow.com.br