Documento legal

Política de Privacidade

Última atualização: 23 de maio de 2026

Esta Política de Privacidade descreve como a plataforma ReefFlow Bot coleta, utiliza, compartilha e protege dados pessoais. Recomendamos a leitura integral antes de utilizar o serviço.

1.Controlador e Operador de Dados

Razão Social: Raphael Pinheiro da Silva Consultoria em Tecnologia da Informação LTDA
Nome Fantasia: ZION IT SOLUTIONS
CNPJ: 56.062.229/0001-05
Endereço: Av. Marechal Câmara, 160, Centro, Rio de Janeiro/RJ, CEP 20020-080
Encarregado de Dados (DPO): Raphael Pinheiro da Silva
E-mail: privacidade@reefflow.com.br

Esta Política está em conformidade com a LGPD (Brasil), o GDPR (UE) e o CCPA (Califórnia), quando aplicável.

A plataforma ReefFlow Bot atua sob dois papéis distintos previstos na LGPD, conforme o titular dos dados:

Em relação aos dados dos Assinantes (lojas que contratam a plataforma), a ReefFlow Bot é a controladora — define as finalidades e os meios do tratamento desses dados.
Em relação aos dados dos Clientes finais (consumidores que interagem com o bot no WhatsApp do Assinante), a ReefFlow Bot é a operadora — trata os dados conforme as instruções do Assinante, que é o controlador desses dados.

2.Definições

Para os fins desta Política, consideram-se:

Plataforma ou ReefFlow Bot: o sistema de atendimento automatizado por WhatsApp operado pela ZION IT SOLUTIONS.
Assinante: a pessoa jurídica ou física que contrata a assinatura do ReefFlow Bot para a sua loja de aquarismo.
Cliente final: o consumidor que interage com o Assinante por meio do bot no WhatsApp.
Bot: o assistente virtual automatizado que conduz o atendimento no WhatsApp do Assinante.
LLM: o modelo de linguagem de inteligência artificial de terceiros utilizado para gerar respostas.
Painel: a interface web pela qual o Assinante acompanha conversas, pedidos e métricas.

3.Dados que coletamos

3.1 Dados do Assinante

Nome completo e endereço de e-mail.
Telefone de contato e CNPJ (quando pessoa jurídica).
Senha de acesso ao Painel (armazenada com hash criptográfico — nunca em texto puro).
Foto de perfil (opcional) e preferências de idioma.

3.2 Dados de Clientes finais (tratados em nome do Assinante)

Número de telefone do WhatsApp utilizado para a interação.
Nome do perfil do WhatsApp, quando público.
Conteúdo das mensagens trocadas com o bot.
Dados fornecidos pelo Cliente final ao Bot para finalizar pedidos (endereço de entrega, observações, preferências).

3.3 Dados de uso e técnicos

Funcionalidades utilizadas e padrões de navegação no Painel.
Endereço IP, tipo de dispositivo, navegador e sistema operacional.
Logs operacionais e relatórios de falhas para fins de diagnóstico.

3.4 Dados de pagamento

Não coletamos nem armazenamos dados de cartão de crédito ou débito. O processamento de pagamentos da assinatura é realizado exclusivamente pelo provedor terceirizado Stripe, sob a sua própria política de privacidade.

4.Como usamos os dados

Prestação do serviço: executar o bot, sincronizar dados do catálogo e dos pedidos, manter a assinatura ativa e fornecer acesso ao Painel.
Comunicação: enviar notificações operacionais, alertas, mensagens de suporte e avisos de escalonamento de atendimento.
Melhoria do produto: analisar uso agregado, corrigir falhas e desenvolver novas funcionalidades; sempre que possível, em formato agregado ou anonimizado.
Segurança: prevenir fraudes, abusos e uso indevido da plataforma, monitorar a integridade do sistema e proteger os direitos das partes.
Cumprimento legal: atender obrigações legais, regulatórias e ordens judiciais ou administrativas.

5.Compartilhamento e provedores

Jamais vendemos, alugamos ou comercializamos dados pessoais.

Compartilhamos dados estritamente necessários apenas com os seguintes provedores de serviço:

Google Cloud Platform

Hospedagem do backend (Cloud Run), banco de dados (Firestore), cache (Memorystore Redis) e fila de mensagens (Pub/Sub). Região primária: southamerica-east1 (Brasil).

Firebase Auth

Autenticação dos Assinantes no Painel, incluindo gestão de sessão e proteção contra acessos não autorizados.

Stripe

Processamento dos pagamentos da assinatura. A Stripe atua como controladora dos dados de pagamento conforme sua própria política.

WhatsApp / Meta e Evolution API

Integração com o WhatsApp para envio e recebimento das mensagens do bot. O fluxo de mensagens passa por estas plataformas conforme as suas respectivas políticas.

Provedor de LLM contratado pelo Assinante

Para gerar respostas em linguagem natural, o conteúdo das mensagens é enviado ao provedor de LLM (por exemplo, OpenAI ou Anthropic) escolhido e contratado pelo Assinante, utilizando a chave de API fornecida por ele. A relação contratual e a política de privacidade do provedor de LLM são de responsabilidade do Assinante.

APIs de frete

Quando habilitadas pelo Assinante (por exemplo, Melhor Envio), recebem dados estritamente necessários ao cálculo de prazos e custos de envio.

Também podemos compartilhar dados quando exigido por lei, ordem judicial ou para proteger direitos, propriedade e segurança da Plataforma e de seus usuários.

6.Inteligência artificial e LLM

Para gerar respostas em linguagem natural, o ReefFlow Bot utiliza modelo de linguagem de inteligência artificial (LLM) de terceiros, contratado e custeado diretamente pelo Assinante. A chave de API do LLM é fornecida pelo Assinante; a Plataforma apenas integra tecnicamente o serviço.

O conteúdo das mensagens trocadas com o bot pode ser transmitido ao provedor de LLM escolhido pelo Assinante para fins exclusivos de geração da resposta. As condições de tratamento de dados desse processamento são regidas pela política do provedor de LLM, cabendo ao Assinante avaliá-las e divulgá-las aos seus Clientes finais quando aplicável.

Recomendamos aos Assinantes que orientem seus Clientes finais a não inserir dados pessoais sensíveis (saúde, dados financeiros, biométricos, entre outros) nas mensagens, salvo quando estritamente necessário e com base legal adequada.

7.Cookies e tecnologias similares

O Painel utiliza um cookie de sessão essencial (__session) gerado pelo Firebase Auth para manter o login do Assinante. Esse cookie é necessário ao funcionamento do serviço — sem ele, o login no Painel não é possível.

A Plataforma não utiliza cookies de marketing, publicidade ou rastreamento de comportamento entre sites. Caso isso mude no futuro, esta Política será atualizada e, quando exigido por lei, será solicitado consentimento prévio.

8.Seus direitos (LGPD, art. 18)

Você tem os seguintes direitos sobre os seus dados pessoais:

Acesso e confirmação: solicitar a confirmação do tratamento e uma cópia dos seus dados.
Correção: corrigir dados incompletos, inexatos ou desatualizados.
Exclusão: solicitar a exclusão de dados pessoais tratados com base no seu consentimento.
Portabilidade: exportar os seus dados em formato estruturado e interoperável.
Revogação de consentimento: a qualquer momento, sem prejuízo de tratamentos previamente realizados.
Informação sobre compartilhamento: saber com quais terceiros os seus dados são compartilhados.
Oposição: opor-se a tratamentos baseados em legítimo interesse, quando aplicável.

Como exercer seus direitos:

Se você é Assinante (loja): entre em contato diretamente com a Plataforma pelo e-mail privacidade@reefflow.com.br.
Se você é Cliente final (consumidor que interage com o bot no WhatsApp de uma loja): exerça seus direitos junto à loja com a qual interagiu — ela é a controladora dos seus dados. A Plataforma, na qualidade de operadora, colaborará com a loja para atender à sua solicitação.

Prazo de resposta: até 15 dias, sem custo. Reclamações também podem ser direcionadas à Autoridade Nacional de Proteção de Dados (ANPD).

9.Segurança

Aplicamos as seguintes medidas técnicas e organizacionais para proteger os dados pessoais:

Criptografia em trânsito (TLS 1.2 ou superior) e em repouso (AES-256).
Armazenamento de senhas com hash criptográfico.
Controle de acesso baseado em função (RBAC) e princípio do menor privilégio.
Isolamento de dados por Assinante nas regras de segurança do Firestore (multi-tenant).
Monitoramento contínuo e registros de auditoria.

Em caso de incidente de segurança relevante, comunicaremos o Assinante e, quando exigido, a Autoridade Nacional de Proteção de Dados (ANPD) e os titulares afetados, nos prazos legais aplicáveis.

10.Retenção de dados

Assinatura ativa: os dados são mantidos enquanto a assinatura estiver ativa.
Assinatura encerrada: os dados são retidos pelo período necessário ao encerramento contábil e legal, sendo depois excluídos ou anonimizados.
Contexto de conversa: armazenado em cache (Redis) com TTL de 24 horas e descartado automaticamente após esse período.
Logs operacionais: mantidos por até 90 dias para fins de segurança e diagnóstico.
Dados fiscais: 5 anos, conforme a legislação tributária brasileira.
Exclusão de conta: processada em até 15 dias após a solicitação, de forma permanente e irreversível, ressalvados os dados que devam ser mantidos por obrigação legal.

11.Menores de idade

A assinatura da plataforma é contratada por pessoa jurídica ou por pessoa física maior de idade. Não disponibilizamos a contratação a menores de idade.

Clientes finais que interagem via WhatsApp com a loja do Assinante podem incluir menores. Nessa hipótese, cabe ao Assinante observar as regras do art. 14 da LGPD em relação ao tratamento de dados de crianças e adolescentes, atuando como controlador.

A Plataforma não coleta intencionalmente dados de menores de 12 anos.

12.Transferências internacionais

A região primária dos serviços de hospedagem é southamerica-east1 (Brasil). Determinados serviços que utilizamos, em especial o provedor de LLM contratado pelo Assinante e a Stripe, podem processar dados nos Estados Unidos, na União Europeia ou em outras regiões.

Quando ocorrem transferências internacionais, adotamos salvaguardas adequadas, incluindo cláusulas contratuais padrão e medidas de segurança técnicas, conforme previsto na LGPD e nas legislações aplicáveis.

13.Alterações e legislação aplicável

Esta Política pode ser atualizada a qualquer tempo. Alterações substanciais serão comunicadas com 30 dias de antecedência, por e-mail ou no próprio Painel. A continuidade do uso após a entrada em vigor da nova versão implica aceite das alterações.

Lei aplicável: Lei Geral de Proteção de Dados (LGPD), Marco Civil da Internet e Código de Defesa do Consumidor.

Foro: Comarca da Capital do Estado do Rio de Janeiro/RJ, ressalvado o foro do domicílio do Cliente final consumidor quando aplicável.

Reclamações também podem ser apresentadas à Autoridade Nacional de Proteção de Dados (ANPD) ou ao Procon da sua localidade.

14.Contato e DPO

Razão Social: Raphael Pinheiro da Silva Consultoria em Tecnologia da Informação LTDA
Nome Fantasia: ZION IT SOLUTIONS
CNPJ: 56.062.229/0001-05
Endereço: Av. Marechal Câmara, 160, Centro, Rio de Janeiro/RJ, CEP 20020-080
Encarregado de Dados (DPO): Raphael Pinheiro da Silva
E-mail: privacidade@reefflow.com.br
Website: https://reefflow.com.br

Para qualquer dúvida, solicitação ou exercício de direitos relacionados a dados pessoais, escreva para privacidade@reefflow.com.br.

15.Resumo

O que coletamos: dados de conta do Assinante, mensagens trocadas com o bot via WhatsApp e dados de uso do Painel.
Vendemos seus dados?: não. Jamais.
Como protegemos: criptografia TLS e AES-256, isolamento multi-tenant, RBAC e monitoramento contínuo.
Seus direitos: acesso, correção, exclusão, portabilidade e revogação de consentimento.
Contato: privacidade@reefflow.com.br