Política de Privacidade

O LPH Assist é uma plataforma de atendimento ao cliente omnichannel desenvolvida pela Leads Per Hour Ltda. (CNPJ 57.835.053/0001-40), com sede no Brasil. Nosso produto integra canais como WhatsApp, Email, SMS e chat com agentes de IA para automatizar e qualificar atendimento.

Esta Política de Privacidade descreve como tratamos dados pessoais em conformidade com a LGPD (Lei Geral de Proteção de Dados — Lei nº 13.709/2018) e demais legislações aplicáveis.

Esta política se aplica a três grupos distintos:

• Nossos clientes diretos (empresas/organizações) — que contratam o LPH Assist para atender os próprios clientes.
• Clientes finais dos nossos clientes — pessoas que enviam mensagens via WhatsApp, email, etc. para empresas que usam o LPH Assist. Atuamos como operador de dados (data processor) nesta relação; a empresa contratante é a controladora.
• Visitantes do site — pessoas que acessam páginas públicas como esta.

Coletamos e processamos as seguintes categorias de dados:

• Dados de cadastro de empresa-cliente: nome, CNPJ, email, telefone, plano contratado, endereço de cobrança.
• Dados de usuários do painel: nome, email, avatar, papel/permissão (admin/manager/agent), horário de trabalho.
• Dados de clientes finais (contatos): nome, telefone, email, mensagens trocadas, histórico de tickets, preferências, tags, score de saúde (health score), NPS, CSAT.
• Conteúdo de conversas: mensagens completas trocadas entre o cliente final e a empresa/IA, incluindo anexos. Mensagens podem ser mascaradas para remover PII sensível (CPF, CNPJ, telefone) antes de serem enviadas a provedores de IA, dependendo da política configurada pela empresa-cliente.
• Logs técnicos: data/hora de eventos, IP de acesso, browser, ações de auditoria criptograficamente encadeadas (hash chain).
• Credenciais de canal cifradas: tokens de WhatsApp Business API, chaves de email, etc. armazenados em formato AES-GCM e jamais expostos em texto plano.

Usamos os dados exclusivamente para as finalidades abaixo, com base legal em execução de contrato ou legítimo interesse (LGPD art. 7º):

• Prestar o serviço de atendimento — receber, processar e responder mensagens entre clientes finais e a empresa-controladora.
• Treinar agentes de IA somente com dados da própria empresa-cliente (não há treinamento cruzado entre empresas; não há treinamento de modelos generalistas com dados de clientes finais sem consentimento explícito).
• Garantir auditoria, segurança e cumprimento de SLAs.
• Faturar a empresa-cliente conforme o plano contratado.
• Melhorar o produto (análises agregadas e anonimizadas).
• Atender obrigações legais (incluindo respostas a autoridades fiscais e judiciais quando obrigatórias).

Não vendemos dados a terceiros. Não compartilhamos dados de clientes finais para fins de publicidade externa.

Para operar o LPH Assist, usamos os seguintes serviços terceirizados que podem processar dados pessoais:

• Supabase Inc. (banco de dados PostgreSQL, autenticação, storage) — região sa-east-1 (São Paulo).
• Anthropic, PBC. (modelos de linguagem Claude para o agente Sophia). Conteúdo enviado segue políticas de privacidade da Anthropic; mensagens são submetidas mas não são usadas para treinamento de modelos segundo o acordo enterprise vigente.
• Voyage AI (embeddings semânticos para busca em base de conhecimento).
• Vercel Inc. (hospedagem da aplicação web).
• Meta Platforms, Inc. (WhatsApp Business Cloud API, quando o cliente conecta WhatsApp).
• Resend Inc. (envio e recebimento de email, quando o cliente conecta email).
• Twilio Inc. (SMS e voz, quando aplicável).

Atualizações da lista de sub-processadores são publicadas aqui com aviso prévio de 30 dias para a empresa-cliente.

Quando a empresa-cliente conecta um número de WhatsApp Business via Meta Cloud API:

• As credenciais (access token, app secret, verify token) são cifradas com AES-GCM e armazenadas apenas em formato ciphertext.
• Mensagens são recebidas via webhook seguro (assinado com HMAC-SHA256) e armazenadas vinculadas à conversa.
• Respondemos ao cliente final somente em janelas autorizadas pelas regras da Meta (24h customer window ou templates aprovados).
• A empresa-cliente pode desconectar o canal a qualquer momento via o painel; ao fazer isso, mensagens novas param de chegar, mas o histórico já recebido é preservado por padrão.

Como cliente final cujos dados foram coletados, você tem o direito de:

• Confirmar se tratamos seus dados;
• Acessar os dados que temos sobre você;
• Corrigir dados incompletos, inexatos ou desatualizados;
• Solicitar anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade;
• Portabilidade dos dados a outro fornecedor;
• Eliminação de dados tratados com base em consentimento, salvo quando obrigatória a guarda por lei;
• Revogar consentimento a qualquer momento.

Como exercer esses direitos: envie um pedido para privacy@leadsperhour.com indicando seu nome, empresa-cliente com a qual interagiu (se souber) e o tipo de solicitação. Respondemos em até 15 dias úteis.

Pedidos vindos de clientes finais cujos dados são controlados por uma empresa-cliente são encaminhados à empresa-controladora para resposta — somos operadores, não controladores neste fluxo.

• Conversas e mensagens: retidas enquanto a empresa-cliente mantém o contrato ativo, exceto se solicitado outro prazo. Ao encerramento do contrato, dados são exportados à empresa-cliente e excluídos em até 90 dias, salvo obrigação legal de guarda.
• Logs de auditoria: retidos por 5 anos (conformidade com art. 16 da LGPD e regulamentos setoriais aplicáveis).
• Backups: rotacionados a cada 30 dias.

Implementamos medidas técnicas e organizacionais razoáveis:

• Autenticação via magic link (sem senhas armazenadas);
• Conexões via HTTPS/TLS 1.3;
• RLS (Row-Level Security) no banco de dados — cada empresa só vê os próprios dados;
• Cifragem AES-GCM 256-bit para credenciais sensíveis de canal;
• Hash chain criptográfica (SHA-256) em logs de ações de IA para auditoria forense;
• Princípio do menor privilégio em acessos internos.

Usamos cookies estritamente necessários para autenticação e funcionamento da sessão (gerenciados pelo Supabase via SSR). Não usamos cookies de rastreamento, advertising ou analytics de terceiros sem consentimento explícito.

Nossos dados primários ficam no Brasil (Supabase em sa-east-1). Alguns sub-processadores (Anthropic, Vercel, Voyage) podem processar dados em servidores nos Estados Unidos. Garantimos cláusulas contratuais padrão e mecanismos adequados de proteção conforme LGPD art. 33.

Podemos atualizar esta política periodicamente. Mudanças materiais serão comunicadas à empresa-cliente com 30 dias de antecedência. A data da última atualização aparece no topo.

Encarregado pelo Tratamento de Dados (DPO):
Leads Per Hour Ltda. (CNPJ 57.835.053/0001-40)
Email: privacy@leadsperhour.com

Em caso de não resposta satisfatória, você pode contatar a ANPD (Autoridade Nacional de Proteção de Dados): gov.br/anpd.