Esta Política de Privacidade descreve como a LabzFlow coleta, usa e protege os dados dos usuários do painel (clientes que contratam o serviço). Para informações sobre o tratamento dos dados dos leads disparados, consulte o Acordo de Tratamento de Dados (DPA), disponível em /legal/dpa, que é parte integrante dos Termos de Uso e foi aceito no primeiro acesso à plataforma.
1. Quem somos
A LabzFlow é uma plataforma SaaS de automação de mensagens WhatsApp. Nos termos da LGPD (Lei 13.709/2018), a LabzFlow atua como Operadora dos dados dos leads importados pelos clientes, e como Controladora dos dados dos próprios usuários do painel.
Responsável / DPO: Lucas Azevedo · privacidade@labzflow.com.br
2. Dados que coletamos sobre você (usuário do painel)
- E-mail e senha — usados para autenticação via Supabase Auth
- Endereço IP (hasheado) — registrado nas ações relevantes para fins de segurança (SHA-256 + salt; não é possível reverter para o IP original)
- User-agent do navegador — modelo do navegador/dispositivo, truncado a 200 caracteres
- Logs de ação — registros de login, logout, upload de CSV, ativação/pausa de campanhas e exclusão de conta (tabela
access_log)
- Aceite de Termos de Uso — data, hora e versão aceita (tabela
terms_acceptance)
- Declarações de base legal — cada vez que você importa um CSV, registramos sua declaração de posse de base legal LGPD (tabela
lgpd_consent_log)
3. Para que usamos seus dados
- Autenticação e controle de acesso ao painel
- Segurança e rastreabilidade de ações (auditoria)
- Cumprimento de obrigações legais (LGPD, resposta a requisições de autoridades)
- Comunicações sobre o serviço (e-mail cadastrado)
4. Base legal para o tratamento
- Execução de contrato (Art. 7º, V) — dados necessários para prestar o serviço contratado
- Legítimo interesse (Art. 7º, IX) — logs de segurança e auditoria
- Cumprimento de obrigação legal (Art. 7º, II) — registros de consentimento e aceite
5. Com quem compartilhamos
- Supabase Inc. — banco de dados e autenticação. Empresa sediada nos Estados Unidos, com dados armazenados exclusivamente em servidores AWS sa-east-1 (São Paulo, Brasil). Não há transferência de dados para fora do território nacional em operações regulares.
- Infraestrutura do cliente — VPS fornecida pelo próprio cliente para hospedagem do WuzAPI (não temos acesso)
Não vendemos nem compartilhamos seus dados com terceiros para fins de marketing.
6. Tempo de retenção
- Registros de auditoria de acesso — 180 dias, depois deletados automaticamente
- Registros de declaração de base legal (uploads) — retidos permanentemente (evidência legal)
- Registros de aceite dos Termos de Uso — retidos permanentemente (prova de aceite)
- Dados de conta — mantidos enquanto a conta estiver ativa; excluídos em cascata ao solicitar exclusão da conta
Importante sobre exclusão de conta: ao excluir sua conta, os registros de declaração de base legal não são apagados — o identificador do usuário é anulado (anonimização), mas o registro em si permanece como evidência legal de que uma importação foi realizada com declaração de base legal. Isso é exigido pela LGPD e não pode ser contornado a pedido.
7. Seus direitos como titular
Nos termos dos Arts. 17 a 22 da LGPD, você tem direito a:
- Acesso — saber quais dados temos sobre você
- Correção — corrigir dados incompletos ou desatualizados
- Exclusão — solicitar a exclusão da sua conta e todos os dados associados (disponível em Configurações → Excluir Minha Conta)
- Portabilidade — receber seus dados em formato estruturado
- Revogação do consentimento — quando o tratamento for baseado em consentimento
- Oposição — opor-se ao tratamento em casos de descumprimento da LGPD
- Informação sobre uso compartilhado — saber com quais terceiros (sub-operadores) seus dados são compartilhados, conforme listado nesta Política e no DPA
8. Como exercer seus direitos
Entre em contato com nosso DPO pelo e-mail privacidade@labzflow.com.br. O prazo de resposta é de até 15 dias corridos, conforme orientação da ANPD.
Para exclusão de conta, utilize diretamente o painel em Configurações → Excluir Minha Conta.
9. Cookies e rastreamento
O LabzFlow não utiliza cookies de rastreamento, analytics ou qualquer ferramenta de monitoramento de comportamento (Google Analytics, Hotjar, Meta Pixel ou similares).
Por isso, este painel não exibe banner de cookies. A ausência do banner não é um esquecimento — é uma escolha deliberada de não coletar dados além do estritamente necessário para o funcionamento do serviço.
Os únicos dados técnicos armazenados são os descritos na seção 2 desta política (e-mail, IP hasheado e logs de ação), todos com finalidade exclusiva de segurança e conformidade legal.
10. Segurança
O que é criptografado
- Credenciais da API WhatsApp (tokens WuzAPI) — armazenadas com criptografia AES-256-GCM no banco de dados
- Endereços IP — nunca armazenados em texto claro; convertidos com hash SHA-256 irreversível antes de qualquer gravação
- Senhas — gerenciadas pelo Supabase Auth com hash bcrypt; a LabzFlow nunca tem acesso à sua senha em texto claro
O que não é criptografado (mas é protegido por controle de acesso)
Por razões de funcionalidade (o sistema precisa ler e enviar esses dados), os seguintes dados são armazenados em texto simples, protegidos por Row Level Security e controle de acesso:
- Telefones e nomes dos leads importados
- Texto das mensagens das campanhas
- Logs de disparo (anonimizados automaticamente após 90 dias)
Isso significa que a proteção desses dados depende do controle de acesso ao banco (RLS) e à infraestrutura, não de criptografia individual de campos.
Limite da criptografia em repouso
A criptografia AES-256-GCM dos tokens protege contra vazamento direto do banco de dados (ex: dump de tabela). Ela não protege contra comprometimento total da infraestrutura. A chave de criptografia é gerenciada de forma segura, separada do código-fonte e dos sistemas de controle de versão.
Outras medidas
HTTPS obrigatório, controle de acesso baseado em papéis (RBAC), Row Level Security (RLS) em todas as tabelas e rate limiting nas rotas de API.
11. Atualizações desta política
Esta política pode ser atualizada. Mudanças relevantes serão comunicadas por e-mail e exigirão novo aceite no painel. A versão atual é v1.1.
LabzFlow · privacidade@labzflow.com.br · LGPD (Lei 13.709/2018)