Política de Privacidade

1. Introdução

A Strutura opera como uma empresa de automação com inteligência artificial e disponibiliza o Strutura CRM — um sistema de gestão de relacionamento com clientes com capacidades de IA para pequenas e médias empresas. A plataforma é hospedada na Vercel (Edge Network global), suporta os idiomas português (Brasil) e inglês, e processa pagamentos em BRL, USD e EUR. A plataforma integra-se com canais de mensagens (WhatsApp via gateway WAHA self-hosted da Strutura e Instagram via Graph API oficial), analisa conversas usando modelos de linguagem avançados (LLMs) e atualiza automaticamente os dados de leads no CRM com resumos, classificações, tags e recomendações de ação. Esta Política descreve como coletamos, usamos, armazenamos e protegemos seus dados pessoais, em conformidade com a Lei Geral de Proteção de Dados — LGPD (Lei nº 13.709/2018).

2. Definições

• Dados Pessoais: Informações que identificam ou podem identificar uma pessoa natural.
• Dados Pessoais Sensíveis: Raça, religião, opinião política, saúde, vida sexual, informações genéticas ou biométricas.
• Tratamento: Operações realizadas sobre dados pessoais, incluindo coleta, recepção, classificação, utilização, acesso, transmissão, armazenamento e eliminação.
• Controlador: Entidade que decide sobre o tratamento de dados pessoais.
• Operador: Entidade que executa o tratamento conforme instruções do controlador.
• Sub-operador: Terceiro contratado pelo operador para executar parte do tratamento (ex: provedor de infraestrutura ou de IA).
• Titular: Pessoa natural a quem os dados se referem.
• ANPD: Autoridade Nacional de Proteção de Dados.
• Consentimento: Manifestação livre, informada e inequívoca de concordância com o tratamento.
• Cliente: Empresa que contrata o Strutura CRM.
• Workspace: Espaço organizacional do cliente dentro da plataforma.
• Membro: Usuário com acesso a um workspace, com permissões definidas pelo admin.
• Lead: Contato gerenciado dentro do CRM (titular dos dados sob responsabilidade do cliente).

3. Dados Coletados

4. Finalidades do Tratamento

Os dados coletados são utilizados para:

• –Análise automatizada de conversas por IA para identificação do estágio no funil
• –Geração de resumos, tags, próximas ações e recomendações
• –Atualização automática de campos no CRM
• –Transcrição de mensagens de voz para tornar o conteúdo legível
• –Processamento de pagamentos e gestão de assinaturas
• –Comunicações operacionais sobre o serviço (e-mail e WhatsApp), incluindo notificações broadcast da plataforma
• –Suporte técnico, debugging e cumprimento legal por membros autorizados do workspace Strutura
• –Segurança e prevenção de fraudes
• –Melhoria do serviço com dados anonimizados e agregados
• –Cumprimento de obrigações legais e fiscais

A Strutura nunca utiliza conteúdo identificável de conversas para treinamento de modelos de IA.

5. Base Legal (LGPD, Art. 7º)

• Execução de Contrato (Art. 7º, V): Análise de conversas, atualização do CRM, transcrição de áudios, relatórios, gestão de assinaturas e demais atividades necessárias para prestar o serviço contratado.
• Consentimento (Art. 7º, I): Comunicações de marketing direto ou eventuais cessões de dados para melhoria de modelos de IA — sempre opt-in.
• Legítimo Interesse (Art. 7º, IX): Segurança da plataforma, prevenção a fraudes, melhoria de experiência com dados anonimizados e auditoria interna.
• Obrigação Legal (Art. 7º, II): Cumprimento de obrigações fiscais, tributárias e regulatórias, e atendimento a ordens judiciais ou requisições da ANPD.

6. Papel da Strutura: Controlador e Operador

• Dados do cliente e dos membros: A Strutura é a Controladora, responsabilizando-se integralmente pela conformidade com a LGPD nos dados de cadastro, acesso, faturamento e uso da plataforma.
• Dados dos leads: A Strutura é a Operadora. Os leads pertencem à base do cliente, que é o Controlador. A Strutura trata esses dados exclusivamente conforme instruções do cliente, que é responsável por obter as bases legais adequadas e informar os titulares.

7. Compartilhamento de Dados

A Strutura não vende, aluga nem comercializa dados pessoais a terceiros. O compartilhamento ocorre apenas com sub-operadores estritamente necessários à prestação do serviço:

• Stripe (EUA): Processamento de pagamentos em ambientes certificados PCI-DSS.
• Neon (EUA/UE): Banco de dados PostgreSQL gerenciado, onde residem todos os dados estruturados da aplicação.
• Vercel (EUA, Edge global): Hospedagem da aplicação Next.js, execução de workflows duráveis e edge functions.
• Cloudflare R2: Armazenamento de áudios e stickers recebidos via WhatsApp e Instagram.
• Meta Platforms (Instagram / WhatsApp Graph API): APIs oficiais para integração com Instagram Direct e para verificações relacionadas ao programa de revisão da Meta.
• WAHA self-hosted (Hetzner, Alemanha): Gateway WhatsApp Multi-Device operado pela Strutura em servidor dedicado para receber e enviar mensagens via WhatsApp.
• Strutura Email Gateway (email.strutura.ai): Proxy interno da Strutura, baseado em Resend, utilizado para envio de e-mails transacionais (boas-vindas, recuperação de senha, convites, avisos de cobrança).
• Google: Provedor OAuth utilizado para login com Google quando o usuário escolhe esse método.
• OpenAI: Whisper-1 para transcrição de mensagens de voz.
• DeepSeek via Vercel AI Gateway: Modelo DeepSeek v3.2 utilizado para análise das conversas; o tráfego é roteado pelo Vercel AI Gateway.
• Autoridades competentes: Quando exigido por ordem judicial, requisição administrativa ou obrigação legal, respeitando estrita necessidade.

8. Armazenamento e Segurança

As medidas de proteção adotadas incluem:

• Criptografia em trânsito: Toda comunicação entre dispositivo e servidores utiliza protocolo TLS/SSL (HTTPS).
• Senhas com hash argon2: Senhas dos usuários são armazenadas exclusivamente como hash argon2id, com bloqueio temporário após múltiplas tentativas falhas.
• Controle de acesso por workspace: Toda Server Action filtra recursos por workspace_id, impedindo acesso cruzado entre clientes.
• Acesso interno restrito: Apenas membros autorizados do workspace operacional da Strutura podem acessar o painel administrativo interno (/overview) — utilizado para suporte, debugging e cumprimento legal — sob princípio do menor privilégio.
• Logs de auditoria: ai_analysis_logs preserva o histórico de cada análise; processed_webhook_events e processed_stripe_events registam o tratamento de eventos externos.
• Pagamentos: Dados de pagamento processados exclusivamente no ambiente PCI-DSS do Stripe.
• Backups regulares: Backups automáticos do banco fornecidos pelo provedor Neon.

Em caso de incidente de segurança, notificaremos os titulares afetados e a ANPD nos prazos e procedimentos previstos pela LGPD.

9. Retenção de Dados

• Conta ativa: Dados retidos enquanto a conta e o contrato de serviço estiverem ativos.
• Soft-delete de contatos (Lixeira): Contatos arquivados ficam disponíveis na Lixeira por 30 dias. A rotina automática contacts-trash-purge (cron diário às 03:30 UTC) apaga definitivamente os contatos com mais de 30 dias arquivados, removendo também as suas mensagens, áudios e ficheiros associados em R2.
• Logs de análise de IA: ai_analysis_logs preserva o histórico de decisões da IA mesmo após o contato ter sido permanentemente excluído (o campo contact_id é definido como NULL). Esses logs são necessários para auditoria, /history e cumprimento legal.
• Tokens transitórios: Convites de membro expiram em 7 dias. Tokens de reset de senha expiram em 1 hora (ou 30 dias para reset migrado). Tokens de verificação de e-mail seguem TTL próprio.
• Tokens de integração Instagram: Renovação automática quando faltam menos de 15 dias para expirar, mantendo a integração ativa enquanto a conta estiver conectada.
• Eventos de webhook: processed_webhook_events e processed_stripe_events são retidos para idempotência; rotinas periódicas removem eventos antigos.
• Pós-cancelamento de workspace: Após cancelamento, os dados são preservados em modo somente-leitura para possibilitar reativação. O cliente pode solicitar exportação ou exclusão definitiva por e-mail (leonardo@strutura.ai); após confirmação, os dados pessoais são apagados em até 30 dias, exceto os mantidos por obrigação fiscal.
• Obrigações fiscais: Registros de transações financeiras retidos pelos períodos exigidos pela legislação fiscal e tributária aplicável.

O titular pode solicitar exclusão antecipada a qualquer momento, sujeita às limitações legais aplicáveis.

10. Direitos do Titular (LGPD, Art. 18)

Você pode exercer os seguintes direitos a qualquer momento:

• Confirmação e Acesso: Verificar a existência do tratamento e acessar informações completas sobre seus dados.
• Correção: Solicitar a retificação de dados incompletos, inexatos ou desatualizados.
• Anonimização, Bloqueio ou Eliminação: Solicitar tratamento de dados desnecessários, excessivos ou em desconformidade com a LGPD.
• Portabilidade: Solicitar a transferência de dados a outro fornecedor de serviço em formato estruturado e de uso comum.
• Eliminação por Consentimento: Solicitar exclusão de dados tratados com base no consentimento (salvo exceções do Art. 16 da LGPD).
• Informação sobre Compartilhamento: Obter detalhes sobre as entidades que recebem seus dados.
• Revogação do Consentimento: Retirar o consentimento a qualquer momento, sem prejudicar a validade dos tratamentos anteriores.

Leads cujos dados são geridos por um cliente da Strutura devem dirigir suas solicitações ao próprio cliente (Controlador). Caso isso não seja possível, podemos atuar como ponto de contato e encaminhar a solicitação. Para exercer seus direitos diretamente, envie um e-mail para leonardo@strutura.ai com o assunto "Direitos LGPD" descrevendo sua solicitação. Respondemos em até 15 dias úteis, conforme a LGPD.

11. IA e Decisões Automatizadas

A plataforma utiliza modelos de linguagem avançados (LLMs) e modelos de reconhecimento de fala para análise de conversas e transcrição de áudios. As medidas de transparência adotadas são:

• Processamento eager + lazy: A transcrição de áudios ocorre de forma imediata (eager) na chegada da mensagem; a análise consolidada de conversas roda na janela noturna agendada (lazy), conforme o pipeline_schedule do cliente. O cliente pode forçar reanálise manual via "Analisar agora" em cada contato.
• Modelos utilizados: DeepSeek v3.2 (via Vercel AI Gateway) para análise; OpenAI Whisper-1 para transcrição.
• Ferramenta de apoio à decisão: As recomendações da IA apoiam o trabalho do vendedor. A decisão final sobre cada lead permanece humana.
• Direito à revisão humana: Nos termos do Art. 20 da LGPD, você tem o direito de solicitar revisão humana de decisões automatizadas que afetem seus interesses.
• Transparência algorítmica: Mediante solicitação, fornecemos informações sobre a lógica geral do algoritmo utilizado. O prompt e o esquema de saída são definidos pela Strutura e versionados internamente.
• Privacy by Design: Apenas as informações necessárias são enviadas aos provedores de IA. Conteúdo identificável de conversas nunca é utilizado para treinamento dos modelos.

12. Transferências Internacionais

Os dados podem ser processados internacionalmente por:

• Provedores de IA: OpenAI e DeepSeek (via Vercel AI Gateway) — servidores localizados principalmente nos EUA.
• Infraestrutura em nuvem: Vercel (Edge Network global), Neon (regiões nos EUA e UE), Cloudflare R2 (regiões na UE).
• Gateway WhatsApp: WAHA self-hosted operado pela Strutura em servidor Hetzner localizado na Alemanha.
• Stripe: Processador de pagamentos com operações principalmente em servidores nos EUA.

Todas as transferências internacionais incluem salvaguardas adequadas conforme o Art. 33 da LGPD, incluindo cláusulas contratuais específicas de proteção de dados, padrões de segurança reconhecidos internacionalmente e seleção de provedores com certificações relevantes (SOC 2, ISO 27001 ou equivalentes).

13. Cookies e Tecnologias Similares

Utilizamos as seguintes categorias de cookies:

• Cookies essenciais (sessão): Cookies httpOnly utilizados pelo Auth.js (next-auth.session-token / authjs.session-token), pelo identificador do workspace ativo (active_workspace_id, 1 ano) e pelo gating de sign-up via Stripe (pending_signup_session_id, one-shot). Sem esses cookies a plataforma não funciona.
• Cookies de preferência: Armazenam o idioma escolhido (NEXT_LOCALE, 1 ano) e a moeda selecionada na pricing page (pricing_currency, 1 ano).
• Cookies de análise/segurança: Quando aplicáveis, podem ser utilizados para mitigação de fraude e diagnóstico operacional, sempre em base anonimizada ou agregada.

Você pode gerenciar as preferências de cookies nas configurações do seu navegador. A desativação dos cookies essenciais impede o funcionamento da plataforma.

14. Alterações nesta Política

As atualizações desta Política refletem mudanças no serviço, nas práticas de tratamento de dados ou na legislação aplicável. A data da última atualização sempre aparece no topo desta página. Alterações significativas que afetem seus direitos ou o tratamento de dados serão comunicadas por e-mail com antecedência razoável antes de entrarem em vigor. A continuidade do uso da plataforma após a notificação implica aceite da Política atualizada. Em caso de discordância, você pode encerrar sua conta e solicitar a exclusão dos dados antes das mudanças entrarem em vigor.

15. Contato e Encarregado de Dados (DPO)