Política de Privacidade

1. Introdução

O Synapse Agent valoriza a privacidade de seus usuários. Esta Política de Privacidade descreve como coletamos, usamos, armazenamos e protegemos suas informações pessoais em conformidade com a Lei Geral de Proteção de Dados (LGPD – Lei 13.709/2018).

2. Dados Coletados

Coletamos os seguintes tipos de dados:

• Dados de Identificação: Nome, e-mail, telefone
• Dados de Conta: Credenciais de acesso e preferências
• Dados de Uso: Logs de acesso e interações com a plataforma
• Dados de Comunicação: conteúdo das mensagens (texto, áudio, imagens e documentos), lista de contatos e histórico de conversas do número de WhatsApp que você conecta à plataforma — incluindo mensagens anteriores à conexão, conforme disponibilizadas pelo provedor de WhatsApp

3. Conexão de WhatsApp e Sincronização de Conversas

Para que a plataforma funcione, você conecta um número de WhatsApp. É essencial entender o que isso significa para os seus dados:

• Ao conectar um número, sincronizamos e armazenamos os contatos, o histórico e as novas mensagens daquele número, para exibi-los no CRM e viabilizar o atendimento.
• A sincronização NÃO distingue mensagens 'comerciais' de 'pessoais' — todo o conteúdo do número conectado é importado. Por isso, conecte apenas um número comercial/dedicado e NUNCA um número pessoal que contenha conversas privadas, íntimas ou de terceiros.
• Você é o controlador desses dados (LGPD) e responsável por possuir base legal para tratá-los, incluindo o consentimento das pessoas com quem se comunica por aquele número. O Synapse atua como operador, seguindo as suas instruções.
• A escolha do número conectado e o conteúdo nele existente são de sua exclusiva responsabilidade. Veja as obrigações e a cláusula de responsabilidade na seção 3 dos Termos de Uso.
• Você pode desconectar o número a qualquer momento e solicitar a exclusão dos dados já sincronizados (ver seções de Retenção e Exclusão de Dados).

4. Finalidade do Tratamento

Utilizamos seus dados para:

• Fornecer e manter nossos serviços
• Processar comunicações via WhatsApp
• Melhorar a experiência do usuário
• Enviar comunicações relevantes sobre o serviço
• Cumprir obrigações legais

5. Base Legal

O tratamento de dados é realizado com base no consentimento do usuário, execução de contrato, cumprimento de obrigação legal e legítimo interesse, conforme aplicável.

6. Compartilhamento de Dados

Seus dados podem ser compartilhados com:

• Provedores de serviços essenciais (hospedagem, processamento)
• Parceiros de integração (WhatsApp/Meta)
• Autoridades competentes quando exigido por lei

7. Acesso de Suporte Técnico

Para garantir a continuidade e a qualidade do serviço, profissionais autorizados da equipe técnica do Synapse podem, mediante necessidade legítima, acessar e operar a sua conta — incluindo conteúdo de mensagens trocadas via WhatsApp integrado — exclusivamente para diagnosticar e resolver incidentes.

• O acesso é restrito a colaboradores com obrigação contratual de confidencialidade.
• É acionado apenas mediante necessidade legítima — chamado de suporte aberto, incidente em produção ou requisição legal.
• Quando ocorre dentro da plataforma, é sinalizado por um banner visível em destaque ao operador durante toda a sessão.
• Todas as ações realizadas durante a sessão de suporte ficam registradas para fins de auditoria.
• Não realizamos leitura rotineira ou exploratória dos seus dados.
• Em caso de dúvida sobre um acesso específico, entre em contato com o nosso Encarregado de Dados (DPO).

8. Seus Direitos

Conforme a LGPD, você tem direito a:

• Confirmar a existência de tratamento
• Acessar seus dados
• Corrigir dados incompletos ou desatualizados
• Solicitar anonimização ou exclusão
• Solicitar portabilidade dos dados
• Revogar consentimento

9. Segurança

Implementamos medidas técnicas e organizacionais para proteger seus dados, incluindo criptografia, controle de acesso e monitoramento contínuo.

10. Retenção de Dados

Mantemos seus dados enquanto sua conta estiver ativa ou conforme necessário para cumprir obrigações legais. Após exclusão da conta, dados são mantidos por período mínimo legal e depois anonimizados ou excluídos.

11. Cookies e Armazenamento Local

Utilizamos cookies e armazenamento local do navegador estritamente necessários para o funcionamento da plataforma. Não usamos cookies publicitários ou de rastreamento de terceiros.

• sb-auth-token (cookie): mantém sua sessão autenticada com expiração de 7 dias, com atributos SameSite=Lax e Secure (em produção)
• active_company_id (localStorage): lembra qual empresa você selecionou por último, quando você tem acesso a múltiplas
• sidebar:state (cookie): preferência de menu lateral expandido ou colapsado
• impersonated_company_id / impersonated_company_name (sessionStorage): usado apenas pela equipe técnica do Synapse durante atendimento de suporte (modo somente-leitura), expira ao fechar a aba
• Esses dados ficam restritos ao seu navegador e perfil. Janelas anônimas/privadas usam jars de cookies separadas — sua sessão da janela normal não é compartilhada com a janela anônima
• Você pode limpar esses dados a qualquer momento pelas configurações do navegador, o que efetua o logout

12. Integrações de Terceiros (Meta Lead Ads & WhatsApp Cloud API)

O Synapse Agent integra-se com plataformas da Meta (Facebook, Instagram e WhatsApp) para receber leads de anúncios e processar conversas. Nessa integração:

• Dados recebidos do Meta Lead Ads: nome, e-mail, telefone, respostas dos campos do formulário do anúncio (raw_field_data), além de metadados técnicos como leadgen_id, form_id, ad_id, campaign_id e platform (Facebook/Instagram). Esses dados são fornecidos pelo lead final ao submeter um formulário de anúncio no Facebook ou Instagram, sob consentimento concedido à Meta no momento da submissão.
• Dados recebidos do WhatsApp Cloud API: número de telefone, nome de exibição público e conteúdo das mensagens trocadas com a empresa anunciante, exclusivamente para fins de atendimento e gestão comercial.
• Finalidade: popular o CRM da empresa anunciante para que ela atenda o lead — encaminhamento ao funil de vendas, atribuição a um agente, envio de mensagens automatizadas via WhatsApp e atualizações de status.
• Base legal do lead final: consentimento explícito concedido à Meta no momento da submissão do formulário do anúncio (Política de Dados da Meta) + legítimo interesse da empresa anunciante em atender o lead capturado, nos termos do art. 7º, IX da LGPD.
• Permissões Meta solicitadas pelo Synapse: leads_retrieval (baixar dados do formulário do anúncio), pages_show_list (listar páginas que o usuário gerencia), pages_read_engagement (ler metadados da página para inscrição no webhook leadgen), pages_manage_ads (acessar formulários de Lead Ads associados à página), business_management (listar Portfólios Comerciais do usuário) e ads_read (enriquecer leads com metadados de campanha, conjunto de anúncios e criativo). O Synapse opera em conformidade com os Termos da Plataforma Meta e as Políticas para Desenvolvedores.
• Tokens de acesso Meta: armazenamos um token long-lived (até 60 dias) por empresa conectada e tokens de página, exclusivamente para chamadas técnicas às APIs do Meta. Tokens ficam restritos ao backend, nunca expostos ao frontend.
• Retenção: dados de lead vindos do Meta seguem a mesma política de retenção do CRM da empresa anunciante (item 10). Tokens Meta são revogados imediatamente após desconexão da integração na configuração do Synapse.
• Não compartilhamos dados de leads de volta com a Meta — não utilizamos Conversions API (CAPI), audiências lookalike, nem qualquer pixel de remarketing nessa integração.
• Direitos do lead final: você pode solicitar acesso, correção ou exclusão dos seus dados a qualquer momento via nossa Página de Exclusão de Dados (/data-deletion) ou pelo e-mail do Encarregado de Dados (DPO) abaixo.

13. Exclusão de Dados

Você (usuário do CRM ou lead final capturado por um anúncio) pode solicitar a exclusão dos seus dados a qualquer momento:

• Página dedicada: /data-deletion — formulário com instruções e canal direto
• E-mail: dpo@synapseagent.io (DPO) — resposta em até 15 dias úteis
• Para leads do Meta: identifique-se com seu nome + e-mail/telefone usados no anúncio + nome da empresa anunciante (controlador dos dados)
• Após confirmação da identidade, removemos seus dados pessoais do CRM. Mantemos apenas registros mínimos exigidos por lei (ex.: logs de auditoria, obrigações fiscais) pelo período legal mínimo

14. Listas de Contatos para Disparos em Massa

Quando você (empresa usuária do CRM) importa uma lista de contatos para uma campanha de disparo:

• Processamos o nome e o telefone desses contatos como operador (LGPD, art. 5º, VII), exclusivamente para executar as campanhas que você configura na plataforma.
• Você é o controlador desses dados e declara possuir base legal (consentimento ou outra hipótese da LGPD) para contatá-los. A responsabilidade pela origem da lista e pelo conteúdo das mensagens é sua.
• Mantemos uma lista de descadastro (opt-out) com os números que solicitaram parar de receber mensagens (ex.: respostas com PARAR/STOP/CANCELAR), para impedir novos envios a esses contatos.
• O titular dos dados pode solicitar acesso, correção ou exclusão a qualquer momento, junto à empresa anunciante (controladora) ou pelo nosso Encarregado de Dados (DPO).

15. Alterações

Esta política pode ser atualizada periodicamente. Notificaremos sobre alterações significativas através da plataforma ou por e-mail.