Política de Privacidade — D3IA

Versão 1.0 — vigência a partir de 19 de maio de 2026. STATUS: RASCUNHO MVP — requer revisão jurídica antes do go-live em larga escala.

1. Quem somos

A D3IA é operada pela D3 Consultoria Empresarial Ltda. ("D3IA"), inscrita no CNPJ sob nº 39.633.779/0001-18, com sede na Av. Henriqueta Mendes Guerra, 1330, Centro, Barueri/SP, CEP 06401-160.

Esta Política descreve como tratamos os dados pessoais coletados pela plataforma, em conformidade com a Lei Geral de Proteção de Dados (Lei nº 13.709/2018 — LGPD).

Encarregado pelo Tratamento de Dados (DPO):

• Nome: Elyzio Neto
• Email: dpo@d3ia.com.br
• WhatsApp: +55 (11) 96364-2909

2. Dados que coletamos

2.1. Dados do Cliente (titular da conta D3IA)

| Tipo | Finalidade | Base legal (LGPD) | |---|---|---| | Nome completo, email, telefone | Cadastro, comunicação, suporte | Execução de contrato (Art. 7º, V) | | CPF/CNPJ (se fornecido) | Faturamento, nota fiscal | Cumprimento de obrigação legal (Art. 7º, II) | | Endereço de cobrança | Faturamento Stripe | Execução de contrato | | Dados de pagamento | Processamento via Stripe (NÃO armazenamos número do cartão) | Execução de contrato | | Logs de acesso (IP, user-agent, timestamps) | Segurança, auditoria LGPD | Legítimo interesse (Art. 7º, IX) |

2.2. Dados de Contatos (terceiros que conversam com o Cliente via WhatsApp)

| Tipo | Finalidade | Base legal | |---|---|---| | Número de telefone | Identificar conversa | Legítimo interesse do Cliente | | Nome do perfil WhatsApp | Personalização do atendimento | Legítimo interesse | | Conteúdo das mensagens | Histórico de atendimento, treinamento de IA do Cliente | Execução de contrato com o Cliente | | Mídia anexada (fotos, áudios, docs) | Armazenamento de histórico | Execução de contrato | | Tags, notas, status de conversa | Organização CRM | Execução de contrato |

Importante: os dados dos Contatos são tratados pela D3IA na qualidade de Operadora (Art. 5º, VII LGPD), sendo o Cliente o Controlador (Art. 5º, VI). Cabe ao Cliente garantir base legal junto aos seus contatos para tratamento.

2.3. Dados de uso (analytics)

• Páginas visitadas dentro da Plataforma
• Cliques em botões e tempo de sessão
• Métricas agregadas de adoção de features

Coletados via Sentry (relatos de erro) e (futuramente) ferramenta de analytics interna. Não usamos Google Analytics ou Meta Pixel no painel logado (a landing page pública pode usar).

3. Como usamos os dados

3.1. Operação do serviço: entregar funcionalidades contratadas (atendimento WhatsApp, CRM, IA).

3.2. Cobrança: processar pagamentos via Stripe.

3.3. Suporte: responder dúvidas, investigar incidentes técnicos.

3.4. Comunicação: enviar emails transacionais (ativação, OTP, recuperação de senha, faturas) e — apenas com opt-in explícito — comunicações promocionais ou newsletter.

3.5. Segurança e auditoria: registrar logs de acesso e ações sensíveis (login, conexão WhatsApp, mudança de role, deleção de dados) para compliance LGPD. Retidos por 5 anos ou conforme exigido por lei.

3.6. Inteligência Artificial: prompts e respostas processados pela Anthropic (Claude) e OpenAI (GPT). Esses provedores agem como Sub-operadores e tratam dados conforme suas próprias políticas (links no item 7).

4. Compartilhamento de dados

A D3IA NÃO vende dados. Compartilhamos apenas com:

| Sub-operador | Finalidade | Localização | Política | |---|---|---|---| | Stripe | Pagamentos | EUA + Brasil (Stripe Brasil) | stripe.com/br/privacy | | Resend + Amazon SES | Envio de email transacional | EUA / Brasil | resend.com/legal/privacy-policy | | Anthropic | Processamento IA Claude | EUA | anthropic.com/legal/privacy | | OpenAI | Processamento IA GPT | EUA | openai.com/policies/privacy-policy | | Voyage AI | Embeddings semânticos | EUA | voyageai.com/privacy | | Meta (WhatsApp Cloud API) | Entrega de mensagens WhatsApp | EUA | meta.com/legal/privacy | | Sentry | Monitoramento de erros (não recebe dados pessoais por padrão) | EUA | sentry.io/privacy | | Hostinger / Easypanel | Hospedagem servidor | Brasil + EUA | hostinger.com.br/privacy-policy | | Cloudflare (CDN) | Performance e proteção DDoS | EUA + edge global | cloudflare.com/privacypolicy |

Transferência internacional ocorre apenas para os provedores listados, todos com cláusulas contratuais padrão ou outras salvaguardas previstas em Art. 33 da LGPD.

5. Direitos do titular (Art. 18 LGPD)

Como titular dos dados, você pode a qualquer momento:

• Confirmar se a D3IA trata dados seus;
• Acessar seus dados (painel ou solicitação);
• Corrigir dados incompletos, inexatos ou desatualizados;
• Anonimizar, bloquear ou eliminar dados desnecessários ou tratados em desconformidade com a LGPD;
• Portar seus dados a outro fornecedor (formato CSV/XLSX no painel);
• Eliminar dados tratados com base no seu consentimento;
• Revogar consentimento previamente fornecido;
• Ser informado sobre compartilhamentos efetuados.

Como exercer: envie pedido para dpo@d3ia.com.br com cópia de documento de identidade (para evitar fraude). Prazo de resposta: 15 dias úteis.

6. Retenção de dados

| Tipo de dado | Prazo de retenção | |---|---| | Dados de cadastro (cliente ativo) | Enquanto a conta estiver ativa | | Dados de cadastro (após rescisão) | 30 dias para exportar; depois excluídos | | Logs de auditoria | 5 anos (compliance LGPD/CDC) | | Histórico de conversas WhatsApp | Conforme retenção configurada pelo Cliente (default 1 ano) | | Dados de pagamento (Stripe) | Stripe retém conforme regulação financeira (5+ anos) | | Backups | Rotação de 30 dias |

Após esses prazos, dados são anonimizados ou excluídos.

7. Segurança

A D3IA aplica medidas técnicas e organizacionais para proteger seus dados:

• Criptografia em trânsito (TLS 1.3) e em repouso (MongoDB encrypted at rest);
• Senhas armazenadas com hash bcrypt (custo 10);
• Autenticação JWT com tokens de curta duração + refresh rotacionados;
• Controle de acesso por papel (super_admin, admin, agent);
• Audit log de ações sensíveis (5 anos);
• Monitoramento contínuo via Sentry;
• Backups automáticos diários do banco;
• Servidor em datacenter Tier 3 com certificação ISO 27001 (Hostinger).

Em caso de incidente de segurança envolvendo dados pessoais, a D3IA comunicará a ANPD e os titulares afetados em até 72h após conhecimento do incidente, conforme Art. 48 da LGPD.

8. Cookies

A Plataforma usa cookies essenciais para sessão (session_token, accessToken) e preferências (selected_language, theme). Não usamos cookies de tracking de terceiros no painel logado.

Detalhes em Política de Cookies [se for ter página separada — opcional].

9. Crianças e adolescentes

A Plataforma não é dirigida a menores de 18 anos. Não coletamos dados de menores conscientemente. Se identificarmos dados de menor, removeremos imediatamente e notificaremos os responsáveis.

10. Alterações nesta política

Esta Política pode ser atualizada periodicamente. Mudanças relevantes serão comunicadas com 15 dias de antecedência por email ao titular ativo.

Versões anteriores ficam arquivadas em https://www.d3ia.com.br/privacidade/historico.

Última atualização: 19 de maio de 2026 Dúvidas: dpo@d3ia.com.br