Política de Privacidade

O controlador dos dados pessoais tratados na plataforma WUTS é a Wex Smart Solutions LTDA, inscrita no CNPJ sob o nº 59.222.704/0001-51, com sede em [ENDEREÇO DA SEDE].

Esta Política de Privacidade descreve como coletamos, usamos, compartilhamos e protegemos dados pessoais ao prestar o serviço de API de mensageria via WhatsApp e o painel de gestão associado, em conformidade com a Lei nº 13.709/2018 (Lei Geral de Proteção de Dados — LGPD).

Tratamos as seguintes categorias de dados pessoais, conforme a relação que você mantém com a plataforma:

Dados de cadastro e conta (clientes empresariais):

• Nome da empresa, e-mail de login e senha (armazenada apenas como hash, nunca em texto puro);
• Nome e e-mail do responsável financeiro e CPF ou CNPJ, usados para faturamento;
• Registros de autenticação: data/hora de acesso, endereço IP e tentativas de login.

Dados de cobrança: identificadores de assinatura e de pagamento, método (PIX, boleto ou cartão), valor e, no caso de cartão, apenas a bandeira e os quatro últimos dígitos. Não armazenamos o número completo do cartão — ele é processado diretamente pelo provedor de pagamento.

Dados de mensageria (operados em nome do cliente): ao usar a API, sua empresa transmite, por meio da plataforma, números de telefone, identificadores de contato e o conteúdo das mensagens de seus próprios contatos no WhatsApp. Nesse tratamento, a plataforma atua como operadora e a sua empresa como controladora desses dados.

Cada tratamento de dados pessoais se apoia em uma base legal prevista no art. 7º da LGPD:

• Execução de contrato (art. 7º, V): criar e manter sua conta, prover a API e o painel, conectar instâncias de WhatsApp e dar suporte;
• Cumprimento de obrigação legal/regulatória (art. 7º, II): emissão e guarda de documentos fiscais e de cobrança;
• Consentimento (art. 7º, I): aceite dos Termos de Uso e desta Política no momento do cadastro, registrado com data, versão e IP;
• Legítimo interesse (art. 7º, IX): segurança da informação, prevenção a fraude e abuso, e registros de auditoria — sempre limitados ao estritamente necessário.

Não tratamos dados pessoais para finalidades incompatíveis com as aqui informadas sem nova base legal adequada.

Compartilhamos dados pessoais apenas com operadores necessários à prestação do serviço, sob contrato e dever de confidencialidade:

• WhatsApp / Meta Platforms: a entrega e o recebimento das mensagens dependem da infraestrutura do WhatsApp, operada pela Meta, com servidores no exterior;
• Provedor de pagamento (Asaas): processa cobranças e recebe os dados de faturamento (nome, e-mail, CPF/CNPJ) estritamente para esse fim;
• Provedores de proxy/conectividade: quando a empresa configura um proxy por instância, o tráfego daquela instância é roteado por esse provedor, que pode estar localizado no exterior.

Transferência internacional (art. 33): em razão do uso do WhatsApp/Meta e da possibilidade de proxies internacionais, parte do tratamento pode envolver transferência de dados para fora do Brasil. Essas transferências apoiam-se em cláusulas contratuais e garantias de proteção dos respectivos operadores (incluindo os termos de tratamento de dados da WhatsApp Business / Meta) e na execução do contrato (art. 33, II e IX). Uma cópia das garantias aplicáveis pode ser solicitada ao Encarregado.

Não vendemos dados pessoais e não os utilizamos para publicidade de terceiros.

Mantemos os dados pessoais apenas pelo tempo necessário às finalidades informadas e ao cumprimento de obrigações legais:

• Dados de conta e cadastro: enquanto a conta estiver ativa; após o encerramento, são anonimizados, exceto o que a lei exigir manter;
• Documentos fiscais e de cobrança (faturas/assinaturas): mantidos pelo prazo legal aplicável (em regra, 5 anos), mesmo após o encerramento da conta;
• Cadastros de checkout não concluídos: eliminados em até 90 dias;
• Eventos de webhook de pagamento: eliminados em até 180 dias após o processamento;
• Registros de auditoria e segurança: mantidos por até 2 anos;
• Dados de mensageria (telefones, contatos, mídias): retidos por períodos curtos para operação e expurgados automaticamente — mídias e recibos de entrega em até 30 dias.

Concluído o prazo ou atendida a solicitação de exclusão, os dados são eliminados ou anonimizados de forma segura.

Nos termos do art. 18 da LGPD, você pode, a qualquer momento:

• Confirmar a existência de tratamento e acessar seus dados;
• Corrigir dados incompletos, inexatos ou desatualizados;
• Solicitar a portabilidade dos dados em formato estruturado (JSON);
• Solicitar a anonimização, o bloqueio ou a eliminação de dados desnecessários ou tratados em desconformidade;
• Revogar o consentimento e solicitar a exclusão da conta;
• Obter informação sobre as entidades com as quais compartilhamos dados.

Autoatendimento: clientes com acesso ao painel podem exportar todos os seus dados e excluir/anonimizar a conta diretamente em Conta › Privacidade.

Qualquer titular — inclusive contatos que receberam mensagens — pode registrar uma solicitação em Direitos do titular ou pelo canal do Encarregado, no e-mail dpo@wuts.com.br. Responderemos em até 15 dias (art. 18, §3 da LGPD).

Adotamos medidas técnicas e administrativas para proteger os dados pessoais contra acessos não autorizados e situações de destruição, perda, alteração ou difusão indevida:

• Senhas armazenadas apenas como hash (Argon2id), nunca em texto puro;
• Criptografia em repouso (AES-256-GCM) de tokens de API, segredos de 2FA e demais credenciais sensíveis;
• Autenticação em dois fatores (2FA/TOTP) obrigatória para acesso ao painel;
• Controle de acesso multitenant: cada empresa só acessa os próprios dados;
• Limitação de tentativas de login, registros de auditoria e canais de comunicação cifrados (TLS).

Em atendimento ao art. 41 da LGPD, designamos um Encarregado pela proteção de dados pessoais, responsável por receber comunicações dos titulares e da autoridade nacional:

Encarregado: [NOME DO ENCARREGADO]
E-mail: dpo@wuts.com.br
Endereço: [ENDEREÇO DA SEDE]

Forma e duração: os dados de conta, cobrança e auditoria são tratados de forma automatizada e armazenados de modo persistente e cifrado em repouso, pelos prazos da seção de retenção. Já o conteúdo das mensagens do WhatsApp é tratado apenas em trânsito (relé via webhook) e não é armazenado pela plataforma; descritores de mídia e recibos de entrega são mantidos por até 30 dias, com expurgo automático.

Dados sensíveis (Art. 11): a WUTS não coleta nem armazena intencionalmente dados pessoais sensíveis (saúde, biometria, origem, religião, opinião política, dados genéticos ou sexuais).

Decisões automatizadas (Art. 20): não tomamos decisões baseadas unicamente em tratamento automatizado que afetem seus interesses (sem profiling, score ou suspensão automática); decisões de acesso, cobrança e segurança são revisadas por pessoas.

Público (Art. 14): o serviço é destinado a uso profissional por maiores de 18 anos. Não coletamos intencionalmente dados de crianças e adolescentes.

Caso entenda que o tratamento de seus dados não está em conformidade com a LGPD, você pode apresentar reclamação à Autoridade Nacional de Proteção de Dados (ANPD), por meio do site https://www.gov.br/anpd.

Esta Política pode ser atualizada para refletir mudanças legais ou no serviço. A data de “última atualização” no topo indica a versão vigente; e mudanças relevantes podem exigir novo aceite no painel.