Política de Privacidade
Última atualização: 12 de março de 2026
1. Identificação do controlador
O controlador dos dados pessoais tratados por meio da plataforma WhatssPlace é:
- Responsável: Caio Pereira
- E-mail de contato: caio@inovva.tech
2. Encarregado de proteção de dados (DPO)
Em conformidade com o art. 41 da Lei Geral de Proteção de Dados (LGPD — Lei nº 13.709/2018), o encarregado pelo tratamento de dados pessoais pode ser contatado pelo e-mail: caio@inovva.tech.
3. Dados pessoais coletados
A WhatssPlace coleta diferentes categorias de dados pessoais conforme o perfil do usuário e a funcionalidade utilizada:
3.1 Dados de cadastro (lojistas)
- Nome completo e e-mail
- Senha (armazenada de forma criptografada)
- Dados da empresa (quando aplicável)
3.2 Dados de clientes (checkout)
- Nome completo
- Número de telefone (WhatsApp)
- CPF (necessário para emissão fiscal e processamento de pagamentos)
- Informações de pagamento (processadas pelo Mercado Pago — não armazenamos dados de cartão)
3.3 Dados técnicos e de uso
- Endereço IP
- Tipo de dispositivo, sistema operacional e navegador
- Cookies e identificadores de sessão
- Tokens de notificação push (Web Push e Firebase Cloud Messaging)
- Dados de navegação e interação com a plataforma
3.4 Dados de integrações
- Tokens OAuth de acesso ao Bling ERP (produtos, pedidos e dados fiscais)
- Tokens OAuth de acesso ao Mercado Pago (transações e informações de conta)
- Dados de conexão com UazAPI/WhatsApp (grupos configurados, status de conexão)
4. Finalidades e bases legais do tratamento
Cada tratamento de dados pessoais possui uma finalidade específica e está amparado em uma base legal prevista no art. 7º da LGPD:
| Finalidade | Dados utilizados | Base legal (LGPD) |
|---|---|---|
| Criação e gestão de conta | Nome, e-mail, senha | Execução de contrato (art. 7º, V) |
| Processamento de reservas e checkout | Nome, telefone, CPF | Execução de contrato (art. 7º, V) |
| Processamento de pagamentos via PIX | CPF, dados de pagamento | Execução de contrato (art. 7º, V) |
| Emissão de documentos fiscais (Bling) | CPF, dados de pedido | Cumprimento de obrigação legal (art. 7º, II) |
| Envio de notificações transacionais (SMS, WhatsApp, push) | Telefone, tokens de push | Execução de contrato (art. 7º, V) |
| Envio de notificações de marketing | E-mail, telefone | Consentimento (art. 7º, I) |
| Integração com WhatsApp (UazAPI) | Dados de grupos, mensagens | Execução de contrato (art. 7º, V) |
| Integração com Bling ERP | Tokens OAuth, produtos, pedidos | Execução de contrato (art. 7º, V) |
| Integração com Mercado Pago | Tokens OAuth, dados de transação | Execução de contrato (art. 7º, V) |
| Segurança e prevenção de fraudes | IP, dados de dispositivo, logs | Legítimo interesse (art. 7º, IX) |
| Análise de uso e melhoria da plataforma | Dados de navegação, cookies | Legítimo interesse (art. 7º, IX) |
| Proteção ao crédito | CPF, dados de pagamento | Proteção ao crédito (art. 7º, X) |
5. Compartilhamento de dados com terceiros
Os dados pessoais podem ser compartilhados com os seguintes parceiros e prestadores de serviço, exclusivamente para as finalidades descritas nesta política:
5.1 Supabase (banco de dados e autenticação)
Armazenamento de dados e autenticação de usuários. Servidores localizados nos Estados Unidos. Política de privacidade: supabase.com/privacy.
5.2 Mercado Pago (processamento de pagamentos)
Processamento de pagamentos via PIX. Os dados de pagamento são tratados diretamente pelo Mercado Pago em conformidade com o padrão PCI DSS. Não armazenamos dados de cartão de crédito. Política de privacidade: mercadopago.com/privacy.
5.3 Bling ERP (gestão de produtos e pedidos)
Integração para busca de produtos, criação de pedidos e emissão fiscal. Os dados de ERP pertencem ao lojista (tenant) e são processados em seu nome. Política de privacidade: lwsa.tech/politicas.
5.4 UazAPI / WhatsApp (mensagens)
Envio de mensagens transacionais e notificações via WhatsApp. Apenas dados necessários para o envio da mensagem (número de telefone e conteúdo) são compartilhados.
5.5 Firebase / Google Cloud (notificações push)
Envio de notificações push para dispositivos móveis via Firebase Cloud Messaging (FCM). Tokens de dispositivo são armazenados para o direcionamento das notificações. Política de privacidade: policies.google.com/privacy.
5.6 Umami (análise de uso)
Ferramenta de analytics que coleta dados de navegação de forma anonimizada, sem uso de cookies de rastreamento e em conformidade com a LGPD.
6. Transferência internacional de dados
Alguns dos nossos prestadores de serviço possuem servidores localizados fora do Brasil, especialmente nos Estados Unidos:
- Supabase — servidores nos EUA
- Firebase / Google Cloud — servidores globais
- Mercado Pago — pode processar dados em servidores fora do Brasil
Essas transferências são realizadas com base no art. 33 da LGPD, amparadas por cláusulas contratuais padrão e pela adoção, por parte dos prestadores, de medidas de segurança adequadas ao nível de proteção exigido pela legislação brasileira.
7. Cookies e tecnologias de rastreamento
A WhatssPlace utiliza os seguintes tipos de cookies:
- Cookies essenciais: necessários para o funcionamento da plataforma, incluindo autenticação de sessão e preferências de tema. Base legal: execução de contrato.
- Cookies de analytics: utilizados pelo Umami para análise agregada e anonimizada do uso da plataforma. Não rastreiam usuários individualmente.
Não utilizamos cookies de publicidade ou rastreamento entre sites (cross-site tracking).
8. Retenção de dados
Os dados pessoais são retidos pelo período necessário para cumprir as finalidades para as quais foram coletados:
- Dados de conta: mantidos enquanto a conta estiver ativa. Após exclusão da conta, os dados são eliminados em até 30 dias, exceto quando houver obrigação legal de retenção.
- Dados de transações e reservas: mantidos por 5 (cinco) anos para cumprimento de obrigações fiscais e tributárias (art. 173 do CTN e legislação fiscal aplicável).
- Dados de checkout (clientes): mantidos pelo período da reserva e por até 5 anos para fins fiscais.
- Tokens de integração (Bling, Mercado Pago, WhatsApp): mantidos enquanto a integração estiver ativa. Revogados imediatamente quando o lojista desconecta a integração.
- Tokens de notificação push: mantidos enquanto o dispositivo estiver registrado. Removidos quando o usuário revoga a permissão.
- Logs de segurança: mantidos por até 6 meses para fins de prevenção de fraudes e incidentes de segurança.
9. Medidas de segurança
Adotamos medidas técnicas e organizacionais para proteger os dados pessoais contra acesso não autorizado, destruição, perda, alteração ou qualquer forma de tratamento inadequado:
- Criptografia de dados em trânsito (TLS/HTTPS) e em repouso
- Autenticação segura com hash de senhas (bcrypt)
- Isolamento de dados por tenant (Row Level Security — RLS) no banco de dados
- Tokens OAuth armazenados de forma segura com renovação automática
- Controle de acesso baseado em funções (RBAC) para funcionalidades do painel
- Monitoramento contínuo de segurança e logs de acesso
- Pagamentos processados em ambiente seguro PCI DSS do Mercado Pago
10. Direitos do titular dos dados
Em conformidade com os artigos 17 a 22 da LGPD, você possui os seguintes direitos em relação aos seus dados pessoais:
- Confirmação e acesso: confirmar a existência de tratamento e acessar seus dados pessoais.
- Correção: solicitar a correção de dados incompletos, inexatos ou desatualizados.
- Anonimização, bloqueio ou eliminação: solicitar a anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
- Portabilidade: solicitar a portabilidade dos seus dados a outro fornecedor de serviço.
- Eliminação de dados tratados com consentimento: solicitar a eliminação dos dados pessoais tratados com base no seu consentimento.
- Informação sobre compartilhamento: obter informações sobre as entidades públicas e privadas com as quais compartilhamos seus dados.
- Informação sobre o consentimento: ser informado sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa.
- Revogação do consentimento: revogar o consentimento a qualquer momento, de forma gratuita e facilitada.
- Revisão de decisões automatizadas: solicitar a revisão de decisões tomadas unicamente com base em tratamento automatizado de dados.
Como exercer seus direitos
Para exercer qualquer um dos direitos acima, envie uma solicitação para caio@inovva.tech informando seu nome completo, e-mail cadastrado e o direito que deseja exercer.
Responderemos à sua solicitação no prazo de 15 (quinze) dias, contados da data do recebimento, conforme o art. 18, §5º da LGPD.
Exclusão de conta e dados
Você pode solicitar a exclusão completa da sua conta e dos dados pessoais associados a qualquer momento, pelo e-mail acima ou diretamente pela plataforma. Dados sujeitos a obrigação legal de retenção serão mantidos pelo prazo exigido e eliminados posteriormente.
11. Dados de crianças e adolescentes
A plataforma WhatssPlace não é direcionada a crianças ou adolescentes menores de 18 anos. Não coletamos intencionalmente dados pessoais de menores de idade. Caso identifiquemos que dados de um menor foram coletados, estes serão eliminados imediatamente. Se você acredita que um menor forneceu dados pessoais à plataforma, entre em contato conosco pelo e-mail caio@inovva.tech.
12. Notificação de incidentes de segurança
Em caso de incidente de segurança que possa acarretar risco ou dano relevante aos titulares de dados, notificaremos a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados em prazo razoável, conforme o art. 48 da LGPD, descrevendo:
- A natureza dos dados pessoais afetados
- Os titulares envolvidos
- As medidas técnicas e de segurança adotadas
- Os riscos relacionados ao incidente
- As medidas que foram ou que serão adotadas para reverter ou mitigar os efeitos
Parceiros de integração (incluindo o Mercado Pago) serão notificados imediatamente em caso de incidentes que envolvam dados processados em conjunto.
13. Dados de integrações com ERP
Os dados de produtos, pedidos e informações fiscais obtidos via integração com o Bling ERP pertencem ao lojista (tenant) e são processados pela WhatssPlace exclusivamente em seu nome e por sua solicitação. A WhatssPlace atua como operadora desses dados, seguindo as instruções do lojista (controlador).
Os tokens de acesso OAuth ao Bling são armazenados de forma segura e utilizados exclusivamente para as funcionalidades contratadas (busca de produtos, criação de pedidos e emissão fiscal).
14. Notificações push
A WhatssPlace utiliza notificações push (Web Push via VAPID e Firebase Cloud Messaging) para enviar alertas transacionais, como notificações de novas reservas. O envio de notificações push requer seu consentimento explícito, que pode ser revogado a qualquer momento pelas configurações do navegador ou dispositivo.
Os tokens de dispositivo são armazenados em nosso banco de dados e compartilhados com o Firebase/Google exclusivamente para o envio das notificações.
15. Alterações nesta política
Esta política de privacidade poderá ser atualizada periodicamente para refletir mudanças em nossas práticas de tratamento de dados ou na legislação aplicável. Notificaremos os usuários sobre alterações relevantes por meio de aviso na plataforma ou por e-mail. Recomendamos a consulta periódica desta página.
A continuidade do uso da plataforma após a publicação de alterações constitui concordância com a política atualizada.
16. Legislação aplicável
Esta política é regida pela legislação brasileira, em especial pela Lei nº 13.709/2018 (LGPD), pelo Marco Civil da Internet (Lei nº 12.965/2014) e pelo Código de Defesa do Consumidor (Lei nº 8.078/1990).
17. Contato
Para dúvidas, solicitações ou reclamações sobre o tratamento dos seus dados pessoais:
- E-mail: caio@inovva.tech
Caso não esteja satisfeito com a nossa resposta, você tem o direito de apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) pelo site gov.br/anpd.