1. Quem somos
A OperAI Digital é a controladora dos dados pessoais tratados por meio da plataforma disponível em https://operai.digital.
Nosso produto é uma plataforma SaaS de automação empresarial com Inteligência Artificial, que permite a empresas brasileiras criar agentes de IA, automatizar fluxos de trabalho, gerenciar contatos via CRM e integrar canais de comunicação como o WhatsApp.
Nesta Política, os termos "nós", "nos" e "nosso" referem-se à OperAI Digital. "Você" refere-se ao usuário da plataforma, seja pessoa física ou representante da pessoa jurídica contratante (cliente B2B). Os contatos finais dos clientes de nossos clientes (ex.: consumidores que enviam mensagens via WhatsApp) são tratados conforme descrito na seção 3.
2. Dados pessoais coletados
Coletamos apenas os dados necessários para prestar nossos serviços. Abaixo descrevemos as categorias e exemplos concretos:
2.1 Dados de conta e identificação
- Nome completo e nome da empresa
- Endereço de e-mail
- Número de telefone (opcional, para 2FA ou suporte)
- Senha (armazenada com hash bcrypt — nunca em texto claro)
- Dados de faturamento: nome do titular do cartão, endereço de cobrança e token de pagamento (gerenciados pelo Stripe — não armazenamos o número do cartão)
2.2 Dados de uso e logs técnicos
- Endereço IP de origem das requisições
- User-agent e tipo de dispositivo/navegador
- Logs de execução de fluxos (flows), incluindo entradas, saídas e erros
- Logs de requisições à API da plataforma
- Identificadores de sessão e tokens de autenticação (armazenados no Upstash Redis com TTL definido)
- Timestamps de acesso, ações e eventos dentro da plataforma
2.3 Conteúdo gerado pelo usuário
- Configurações de agentes de IA (prompts, instruções, bases de conhecimento)
- Fluxos de automação criados na plataforma
- Dados de CRM inseridos pelo usuário (contatos, histórico de interações)
- Arquivos e documentos carregados para treino ou contexto de agentes
2.4 Dados de terceiros processados em nome do cliente (subprocessamento)
Quando nossos clientes integram o canal WhatsApp via Evolution API, a plataforma processa, em nome do cliente (na qualidade de operadora), dados das conversas dos contatos finais desse cliente, que podem incluir:
- Número de telefone dos contatos finais
- Nome exibido no WhatsApp do contato final
- Conteúdo das mensagens de texto trocadas
- Metadados da conversa (timestamps, status de leitura)
O cliente é o controlador desses dados e é responsável por possuir base legal adequada para tratá-los (ex.: consentimento ou execução de contrato com seu próprio consumidor). A OperAI Digital atua como operadora e trata esses dados apenas conforme instruído pelo cliente e conforme o Acordo de Processamento de Dados (DPA) disponível mediante solicitação.
3. Finalidade e base legal (art. 7º da LGPD)
A LGPD exige que todo tratamento de dados pessoais tenha uma finalidade legítima e uma base legal. A tabela abaixo resume nossas práticas:
| Dado / categoria | Finalidade | Base legal (LGPD) |
|---|---|---|
| Dados de conta (nome, e-mail, senha) | Criação e gestão da conta; autenticação; comunicações essenciais do serviço | Execução de contrato (art. 7º, V) |
| Dados de faturamento | Cobrança da assinatura; emissão de nota fiscal; prevenção a fraudes | Execução de contrato (art. 7º, V); Cumprimento de obrigação legal (art. 7º, II) |
| Endereço IP e logs técnicos | Segurança da plataforma; diagnóstico de falhas; cumprimento de obrigações legais (Marco Civil da Internet) | Legítimo interesse (art. 7º, IX); Cumprimento de obrigação legal (art. 7º, II) |
| Logs de execução de flows e sessões | Depuração, auditoria e suporte técnico ao usuário | Execução de contrato (art. 7º, V); Legítimo interesse (art. 7º, IX) |
| Conteúdo dos agentes e fluxos criados | Fornecimento do serviço contratado; persistência das configurações do usuário | Execução de contrato (art. 7º, V) |
| Dados de WhatsApp de contatos finais do cliente | Execução das automações configuradas pelo cliente contratante | Execução de contrato entre OperAI e o cliente (art. 7º, V) — o cliente é o controlador perante seus contatos finais |
| E-mail para comunicações de marketing | Envio de novidades, atualizações e ofertas da plataforma | Consentimento (art. 7º, I) — opt-in explícito; opt-out disponível a qualquer momento |
4. Com quem compartilhamos seus dados
Não vendemos dados pessoais. Compartilhamos apenas com fornecedores necessários à prestação do serviço, mediante contratos adequados de proteção de dados:
Dados de faturamento e cartão de crédito (tokenizados). A OperAI Digital nunca armazena o número completo do cartão.
Conteúdo das mensagens e prompts enviados para geração de respostas pelos agentes de IA.
Mensagens e metadados das conversas WhatsApp configuradas pelo cliente.
Dados de entrada e saída dos fluxos de automação criados pelo usuário.
Tokens de sessão, identificadores de usuário e contadores de rate-limiting.
Também podemos divulgar dados pessoais quando exigido por lei, ordem judicial ou autoridade governamental competente, incluindo a Autoridade Nacional de Proteção de Dados (ANPD).
Em caso de fusão, aquisição ou venda de ativos da OperAI Digital, os dados poderão ser transferidos ao adquirente, que estará sujeito aos termos desta Política.
5. Retenção e exclusão de dados
Mantemos os dados pelo tempo estritamente necessário para as finalidades descritas nesta Política ou conforme exigido por lei. Os períodos de retenção padrão são:
| Categoria de dado | Período de retenção |
|---|---|
| Logs de execução de flows (entradas, saídas, erros) | 90 dias a partir da execução |
| Tokens de sessão e cache Redis | TTL de até 30 dias (expiração automática) |
| Logs de acesso e IP (Marco Civil da Internet) | 6 meses, conforme art. 15 da Lei nº 12.965/2014 |
| Dados de conta ativa | Enquanto a conta estiver ativa |
| Dados de conta encerrada / contrato cancelado | 5 anos após o encerramento (prescrição civil e obrigações fiscais) |
| Dados de faturamento e notas fiscais | 5 anos (obrigação fiscal — Lei nº 9.430/1996) |
| Dados de contatos finais de WhatsApp (subprocessamento) | Conforme instrução do cliente, respeitado o mínimo legal |
| E-mails de marketing (com consentimento) | Até a revogação do consentimento |
Após o vencimento dos prazos acima, os dados são excluídos de forma segura ou anonimizados de modo irreversível.
6. Direitos do titular de dados (art. 18 da LGPD)
Como titular de dados pessoais, você possui os seguintes direitos, que podem ser exercidos a qualquer momento mediante solicitação ao nosso DPO (veja seção 10):
- ✓Confirmação e acesso: Confirmar se tratamos seus dados e obter cópia dos dados que mantemos sobre você.
- ✓Correção: Solicitar a atualização de dados incompletos, inexatos ou desatualizados.
- ✓Anonimização, bloqueio ou eliminação: Solicitar a anonimização ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a LGPD.
- ✓Portabilidade: Receber seus dados em formato estruturado e interoperável para transferência a outro fornecedor de serviço, quando tecnicamente viável.
- ✓Eliminação após revogação de consentimento: Solicitar a eliminação de dados tratados com base no seu consentimento, após revogá-lo.
- ✓Informação sobre compartilhamento: Ser informado sobre com quais entidades públicas ou privadas compartilhamos seus dados.
- ✓Oposição: Opor-se a tratamentos realizados com base em legítimo interesse quando este não prevalece sobre seus direitos fundamentais.
- ✓Revisão de decisões automatizadas: Solicitar revisão humana de decisões tomadas exclusivamente com base em tratamento automatizado que afetem seus interesses.
- ✓Revogação do consentimento: Revogar o consentimento concedido a qualquer momento, sem prejuízo da licitude do tratamento realizado anteriormente.
Responderemos às solicitações no prazo de 15 dias úteis a contar do recebimento. Em casos complexos, poderemos prorrogar por igual período, comunicando o motivo. Poderemos solicitar verificação de identidade antes de atender sua solicitação.
Caso não esteja satisfeito com nossa resposta, você pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD) pelo portal gov.br/anpd.
8. Segurança dos dados
Adotamos medidas técnicas e organizacionais apropriadas para proteger seus dados pessoais contra acesso não autorizado, perda, alteração ou divulgação indevida:
- Transmissão de dados cifrada via TLS 1.2+ em todas as comunicações.
- Senhas armazenadas com hash bcrypt (fator de custo elevado).
- Tokens de sessão com expiração automática (TTL) e rotação em cada login.
- Rate limiting em endpoints sensíveis (login, registro, recuperação de senha) via Upstash Redis.
- Controle de acesso baseado em papéis (RBAC) com separação de privilégios por workspace.
- Cabeçalhos de segurança HTTP:
Strict-Transport-Security,Content-Security-Policy,X-Frame-Options: DENY, entre outros. - Verificação de CSRF em mutações de API via validação de
Origin. - Monitoramento contínuo de incidentes e alertas de segurança.
- Acesso à produção restrito a colaboradores com necessidade justificada e autenticação multifator.
Em caso de incidente de segurança que possa afetar seus dados, notificaremos você e a ANPD nos prazos previstos na LGPD (art. 48), com informações sobre a natureza do incidente, os dados envolvidos e as medidas adotadas.
9. Dados de menores de idade
A plataforma OperAI Digital é destinada exclusivamente a empresas e seus representantes adultos. Não coletamos intencionalmente dados pessoais de menores de 18 anos.
Caso tenhamos coletado dados de um menor sem o devido consentimento dos responsáveis legais, entre em contato com nosso DPO (seção 10) e procederemos com a exclusão imediata.
10. Contato e Encarregado de Proteção de Dados (DPO)
Para exercer seus direitos, tirar dúvidas sobre esta Política ou reportar uma preocupação de privacidade, entre em contato com nosso Encarregado pelo Tratamento de Dados Pessoais (DPO):
OperAI Digital — Encarregado de Proteção de Dados
E-mail: privacidade@operai.digital
Site: https://operai.digital
Respostas em até 15 dias úteis. Para facilitar o atendimento, informe nome completo, e-mail cadastrado e descrição detalhada da solicitação.
11. Atualizações desta Política
Esta Política pode ser atualizada periodicamente para refletir mudanças nas nossas práticas, nos serviços oferecidos ou na legislação aplicável. Quando realizarmos alterações relevantes, notificaremos você por e-mail ou por aviso destacado na plataforma com antecedência mínima de 15 dias antes da entrada em vigor das mudanças.
A versão atual sempre estará disponível em https://operai.digital/privacidade com a data da última atualização indicada no topo.
O uso continuado da plataforma após a entrada em vigor das alterações implica aceitação da Política revisada.
© 2026 OperAI Digital. Todos os direitos reservados.
Esta Política é regida pela legislação brasileira. Foro: comarca da sede da empresa.