Política de Privacidade

A Vallestre Tecnologia da Informação Ltda("Autoflow", "nós" ou "nosso"), inscrita no CNPJ sob o n.º 65.523.368/0001-80, com sede na Avenida Paulista, 1106, Sala 01, Andar 16, Bela Vista, São Paulo/SP, CEP 01310-914, é a controladora dos dados pessoais tratados por meio da plataforma Autoflow, acessível em useautoflow.com e seus subdomínios.

Esta Política de Privacidade descreve como coletamos, utilizamos, armazenamos e protegemos os dados pessoais de nossos usuários e dos titulares cujos dados são processados por meio da plataforma, em conformidade com a Lei Geral de Proteção de Dados (Lei n. 13.709/2018 — LGPD) e demais normas aplicáveis.

• Plataforma: o sistema Autoflow de gestão de cobrança, incluindo dashboard, integração WhatsApp, automações e funcionalidades de IA.
• Tenant: a organização cliente que utiliza a Plataforma, acessando-a por meio de seu subdomínio exclusivo (ex.: empresa.useautoflow.com).
• Usuário: pessoa física que acessa e opera a Plataforma em nome de um Tenant (cobradores, gestores, administradores).
• Titular: pessoa física cujos dados pessoais são tratados no contexto das operações de cobrança (devedores, clientes dos Tenants).

3.1. Dados dos Usuários

• Credenciais de acesso (login e senha criptografada)
• Nome de usuário e função (role) na Plataforma
• Logs de acesso e atividades realizadas
• Código TOTP para autenticação em dois fatores

3.2. Dados dos Titulares (processados em nome dos Tenants)

• Nome, CPF/CNPJ, telefone e demais dados cadastrais provenientes do sistema externo de gestão
• Dados contratuais: número do contrato, valor, parcelas, status de inadimplência, histórico de ocorrências
• Mensagens trocadas via WhatsApp (texto, timestamps, status de entrega)
• Classificações de intenção geradas por inteligência artificial (quando habilitadas pelo Tenant)

3.3. Dados técnicos

• Endereço IP, tipo de navegador e sistema operacional
• Cookies de sessão (JWT) para autenticação
• Dados de subdomínios acessados para roteamento multi-tenant

• Execução de contrato (Art. 7, V): tratamento necessário para a prestação do serviço contratado pelo Tenant.
• Legítimo interesse (Art. 7, IX): operação da Plataforma, segurança, prevenção a fraudes e melhoria dos serviços.
• Exercício regular de direitos (Art. 7, VI): atividades de cobrança realizadas pelos Tenants no exercício regular de seus direitos.
• Cumprimento de obrigação legal (Art. 7, II): quando exigido por legislação ou regulamentação aplicável.

Os dados pessoais podem ser compartilhados com:

• Sistema externo: sistema de gestão de crédito de onde provêm os dados contratuais dos Titulares.
• WhatsApp (Meta Platforms / Evolution API): para envio e recebimento de mensagens conforme configuração do Tenant.
• OpenAI: quando o Tenant habilita funcionalidades de IA, trechos de conversas e dados contratuais podem ser enviados para geração de respostas, classificações e resumos. O processamento segue as políticas de uso da API da OpenAI (dados não são utilizados para treinamento de modelos).
• Prestadores de infraestrutura: serviços de hospedagem (AWS) e DNS (Cloudflare) necessários para operação da Plataforma.

Não comercializamos, vendemos ou cedemos dados pessoais a terceiros para finalidades próprias.

Cada Tenant possui um ambiente isolado, acessível exclusivamente por seu subdomínio. Os dados de um Tenant não são visíveis ou acessíveis por outros Tenants. Controles de acesso baseados em função (RBAC) e validação de sessão garantem o isolamento em todas as camadas da aplicação.

• Dados são armazenados em banco de dados PostgreSQL, hospedado em infraestrutura própria na AWS.
• Sessões utilizam tokens JWT (HS256) com validade de 8 horas, armazenados em cookies httpOnly.
• Autenticação de dois fatores (TOTP) disponível para todos os usuários.
• Comunicações são protegidas por HTTPS/TLS em trânsito.
• Auditorias de segurança são realizadas periodicamente para identificar e corrigir vulnerabilidades.

Os dados pessoais são mantidos enquanto durar a relação contratual com o Tenant ou conforme necessário para o cumprimento de obrigações legais. Mensagens de WhatsApp e logs de atividades são mantidos pelo prazo definido pelo Tenant ou, na ausência de definição, por até 5 (cinco) anos. Após o encerramento do contrato, os dados serão eliminados ou anonimizados em até 30 dias, salvo obrigação legal de retenção.

Os Titulares cujos dados são tratados pela Plataforma podem exercer, a qualquer momento, os seguintes direitos:

• Confirmação da existência de tratamento
• Acesso aos dados pessoais
• Correção de dados incompletos, inexatos ou desatualizados
• Anonimização, bloqueio ou eliminação de dados desnecessários ou tratados em desconformidade
• Portabilidade dos dados
• Eliminação dos dados tratados com consentimento (quando aplicável)
• Informação sobre compartilhamento de dados com terceiros
• Revogação do consentimento (quando aplicável)

Para exercer esses direitos, entre em contato pelo e-mail [email protected].

Nota: quando os dados são tratados pelo Autoflow na qualidade de Operador em nome do Tenant, o exercício dos direitos deve ser direcionado primeiramente ao Tenant (controlador originário dos dados).

A Plataforma utiliza apenas cookies essenciais:

• Cookie de sessão (JWT): necessário para autenticação e manutenção da sessão do usuário. Expira em 8 horas. Tipo httpOnly, não acessível por JavaScript.
• Cookie de super admin: utilizado exclusivamente para verificação de administradores com acesso cross-tenant. Expira em 1 hora.

Não utilizamos cookies de rastreamento, analytics ou publicidade.

Os dados podem ser transferidos para servidores localizados fora do Brasil nas seguintes hipóteses:

• Utilização de serviços de infraestrutura em nuvem (AWS) com servidores nos Estados Unidos
• Envio de dados à API da OpenAI (quando funcionalidades de IA estão habilitadas pelo Tenant)
• Comunicação com a API do WhatsApp (Meta Platforms)

Em todos os casos, as transferências são realizadas com base nas garantias previstas na LGPD (Art. 33), incluindo cláusulas contratuais padrão e garantias de nível adequado de proteção.

Esta Política de Privacidade pode ser atualizada periodicamente. Alterações significativas serão comunicadas por meio da Plataforma. Recomendamos a consulta periódica desta página.

Para dúvidas, solicitações ou exercício de direitos relacionados a esta Política, entre em contato:

• E-mail: [email protected]
• Encarregado de dados (DPO): Equipe de Privacidade Autoflow