Política de Privacidade

A Vallestre Tecnologia da Informação Ltda("Autoflow", "nós" ou "nosso"), inscrita no CNPJ sob o n.º 65.523.368/0001-80, com sede na Avenida Paulista, 1106, Sala 01, Andar 16, Bela Vista, São Paulo/SP, CEP 01310-914, é a controladora dos dados pessoais tratados por meio da plataforma Autoflow, acessível em useautoflow.com e seus subdomínios.

Esta Política de Privacidade descreve como coletamos, utilizamos, armazenamos e protegemos os dados pessoais de nossos usuários e dos titulares cujos dados são processados por meio da plataforma, em conformidade com a Lei Geral de Proteção de Dados (Lei n. 13.709/2018 — LGPD) e demais normas aplicáveis.

• Plataforma: o sistema Autoflow de gestão de cobrança, incluindo dashboard, integração WhatsApp, automações e funcionalidades de IA.
• Tenant: a organização cliente que utiliza a Plataforma, acessando-a por meio de seu subdomínio exclusivo (ex.: empresa.useautoflow.com).
• Usuário: pessoa física que acessa e opera a Plataforma em nome de um Tenant (cobradores, gestores, administradores).
• Titular: pessoa física cujos dados pessoais são tratados no contexto das operações de cobrança (devedores, clientes dos Tenants).

3.1. Dados dos Usuários

• Credenciais de acesso (login e senha criptografada)
• Nome de usuário e função (role) na Plataforma
• Logs de acesso e atividades realizadas
• Código TOTP para autenticação em dois fatores

3.2. Dados dos Titulares (processados em nome dos Tenants)

• Nome, CPF/CNPJ, telefone e demais dados cadastrais provenientes do sistema externo de gestão
• Dados contratuais: número do contrato, valor, parcelas, status de inadimplência, histórico de ocorrências
• Mensagens trocadas via WhatsApp (texto, timestamps, status de entrega)
• Classificações de intenção geradas por inteligência artificial (quando habilitadas pelo Tenant)

3.3. Dados técnicos

• Endereço IP, tipo de navegador e sistema operacional
• Cookies de sessão (JWT) para autenticação
• Dados de subdomínios acessados para roteamento multi-tenant

• Execução de contrato (Art. 7, V): tratamento necessário para a prestação do serviço contratado pelo Tenant.
• Legítimo interesse (Art. 7, IX): operação da Plataforma, segurança, prevenção a fraudes e melhoria dos serviços.
• Exercício regular de direitos (Art. 7, VI): atividades de cobrança realizadas pelos Tenants no exercício regular de seus direitos.
• Cumprimento de obrigação legal (Art. 7, II): quando exigido por legislação ou regulamentação aplicável.

Os dados pessoais podem ser compartilhados com:

• Sistema externo: sistema de gestão de crédito de onde provêm os dados contratuais dos Titulares.
• Provedores de mensageria WhatsApp: serviços contratados pelo Tenant para envio e recebimento de mensagens, com infraestrutura no Brasil ou no exterior (incluindo Meta Platforms e Twilio).
• OpenAI: quando o Tenant habilita funcionalidades de IA, trechos de conversas e dados contratuais podem ser enviados para geração de respostas, classificações e resumos. O processamento segue as políticas de uso da API da OpenAI (dados não são utilizados para treinamento de modelos).
• PostHog: serviço de analytics de produto e monitoramento de erros utilizado para registrar eventos de uso da Plataforma, métricas de desempenho e exceções de execução.
• Prestadores de infraestrutura: serviços de hospedagem (AWS) e DNS (Cloudflare) necessários para operação da Plataforma.

Não comercializamos, vendemos ou cedemos dados pessoais a terceiros para finalidades próprias.

Cada Tenant possui um ambiente isolado, acessível exclusivamente por seu subdomínio. Os dados de um Tenant não são visíveis ou acessíveis por outros Tenants. Controles de acesso baseados em função (RBAC) e validação de sessão garantem o isolamento em todas as camadas da aplicação.

• Dados são armazenados em banco de dados PostgreSQL, hospedado em infraestrutura própria na AWS.
• Sessões utilizam tokens JWT (HS256) com validade de 8 horas, armazenados em cookies httpOnly.
• Autenticação de dois fatores (TOTP) disponível para todos os usuários.
• Comunicações são protegidas por HTTPS/TLS em trânsito.
• Auditorias de segurança são realizadas periodicamente para identificar e corrigir vulnerabilidades.

Os dados pessoais são mantidos enquanto durar a relação contratual com o Tenant ou conforme necessário para o cumprimento de obrigações legais. Mensagens de WhatsApp e logs de atividades são mantidos pelo prazo definido pelo Tenant ou, na ausência de definição, por até 5 (cinco) anos. Após o encerramento do contrato, os dados serão eliminados ou anonimizados em até 30 dias, salvo obrigação legal de retenção.

Os Titulares cujos dados são tratados pela Plataforma podem exercer, a qualquer momento, os seguintes direitos:

• Confirmação da existência de tratamento
• Acesso aos dados pessoais
• Correção de dados incompletos, inexatos ou desatualizados
• Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade
• Portabilidade dos dados
• Eliminação dos dados tratados com consentimento (quando aplicável)
• Informação sobre compartilhamento de dados com terceiros
• Revogação do consentimento (quando aplicável)

Para exercer esses direitos, entre em contato pelo e-mail [email protected].

Nota: quando os dados são tratados pelo Autoflow na qualidade de Operador em nome do Tenant, o exercício dos direitos deve ser direcionado primeiramente ao Tenant (controlador originário dos dados).

A Plataforma utiliza os seguintes cookies e mecanismos de armazenamento local:

• Cookie de sessão (JWT): necessário para autenticação e manutenção da sessão do usuário. Expira em 8 horas. Tipo httpOnly, não acessível por JavaScript.
• Cookie de super admin: utilizado exclusivamente para verificação de administradores com acesso cross-tenant. Expira em 1 hora.
• Cookies e armazenamento local de analytics (PostHog): registram identificadores de sessão e dispositivo para permitir análise agregada de uso da Plataforma, métricas de desempenho e monitoramento de erros. Usuários autenticados são associados a um identificador pseudonimizado; visitantes não autenticados não geram perfis de pessoa.

Não utilizamos cookies para publicidade comportamental nem para rastreamento cruzado entre sites de terceiros.

Os dados podem ser transferidos para servidores localizados fora do Brasil nas seguintes hipóteses:

• Utilização de serviços de infraestrutura em nuvem (AWS) com servidores nos Estados Unidos
• Envio de dados à API da OpenAI (quando funcionalidades de IA estão habilitadas pelo Tenant)
• Comunicação com provedores de WhatsApp sediados fora do Brasil, como a Meta WhatsApp Cloud API (Meta Platforms) e a Twilio, quando esses provedores forem selecionados pelo Tenant
• Envio de eventos de uso, métricas e exceções ao PostHog, hospedado nos Estados Unidos

Em todos os casos, as transferências são realizadas com base nas garantias previstas na LGPD (Art. 33), incluindo cláusulas contratuais padrão e garantias de nível adequado de proteção.

Esta Política de Privacidade pode ser atualizada periodicamente. Alterações significativas serão comunicadas por meio da Plataforma. Recomendamos a consulta periódica desta página.

Para dúvidas, solicitações ou exercício de direitos relacionados a esta Política, entre em contato:

• E-mail: [email protected]
• Encarregado de dados (DPO): Equipe de Privacidade Autoflow