Política de Privacidade

Última atualização: 30 de abril de 2026

A Bia (operada por seu fundador, com sede em São José dos Campos/SP) leva sua privacidade a sério. Esta política explica, em português direto, o que a gente coleta, por que coleta, e o que você pode fazer com seus dados.

Se você é cliente da Bia (dono do negócio que contratou): esta política se aplica a você. Se você é cliente do nosso cliente (alguém conversando com a Bia pelo WhatsApp): também se aplica, e o operador desses dados é o negócio que contratou - a Bia processa em nome dele.

1. Quais dados coletamos

Do dono do negócio (titular da conta Bia)

• Nome, email, telefone, nome do negócio, tipo do segmento
• Senha (armazenada com bcrypt - a gente não vê em texto puro)
• Dados de pagamento processados pelo gateway Asaas (a gente não armazena cartão; o Asaas é PCI-DSS compliant)
• Dados que você cadastra no painel: profissionais, serviços, preços, agenda, instruções pra Bia
• Logs técnicos (IP, navegador, ações no painel) - pra segurança e debug

Dos seus clientes finais (quem conversa com a Bia)

• Número de WhatsApp e nome (o que aparece pra Bia na conversa)
• Mensagens trocadas com a Bia (texto)
• Dados que o cliente fornecer pra agendar: nome completo, telefone, idade (se aplicável ao tipo de profissional)
• Histórico de agendamentos (data, profissional, status)

2. Como usamos esses dados

• Operar o serviço: responder mensagens, criar agendamentos, mandar lembretes D-1, gerar relatórios pro dono do negócio.
• Processar pagamentos: cobrança recorrente da assinatura via Asaas.
• Suporte: quando você nos pede ajuda, a gente acessa seus dados pra resolver.
• Segurança: detectar fraude, abuso, tentativas de invasão.
• Comunicação: mandar emails sobre seu trial expirando, cobrança, ou mudanças importantes.

Não usamos seus dados pra: treinar IA externa, vender pra terceiros, marketing de produto não relacionado, ou qualquer outra coisa que você não autorizou.

3. Com quem compartilhamos

Compartilhamos só o estritamente necessário, e só com fornecedores que assinam acordo de processamento de dados:

• Asaas - gateway de pagamento (cartão, cobrança recorrente)
• MongoDB Atlas - banco de dados (servidor no Brasil quando possível)
• Provedores de LLM (Google, Cerebras, SambaNova, Groq) - recebem só o texto da mensagem em curso, sem identificadores pessoais persistentes; não treinam modelo com seus dados (configuração contratual)
• Meta/WhatsApp - pra entrega da mensagem (mesma infraestrutura do WhatsApp Web que você já usa)
• Email transacional (Brevo/SendGrid) - só pra mandar email de cadastro e cobrança

Não vendemos dados. Não compartilhamos com anunciantes. Em caso de ordem judicial, cumprimos a lei.

4. Cookies e tracking

Usamos o mínimo necessário:

• Cookie de sessão (essencial): mantém você logado no painel
• Cookie CSRF (essencial): protege contra ataque de falsificação

Não usamos Google Analytics, Facebook Pixel, nem nenhum tracker de terceiros. Sem cookies de publicidade, sem fingerprinting.

5. Por quanto tempo guardamos

• Conta ativa: enquanto você for cliente
• Cancelou: 30 dias (caso você queira reativar). Depois disso, dados são apagados em cascata via processo automatizado (purgeTenant)
• Logs de cobrança: 5 anos (obrigação fiscal)
• Mensagens dos seus clientes: enquanto sua conta existir; apagadas com seu cancelamento

6. Como protegemos

• Senhas com bcrypt (hash + salt, nunca texto puro)
• HTTPS/TLS em toda a comunicação
• Sessão assinada criptograficamente (HMAC), cookie HttpOnly, SameSite
• Cada negócio é um "tenant" isolado no banco - dados de um cliente nunca vazam pro outro
• Webhooks de pagamento validados via assinatura HMAC
• Backup diário do banco de dados
• Rate limiting em rotas de autenticação contra força bruta

Em caso de incidente que afete seus dados, te avisamos em até 72 horas, em conformidade com a LGPD.

7. Seus direitos (LGPD - Lei nº 13.709/2018)

Você tem o direito de:

• Confirmação: saber se a gente trata seus dados
• Acesso: ver quais dados a gente tem sobre você
• Correção: pedir pra corrigir dados incorretos
• Anonimização ou exclusão: apagar dados que não precisam mais ser mantidos
• Portabilidade: receber seus dados em formato estruturado (JSON/CSV)
• Eliminação: apagar tudo, exceto o que a gente é obrigado a manter por lei (ex: notas fiscais)
• Informação sobre compartilhamento: quem mais tem seus dados (lista acima)
• Revogar consentimento: voltar atrás sobre qualquer autorização
• Reclamação à ANPD: você pode reclamar à Autoridade Nacional de Proteção de Dados (gov.br/anpd)

Bases legais que usamos

• Execução de contrato (art. 7º, V): pra entregar o serviço que você contratou
• Cumprimento de obrigação legal (art. 7º, II): nota fiscal, tributos
• Legítimo interesse (art. 7º, IX): segurança, prevenção a fraude, melhoria do serviço
• Consentimento (art. 7º, I): pra comunicação opcional (newsletter, novos recursos - você pode descadastrar a qualquer momento)

8. Como exercer seus direitos

Quer fazer qualquer uma dessas coisas? Manda um WhatsApp ou email pro Encarregado de Proteção de Dados (DPO):

• Email: contato@souabia.com
• WhatsApp:

Respondemos em até 15 dias. Você pode também exportar e apagar seus dados direto pelo painel: dashboard → Conta → Exportar / Cancelar.

9. Uso de Dados do Google

Ao conectar sua conta Google ao SouAbia por meio do login OAuth ou integrações autorizadas, poderemos acessar determinados dados da sua conta Google, conforme permitido por você durante o processo de autorização.

Dados Acessados

Os dados acessados podem incluir:

• Nome e sobrenome;
• Endereço de e-mail;
• Foto de perfil;
• Identificador único da conta Google;
• Dados adicionais autorizados explicitamente pelo usuário durante a integração.

O SouAbia acessa apenas os dados necessários para o funcionamento dos recursos oferecidos pela plataforma.

Como Utilizamos os Dados

Os dados do Google são utilizados exclusivamente para:

• autenticação e login do usuário;
• identificação e personalização da conta;
• funcionamento das integrações autorizadas;
• melhoria da experiência do usuário;
• suporte técnico e segurança da plataforma.

Os dados não são utilizados para publicidade direcionada nem vendidos a terceiros.

Compartilhamento de Dados

O SouAbia não vende, comercializa ou compartilha dados do Google com terceiros, exceto:

• quando necessário para operação de serviços essenciais da plataforma;
• quando exigido por lei ou ordem judicial;
• mediante consentimento explícito do usuário.

Armazenamento e Proteção

Os dados são armazenados em ambientes seguros, protegidos por medidas técnicas e administrativas adequadas para evitar acesso não autorizado, alteração, divulgação ou destruição indevida das informações.

Adotamos práticas de segurança compatíveis com os padrões do mercado para proteção dos dados dos usuários.

Retenção e Exclusão de Dados

Os dados são mantidos apenas pelo período necessário para fornecer os serviços da plataforma ou conforme exigido por obrigações legais.

O usuário pode solicitar a exclusão de seus dados a qualquer momento entrando em contato pelo e-mail de suporte informado nesta política. Após a solicitação, os dados serão removidos dentro de prazo razoável, salvo quando houver obrigação legal de retenção.

Conformidade com as Políticas do Google

O uso e transferência de informações recebidas das APIs do Google pelo SouAbia obedecem à Google API Services User Data Policy, incluindo os requisitos de Uso Limitado (Limited Use).

10. Conexão com o WhatsApp

Transparência é um valor fundamental da Bia. Por isso, queremos que você entenda exatamente como a conexão com o WhatsApp funciona - sem letras miúdas.

Como funciona a conexão

A Bia se conecta ao WhatsApp da mesma forma que o WhatsApp Web que você já conhece: escaneando um QR Code pelo celular. É o mesmo mecanismo que milhões de pessoas usam todos os dias para acessar suas conversas pelo computador - simples, familiar e seguro.

Nenhum aplicativo é instalado no seu celular. Nenhuma permissão especial é solicitada. Você escaneia o código, e pronto: a Bia começa a responder seus clientes.

O que a Bia não acessa

Isso é importante, então vamos ser bem diretos:

• Contatos do telefone - não lemos, não copiamos, não sincronizamos sua agenda
• Fotos, vídeos ou arquivos pessoais - seus arquivos são seus, ponto
• Localização - não temos ideia de onde seu celular está
• Chamadas telefônicas - não interceptamos, não gravamos, não ouvimos
• Outras conversas do WhatsApp - a Bia processa apenas as mensagens que chegam no número conectado à plataforma, e somente as que são destinadas ao atendimento do seu negócio
• Dados do aparelho - modelo, IMEI, apps instalados, bateria... nada disso nos interessa

Apenas o essencial

A Bia acessa exclusivamente as mensagens de texto recebidas no número conectado - e só para fazer o que você contratou: atender seus clientes, agendar horários e enviar lembretes. Nenhuma mensagem é usada para treinar modelos de IA, vendida a terceiros ou compartilhada fora do ecossistema do seu negócio.

Você está sempre no controle

A conexão pode ser desfeita a qualquer momento - basta desconectar pelo painel da Bia ou encerrar a sessão do WhatsApp Web no próprio celular. Quando você desconecta, a Bia perde imediatamente o acesso ao WhatsApp. Sem pegadinhas, sem processos ocultos rodando em segundo plano.

Pense na Bia como uma secretária que senta na recepção e atende o telefone do negócio. Ela ouve o que os clientes dizem pra ela - mas não mexe na sua gaveta, não olha seu celular pessoal e não lê seus recados de família.

11. Mudanças nesta política

Se mudarmos algo importante, avisamos por email com pelo menos 15 dias de antecedência. Pequenas correções de redação podem ser feitas sem aviso - a data no topo é sempre atualizada.